Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenidos
Introduccin Requisitos previos Requisitos Componentes utilizados Convenciones Antecedente Vocabulario de cifrado Configuracin de ISAKMP 1. Claves previamente compartidas 2. Utilizacin de una CA Configuracin de IPSec Crear ACL ampliada Creacin de transformaciones IPSec Creacin de correspondencia de criptografa Aplicacin de crypto map en la interfaz Consideraciones de memoria y CPU Salida de los comandos show Resultado relacionado con IKE Comandos show relacionados con IPSec Configuraciones de muestra Diagrama de la red Configuraciones Informacin acerca de la depuracin Consejos sobre instrumentacin de IPSec Ayuda y enlaces relevantes Informacin sobre IPSec Ms configuraciones de ejemplo para IPSec. Referencias
Introduccin
Este documento presenta IPSec a los usuarios en un formato rpido pero conciso. Este documento contiene la configuracin bsica del intercambio de claves de Internet (IKE) con claves previamente compartidas, IKE con una autoridad de certificacin IPSec. Este no es un documento exhaustivo. Sin embargo, este documento ayuda a comprender las tareas y el orden en que se realizan.
Advertencias: Existen restricciones rigurosas en la exportacin de la criptografa fuerte. Si viola las leyes federales de los Estados Unidos ser usted, y no Cisco, el responsable. Si tiene alguna pregunta acerca del control de las exportaciones, enve un correo electrnico a export@cisco.com.
Requisitos previos
Requisitos
No hay requisitos especficos para este documento.
Componentes utilizados
Este documento no tiene restricciones en cuanto a versiones especficas de software y hardware.
Convenciones
Para obtener ms informacin sobre las convenciones del documento, consulte las Convenciones sobre consejos tcnicos de Cisco.
Antecedente
IPSec es la siguiente generacin de plataforma de criptografa de capa de red para las plataformas de seguridad de Cisco (software Cisco IOS, PIX y ms) Originalmente descrito en las RFC 1825 a 1829, que actualmente estn obsoletas, IPSec se discute en varios documentos presentados por IETF IP Security Working Group . IPSec actualmente es compatible con los paquetes IP versin 4 unicast. La compatibilidad con IPv6 y multicast llegar en el futuro. IPSec cuenta con los siguientes puntos fuertes sobre las ofertas actuales de Cisco: 1. Multiproveedor: puesto que la estructura IPSec est estandarizada, los clientes no estn sujetos a ningn proveedor especfico. IPSec se encuentra en routers, firewalls, y escritorios de clientes (Windows, Mac, y ms). 2. Escalabilidad: IPSec se ha diseado teniendo en cuenta las grandes empresas. Por este motivo, ha incorporado la administracin de claves. Nota: Si bien varias plataformas Cisco pueden utilizar IPSec, este documento est dirigido al software Cisco IOS.
Vocabulario de cifrado
Es necesario que conozca estos trminos para comprender IPSec y leer el resto de este documento. Cuando se encuentre con acrnimos en otras secciones de este documento, consulte la pgina de definiciones. Advanced Encription Standard (AES, Norma de cifrado avanzado): AES se finaliz como un algoritmo criptogrfico aprobado de la norma de procesamiento de informacin federal (FIPS) para proteger la transmisin de datos electrnicos (FIPS PUB 197). AES se basa en el algoritmo Rijndael, que especifica cmo utilizar las claves con una longitud de 128, 192 o 256 bits para cifrar bloques de 128, 192 o 256 bits (las nueve combinaciones de longitud de clave y bloque son posibles). Authentication Header (AH, Encabezamiento de autenticacin): protocolo de seguridad que proporciona servicios de autenticacin y deteccin de reproduccin opcional. AH se ha incluido en los datos que se van a proteger (un datagrama de IP completo, por ejemplo). Es posible utilizar AH tanto solo como con la carga til del servicio de cifrado (ESP). Consulte la seccin RFC 2402 . Autenticacin: esta es una de las funciones desde la estructura IPSec. La autenticacin establece la integridad de los datos y asegura que no se vern alterados durante el trnsito. Tambin proporciona una confirmacin del origen de los datos. Certification Authority (CA, Autoridad de certificacin): una tercera entidad con la responsabilidad de emitir y revocar certificados. Cada dispositivo que tiene su propio certificado y la clave pblica de la CA, puede autenticar cualquier otro dispositivo en un dominio de la CA. Este trmino tambin se aplica al software del servidor que proporciona dichos servicios. Certificado: objeto firmado criptogrficamente que contiene una identidad y una clave pblica asociada a dicha identidad. Criptografa clsica: mecanismo de cifrado propiedad de Cisco utilizado en la versin 11.2 del software Cisco IOS. La criptografa clsica est disponible en la versin 11.3 del software Cisco IOS. Sin embargo, IPSec no se retroadapta a la versin 11.2 del software Cisco IOS. Tambin ver el nombre "criptografa clsica" referida como "cifrado exprs" o "tecnologa de cifrado de Cisco" (CET) en la documentacin de marketing. Certificate Revocation List (CRL, Lista de revocacin de certificados): mensaje firmado de forma digital que muestra una lista con todos los certificados actuales pero revocados para una CA. Esto es anlogo a un libro de nmeros de tarjetas robadas que permite a los almacenes rechazar las tarjetas de crdito. Correspondencia de criptografa: entidad de configuracin del software Cisco IOS que realiza dos funciones principales. Primero, selecciona flujos de datos que necesitan un proceso de seguridad. Segundo, define la poltica para esos flujos y la entidad criptogrfica a la que debe ir el trfico. La correspondencia de criptografa se aplica a una interfaz. El concepto de correspondencia de criptografa se introdujo en la criptografa clsica, pero se expandi para IPSec. Integridad de datos: mecanismos de integridad de datos, mediante el uso de algoritmos basados en clave secreta o clave pblica, que permiten al receptor de un conjunto de datos protegidos verificar que los datos no se han modificado durante el trnsito. Confidencialidad de datos: mtodo mediante el cual los datos protegidos se manipulan de modo que ningn atacante pueda leerlos. Esto se logra comnmente a travs del cifrado de datos y claves que slo estn disponibles para las partes que participan en la comunicacin. Autenticacin del origen de los datos: servicio de seguridad en el que el receptor puede verificar que los datos protegidos los ha originado slo el emisor. Este servicio necesita un servicio de integracin de datos adems de un mecanismo de distribucin de clave, en donde slo el emisor y el receptor comparten una clave secreta. Data Encryption Standard (DES, Estndar de cifrado de datos): la DES se public en 1977 por la oficina nacional de estndares y es un esquena de cifrado de claves secretas basado en el algoritmo Lucifer de IBM. El contraste de DES es una clave pblica. Cisco utiliza DES en la criptografa clsica (longitudes de clave de 40 y 56 bits), cifrado de IPSec (clave de 56 bits) y en el Firewall PIX (clave de 56 bits). Diffie-Hellman: mtodo mediante el cual se establece una clave compartida en un medio inseguro. Diffie-Hellman es un componente de Oakley (consulte la definicin de Oakley que se encuentra en esta lista de definiciones).
