Understanding IPSec tunnels (L2L)

nykyisessä roolissani käsittelen L2L (LAN to LAN) – tunneleita melko usein. Ne ovat “halpa” tapa yhdistää kaksi paikkaa verrattuna omistettu pääsy piirejä. Ainoa vaatimus on ottaa oikea laitteisto ja “aina päällä” staattinen IP jokaisessa paikassa. Olen usein vitsi, että konfigurointi L2L tunneli ASA on helppoa ja kestää vain 20 config linjat CLI. Tästä huolimatta, kuten kaikesta muustakin verkon maailmassa, jos et ymmärrä, miten tekniikka toimii, Olet menossa juuttua jonain päivänä. 20 config-rivin kirjoittaminen konsoliin ja tapahtumien ymmärtäminen ovat kaksi täysin eri asiaa. Tässä viestissä puhun IPSec perusasiat, miten tunnelit muodostavat, ja joitakin vianmääritys vaiheet voit ottaa, kun törmäät ongelmia.

terminologia
IPSec (Internet Protocol Security) – mistä puhumme

IKE (Internet Key Exchange) – ajattele IKE: tä työkaluna, jota tarvitaan turvallisen yhteyden luomiseen ja ylläpitämiseen kahden päätepisteen välillä. Periaatteessa IKE mahdollistaa yhteyden muodostamisen ja ylläpitämisen Sas (Security Associations), jotka ovat IPSec – tunnelin avainosa

ISAKMP (Internet Security Association and Key Management Protocol) – isakmp on standardi, joka määrittelee miten SAs: n kanssa toimitaan. Toisin sanoen, ISAKMP käsittelee miten SAs luodaan, ylläpidetään, muunnetaan, ja puretaan. Oletko huomannut päällekkäisyyksiä? IKE ja ISAKMP kuulostavat kauhean samanlaisilta. Koska he ovat. Itse asiassa, Cisco jopa toteaa tämän niiden dokumentaatio.

“Internet Security Association and Key Management Protocol, jota kutsutaan myös nimellä IKE, on neuvotteluprotokolla, jonka avulla kaksi isäntää sopivat IPsec-tietoturvayhdistyksen rakentamisesta. Jokainen ISAKMP-neuvottelu on jaettu kahteen osaan, joita kutsutaan Vaihe 1: ksi ja Vaihe 2: ksi.”

Vertaisosoite – asiayhteydestä riippuen se on joko yleisöosoite tunnelin toisessa päässä tai tunnelin toisessa päässä.

DH (Diffie-Hellman) – DH sallii kahden osapuolen jakaa salaisen avaimen epävarmalla kanavalla. DH: ta käytetään IKE-vaiheen 1 aikana avainten vaihtoon ja turvallisen salaisen avaimen luomiseen.

ISAKMP-Käytäntöjoukot-käytäntöjoukko, joka määrittää IKE-salausalgoritmin, IKE-todennusalgoritmin, IKE-todennustyypin, DH-version ja IKE-tunnelin käyttöiän. ISAKMP: n toimintaperiaatteita käytetään IKE: n vaiheen 1 neuvotteluissa. Jotta tämä olisi vieläkin hämmentävämpää, ISAKMP-käytäntöjoukkoja kutsutaan myös joko ISAKMP-muunnosjoukoiksi, IKE-muunnosjoukoiksi tai vain tavallisiksi vanhoiksi muunnosjoukoiksi

IPSec – Muunnosjoukoiksi-muunnosjoukko koostuu IPSec-tunnelin luomisen kannalta merkityksellisistä asetuksista. Varsinaista muunnosjoukkoa käytetään IKE-vaiheen 2 aikana ja se koostuu yleensä vain IKE-salaus-ja todennustyypistä. Jälleen hämmentävä osa on, että usein jotkut ihmiset vain soittaa näitä muuttaa sarjaa.

Sas (Turvallisuusyhdistykset) – pohjimmiltaan se on IPsec-parametrien joukko, josta tunnelin molemmat puolet ovat yhtä mieltä. Teen ratkaisevan eron meidän Cisco Landissa asuvien puolesta. Tulee olemaan ISAKMP SA ja IPSec SA. IPSec-tunnelia luotaessa syntyy useita tunneleita. Muista vain, että ISAKMP SA pidetään tuloksena IKE Vaihe 1 ja IPSec SA katsotaan tulos IKE Vaihe 2. SA on myös vain yksisuuntainen yhteys. Koska suurin osa liikenteestä päätepisteiden välillä vaatii kaksisuuntaista viestintää, jokainen ASA luo oman SA-suojauksen keskustellakseen toisen vertaisensa kanssa.

