az IPSec alagutak (L2L) megértése

jelenlegi szerepemben elég gyakran foglalkozom az L2L (LAN-LAN) alagutakkal. Ezek az ‘olcsó’ módszerek két hely összekapcsolására a dedikált hozzáférési áramkörökhöz képest. Az egyetlen követelmény a megfelelő hardver és a ‘Mindig bekapcsolt’ statikus IP minden helyen. Gyakran viccelek, hogy az L2L alagút konfigurálása ASA-n egyszerű, és csak 20 konfigurációs Sort vesz igénybe a CLI-ben. Ezt mondják, mint bármi mást a hálózati világban, ha nem érti, hogyan működik a technológia, akkor egy nap elakad. 20 konfigurációs sor beírása egy konzolba, és valójában megérteni, hogy mi történik, két teljesen különböző dolog. Ebben a bejegyzésben az IPSec alapjairól, az alagutak kialakulásáról és néhány hibaelhárítási lépésről fogok beszélni, amelyeket akkor tehet meg, ha problémákba ütközik.

terminológia
IPSec (Internet Protocol Security) – amiről beszélünk

IKE (Internet Key Exchange) – Gondolj az IKE-re, mint a két végpont közötti biztonságos kapcsolat létrehozásához és fenntartásához szükséges eszközkészletre. Alapvetően az IKE lehetővé teszi a kapcsolat létrehozását és fenntartását SAs (biztonsági Társítások), amelyek az IPSec alagút kulcsfontosságú részei

ISAKMP (Internet Security Association and Key Management Protocol) – az ISAKMP az a szabvány, amely meghatározza a SAs használatát. Más szavakkal, az ISAKMP kezeli az SAs létrehozását, karbantartását, módosítását és lebontását. Észrevetted az átfedést? IKE és ISAKMP nagyon hasonlítanak egymásra, nem? Azért, mert azok. Valójában a Cisco ezt még dokumentációjában is megjegyzi.

“az Internet Security Association és a Key Management Protocol, más néven IKE, az a tárgyalási protokoll, amely lehetővé teszi, hogy két gép megegyezzen az IPsec biztonsági társítás felépítésében. Minden ISAKMP tárgyalás két részre oszlik, az úgynevezett Phase1 és Phase 2.”

Társcím – a kontextustól függően vagy az alagút egyik végén, vagy az alagút másik végén található nyilvános cím.

DH (Diffie-Hellman) – a DH lehetővé teszi két fél számára, hogy titkos kulcsot osszanak meg egy nem biztonságos csatornán keresztül. A DH-t az IKE fázis során használják 1 kulcsok cseréjére egy biztonságos titkos kulcs létrehozása.

ISAKMP házirend – készletek-az IKE titkosítási algoritmust, az IKE hitelesítési algoritmust, az IKE hitelesítési típust, a DH verziót és az Ike alagút élettartamát meghatározó házirend-készlet. Az ISAKMP házirend-készletet az IKE 1. fázisú tárgyalások során használják. Hogy ez még zavaróbb legyen, az ISAKMP házirend-készleteket is nevezik ISAKMP transzformációs készletek, IKE transzformációs készletek, vagy csak egyszerű régi transzformációs készletek

IPSec transzformációs készletek – a transzformációs készlet az IPSec alagút létrehozásához kapcsolódó beállításokból áll. A tényleges transzformációs készletet az IKE 2. fázisában használják, és általában csak az IKE titkosítási és hitelesítési típusból áll. Ismét a zavaró rész az, hogy gyakran néhány ember csak ezeket a transzformációs készleteket hívja.

SAs (biztonsági Társítások) – alapvetően az IPsec paraméterek halmaza, amelyben az alagút mindkét oldala egyetért. Itt egy kritikus különbséget teszek azok számára, akik Cisco Landben vannak. Lesz egy ISAKMP SA és egy IPSec SA. Az IPSec alagút létrehozása során számos alagút jön létre. Ne feledje, hogy az ISAKMP SA az IKE 1.fázis eredményének, az IPSec SA pedig az Ike 2. fázis eredményének tekinthető. Is, a SA csak egyirányú kapcsolat. Mivel a végpontok közötti forgalom nagy része kétirányú kommunikációt igényel, mindegyik ASA létrehozza a saját SA-ját, hogy beszéljen a másik társával.