DSS: algoritmo de firma digital diseado por el instituto nacional de estndares y tecnologa (NIST) basado en la criptografa de clave pblica. DSS no realiza el cifrado del datagrama de usuario. DSS es un componente de la criptografa clsica, as como la tarjeta Redcreek IPSec, pero no se ha implementado en el software Cisco IOS. Adaptador del servidor de cifrado (ESA): hardware basado en la aceleracin de cifrado que se utiliza en los Routers 7204 y 7206 de Cisco Procesador 2-40s de interfaz virtual (VIP2-40) de segunda generacin en todos los routers de la serie 7500 de Cisco VIP2-40 en los routers de la serie 7000 de Cisco que tengan el Router Switch Processors de Cisco (RSP7000) y las tarjetas interfaz (RSP7000CI) de chasis serie 7000 de Cisco instaladas. IPSec no utiliza la aceleracin ESA, pero trabaja con un equipo que incluye una tarjeta ESA en forma de slo software. Carga til de seguridad encapsulada (ESP): protocolo de seguridad que proporciona confidencialidad de datos y proteccin con servicios de autenticacin y deteccin de reproduccin opcionales. ESP encapsula completamente los datos del usuario. ESP puede utilizarse slo o junto con AH. Consulte RFC 2406: Carga til de seguridad encapsulada (ESP) . Hash: funcin unidireccional que coge un mensaje de entrada con una longitud arbitraria y produce un resumen con una longitud fija. Cisco utiliza tanto Secure Hash Algorithm (SHA) como Message Digest 5 (MD5) en la implementacin de la estructura IPSec (consulte la definicin de HMAC). HMAC: mecanismo de autenticacin de mensajes mediante hashes criptogrficos como SHA y MD5. Para un debate ms exhaustivo de HMAC, consulte RFC 2104 . Internet Key Exchange (IKE, Intercambio de claves de Internet): protocolo hbrido que utiliza una parte del protocolo Oakley y otra parte de un conjunto de protocolos llamado SKEME en el marco de la Asociacin de seguridad en Internet y el Protocolo de administracin de claves (ISAKMP). IKE se utiliza para establecer una poltica de seguridad compartida y las claves autenticadas para los servicios (como IPSec) que requieren una clave. Antes de que se pueda transmitir cualquier trfico de IPSec, cada router, firewall o host debe ser capaz de identificar la identidad de su par: es posible realizarlo manualmente introduciendo claves previamente compartidas en ambos hosts, por un servicio de CA, o el prximo DNS seguro (DNSSec). Este es el protocolo que antiguamente se conoca como ISAKMP/Oakley, y se define en RFC 2409: Intercambio de claves de Internet (IKE) . Un punto de confusin importante es que ambos acrnimos, "ISAKMP" e "IKE", se utilizan en el software Cisco IOS para referirse al mismo concepto. Sin embargo, estos dos elementos son algo diferentes. Internet Security Association and Key Management (ISAKMP, Asociacin de seguridad en Internet y Protocolo de administracin de claves): estructura de protocolo que define el mecanismo de implementacin de un protocolo de intercambio de claves y la negociacin de las polticas de seguridad. ISAKMP se define en la Asociacin de seguridad en Internet y el Protocolo de administracin de claves. Transparencia IPSec NAT: la funcin de transparencia IPSec NAT incorpora el soporte para el trfico de seguridad IP(IPSec) para circular a travs de la traduccin de direcciones de red (NAT) o puntos de traduccin de direcciones de punto (PAT) de la red resolviendo diversas incompatibilidades conocidas entre NAT e IPSec. NAT Traversal es una caracterstica que los dispositivos VPN autodetectan. No hay que seguir ningn paso para configurar un router que ejecute la versin 12.2(13)T y superiores del software Cisco IOS. Si ambos dispositivos VPN son compatibles con NAT-T, NAT Traversal se autodetectar y autonegociar. ISAKMP/Oakley: Consulte IKE. Message Digest 5(MD5): algoritmo de generacin de hash unidireccional que produce un hash de 128 bits. Tanto MD5 como el Algoritmo de hash seguro (SHA) son variaciones del MD4, que se dise para reforzar la seguridad de este algoritmo de generacin de hash. SHA es ms seguro que MD4 y MD5. Cisco utiliza hashes para la autenticacin dentro del marco IPSec. Oakley: protocolo de intercambio de claves que define cmo adquirir material de codificacin autenticado. El mecanismo bsico de Oakley es el algoritmo Diffie-Hellman de intercambio de claves. Podr encontrar la norma en RFC 2412: Protocolo de determinacin de clave OAKLEY . Perfect Forward Secrecy (PFS, Confidencialidad directa perfecta): PFS asegura que una clave IPSec SA no se ha derivado de otra clave secreta (como otra clav independiente) En otras palabras, si alguien interrumpe una clave, PFS asegura que el atacante no pueda derivar ninguna otra clave. Si no se habilita PFS, alguien podra interrumpir la clave secreta de IKE SA, copiar todos los datos protegidos de IPSec y, a continuacin, hacer uso de la clave IKE SA para comprometer la configuracin del IPSec SA con la IKE SA. Con PFS, la interrupcin de IKE no dar al atacante un acceso inmediato a IPSec. Ser necesario que el atacante interrumpa cada IPSec SA individualmente. La implementacin de IPSec en el Cisco IOS utiliza PFS del grupo 1 (D-H 768 bit) de forma predeterminada. Deteccin de reproduccin: servicio de seguridad en el que el receptor puede rechazar paquetes antiguos o duplicados para evitar ataques con paquetes reproducidos (los ataques con paquetes reproducidos consisten en que el atacante enva paquetes antiguos o duplicados al receptor y que ste ltimo crea que el trfico falso es legtimo). La deteccin de reproduccin se realiza mediante nmeros de secuencia combinados con la autenticacin, y es una caracterstica estndar de IPSec. RSA: algoritmo criptogrfico de clave pblica (nombrado con el nombre de sus inventores Rivest, Shamir y Adleman) con una clave de longitud variable. La principal desventaja de RSA es que es muy lenta para computar en comparacin con los algoritmos populares de clave secreta, como DES. La implementacin de IDE de Cisco utiliza el intercambio Diffie-Hellman para obtener claves secretas. Este intercambio puede autenticarse con RSA (o claves previamente compartidas). Con el intercambio Diffie-Hellman, la clave DES nunca recorre la red (ni siquiera de forma cifrada), lo que s ocurre con la tcnica de cifrado y firma RSA. RSA no es un dominio pblico, y debe tener licencia de RSA Data Security.