Nonce-numero, jota käytetään yleensä suojattuun avaimeen, jota käytetään vain kerran. Jos sitä käytetään toisen kerran, se on yleensä merkki vilpillisestä yhteysyrityksestä.

terminologia Yhteenveto-VPN-terminologia on todella, todella, todella hämmentävää. Yritä muistaa, että ISAKMP ja IKE käytetään joskus vaihdellen. Lisäksi muunnosjoukot ovat yleinen termi ryhmälle asetuksia. Yritän käyttää lausetta vain viitatessani siihen, mitä kirjoitan CLI: ssä “transform-set” – sanan jälkeen, jota käytetään Ike-vaiheen 2 todennus-ja salaustyypin määrittämiseen.

prosessi
nyt kun tiedämme joitakin keskeisiä termejä, voimme alkaa puhua siitä, miten IPSec-tunneli muodostuu. Mielestäni IPSec-tunnelin elämässä on 4 vaihetta. Asetan ne alle ja sitten puhumme niistä

Vaihe 1 – mielenkiintoinen liikenne synnyttää tunnelin syntymisen
Vaihe 2 – IKE Vaihe 1
Vaihe 3 – IKE Vaihe 2
Vaihe 4 – tunnelin Päättyminen

jotkut ihmiset heittävät vaiheen minun vaiheen 3 ja 4 väliin ja luettelevat sen ‘IPSec tunnel created’, joka ei mielestäni ole oikeastaan vaihe. Vaiheiden 1-3 tuotteen listaaminen ei mielestäni oikeuta omaa vaihettaan. Joka tapauksessa, mennään yksityiskohtaisesti jokaisen.

Vaihe 1-mielenkiintoinen liikenne luo tunnelin
mitä monet ihmiset eivät tiedä IPSec on, että se on mitä kutsun ‘on demand’ palvelu. Eli kun luot tunnelin, se ei ole toiminnassa koko ajan. Se, mitä kutsumme “mielenkiintoiseksi liikenteeksi”, käynnistää tunnelin luomisen. Tunnelin luominen ei vie kovin kauan, mutta se voidaan useimmissa tapauksissa huomata, kun käytetään Ping-testiä. Useimmissa tapauksissa, kun yritän ping asiakkaan kone tunnelin poikki ensimmäinen ICMP pyyntö epäonnistuu, koska tunneli on ladattu. Myöhemmät ICMP: t menevät läpi oikein. Mielenkiintoinen liikenne on määritelty ASA kanssa eturistiside. Tämän jälkeen eturistiside määritetään tunnelien salauskartassa “match address” – komennolla. Esimerkki ACL voi näyttää tältä …

access-list L2LCryptoMap extended permit ip <paikallinen aliverkko> <paikallinen aliverkko> <kohdeverkko> <kohdeverkko>

kerro ASA: lle, että se sovittaa aliverkostostasi tulevan liikenteen tunnelin toisella puolella olevaan aliverkkoon. Tämä tuo esiin kysymyksen päällekkäisistä yksityisistä aliverkoista. Jos aliverkon sisällä käyttöliittymä sekä ASAs on sama, olet menossa on ongelmia. Ajattele sitä näin, Kun asiakas toisella puolella yrittää mennä resurssi toisella aliverkon se ei mene minnekään. Oletusarvon mukaan asiakas arpoo vastauksen, koska se luulee Etäasiakkaan, jota yrität käyttää, olevan paikallisessa aliverkossa. Koska se ei yritä mennä pois aliverkon asiakas ei koskaan yhteyttä oletusyhdyskäytävän (ASA: n sisällä käyttöliittymä) ja et koskaan muodostaa tunnelin. Vaikka olisikin, liikenne ei silti kulkisi. On joitakin “hankala” asioita voimme tehdä korjata tämän ongelman, mutta ne eivät kuulu valtakunnassa tämän blogimerkintä. Paras tilanne on, että jokaisella paikkakunnalla on ainutlaatuiset yksityiset verkot.