Nonce – egy szám, amelyet általában egy biztonságos kulcshoz használnak, amelyet csak egyszer használnak. Ha másodszor használják, ez általában egy csalárd csatlakozási kísérlet jele.

Terminology Summary – VPN terminológia nagyon, nagyon, nagyon zavaros. Ne feledje, hogy az ISAKMP-t és az IKE-t néha felcserélhető módon használják. Ezenkívül a transzformációs készletek egy általános kifejezés a Beállítások csoportjára. Csak akkor próbálom használni a kifejezést, amikor arra utalok, hogy mit írok be a ‘transform-set’ után a CLI-ben, amely az Ike 2.fázis hitelesítési és titkosítási típusának megadására szolgál.

a folyamat
most, hogy ismerjük a legfontosabb kifejezéseket, elkezdhetünk beszélni arról, hogyan alakul az IPSec alagút. Véleményem szerint az IPSec alagút életének 4 fázisa van. Majd feküdt ki őket az alábbiakban, majd beszélünk róluk

Phase 1-érdekes forgalom generálja a teremtés az alagút
Phase 2-Ike Phase 1
Phase 3-IKE Phase 2
Phase 4-Tunnel Termination

vannak, akik dobnak egy fázis között én phase 3 és 4 és felsorolni, mint ‘IPSec tunnel created’, amely véleményem szerint valójában nem egy fázis. A fázisok termékének felsorolása 1 keresztül 3 úgy tűnik, hogy nem igazolja a saját fázisát a fejemben. Mindenesetre menjünk részletesen mindegyikre.

1.fázis – érdekes forgalom generálja az alagút létrehozását
amit sokan nem tudnak az IPSec-ről, az az, hogy ezt én igény szerinti szolgáltatásnak hívom. Ez azt jelenti, hogy ha egyszer létrehoz egy alagutat, az nem mindig működik. Amit érdekes forgalomnak nevezünk, az alagút létrehozását váltja ki. Az alagút létrehozása nem tart sokáig, de a legtöbb esetben észrevehető, ha Ping-et használ a teszteléshez. A legtöbb esetben, amikor megpróbálok pingelni egy ügyfélgépről az alagúton keresztül, az első ICMP kérés sikertelen lesz, mert az alagút betöltődik. A későbbi ICMP-k helyesen mennek keresztül. Érdekes forgalmat határoznak meg az ASA-N ACL-vel. Ezután az ACL az alagutak kriptográfiai térképén belül van megadva egy ‘match address’ paranccsal. Egy példa ACL így nézhet ki …

access-list L2LCryptoMap extended license ip < Local alhálózat>< Local mask>< Destination alhálózat><Destination mask>

azt mondod az ASA-nak, hogy egyeztesse az alhálózatból érkező forgalmat az alagút másik oldalán lévő alhálózattal. Ez felveti a kettős privát alhálózatok kérdését. Ha az alhálózata mindkét ASAs belső felületén azonos, akkor problémái lesznek. Gondolj így, amikor az egyik oldalon lévő ügyfél megpróbál egy erőforráshoz menni a másik alhálózaton, akkor nem fog menni sehova. Alapértelmezés szerint az ügyfél ARP választ ad, mert úgy gondolja, hogy az elérni kívánt távoli ügyfél a helyi alhálózaton van. Mivel nem próbál kialudni az alhálózatból, az ügyfél soha nem fog kapcsolatba lépni az alapértelmezett átjáróval (az ASA belső felületével), és soha nem fog alagutat alkotni. Még ha meg is tenné, a forgalom akkor sem folyna. Van néhány trükkös dolog, amit tehetünk a probléma megoldása érdekében, de ezek nem tartoznak a blogbejegyzés körébe. A legjobb helyzet az, ha minden helyen egyedi magánhálózatok vannak.