Security Association (SA, Asociacin de seguridad): instancia de poltica de seguridad y material de codificacin que se aplica al flujo de datos. Tanto IKE como IPSec utilizan SA, aunque cada una de las SA son independientes entre ellas. Los SA de IPSec son unidireccionales y nicos en cada protocolo de seguridad. Se necesita un conjunto de SA para un conducto de datos protegidos, uno por cada direccin del protocolo. Por ejemplo, si tiene un conducto que soporte ESP entre pares, es necesario una ESP SA para cada direccin. Los SA se identifican por la direccin de destino (punto final del IPSec), el protocolo de seguridad (AH o ESP) y el ndice de parmetros de seguridad (SPI). IKE negocia y establece los SA en nombre de IPSec. Un usuario tambin puede establecer un SA de IPSec manualmente. Un SA de IKE se utiliza slo para IKE. A diferencia de los SA de IPSec, que son bidireccionales. Algoritmo de hash seguro (SHA): hash unidireccional propuesto por NIST. SHA se basa en MD4 y produce un digest de 160 bits. Puesto que SHA produce un digest de 160 bits, es ms resistente a los ataques que los hashes de 128 bits (como el MD5), pero es ms lento. Transformacin: una transformacin describe un protocolo de seguridad (AH o ESP) con sus correspondientes algoritmos. Por ejemplo, ESP con el algoritmo de cifrado DES y HMAC-SHA para la autenticacin. Modo de transporte: modo de encapsulacin para AH/ESP. El modo de transporte encapsula el segmento de datos de la capa superior (como el Protocolo de control de transmisin (TCP) o el Protocolo de datagrama de usuario (UDP) del IP original. Este modo slo se puede utilizar cuando los pares son puntos extremos de la comunicacin. El contraste del modo de transporte es el modo del tnel. Modo de tnel: encapsulacin del datagrama IP completo para IPSec. El modo de tnel sirve para proteger datagramas que tienen como origen o destino un sistema que no es IPSec (como en una red privada virtual VNP).
Configuracin de ISAKMP
IKE existe slo para establecer los SA para IPSec. Para ello, antes de nada, debe negociar una relacin de SA (un SA para ISAKMP) con un par. Dado que IKE negocia su propia poltica, es posible configurar varias sentencias de polticas con diferentes sentencias de configuracin y, de este modo, dejar que los dos host lleguen a un acuerdo. ISAKMP negocia: Un algoritmo de cifrado: est limitado a un DES de 56 bits. Un algoritmo de generacin de hash: MD5 o SHA Autenticacin: firmas RSA, nonces cifrados RSA (nmeros aleatorios"), o claves previamente compartidas Duracin de SA: en segundos. Actualmente, existen dos mtodos para configurar ISAKMP: 1. Utilizacin de las claves previamente compartidas, que son fciles de configurar. 2. Utilizacin de CA, que es escalable por toda la organizacin. Nota: Las negociaciones IKE se realizan en UDP 500. IPSec utiliza protocolos IP 50 y 51. Asegrese de que tienen permiso a todas las listas de acceso que comparta con los pares.
Con el comando group, puede declarar cual es el tamao del mdulo que va a utilizar para el clculo de Diffie-Hellman. El grupo 1 tiene una longitud de 768 bits, y el grupo 2 tiene una longitud de 1024 bits, Por qu utilizar uno u otro? No todos los proveedores soportan el grupo 2. Adems, el grupo 2 exige ms CPU que el grupo uno. Por esta razn, es posible que no quiera utilizar el grupo 2 en routers de baja capacidad como la serie 2500 de Cisco o anterior. Sin embargo, el grupo 2 es ms seguro que el grupo 1. Puesto que en este ejemplo se ha realizado con un Cisco 4500, se ha utilizado un grupo 2 (asegrese de que el par tambin se ha configurado para utilizar el grupo 2). El valor predeterminado es el grupo 1. Si selecciona las propiedades predeterminadas, las lneas del grupo 1 no se muestran cuando realiza un comando write terminal.
dt3-45a(config-isakmp)#group 2
MD5 es nuestro algoritmo de generacin de hash en esta lnea. Mientras la implementacin de SHA y MD5 son obligatorias, no todos los pares se pueden configurar para negociar uno u otro. El predeterminado en Cisco IOS es SHA que es ms seguro que MD5.
dt3-45a(config-isakmp)#hash md5
La duracin de un SA, 500 segundos en este caso, se muestra en el siguiente comando. Si no especifica una duracin, el valor predeterminado es de 86400 segundos o un da. Cuando se dispara el temporizador de vida til, se vuelve a negociar la SA como medida de seguridad.
dt3-45a(config-isakmp)#lifetime 500
En este comando, a IKE se le indica manualmente qu clave debe utilizar. Por consiguiente, se utiliza el comando pre-share . Las dos opciones adems del comando pre-share son el comando rsa-encr y el comando rsa-sig. El comando rsa-encr configura los nonces encriptados RSA y el comando rsa-sig configura la firma RSA. Los comandos rsa-encr y rsa-sig se incluyen en la seccin Utilizacin del CA. Recuerde que el comando rsa-sig es el predeterminado.
dt3-45a(config-isakmp)#authentication pre-share
Configuracin de la clave ISAKMP En estos comandos, a IKE se le indica qu clave debe utilizar. El par, 192.168.10.38 en este caso, debe tener la misma clave Slurpee-Machine en su configuracin.
dt3-45a(config-isakmp)#exit dt3-45a(config)#crypto isakmp key Slurpee-Machine address 192.168.10.38
Ha terminado la configuracin de IKE. Estas lneas son la configuracin IKE del par (la configuracin completa para ambos routers estn en la seccin Configuraciones de ejemplo de este documento):
crypto isakmp policy 1 hash md5 group 2 authentication pre-share crypto isakmp key Slurpee-Machine address 192.168.10.66
2. Utilizacin de una CA
La utilizacin de una CA es un mtodo complicado para configurar el IKE. Debido a que es muy escalable en IPSec, deber utilizar IPSec en lugar de la criptografa clsica. Cuando se lance la versin 11.3(3)B del software Cisco IOS, slo habr unos pocos proveedores de CA que comercializarn producto. Inicialmente, la mayora de configuraciones se realizarn mediante las claves previamente compartidas. VeriSign, Entrust, Microsoft y Netscape (y probablemente un host de otros) estn trabajando en productos de CA. Para este ejemplo se ha utilizado una CA de VeriSign. Para utilizar una CA, es necesario: Crear un par clave RSA para el router Solicitar un certificado de CA Registrar los certificados para el router cliente Configurar el conjunto de proteccin ISAKMP Crear un par de claves RSA para el router El comando crypto key gen rsa usage-keys puede confundirlo. Este comando crea dos pares de claves RSA: un par de claves para el cifrado y otro para las firmas digitales. Un par de claves se refiere a una clave pblica y su correspondiente clave de secreto. Si no especifica el uso de las claves al final del comando, el router genera slo un par de claves RSA y lo utiliza para el cifrado y las firmas digitales. Advertencia: este comando puede utilizarse para crear claves DSS. Sin embargo, DSS es parte de la criptografa clsica, no de IPsec.