Vaihe 2 – IKE Vaihe 1
kun ASA saa pyynnön etäaliverkosta, jonka se yhdistää salauskarttaan, alkaa IKE Vaihe 1. Tavoitteena IKE Vaihe 1 on setup yhteys IKE Vaihe 2. Pohjimmiltaan, IKE Vaihe 1 määrittää pohjatyön todellinen yhteys tapahtua. Se itse asiassa luo oman SUOJAUSSIDOKSEN, josta käytetään joskus nimitystä management SA. Tätä hallinnointisuojausta käytetään Ike: n vaiheessa 2 varsinaisten datatunneleiden luomiseen. Teknisestä näkökulmasta IKE Vaihe 1 on kolme vaihetta. Ensimmäinen askel on niin sanottu politiikkaneuvottelu. Politiikkaneuvottelut kuihtuu löytää matching transform asetetaan kunkin päätepisteen. Ennen ISAKMP: n suojaussidosten muodostamista jokaisen päätepisteen on sovittava vastaavasta IKE-käytäntöjoukosta. Seuraavien kohtien on vastattava tunnelin kummallekin puolelle asetettuja sääntöjä.

– IKE-salausalgoritmi
– IKE-Todennusalgoritmi
-IKE-avaimen määritelmä
-Diffie Hellmanin versio
– IKE-elinikä

muista, että IKE-käytäntöjoukot liittyvät IKE-vaiheen 1 loppuun saattamiseen. Päätepisteellä voi olla mikä tahansa määrä politiikkajoukkoja, jotka arvioidaan järjestyksessä. Esimerkiksi, saatat olla politiikkaa asetettu 10, 20, ja 30. Päätepisteet kiertävät politiikkasarjat järjestyksessä, alkaen alimmasta ensin, kunnes ne löytävät vastaavuuden. Siksi on järkevää määritellä ensin vahvemmat politiikkakokonaisuudet. Jos ne on määritelty jälkeen heikompi politiikka asettaa saatat päätyä löytää heikompi ottelu ensin.

nyt, ennen kuin menemme liikaa pidemmälle IKE-vaiheeseen 1, on tärkeää selittää, että on olemassa kaksi erilaista IKE-vaihetta 1. Yksi käytetään useimmiten kutsutaan “päätila” ja koostuu 6 viestejä vaihdetaan vertaisten. Toista tyyppiä kutsutaan “aggressiiviseksi” tilaksi ja se tiivistää vertaisryhmien välillä lähetetyt viestit 3 viestiksi. Päätila on asennuksissa hitaampi, mutta turvallisempi. Aggressiivinen tila on nopeampi asennus, mutta vähemmän turvallinen. Älä siteeraa minua tässä, mutta uskon, että päätilaa käytetään oletuksena. En aio sukeltaa yksityiskohtiin tässä, he molemmat saavuttavat saman asian ja yksityiskohdat olen lueteltu edellä pitäisi vihjata sinulle suuria eroja.

ensimmäinen askel kohti Ike-vaihetta 1 oli politiikkaneuvottelut-vertaisryhmien on sovittava vastaavista politiikoista. He tekevät tämän lähettämällä politiikan sarjoja toisilleen vertailua varten ja löytää alin matching policy set. Kun se on valmis, voimme siirtyä seuraavaan vaiheeseen, joka on DH-avaimen vaihto. Tämän prosessin aikana vertaisryhmät vaihtavat julkisia avaimia, joita käytetään jaetun salaisuuden määrittämiseen. Kun tämä prosessi on tehty, Vaihe 1 SA (ISAKMP SA) muodostetaan ja siirrymme viimeiseen vaiheeseen, joka on peer authentication.

vertaistodennuksen aikana määriteltyä todennusmenetelmää käytetään varmistamaan, että roistovaltiot eivät muodosta suojattuja yhteyksiä verkkoosi. Useimmiten tämä tehdään valmiiksi jaetuilla avaimilla. Tämä vaihe on melko yksinkertainen, ikäisensä tarkistaa, että avaimet vastaavat. Jos eivät, tunnistautuminen epäonnistuu. Jos ne täsmäävät, siirrymme IKE-vaiheeseen 2.