2.fázis – IKE 1. fázis
Miután az ASA kérést kap egy távoli alhálózatra, amely megfelel egy kriptográfiai térképnek, megkezdődik az IKE 1. fázis. Az IKE phase 1 célja az Ike phase 2 kapcsolatának beállítása. Alapvetően, IKE fázis 1 megalapozza a tényleges kapcsolat létrejöttét. Valójában létrehozza saját SA-ját, amelyet néha menedzsment SA-nak is neveznek. Ezt a menedzsment SA-t az IKE phase 2 használja a tényleges adatalagutak létrehozásához. Technikai szempontból három lépés van az IKE fázishoz 1. Az első lépést politikai tárgyalásnak nevezzük. A házirend-egyeztetés abból áll, hogy megtalálja a megfelelő transzformációs készleteket az egyes végpontokon. Mielőtt az ISAKMP SA formálna, minden végpontnak meg kell állapodnia egy megfelelő IKE házirend-készletben. A következő elemeknek meg kell egyezniük az alagút mindkét oldalán található házirendkészlettel.

-az IKE titkosítási algoritmus
-az IKE hitelesítési algoritmus
-az IKE kulcs meghatározása
-a Diffie Hellman Verzió
-az IKE élettartama

ne feledje, hogy az IKE házirend-készletek az IKE 1.fázis befejezéséhez kapcsolódnak. Egy végpont tetszőleges számú házirend-készletet tartalmazhat, amelyeket egy sorrendben értékelnek. Előfordulhat például, hogy a 10-es, 20-as és 30-as házirend van beállítva. A végpontok sorrendben lépnek át a házirend-készleteken, kezdve a legalacsonyabbal, amíg nem találnak egyezést. Ezért van értelme először erősebb politikai készleteket meghatározni. Ha a gyengébb házirend-készletek után vannak meghatározva, akkor először gyengébb mérkőzést találhat.

most, mielőtt túl messzire mennénk az IKE 1. fázisába, helyénvaló elmagyarázni, hogy az IKE 1.fázisnak két különböző típusa van. A leggyakrabban használt ‘fő mód’, amely 6 üzenetet cserél a társak között. A másik típus az ‘agresszív’ mód, amely a társaik között küldött üzeneteket 3 üzenetbe sűríti. A fő mód lassabb a beállításban, de biztonságosabb. Az agresszív mód gyorsabb a beállításban, de kevésbé biztonságos. Ne idézzen erről, de úgy gondolom, hogy a fő módot alapértelmezés szerint használják. Nem fogok itt belemerülni a részletekbe, mindketten ugyanazt érik el, és a fent felsorolt részleteknek be kell mutatniuk a nagy különbségeket.

az Ike 1.fázisának első lépése a politikai tárgyalás volt – a társaknak meg kell állapodniuk egy megfelelő politikai készletben. Ezt úgy teszik meg, hogy összehasonlításra elküldik egymásnak a házirend-készleteket, és megtalálják a legalacsonyabb megfelelő házirend-készletet. Miután ez befejeződött, továbbléphetünk a következő lépésre, amely a DH KULCSCSERE. E folyamat során a társak nyilvános kulcsokat cserélnek, amelyeket a megosztott titok létrehozására használnak. Miután ez a folyamat megtörtént, létrejön az 1.fázis SA (ISAKMP SA), és továbblépünk az utolsó lépésre, amely a peer hitelesítés.

a társhitelesítés során a megadott hitelesítési módszert használják annak biztosítására, hogy a szélhámos eszközök ne alakítsanak ki biztonságos kapcsolatokat a hálózatba. Ez legtöbbször előre megosztott kulcsokkal történik. Ez a lépés nagyon egyszerű, a társaik ellenőrzik, hogy a kulcsok egyeznek-e. Ha nem, a hitelesítés sikertelen. Ha egyeznek, áttérünk az IKE fázisra 2.

3.fázis – IKE 2. fázis
szeretek úgy gondolni az Ike 2. fázisra, mint az adatalagút tényleges építésére. A munka eddig a pontig elsősorban annak biztosítására irányult, hogy biztonságos kommunikációs csatornánk legyen a helyén, hogy felépíthessük a tényleges IPsec SAs-t. Az IKE 1. fázishoz képest az IKE 2. fázisnak csak egy típusa van, amelyet gyors módnak hívnak. A Gyors mód az Ike phase 1-ben létrehozott ISAKMP SA-t használja, létrehozza az IPSec SAs-t és kezeli a kulcscseréket. A Gyors mód első lépése az IPSec transzformációs készletek tárgyalása (nem ugyanaz, mint az ISAKMP házirend-készletek!!). A következő elemeknek mindkét végén meg kell egyezniük az IPSec SAs kialakításához.