dt3-45a(config)#crypto key gen rsa usage-keys The name for the keys will be: dt3-45a.cisco.com %You already have RSA keys defined for dt3-45a.cisco.com. %Do you really want to replace them? [yes/no] yes
Puesto que algunas claves RSA ya existen en este equipo, se le preguntar si desea corregir las claves ya existentes. Si la respuesta es que s, se confirmar el comando. Volver a aparecer este mensaje:
Choose the size of the key modulus in the range of 360 to 2048 for your Signature keys .Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: <return> Generating RSA keys... [OK] Choose the size of the key modulus in the range of 360 to 2048 for your Encryption keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: <return> Generating RSA keys... [OK] dt3-45a(config)#
Se han creado los pares de claves RSA con el mdulo de 512 bits como valor predeterminado. Salga del modo de configuracin e introduzca un comando show crypto key mypubkey rsa. Ahora podr ver la clave pblica RSA. La parte privada del par de claves no se mostrar nunca. Aunque no disponga de claves preexistentes ver lo mismo que se ha explicado anteriormente. Nota: Recuerde guardar la configuracin una vez generado el par de claves. Solicitar un certificado de CA Es necesario configurar el router para comunicarse con una CA. Esto implica varios pasos. Ser necesario que se coordine eventualmente con el administrador de CA. En estas lneas de configuracin, se aadir un nombre de dominio al router. Se crear un nombre de host ciscoca-ultra, y se le comunicar al router cul es la direccin IP a la que tiene que ir (y el nombre de los servidores). Deber tener los nombres host definidos para la CA o un DNS que funcione en el equipo. Cisco recomienda tener un DNS que funcione en el equipo.
dt3-45a(config)#ip dt3-45a(config)#ip dt3-45a(config)#ip dt3-45a(config)#ip host ciscoca-ultra 171.69.54.46 domain-name cisco.com name-server 171.692.132 name-server 198.92.30.32
En esta salida, el protocolo de registro de Cisco utiliza HTTP para comunicarse con la CA. El comando dt3-45a(ca-identity)#enrollment url http://ciscoca-ultra indica al router que vaya a la URL especfica para interactuar con la CA. El comando dt3-45a(ca-identity)#crypto ca authenticate verisign-ca indica al router que busque el certificado de CA. Antes de poder registrar la CA, es necesario que se comunique con la CA. Compruebe que el certificado de CA con el administrador de CA para asegurar su autenticidad.
dt3-45a(ca-identity)#enrollment url http://ciscoca-ultra dt3-45a(ca-identity)#exit dt3-45a(ca-identity)#crypto ca authenticate verisign-ca
Registrar los certificados para el router cliente Ejecute el comando crypto ca enroll verisign-ca para iniciar el registro con la CA. Es necesario seguir varios pasos. Primero, debe comprobar la identidad de la CA y, a continuacin, la CA debe comprobar la identidad del router. Si fuera necesario revocar el certificado antes de que expire (si vuelve a numerar las interfaces del router o cree que su certificado est en peligro), deber proporcionar una contrasea al administrador de CA. Introdzcala, tal como se muestra en esta salida. Despus de introducir la contrasea, el router contina.
dt3-45a(config)#crypto ca enroll verisign-ca %Start certificate enrollment .. %Create a challenge password. You will need to verbally provide this password to the CA Administrator in order to revoke your certificate. For security reasons your password will not be saved in the configuration. Please make a note of it. Password:Re-enter password:
Se mostrarn las huellas dactilares de CA. Compruebe que las huellas dactilares son correctas con el administrador de CA. Adems, si realiza un comando show crypto ca cert, se mostrar el certificado de CA, adems de sus propios certificados. Los certificados de CA aparecern como "pendientes" en ese momento.
% The subject name for the keys will be: dt3-45a.cisco.com % Include the router serial number in the subject name? [yes/no]: yes % The serial number in the certificate will be: 01204044 % Include an IP address in the subject name? [yes/no]: yes Interface: Ethernet 0 Request certificate from CA? [yes/no]: yes
Pngase en contacto con el administrador de CA para que le confirme la identidad del certificado antes de que sea emitido. Una vez que la CA emite el certificado, el estado de nuestro certificado cambiar de "pendiente" a disponible. Con esto, finaliza la inscripcin de CA. Pero no ha finalizado. An deber configurar el objeto u objetos de polticas ISAKMP. Configuracin del conjunto de proteccin ISAKMP El valor rsa-sig predeterminado se utiliza en este resultado. Puede tener mltiples conjuntos de proteccin pero en este ejemplo hay slo uno. En caso de que se produzcan mltiples conjuntos de proteccin, las polticas se presentan al par en orden numrico y ste negocia cul va a utilizar. Deber realizar este proceso si sabe que todos sus pares no soportan ciertas caractersticas. El router no intenta negociar cosas que no tienen sentido. Por ejemplo, si configura la poltica para rsa-sig y no tiene un certificado, el router no lo negociar.
dt3-45a(config)#crypto isakmp policy 1 dt3-45a(config-isakmp)#hash md5 dt3-45a(config-isakmp)#lifetime 4000 dt3-45a(config-isakmp)#exit
Configuracin de IPSec
Tanto si utiliza claves previamente compartidas o configura una CA, una vez configurado el Intercambio de claves de Internet IKE, deber configurar IPSec. Independientemente del mtodo IKE utilizado, los pasos para configurar IPSec son los mismos. Para configurar IPSec, es necesario: Crear ACL ampliada Crear una o varias transformaciones IPSec. Crear correspondencia de criptografa. Aplicar la correspondencia de criptografa a la interfaz.
Una ACL ms realista se parece a este comando. Este comando es una ACL ampliada, donde 192.168.3.0 es una subred tras el router en cuestin y 10.3.2.0 es una subred tras el peer router. Recuerde que permit significa cifrar y deny significa no cifrar.
dt3-45a(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 10.3.2.0 0.0.0.255
Nota: Las capturas de esta seccin se han cogido de series de pruebas diferentes a las de las secciones anteriores de este documento. En consecuencia, es posible que estas capturas tengan direcciones IP diferentes y reflejen configuraciones ligeramente diferentes. Se han proporcionado otra serie de comandos show en la seccin Informacin de depuracin del presente documento.