Vaihe 3 – IKE Vaihe 2
pidän IKE-vaihetta 2 datatunnelin varsinaisena rakentamisena. Tähänastinen työ on ollut lähinnä sen varmistamista, että meillä on turvallinen viestintäkanava käytössä, jotta voimme rakentaa varsinaiset IPsec-suojaukset. Verrattuna IKE-vaiheeseen 1, IKE-vaiheessa 2 on vain yksi moodityyppi, jota kutsutaan pikatilaksi. Pikatila käyttää Ike-vaiheessa 1 luotua olemassa olevaa ISAKMP-SUOJAUSSIDOSTA ja luo IPSec-Suojaussidokset sekä hallinnoi avainten vaihtoa. Pikatilan ensimmäinen vaihe on neuvotella IPSec-muunnosjoukot (ei sama kuin ISAKMP-käytäntöjoukot!!). Seuraavien kohteiden on täsmättävä molemmissa päissä, jotta IPSec SAs muodostuu.

-IPSec-protokolla
-IPsec-salaustyyppi
-IPSec-todennustyyppi
– IPSec-tila
– IPSec SA-elinikä

antaa nyt hetken vertailla Ike-vaiheen 1 ja vaiheen 2 muunnossarjoja. Seuraava on tyypillinen asetelma ASA: sta.

isakmp: n Käytäntöjoukko
crypto isakmp: n käytäntö 10
authentication pre-share
encryption 3DES
hash sha
group 2
lifetime 86400

IPSec-muunnos
crypto ipsec-muunnos-set ESP-3DES-SHA esp-3DES esp-sha-HMAC

Näetkö mitään outoa? Isakmp policy setissä näet selvästi 5 vaadittua osaa muunnosjoukosta, joista on sovittava. IPSec-muunnoksessa se ei ole niin selvää. Tämä johtuu siitä, että muunnos todella määrittää vain 3 5 vaaditusta kappaleesta. Esimerkiksi edellä määrittää IPSec-protokollan (ESP), IPSec-autentikoinnin tyyppi (SHA), ja IPSec-salauksen tyyppi (3DES). IPSec-tilassa ja IPSec SA lifetime ei tarvitse olla määritelty. Kun he eivät ole, ASA yksinkertaisesti oletetaan, että seuraavat arvot 28 800 SA lifetime ja “tunneli” – tilassa kaikki muuttaa sarjaa. En yleensä muuttaa näitä arvoja, jos toinen puoli muutti heidät.

Joten kun muuttaa sarjaa on neuvoteltu ja hyväksytty voimme luoda IPSec-SAs. Kuten edellä on todettu, SA on yksisuuntainen yhteys. Jotta liikenne kulkisi kumpaankin suuntaan, on muodostettava kaksi IPSec-suojausta. Syyttäjä tekee tämän työn sinulle, joten tässä ei ole paljoa yksityiskohtia kerrottavana. Pikatila käyttää nonces luoda uutta avainmateriaalia, joka estää replay hyökkäykset. Kolmas vaihe on yhteydestä määräajoin neuvoteltava uudelleen. SAs on uudistettava ennen tunnelin käyttöiän päättymistä. Pikatila valvoo tätä ja luo uusia Suojaussidoksia ennen kuin vanhat vanhenevat.

Vaihe 4-tunnelin Päättyminen
tässä vaiheessa meillä on täysin toimiva VPN-tunneli! Liikenteen pitäisi kulkea molempiin suuntiin. Enää ei tarvitse kuin purkaa tunneli, jos ei ole mielenkiintoista liikennettä. SAs uudistuu vain, jos mielenkiintoinen liikenne kulkee edelleen. Jos kiinteiden LIIKENNEPYSÄHDYSTEN annetaan päättyä käyttöiän päätyttyä. Jos SUOJAUSSIDOKSEN voimassaolon annetaan päättyä, kaikki SUOJAUSSIDOKSIA koskevat tiedot poistetaan SUOJAUSSIDOKSESTA. Kun seuraavan kerran syntyy mielenkiintoista liikennettä, koko prosessi alkaa alusta.

vianmääritys
yleisin ongelma IPSec-liitettävyydessä on se, että ei löydy muunnosasetuksia IKE-vaiheille 1 ja 2. Jos törmäät ongelmiin, ensimmäinen asia, joka sinun pitäisi aina tehdä, on tarkistaa asetukset molemmin puolin, jotta ne vastaavat 100%. Seuraavaksi voit katsoa SAs ASA ja määrittää, jos ne on luotu ja jos ne ovat, mikä asema niillä on.

nähdäksesi IKE: n vaiheen 1 SUOJAUSSIDOSVERSION tämä komento
ASA# show crypto isakmp sa

Ike: n vaiheen 2 SUOJAUSSIDOSVERSION tämä komento
ASA# show crypto ipsec sa

jos sinulla ei ole vaiheen 1 SUOJAUSSIDOSVERKOSTOA, et pääse kovin pitkälle. SA: n tila kertoo pari asiaa. Se kertoo, onko SA luotu main vai aggressiivinen tila, kumpi puoli toi tunnelin ylös, ja kertoo myös neuvottelujen tilan. Seuraavassa esitellään tyypillinen Vaihe 1 SA.