-az IPSec protokoll
-az IPsec titkosítási típus
-az IPSec hitelesítési típus
-az IPSec mód
-az IPSec SA élettartam

most lehetővé teszi, hogy egy rövid pillanatra összehasonlítani a transform-készletek IKE phase 1 és phase 2. A következő egy tipikus konfiguráció ki ASA.

ISAKMP házirend készlet
crypto isakmp házirend 10
hitelesítés pre-share
titkosítás 3DES
hash Sha
2. csoport
élettartam 86400

IPSec transzformáció
crypto ipsec transzformáció-set ESP-3DES-SHA esp-3des esp-sha-HMAC

lát valami furcsát? Az ISAKMP házirend készletben jól látható a transzformációs készlet 5 szükséges darabja, amelyekről meg kell állapodni. Az IPSec transzformációban ez nem olyan világos. Ez azért van, mert a transzformáció valóban csak meghatározza 3 az 5 szükséges darabok. A fenti példa meghatározza az IPSec protokollt (ESP), az IPSec hitelesítési típust (SHA) és az IPSec titkosítási típust (3DES). Az IPSec módot és az IPSec SA élettartamot nem kell meghatározni. Ha nem, akkor az ASA egyszerűen a következő értékeket veszi fel: 28 800 az SA élettartamára és ‘alagút’ mód az összes transzformációs készletre. Általában nem változtatom meg ezeket az értékeket, hacsak a másik fél nem változtatta meg őket.

tehát miután a transzformációs készleteket megtárgyaltuk és összehangoltuk, létrehozhatjuk az IPSec SAs-t. Mint fentebb említettük, az SA egyirányú kapcsolat. Tehát ahhoz, hogy a forgalom mindkét irányba áramoljon, két IPSec SAs-nak kell kialakulnia. Az ASA természetesen elvégzi ezt a munkát az Ön számára, így itt nincs sok részlet. A Gyors mód nonces – t használ új kulcsanyagok előállításához, amelyek megakadályozzák a visszajátszási támadásokat. A harmadik lépés a kapcsolat időszakos újratárgyalásának folyamata. Az SAs-t az alagút élettartamának lejárta előtt regenerálni kell. A Gyors mód ezt figyeli, és új SAs-t generál, mielőtt a régiek lejárnak.

4. fázis-alagút lezárása
ezen a ponton van egy teljesen működőképes VPN alagút! A forgalomnak mindkét irányban haladnia kell. Az egyetlen dolog, amit tehetünk, hogy lebontják az alagutat, ha nincs érdekes forgalom. A SAs csak akkor regenerálódik, ha érdekes forgalom folytatódik. Ha az SA-ban érdekes forgalom leáll, az élettartama elérése után lejárhat. Ha az SA lejár, az SAS-re vonatkozó összes adat kiürül az SA-ból. Legközelebb érdekes forgalom keletkezik, az egész folyamat a semmiből indul.

hibaelhárítás
az IPSec-kapcsolaton belül a leggyakoribb probléma az, hogy az Ike 1.és 2. fázisában nem talál transzformációs készlet egyezéseket. Ha problémákba ütközik, az első dolog, amit mindig meg kell tennie, ellenőrizze a beállításokat mindkét oldalon, hogy megbizonyosodjon arról, hogy azok 100% – ban megfelelnek-e. A következő dolog, amit tehetünk, hogy megnézzük az SAS-t az ASA-n, és meghatározzuk, hogy teremtettek-e, és ha igen, milyen státuszuk van.

ahhoz, hogy az IKE Phase 1 SA kiadja ezt a parancsot
ASA# show crypto isakmp sa

ahhoz, hogy az IKE Phase 2 SA kiadja ezt a parancsot
ASA# show crypto ipsec sa

ha nincs phase 1 SA akkor nem fog nagyon messzire. Az állam a SA megmondja egy pár dolgot. Megmondja, hogy az SA-t fő vagy agresszív módban hozták-e létre, melyik oldal hozta fel az alagutat, valamint megmondja a tárgyalások állapotát is. Egy pillantást egy tipikus fázis 1 SA alább látható.