Este comando muestra los certificados que el router reconoce. Un certificado que tiene el estado en pendiente se ha enviado a la CA para que se apruebe.
dt1-45a#show crypto ca certificates Certificate Subject Name Name: dt1-45a.cisco.com Serial Number: 01193485 Status: Available Certificate Serial Number: 650534996414E2BE701F4EF3170EDFAD Key Usage: Signature CA Certificate Status: Available Certificate Serial Number: 3051DF7169BEE31B821DFE4B3A338E5F Key Usage: Not Set Certificate Subject Name Name: dt1-45a.cisco.com Serial Number: 01193485 Status: Available Certificate Serial Number: 1e621faf3b9902bc5b49d0f99dc66d14 Key Usage: Encryption
Este resumen muestra las claves pblica del router y dnde las reconoci.
dt1-45a#show crypto key pubkey-chain rsa Codes: M - Manually configured, C - Extracted from certificate Code Usage IP-Address C Signing C General 172.21.30.71 Name Cisco SystemsDevtestCISCOCA-ULTRA dt1-7ka.cisco.com
Esta es la tabla SA ISAKMP (IKE). Aqu puede ver como existe un SA entre 172.21.30.71 y 172.21.30.70. Es necesario que el par tenga una entrada de SA con el mismo estado que el resultado de este router.
dt1-7ka#show crypto isakmp sa dst src state 172.21.30.70 172.21.30.71 QM_IDLE
conn-id 47
slot 5
Estas lneas muestran los objetos de polticas configurados. En este caso, se estn utilizando las polticas 1, 2, y 4, adems de la predeterminada. Las polticas se proponen a los pares de forma ordenada, siendo la 1 la de mayor preferencia.
dt1-45a#show crypto isakmp policy Protection suite of priority 1 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 180 seconds, no volume limit Protection suite of priority 2 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: 180 seconds, no volume limit Protection suite of priority 4 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: 180 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit
Esta configuracin utiliza el mismo router que el resumen anterior, pero con comandos diferentes. Se mostrarn todas las propuestas de transformacin, los ajustes que negocian y los valores predeterminados.
S3-2513-2#show crypto ipsec transform-set Transform proposal Elvis: { ah-sha-hmac } supported settings = { Tunnel, }, default settings = { Tunnel, }, will negotiate = { Tunnel, }, { esp-des } supported settings = { Tunnel, }, default settings = { Tunnel, }, will negotiate = { Tunnel, }, Transform proposal Bubba: { ah-rfc1828 supported settings = { Tunnel, }, default settings = { Tunnel, }, will negotiate = { Tunnel, }, { esp-des esp-md5-hmac } supported settings = { Tunnel, }, default settings = { Tunnel, }, will negotiate = { Tunnel, }, Transform proposal BarneyDino: { ah-md5-hmac supported settings = { Tunnel, }, default settings = { Tunnel, }, will negotiate = { Tunnel, }, } }
Este comando muestra las asociaciones de seguridad de IPSec actuales de este router. El router cuenta con un SA de AH SA para las entradas y las salidas.
S3-2513-2#show crypto ip session Session key lifetime: 4608000 kilobytes/3600 seconds S3-2513-2#show crypto ipsec sa interface: Ethernet0 Crypto map tag: ToOtherRouter, local addr. 192.168.1.2 local ident (addr/mask/prot/port): remote ident (addr/mask/prot/port): current_peer: 192.168.1.1 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts decaps: 0, #pkts decrypt: 0, #send errors 5, #recv errors 0 (192.168.45.0/255.255.255.0/0/0) (192.168.3.0/255.255.255.0/0/0) #pkts digest 0 #pkts verify 0
local crypto endpt.: 192.168.1.2, remote crypto endpt.: 192.168.1.1 path mtu 1500, media mtu 1500 current outbound spi: 25081A81 inbound esp sas: inbound ah sas: spi: 0x1EE91DDC(518594012) transform: ah-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 16, crypto map: ToOtherRouter sa timing: remaining key lifetime (k/sec): (4608000/3423) replay detection support: Y outbound esp sas: outbound ah sas: spi: 0x25081A81(621288065) transform: ah-md5-hmac ,in use settings ={Tunnel, } slot: 0, conn id: 17, crypto map: ToOtherRouter sa timing: remaining key lifetime (k/sec): (4608000/3424) replay detection support: Y
Configuraciones de muestra
Esta configuracin utiliza claves previamente compartidas . La configuracin de este router se utiliza para crear una salida de depuracin en la seccin Informacin de depuracin. Esta configuracin permite a una red llamada "X" ubicada tras el router de origen comunicarse con una red llamada "Y" ubicada tras el peer router. Para obtener ms informacin sobre un comando en particular, consulte la documentacin del software IOS de Cisco para la versin del software Cisco IOS o utilice el comando de bsqueda (solamente clientes registrados) . Esta herramienta permite al usuario buscar una descripcin detallada o unas pautas para la configuracin de un comando en particular.