ASA# show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (a tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1 IKE Peer: <Peer IP Address>
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE

kuten yllä olevasta tulosteesta näkyy, meillä on yksi IKE phase 1 SA. Tyyppi on ” L2L “(joka osoittaa, että se on sivustosta sivustoon IPSec tunneli), rooli on “responder” (tarkoittaa, että vertainen nosti tunnelin), ja tila on MM_Active (eli se käyttää päätila (MM) ja IKE Vaihe 1 toimii (aktiivinen)). MM_ACTIVE on mitä haluamme nähdä vaiheessa 1 IKE SA. Se tarkoittaa, että kaikki on valmis IKE Vaihe 2 tapahtua. Joten mitä sinun pitäisi tehdä, jos sinulla ei ole aktiivinen tila? Vai ei SA: ta ollenkaan?

on olemassa useita muita osavaltioita, jotka voivat antaa vihjeen siitä, mitä ISAKMP SA: n kanssa tapahtuu.

Huom: nämä tilakoodit ovat vain uudemmassa ASA-versiossa, vanhemmassa IPSec-koodissa käytettiin erilaisia tilaviestejä.
kaksi ensimmäistä kirjainta kertovat, onko yhteys tehty päätilassa (MM) vai aggressiivisessa tilassa (AM). Koska se voi olla joko tärkein tai aggressiivinen tila Aion luettelo on yksinkertaisesti ‘XX’ alla. Myönnettäköön, että näet vain osan niistä joko pää-tai aggressiivisessa tilassa. Määritelmät luettelen kullekin valtiolle ovat mitä olen havainnut olevan kysymys useimmissa tapauksissa.

XX_Active – Connected
XX_KEY_EXCH – Authentication error, check your authentication method
XX_INIT_EXCH – Authentication error, check your authentication method
XX_NO_STATE – Unified to match IKE Phase 1 policies, verify on each side
XX_WAIT_MSG2 – Waiting for response from the peer

more if you don ‘ t have a SA at aloittakaa tarkistamalla ilmiselvä asia. Aloita kerroksesta 1 ja jatka eteenpäin varmistaen, että molemmilla yksiköillä on yhteys ja että vertaisosoitteet ovat oikein.

99% ajasta, jolloin kysymys koskee IKE: n 1.vaiheen suojausta. Jos alat olla aktiivinen vaiheessa 1, Olet todennäköisesti hyvässä kunnossa. Jos sinulla on vielä ongelmia, tutustu IKE-vaiheen 2 SA-suojaukseen. En aio näyttää esimerkkiä yksi, koska sen enimmäkseen vain tilastoja. Sama käsite pätee kuitenkin, jos sinulla ei ole IPSec SA: ta, sinulla ei ole VPN-tunnelia.

Vianetsintä
jos sinulla on edelleen ongelmia, kuten mitä tahansa muuta ASA: ssa, kokeile vianetsintää. Kaksi komentoa, joita etsit, ovat …

ASA# debug crypto isakmp
ASA# debug crypto ipsec
ASA# terminal monitor

varmista, että otat terminal monitorin käyttöön, jos et ole konsolin portilla

The Big Fix
en voi kertoa kuinka monta kertaa olen käyttänyt tunteja yrittäen saada tunnelin latautumaan täysin tuloksetta. Lopulta kaksi komentoa korjasi aina ongelmani. Kun kaikki muu epäonnistuu, Tyhjennä kaikki ISAKMP-ja IPSEC-suojaukset. Tämä tietenkin puhaltaa pois kaikki IPSec yhteydet ruutuun. Se, että räjäytämme kaikki muut yhteydet pois ja aloitamme alusta, näyttää korjaavan sen. Tehdä tämä….

ASA# clear crypto ipsec sa
ASA# clear crypto isakmp sa

Conclusion
I hope you have seen, through this article, that having a base understanding of how IPSec works makes a world of difference. IPSec L2L-tunneleiden vianetsinnässä on avainasemassa se, että tietää mistä etsiä virheitä ja miten niitä tulkitaan.