porozumění tunelům IPSec (L2L)

ve své současné roli se zabývám tunely L2L (LAN to LAN) poměrně často. Jedná se o “levný” způsob připojení dvou míst ve srovnání s vyhrazenými přístupovými obvody. Jediným požadavkem je mít správný hardware a “vždy zapnutou” statickou IP adresu na každém místě. Často jsem žertoval, že konfigurace tunelu L2L na ASA je snadná a trvá pouze 20 konfigurační řádky v CLI. To bylo řečeno jako cokoli jiného ve světě sítě, Pokud nerozumíte tomu, jak technologie funguje, jednoho dne uvíznete. Psaní 20 konfiguračních řádků do konzoly a skutečné pochopení toho, co se děje, jsou dvě zcela odlišné věci. V tomto příspěvku budu hovořit o základech IPSec, o tom, jak se tvoří tunely, a o některých krocích při řešení problémů, které můžete podniknout, když narazíte na problémy.

terminologie
IPSec (Internet Protocol Security) – o čem mluvíme

IKE (Internet Key Exchange) – myslete na IKE jako na sadu nástrojů potřebnou k vytvoření a udržení bezpečného spojení mezi dvěma koncovými body. V zásadě IKE umožňuje připojení vytvářet a udržovat Sas (bezpečnostní asociace), které jsou klíčovou součástí tunelu IPSec

ISAKMP (Internet Security Association and Key Management Protocol) – ISAKMP je standard, který definuje, jak pracovat se SAs. Jinými slovy, ISAKMP zpracovává, jak jsou vytvářeny, udržovány, upravovány a strženy SAs. Všimli jste si překrývání? IKE a ISAKMP zní strašně podobně, že? To proto, že jsou. Ve skutečnosti to Cisco dokonce zaznamenává ve své dokumentaci.

” Internet Security Association a Key Management Protocol, také nazývaný IKE, je vyjednávací protokol, který umožňuje dvěma hostitelům dohodnout se na tom, jak vybudovat bezpečnostní asociaci IPsec. Každé vyjednávání ISAKMP je rozděleno do dvou částí nazývaných Fáze1 a fáze 2.”

Peer Address-v závislosti na kontextu je to buď veřejná adresa na jednom konci tunelu nebo na druhém konci tunelu.

DH (Diffie-Hellman) – DH umožňuje dvěma stranám sdílet tajný klíč přes nezabezpečený kanál. DH se používá během IKE fáze 1 k výměně klíčů vytvořit bezpečný tajný klíč.

sady zásad ISAKMP-sada zásad specifikující šifrovací algoritmus IKE, autentizační algoritmus IKE, typ autentizace IKE, verzi DH a životnost tunelu IKE. Sada zásad ISAKMP se používá během jednání IKE Phase 1. Aby to bylo ještě více matoucí, sady zásad ISAKMP jsou také označovány jako transformační sady ISAKMP, transformační sady IKE nebo prostě staré transformační sady

transformační sady IPSec – transformační sada se skládá z nastavení relevantních pro vytvoření tunelu IPSec. Skutečná transformační sada se používá během fáze IKE 2 a obecně se skládá pouze z typu šifrování a autentizace IKE. Opět matoucí část je, že často někteří lidé jen nazývají tyto transformační sady.

SAs (bezpečnostní asociace) – v podstatě je to sada parametrů IPSec, na kterých se obě strany tunelu dohodnou. Udělám zásadní rozdíl zde pro ty z nás v Cisco land. K dispozici bude ISAKMP SA a IPSec SA. Při vytváření tunelu IPSec je vytvořeno několik tunelů. Nezapomeňte, že ISAKMP SA je považován za výsledek IKE fáze 1 a IPSec SA je považován za výsledek IKE fáze 2. Také SA je pouze jednosměrné spojení. Protože většina provozu mezi koncovými body vyžaduje obousměrnou komunikaci, každá ASA vytvoří vlastní SA, aby mluvila s druhým vrstevníkem.

Nonce-číslo, obvykle používané pro zabezpečený klíč, které se používá pouze jednou. Pokud se používá podruhé, je to obvykle známka pokusu o podvodné připojení.

shrnutí terminologie-terminologie VPN je opravdu, opravdu, opravdu matoucí. Zkuste si vzpomenout, že ISAKMP a IKE jsou někdy používány zaměnitelně. Transformační sady jsou navíc obecným termínem pro skupinu nastavení. Snažím se použít frázi pouze tehdy, když odkazuji na to, co píšu po “transform-set” v CLI, která se používá k určení typu ověřování a šifrování pro fázi IKE 2.

proces
Nyní, když známe některé klíčové pojmy, můžeme začít mluvit o tom, jak se vytváří tunel IPSec. Podle mého názoru existují 4 fáze života tunelu IPSec. Rozložím je níže a pak si o nich povíme

Fáze 1-zajímavý provoz generuje vytvoření tunelu
fáze 2-IKE Fáze 1
fáze 3-IKE fáze 2
Fáze 4 – ukončení tunelu

někteří lidé hodí fázi mezi mou fází 3 a 4 a uvedou ji jako “IPSec tunel vytvořený”, což podle mého názoru ve skutečnosti není Fáze. Výpis produktu fází 1 až 3 nezdá se, že by ospravedlňoval svou vlastní fázi v mé mysli. V každém případě pojďme do podrobností o každém z nich.