Diagrama de la red
Configuraciones
Router de origen Router de par Router de origen
Current configuration: ! version 11.3 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-e4-2513 ! enable secret 5 $1$ZuRD$YBaAh3oIv4iltIn0TMCUX1 enable password ww ! !--- Configuracin IKE. crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key Slurpee-Machine address 20.20.20.21 ! !--- Configuracin IPSec. crypto ipsec transform-set BearPapa esp-rfc1829 crypto ipsec transform-set BearMama ah-md5-hmac esp-des crypto ipsec transform-set BearBaby ah-rfc1828 ! crypto map armadillo 1 ipsec-isakmp set peer 20.20.20.21 set security-association lifetime seconds 190 set transform-set BearPapa BearMama BearBaby !--- Trfico para cifrar. match address 101 ! interface Ethernet0 ip address 60.60.60.60 255.255.255.0 no mop enabled ! interface Serial0 ip address 20.20.20.20 255.255.255.0 no ip mroute-cache no fair-queue crypto map armadillo ! interface Serial1 no ip address
shutdown ! interface TokenRing0 no ip address shutdown ! ip classlessip route 0.0.0.0 0.0.0.0 20.20.20.21 !--- Trfico para cifrar. access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255 dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit ! line con 0 exec-timeout 0 0 line aux 0line vty 0 4 password ww login ! end
Peer router
Current configuration: ! version 11.3 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname goss-c2-2513 ! enable secret 5 $1$DBTl$Wtg2eS7Eb/Cw5l.nDhkEi/ enable password ww ! ip subnet-zero ! !--- Configuracin IKE. crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key Slurpee-Machine address 20.20.20.20 ! !--- Configuracin IPSec. crypto ipsec transform-set PapaBear esp-rfc1829 crypto ipsec transform-set MamaBear ah-md5-hmac esp-des crypto ipsec transform-set BabyBear ah-rfc1828 ! ! crypto map armadillo 1 ipsec-isakmp set peer 20.20.20.20 set security-association lifetime seconds 190 set transform-set MamaBear PapaBear BabyBear !--- Trfico para cifrar. match address 101 ! ! ! interface Ethernet0 ip address 50.50.50.50 255.255.255.0 no ip directed-broadcast ! interface Serial0 ip address 20.20.20.21 255.255.255.0 no ip directed-broadcast no ip mroute-cache no fair-queue clockrate 9600 crypto map armadillo ! interface Serial1 no ip address no ip directed-broadcast shutdown ! interface TokenRing0
no ip address no ip directed-broadcast shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 20.20.20.20 !--- Trfico para cifrar. access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit ! ! line con 0 exec-timeout 0 0 transport input none line aux 0 line aux 0 line vty 0 4 password ww login ! end
spi= 0x0(0), conn_id= 0, keysi.ze= 0, flags= 0x4004 Apr 2 12:03:55.375: IPSEC(sa_request): , (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21, src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), protocol= AH, transform= ah-rfc1828 , lifedur= 190s and 4608000kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4004 !--- Tenga en cuenta que el router ofrece al par todas las !--- transformaciones disponibles. Apr Apr Apr 2 12:03:55.391: 2 12:03:57.199: 2 12:03:57.203: priority 1 policy Apr 2 12:03:57.203: Apr 2 12:03:57.207: Apr 2 12:03:57.207: Apr 2 12:03:57.207: Apr 2 12:03:57.211: Apr 2 12:03:57.215: Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr !--!--!--!--Apr Apr 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 ISAKMP (14): beginning Main Mode exchange ISAKMP (14): processing SA payload. message ID = 0 ISAKMP (14): Checking ISAKMP transform 1 against ISAKMP: encryption DES-CBC ISAKMP: hash MD5 ISAKMP: default group 1 ISAKMP: auth pre-share ISAKMP (14): atts are acceptable. Next payload is 0 Crypto engine 0: generate alg param
12:03:5.8.867: CRYPTO_ENGINE: Dh phase 1 status: 0 12:03:58.871: ISAKMP (14): SA is doing pre-shared key authentication.. 12:04:01.291: ISAKMP (14): processing KE payload. message ID = 0 12:04:01.295: Crypto engine 0: generate alg param 12:04:03.343: 12:04:03.347: 12:04:03.363: 12:04:03.367: 12:04:03.371: 12:04:03.371: 12:04:03.615: 12:04:03.615: 12:04:03.619: 12:04:03.627: 12:04:03.627: ISAKMP (14): processing NONCE payload. message ID = 0 Crypto engine 0: create ISAKMP SKEYID for conn id 14 ISAKMP (14): SKEYID state generated ISAKMP (14): processing vendor id payload ISAKMP (14): speaking to another IOS box! generate hmac context for conn id 14 ISAKMP (14): processing ID payload. message ID = 0 ISAKMP (14): processing HASH payload. message ID = 0 generate hmac context for conn id 14 ISAKMP (14): SA has been authenticated ISAKMP (14): beginning Quick Mode exchange, M-ID of 1628162439
Estas lneas representan la verificacin de que los atributos de la poltica son correctos y la autenticacin final del SA de IKE. Una vez se ha autenticado el SA de IKE, ya existir un SA de IKE vlido. El nuevo IKE inicia las negociaciones IPSec:
2 12:04:03.635: IPSEC(key_engine): got a queue event... 2 12:04:03.635: IPSEC(spi_response): getting spi 303564824ld for SA .!!!from 20.20.20.21 to 20.20.20.20 for prot 3 Apr 2 12:04:03.639: IPSEC(spi_response): getting spi 423956280ld for SA from 20.20.20.21 to 20.20.20.20 for prot 2 Apr 2 12:04:03.643: IPSEC(spi_response): getting spi 415305621ld for SA from 20.20.20.21 to 20.20.20.20 for prot 3 Apr 2 12:04:03.647: IPSEC(spi_response): getting spi 218308976ld for SA from 20.20.20.21 to 20.20.20.20 for prot 2 Apr 2 12:04:03.891: generate hmac context for conn id 14 Apr 2 12:04:04.!! Success rate is 50 percent (5/10), round-trip min/avg/max = 264/265/268 ms goss-e4-2513#723: generate hmac context for conn id 14 Apr 2 12:04:04.731: ISAKMP (14): processing SA payload. message ID = 1628162439 Apr 2 12:04:04.731: ISAKMP (14): Checking IPSec proposal 1 Apr 2 12:04:04.735: ISAKMP: transform 1, ESP_DES_IV64 Apr 2 12:04:04.735: ISAKMP: attributes in transform: Apr 2 12:04:04.735: ISAKMP: encaps is 1 Apr 2 12:04:04.739: ISAKMP: SA life type in seconds Apr 2 12:04:04.739: ISAKMP: SA life duration (basic) of 190 Apr 2 12:04:04.739: ISAKMP: SA life type in kilobytes Apr 2 12:04:04.743: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 Apr 2 12:04:04.747: ISAKMP (14): atts are acceptable. !--- La depuracin ISAKMP aparece en una lista porque IKE es la !--- entidad que negocia con los SA de IPSec en nombre de IPSec. Apr 2 12:04:04.747: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20, dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-rfc1829 , lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 Apr 2 12:04:04.759: ISAKMP (14): processing NONCE payload. message ID = 1628162439 Apr 2 12:04:04.759: ISAKMP (14): processing ID payload. message ID = 1628162439 Apr 2 12:04:04.763: ISAKMP (14): processing ID payload. message ID = 1628162439 Apr 2 12:04:04.767: generate hmac context for conn id 14 Apr 2 12:04:04.799: ISAKMP (14): Creating IPSec SAs
Apr
2 12:04:04.803: inbound SA from 20.20.20.21 to 20.20.20.20 (proxy 50.50.50.0 to 60.60.60.0) Apr 2 12:04:04.803: has spi 303564824 and conn_id 15 and flags 4 Apr 2 12:04:04.807: lifetime of 190 seconds Apr 2 12:04:04.807: lifetime of 4608000 kilobytes Apr 2 12:04:04.811: outbound SA from 20.20.20.20 to 20.20.20.21 (proxy 60.60.60.0 to 50.50.50.0) Apr 2 12:04:04.811: has spi 183903875 and conn_id 16 and flags 4 Apr 2 12:04:04.815: lifetime of 190 seconds Apr 2 12:04:04.815: lifetime of 4608000 kilobytes Apr 2 12:04:04.823: IPSEC(key_engine): got a queue event... Apr 2 12:04:04.823: IPSEC(initialize_sas): , (key eng. msg.) dest= 20.20.20.20, src= 20.20.20.21, dest_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), src_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-rfc1829 , lifedur= 190s and 4608000kb, spi= 0x12180818(303564824), conn_id= 15, keysize= 0, flags= 0x4 Apr 2 12:04:04.831: IPSEC(initialize_sas): , (key eng. msg.) src= 20.20.20.20, dest= 20.20.20.21, src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-rfc1829 , lifedur= 190s and 4608000kb, spi= 0xAF62683(183903875), conn_id= 16, keysize= 0, flags= 0x4 Apr 2 12:04:04.839: IPSEC(create_sa): sa created, (sa) sa_dest= 20.20.20.20, sa_prot= 50, sa_spi= 0x12180818(303564824), sa_trans= esp-rfc1829 , sa_conn_id= 15 Apr 2 12:04:04.843: IPSEC(create_sa): sa created, (sa) sa_dest= 20.20.20.21, sa_prot= 50, sa_spi= 0xAF62683(183903875), sa_trans= esp-rfc1829 , sa_conn_id= 16 !--- Estas lneas muestran que se han creado los SA de IPSec y !--- que el trfico cifrado ya puede circular.