ASA # show crypto isakmp sa
aktív SA: 1
Rekey SA: 0 (egy alagút 1 aktívat és 1 Rekey SA-t jelent a rekey alatt)
összesen IKE SA: 1

1 Ike Peer: <Peer IP-cím>
Típus : L2L szerep : válaszadó
Rekey : nincs állapot : MM_ACTIVE

mint látható a fenti kimeneten, van egy Ike fázis 1 SA. A típus ‘ L2L ‘(ami azt jelzi, hogy ez egy site to site IPSec alagút), a szerep’ responder ‘ (ami azt jelenti, hogy a peer hozta fel az Alagutat), és az állapot MM_Active (ami azt jelenti, hogy fő módot használ (MM) és az IKE fázis 1 működik (aktív)). MM_ACTIVE az, amit szeretnénk látni egy fázis 1 IKE SA. Ez azt jelenti, hogy minden készen áll az IKE 2.fázisának bekövetkezésére. Tehát mit kell tennie, ha nincs aktív állapota? Vagy egyáltalán nincs SA?

számos más államok, amelyek nyom, hogy mi folyik a ISAKMP SA.

Megjegyzés: Ezek az állapotkódok csak az újabb ASA verzióra vonatkoznak, a régebbi IPSec kód különböző állapotüzeneteket használt.
az első két betű jelzi, hogy a csatlakozás fő üzemmóddal (MM) vagy agresszív móddal (AM) történt-e. Mivel lehet fő vagy agresszív mód, a felsorolásom egyszerűen az alábbi ‘XX’. Megadott akkor csak látni néhány közülük akár fő vagy agresszív módban. Az egyes államok által felsorolt definíciók az, amit a legtöbb esetben problémának találtam.

XX_Active – Connected
XX_KEY_EXCH – Hitelesítési hiba, Ellenőrizze a hitelesítési módszert
XX_INIT_EXCH – Hitelesítési hiba, Ellenőrizze a hitelesítési módszert
XX_NO_STATE – nem felel meg az Ike 1.fázisú házirendjeinek, ellenőrizze mindkét oldalon
XX_WAIT_MSG2 – várakozás a peer válaszára

sőt, ha nincs SA egyáltalán, kezdje a nyilvánvaló ellenőrzésével. Kezdje az 1. rétegtől, és haladjon felfelé, biztosítva, hogy mindkét egység kapcsolódjon, és hogy a társcímek helyesek legyenek.

az esetek 99% – ában az IKE phase 1 SA-val van probléma. Ha aktív állapotot kap az 1. fázisban, akkor valószínűleg jó állapotban van. Ha továbbra is problémái vannak, vessen egy pillantást az IKE phase 2 SA-ra. Nem fogok példát mutatni, mivel többnyire csak statisztikák. Ugyanez a koncepció érvényes azonban, ha nincs IPSec SA, akkor nincs VPN alagút.

hibakeresés
ha továbbra is problémái vannak, mint bármi más az ASA-n, próbálja meg a hibakeresést. A két parancs, amit keres lenne…

ASA# debug crypto isakmp
ASA# debug crypto ipsec
ASA# terminal monitor

győződjön meg róla, hogy engedélyezze terminál monitor, ha nem a konzol port

a nagy Fix
nem tudom megmondani, hogy hányszor töltöttem órát próbál egy alagút betölteni egyáltalán nem sikerült. Végül két parancs mindig megoldotta a problémáimat. Ha minden más sikertelen, törölje az összes ISAKMP és IPSEC SAs-t. Ez természetesen elfújja az IPSec csatlakozásokat a dobozhoz. Valami, hogy csak fúj az összes többi Kapcsolat el, és kezdve a semmiből úgy tűnik, hogy javítsa meg. Ehhez….

ASA# clear crypto ipsec sa
ASA# clear crypto isakmp sa

következtetés
remélem, látta, keresztül ezt a cikket, hogy miután egy alap megértése, hogyan IPSec működik teszi a világ a különbség. Az IPSec L2L alagutak hibaelhárításának kulcsa annak ismerete, hogy hol kell keresni a hibákat és hogyan kell értelmezni őket.