Fáze 1-zajímavý provoz generuje vytvoření tunelu
co mnoho lidí neví o IPSec, je to, čemu říkám služba “na vyžádání”. To znamená, že jakmile vytvoříte tunel, není po celou dobu v provozu. To, čemu říkáme “zajímavý provoz”, spouští vytvoření tunelu. Vytvoření tunelu netrvá příliš dlouho, ale může být ve většině případů zaznamenáno při použití ping k testování. Ve většině případů, když se pokusím ping z klientského počítače přes tunel, první požadavek ICMP selže, protože tunel je načten. Následné ICMP procházejí správně. Zajímavý provoz je definován na ASA s ACL. Poté je ACL zadán v kryptografické mapě tunelů příkazem “match address”. Příklad ACL může vypadat takto …

access-list l2lcryptomap extended permission ip <místní podsíť> <místní maska> <Cílová podsíť> <Cílová maska>

řeknete ASA, aby odpovídala provozu přicházejícímu z podsítě do podsítě na druhé straně tunelu. To vyvolává otázku duplicitních soukromých podsítí. Pokud je vaše podsíť na vnitřním rozhraní obou ASAs stejná, budete mít problémy. Přemýšlejte o tom tímto způsobem, když se klient na jedné straně pokusí přejít na zdroj v druhé podsíti, nikam nepůjde. Ve výchozím nastavení bude klient ARP pro odpověď, protože si myslí, že vzdálený klient, ke kterému se pokoušíte získat přístup, je v místní podsíti. Vzhledem k tomu, že se nesnaží jít mimo podsíť klient nikdy kontaktovat výchozí bránu (vnitřní rozhraní ASA je) a budete nikdy tvořit tunel. I kdyby ano, doprava by stále netekla. Existují některé “složité” věci, které můžeme udělat, abychom tento problém vyřešili, ale nespadají do oblasti tohoto blogu. Nejlepší situace je mít jedinečné soukromé sítě v každém místě.

fáze 2-IKE Fáze 1
jakmile ASA obdrží požadavek na vzdálenou podsíť, kterou odpovídá kryptografické mapě, začne IKE Fáze 1. Cílem IKE phase 1 je nastavení připojení pro IKE phase 2. V podstatě, IKE fáze 1 stanoví základní práce pro skutečné připojení. Ve skutečnosti vytváří vlastní SA, která je někdy označována jako management SA. Tento management SA používá IKE phase 2 k vytvoření skutečných datových tunelů. Z technického hlediska existují tři kroky k IKE phase 1. První krok se nazývá politické vyjednávání. Vyjednávání zásad se scvrkává na nalezení odpovídajících transformačních sad v každém koncovém bodě. Než isakmp SA vytvoří, musí se každý koncový bod dohodnout na odpovídající sadě zásad IKE. Následující položky se musí shodovat v rámci zásad nastavených na každé straně tunelu.

-šifrovací algoritmus IKE
-autentizační algoritmus IKE
-definice klíče IKE
-verze Diffie Hellman
– životnost IKE

nezapomeňte, že sady zásad IKE jsou spojeny s dokončením fáze 1 IKE. Koncový bod může mít libovolný počet sad zásad, které jsou vyhodnoceny v pořadí. Například můžete mít nastavené zásady 10, 20 a 30. Koncové body budou procházet sady zásad v pořadí, počínaje nejnižším prvním, dokud nenajdou shodu. Proto má smysl nejprve definovat silnější politické soubory. Pokud jsou definovány po slabších sadách zásad, můžete nejprve najít slabší shodu.

nyní, než půjdeme příliš daleko do IKE fáze 1, je vhodné vysvětlit, že existují dva různé typy IKE fáze 1. Ten, který se používá nejčastěji, se nazývá “hlavní režim” a skládá se ze 6 zpráv vyměňovaných mezi vrstevníky. Druhý typ se nazývá “agresivní” režim a kondenzuje zprávy odeslané mezi vrstevníky do 3 zpráv. Hlavní režim je pomalejší v nastavení, ale bezpečnější. Agresivní režim je v nastavení rychlejší, ale méně bezpečný. Necitujte mě na to, ale věřím, že hlavní režim se používá ve výchozím nastavení. Nebudu se zde ponořit do specifik, oba dosahují stejné věci a podrobnosti, které jsem uvedl výše, by vás měly informovat o velkých rozdílech.