Salida de muestra del router fuente del comando show despus de la negociacin IKE/IPSec
goss-e4-2513# goss-e4-2513#show crypto isakmp sa dst src state 20.20.20.21 20.20.20.20 QM_IDLE goss-e4-2513#show crypto ipsec sa interface: Serial0 Crypto map tag: armadillo, local addr. 20.20.20.20 local ident (addr/mask/prot/port): remote ident (addr/mask/prot/port): current_peer: 20.20.20.21 PERMIT, flags={origin_is_acl,} #pkts encaps: 5, #pkts encrypt: 5, #pkts decaps: 5, #pkts decrypt: 5, #send errors 5, #recv errors 0 (60.60.60.0/255.255.255.0/0/0) (50.50.50.0/255.255.255.0/0/0) #pkts digest 0 #pkts verify 0 conn-id 14 slot 0
local crypto endpt.: 20.20.20.20, remote crypto endpt.: 20.20.20.21 path mtu 1500, media mtu 1500 current outbound spi: AF62683 inbound esp sas: spi: 0x12180818(303564824) transform: esp-rfc1829 , in use settings ={Var len IV, Tunnel, } slot: 0, conn id: 15, crypto map: armadillo sa timing: remaining key lifetime (k/sec): (4607999/135) IV size: 8 bytes replay detection support: N inbound ah sas: outbound esp sas: spi: 0xAF62683(183903875) transform: esp-rfc1829 , in use settings ={Var len IV, Tunnel, } slot: 0, conn id: 16, crypto map: armadillo sa timing: remaining key lifetime (k/sec): (4607999/117) IV size: 8 bytes replay detection support: N
outbound ah sas:
goss-e4-2513#show crypto isakmp policy Protection suite of priority 1 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit goss-e4-2513#show crypto map Crypto Map "armadillo" 1 ipsec-isakmp Peer = 20.20.20.21 Extended IP access list 101 access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255 Current peer: 20.20.20.21 Security association lifetime: 4608000 kilobytes/190 seconds PFS (Y/N): N Transform sets={ BearPapa, BearMama, BearBaby, }
Peer router con la misma secuencia de ping, tal como se observa desde el otro lado.
goss-c2-2513#show debug Cryptographic Subsystem: Crypto ISAKMP debugging is on Crypto Engine debugging is on Crypto IPSEC debugging is on goss-c2-2513# Apr 2 12:03:55.107: ISAKMP (14): Apr 2 12:03:55.111: ISAKMP (14): priority 1 policy Apr 2 12:03:55.111: ISAKMP: Apr 2 12:03:55.111: ISAKMP: Apr 2 12:03:55.115: ISAKMP: Apr 2 12:03:55.115: ISAKMP: Apr 2 12:03:55.115: ISAKMP (14):
processing SA payload. message ID = 0 Checking ISAKMP transform 1 against encryption DES-CBC hash MD5 default group 1 auth pre-share atts are acceptable. Next payload is 0
!--- IKE ejecuta la operacin y se inicia IPSec. Apr Apr Apr Apr Apr 2 12:03:55.119: Crypto engine 0: generate alg param 2 2 2 2 12:03:56.707: 12:03:56.711: 12:03:58.667: 12:03:58.671: CRYPTO_ENGINE: Dh phase 1 status: 0 ISAKMP (14): SA is doing pre-shared key authentication ISAKMP (14): processing KE payload. message ID = 0 Crypto engine 0: generate alg param
Apr 2 12:04:00.687: ISAKMP (14): processing NONCE payload. message ID = 0 Apr 2 12:04:00.695: Crypto engine 0: create ISAKMP SKEYID for conn id 14 Apr 2 12:04:00.707: ISAKMP (14): SKEYID state generated Apr 2 12:04:00.711: ISAKMP (14): processing vendor id payload Apr 2 12:04:00.715: ISAKMP (14): speaking to another IOS box! Apr 2 12:04:03.095: ISAKMP (14): processing ID payload. message ID = 0 Apr 2 12:04:03.095: ISAKMP (14): processing HASH payload. message ID = 0 Apr 2 12:04:03.099: generate hmac context for conn id 14 Apr 2 12:04:03.107: ISAKMP (14): SA has been authenticated Apr 2 12:04:03.111: generate hmac context for conn id 14 Apr 2 12:04:03.835: generate hmac context for conn id 14 Apr 2 12:04:03.839: ISAKMP (14): processing SA payload. message ID = 1628162439 Apr 2 12:04:03.843: ISAKMP (14): Checking IPSec proposal 1 Apr 2 12:04:03.843: ISAKMP: transform 1, ESP_DES_IV64 Apr 2 12:04:03.847: ISAKMP: attributes in transform: Apr 2 12:04:03.847: ISAKMP: encaps is 1 Apr 2 12:04:03.847: ISAKMP: SA life type in seconds Apr 2 12:04:03.851: ISAKMP: SA life duration (basic) of 190 Apr 2 12:04:03.851: ISAKMP: SA life type in kilobytes Apr 2 12:04:03.855: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0 Apr 2 12:04:03.855: ISAKMP (14): atts are acceptable. Apr 2 12:04:03.859: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20, dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-rfc1829 , lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4 2 12:04:03.867: ISAKMP (14): processing NONCE payload. message ID = 1628162439 2 12:04:03.871: ISAKMP (14): processing ID payload. message ID = 1628162439 2 12:04:03.871: ISAKMP (14): processing ID payload. message ID = 1628162439 2 12:04:03.879: IPSEC(key_engine): got a queue event... 2 12:04:03.879: IPSEC(spi_response): getting spi 183903875ld for SA from 20.20.20.20 to 20.20.20.21 for port 3 Apr 2 12:04:04.131: generate hmac context for conn id 14 Apr 2 12:04:04.547: generate hmac context for conn id 14 Apr 2 12:04:04.579: ISAKMP (14): Creating IPSec SAs Apr 2 12:04:04.579: inbound SA from 20.20.20.20 to 20.20.20.21 (proxy 60.60.60.0 to 50.50.50.0) Apr 2 12:04:04.583: has spi 183903875 and conn_id 15 and flags 4 Apr 2 12:04:04.583: lifetime of 190 seconds Apr 2 12:04:04.587: lifetime of 4608000 kilobytes Apr 2 12:04:04.587: outbound SA from 20.20.20.21 to 20.20.20.20 (proxy 50.50.50.0 to 60.60.60.0) Apr 2 12:04:04.591: has spi 303564824 and conn_id 16 and flags 4 Apr 2 12:04:04.591: lifetime of 190 seconds Apr 2 12:04:04.595: lifetime of 4608000 kilobytes Apr 2 12:04:04.599: IPSEC(key_engine): got a queue event... Apr 2 12:04:04.599: IPSEC(initialize_sas): , (key eng. msg.) dest= 20.20.20.21, src= 20.20.20.20, dest_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), src_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-rfc1829 , lifedur= 190s and 4608000kb, spi= 0xAF62683(183903875), conn_id= 15, keysize= 0, flags= 0x4 Apr 2 12:04:04.607: IPSEC(initialize_sas): , (key eng. msg.) src= 20.20.20.21, dest= 20.20.20.20, src_proxy= 50.50.50.0/255.255.255.0/0/0 (type=4), dest_proxy= 60.60.60.