naším prvním krokem k IKE phase 1 bylo politické vyjednávání – kolegové se musí dohodnout na odpovídající sadě zásad. Dělají to tak, že si navzájem posílají sady zásad pro srovnání a najdou nejnižší sadu zásad shody. Jakmile je to dokončeno, můžeme přejít na další krok, kterým je výměna klíčů DH. Během tohoto procesu si peers vyměňují veřejné klíče, které se používají k vytvoření sdíleného tajemství. Po dokončení tohoto procesu se vytvoří Fáze 1 SA (ISAKMP SA) a přejdeme k poslednímu kroku, kterým je peer autentizace.

během peer autentizace se definovaná metoda ověřování používá k zajištění toho, aby nepoctivá zařízení nevytvářela zabezpečená připojení do vaší sítě. Většinou se to provádí pomocí předem sdílených klíčů. Tento krok je velmi jednoduchý, vrstevníci zkontrolují, zda se klíče shodují. Pokud tak neučiní, autentizace selže. Pokud se shodují, přesuneme se do IKE fáze 2.

fáze 3-IKE fáze 2
rád si představuji IKE fázi 2 jako skutečnou stavbu datového tunelu. Dosavadní práce spočívala hlavně v zajištění bezpečného komunikačního kanálu, abychom mohli vybudovat skutečný IPsec SAs. Ve srovnání s IKE phase 1 má IKE phase 2 pouze jeden typ režimu, který se nazývá “rychlý režim”. Rychlý režim používá existující ISAKMP SA vytvořený v IKE phase 1 a vytváří IPSec SAs a spravuje klíčové výměny. Prvním krokem rychlého režimu je vyjednat transformační sady IPSec (ne stejné jako sady zásad ISAKMP!!). Následující položky se musí shodovat na obou koncích, aby se IPSec SAs vytvořil.

– protokol IPSec
– typ šifrování IPsec
– typ autentizace IPSec
– režim IPSec
– životnost IPSec SA

nyní umožňuje krátký okamžik porovnat transformační sady z IKE fáze 1 a fáze 2. Následuje typická konfigurace z ASA.

Isakmp Policy Set
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
skupina 2
lifetime 86400

IPSec transform
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

Viz něco zvláštního? V sadě zásad ISAKMP můžete jasně vidět 5 požadované části transformační sady, které je třeba dohodnout. V transformaci IPSec to není tak jasné. Je to proto, že transformace skutečně definuje pouze 3 z 5 požadovaných kusů. Výše uvedený příklad definuje protokol IPSec (ESP), typ autentizace IPSec (SHA) a typ šifrování IPSec (3DES). Režim IPSec a životnost IPSec SA nemusí být definovány. Pokud tomu tak není, ASA jednoduše předpokládá následující hodnoty 28,800 pro životnost SA a režim “tunelu” pro všechny transformační sady. Obvykle tyto hodnoty neměním, pokud je druhá strana nezmění.

takže jakmile budou transformační sady vyjednány a porovnány, můžeme vytvořit IPSec SAs. Jak bylo uvedeno výše, SA je jednosměrné spojení. Takže aby provoz proudil každým směrem, musí se vytvořit dva IPSec SAs. ASA to samozřejmě dělá za vás, takže zde není mnoho podrobností. Rychlý režim používá nonces ke generování nového klíčového materiálu, který zabraňuje opakovaným útokům. Třetím krokem je proces pravidelného vyjednávání spojení. SAs je třeba regenerovat před uplynutím životnosti tunelu. Rychlý režim to sleduje a generuje nové SAs dříve, než vyprší platnost starých.

Fáze 4-ukončení tunelu
v tomto okamžiku máme plně funkční VPN tunel! Doprava by měla být průjezdná v obou směrech. Jediné, co zbývá udělat, je zbourat tunel, pokud není žádný zajímavý provoz. SAs jsou obnoveny pouze tehdy, pokud bude pokračovat zajímavý provoz. V prípade, že sa príde o zastavenie dopravy, sa môže vypršať po dosiahnutí jeho životného prostredia. Je-li povoleno, aby SA vypršela platnost všech údajů týkajících se SAS, jsou z SA propláchnuty. Příště zajímavý provoz je generován celý proces začne od nuly.

odstraňování problémů
nejčastějším problémem v připojení IPSec není nalezení shody transformační sady pro fázi IKE 1 a 2. Pokud narazíte na problémy, první věc, kterou byste měli vždy udělat, je dvakrát zkontrolovat nastavení na obou stranách, abyste se ujistili, že odpovídají 100%. Další věc, kterou můžete udělat, je podívat se na SAs na ASA a zjistit, zda jsou vytvořeny a zda jsou, jaký stav mají.

Chcete-li zobrazit IKE Phase 1 SA vydat tento příkaz
ASA # show crypto isakmp sa

Chcete-li zobrazit IKE Phase 2 SA vydat tento příkaz
ASA# show crypto ipsec sa

pokud nemáte fázi 1 SA, nedostanete se příliš daleko. Stav SA vám napoví pár vecí. To vám řekne, zda SA byl vytvořen s hlavním nebo agresivním režimu, která strana přinesla tunel nahoru, a také vám řekne stav jednání. Pohled na typickou fázi 1 SA je uveden níže.

ASA # show crypto isakmp sa
aktivní SA: 1
Rekey SA: 0 (tunel bude hlásit 1 aktivní a 1 Rekey SA během rekey)
celkem IKE SA: 1

1 IKE Peer: <Peer IP adresa>
Typ: L2L Role: responder
Rekey: no State: MM_ACTIVE

jak můžete vidět z výše uvedeného výstupu, máme jednu IKE phase 1 SA. Typ je ” L2L “(což znamená, že se jedná o web k webu IPSec tunel), role je “responder” (což znamená, že peer vyvedl tunel) a stav je MM_Active (což znamená, že používá hlavní režim (MM) a IKE fáze 1 pracuje (aktivní)). MM_ACTIVE je to, co chceme vidět na fázi 1 IKE SA. To znamená, že je vše připraveno na IKE phase 2. Co byste tedy měli dělat, pokud nemáte aktivní stav? Nebo vůbec žádné SA?

existuje několik dalších států, které vás mohou informovat o tom, co se děje s ISAKMP SA.

poznámka: tyto stavové kódy jsou pouze pro novější verzi ASA, starší kód IPSec používal různé stavové zprávy.
první dvě písmena vám řeknou, zda bylo spojení provedeno s hlavním režimem (MM) nebo agresivním režimem (AM). Vzhledem k tomu, že to může být buď hlavní nebo agresivní režim, uvedu je jednoduše jako ” XX ” níže. Je pravda, že některé z nich uvidíte pouze s hlavním nebo agresivním režimem. Definice, které uvádím každému státu, jsou to, co jsem ve většině případů považoval za problém.

XX_Active-Connected
XX_KEY_EXCH-chyba ověřování, zkontrolujte metodu ověřování
XX_INIT_EXCH-chyba ověřování, zkontrolujte metodu ověřování
XX_NO_STATE-nelze odpovídat zásadám fáze 1 IKE, ověřte na každé straně
XX_WAIT_MSG2-čekání na odpověď od peer

navíc pokud vůbec nemáte SA, začněte kontrolou zřejmé. Začněte na vrstvě 1 a pracujte na tom, abyste zajistili, že obě jednotky mají připojení a že vzájemné adresy jsou správné.

99% času je problém s IKE phase 1 SA. Pokud jste stále stav aktivní na fázi 1 jste pravděpodobně v dobré kondici. Pokud máte stále problémy, podívejte se na vaši IKE phase 2 SA. Nebudu ukazovat příklad jednoho, protože jeho většinou jen statistiky. Stejný koncept však platí, pokud nemáte IPSec SA, nemáte VPN tunel.

ladění
pokud máte stále problémy, jako cokoli jiného na ASA, zkuste ladění. Dva příkazy, které hledáte, by byly …

ASA # debug crypto isakmp
ASA # debug crypto ipsec
Asa # terminal monitor

ujistěte se, že povolíte terminal monitor, pokud nejste na portu konzoly

velká oprava
nemůžu vám říct, kolikrát jsem strávil hodiny snahou získat tunel, který se má načíst, s absolutně žádným úspěchem. Nakonec dva příkazy vždy opravily mé problémy. Když vše ostatní selže, vymazat všechny vaše ISAKMP a IPSEC SAs. To samozřejmě odfoukne všechna připojení IPSec k krabici. Zdá se, že něco o tom, jak odfouknout všechna ostatní spojení a začít od nuly, to napraví. Provést….

ASA # clear crypto ipsec sa
ASA # clear crypto isakmp sa

závěr
doufám, že jste v tomto článku viděli, že základní pochopení toho, jak IPSec funguje, dělá svět rozdílu. Vědět, kde hledat chyby a jak je interpretovat, je klíčem k řešení problémů s tunely IPSec L2L.