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-rfc1829 , lifedur= 190s and 4608000kb, spi= 0x12180818(303564824), conn_id= 16, keysize= 0, flags= 0x4 Apr 2 12:04:04.615: IPSEC(create_sa): sa created, (sa) sa_dest= 20.20.20.21, sa_prot= 50, sa_spi= 0xAF62683(183903875), sa_trans= esp-rfc1829 , sa_conn_id= 15 Apr 2 12:04:04.619: IPSEC(create_sa): sa created, (sa) sa_dest= 20.20.20.20, sa_prot= 50, sa_spi= 0x12180818(303564824), sa_trans= esp-rfc1829 , sa_conn_id= 16 Apr Apr Apr Apr Apr !--- Los SA de IPSec se crean y el trfico ICMP puede fluir.
local crypto endpt.: 20.20.20.21, remote crypto endpt.: 20.20.20.20 path mtu 1500, media mtu 1500 current outbound spi: 12180818 inbound esp sas: spi: 0xAF62683(183903875) transform: esp-rfc1829 , in use settings ={Var len IV, Tunnel, } slot: 0, conn id: 15, crypto map: armadillo sa timing: remaining key lifetime (k/sec): (4607999/118) IV size: 8 bytes replay detection support: N
inbound ah sas: outbound esp sas: spi: 0x12180818(303564824) transform: esp-rfc1829 , in use settings ={Var len IV, Tunnel, } slot: 0, conn id: 16, crypto map: armadillo sa timing: remaining key lifetime (k/sec): (4607999/109) IV size: 8 bytes replay detection support: N outbound ah sas:goss-c2-2513#show crypto isakmp policy Protection suite of priority 1 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit goss-c2-2513#show crypto map Crypto Map "armadillo" 1 ipsec-isakmp Peer = 20.20.20.20 Extended IP access list 101 access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0 0.0.0.255 Current peer: 20.20.20.20 Security association lifetime: 4608000 kilobytes/190 seconds PFS (Y/N): N Transform sets={ MamaBear, PapaBear, BabyBear, }
Recuerde que AH simplemente es un encabezado autenticado. Los datos de multidifusin del usuario actual no se han cifrado. Para realizar el cifrado de los datos de multidifusin, es necesario ESP. Si utiliza slo AH y encuentra cadenas de texto por la red, no se sorprenda. Si utiliza AH, utilice tambin la ESP. Tenga en cuenta que la ESP puede llevar a cabo tambin la autenticacin. Por lo tanto, puede utilizar una combinacin de transformacin como, por ejemplo, esp-des y esp-sha-hmac. ah-rfc1828 y esp-rfc1829 son transformaciones obsoletas incluidas para la compatibilidad hacia atrs con implementaciones ms antiguas de IPSec. Si el par no soporta las nuevas transformaciones, intente esto en su lugar. El SHA es ms lento y seguro que el MD5 y el MD5 es ms rpido pero menos seguro que el SHA. En algunas comunidades, el nivel de comodidad con el MD5 es muy bajo. Ante la duda, utilice el modo tnel. El modo tnel es el modo predeterminado y puede utilizarse en modo transporte o por sus capacidades de VPN. Para los usuarios de la criptologa clsica que actualizaron el software Cisco IOS a la versin 11.3, los mtodos de almacenaje de comandos de criptografa en la configuracin han cambiado para IPsec. Como consecuencia, si los usuarios de la criptografa clsica revierten en algn momento el software Cisco IOS a la versin 11.2, debern volver a introducir la configuracin de la criptografa. Si realiza la prueba de ping en el enlace cifrado al finalizar la configuracin, el proceso de negociacin puede llevar algn tiempo (unos seis segundos en un Cisco 4500, y unos 20 en un Cisco 2500), porque los SA no se han negociado todava. Aunque se haya configurado todo correctamente, es posible que el ping falle inicialmente. Los comandos debug crypto ipsec y debug crypto isakmp le muestran que est sucediendo. Una vez finalizada la configuracin de los datos de multidifusin cifrados, el ping funcionar correctamente. Si tiene problemas con la negociacin y realiza cambios en la configuracin, utilice los comandos clear crypto is y clear crypto sa para purgar la base de datos antes de volver a entrar. Esto obliga a que la negociacin vuelva a empezar, sin tener en cuenta ninguna negociacin anterior. Los comandos clear crypto is y clear cry sa son muy tiles de esta manera.
Pgina de soporte de IPSec ECRA Procedimientos y polticas de cifrado - Enve un correo electrnico a export@cisco.com
Referencias
Harkins, D. ISAKMP/Oakley Protocol Feature Software Unit Functional Specification. ENG-0000 Rev A. Cisco Systems. Madson, C. IPSec Software Unit Functional Specification ENG-17610 Rev F. Cisco Systems. Kaufman, C. Perlman R. and Spencer, M. Network Security: Private Communication in a Public World. Prentice Hall, 1995. Schneier, B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. Second Ed. John Wiley & Sons, Inc. Various IETF IP Security working-drafts
1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generacin del PDF: 22 Abril 2008 http://www.cisco.com/cisco/web/support/LA/7/75/75045_IPSECpart1.html