CCNP 筆記本

2009 年 02 月 17 日

CCNP-ISCW Module 03 IPSec VPNs(2)

Filed under: CCNP-ISCW Module 03 — nkongkimo @ 03:49:12
IPSec Framework 2大類

 

方式

步驟

細節

 

KEY management tunnel

建立一個安全的KEY的協商管道

IKE

(Internet Key Exchange)

實做的方法

Phase 1:

建立KEY management tunne相關的參數

*建立IKE SA

1.Authenticate the Peers驗證對方設備之間的驗證

 

2.協商雙向的SA(Security Association)

會把peer資訊、雙方相關的安全參數…放在一個Security的DB裡面

建立安全協商環境  利用Diffie-Hellman演算法(非對加密演算法)

目的在建立加密用的Key(HMAC)

*IKE SA為雙向

3.建立IKE SA的方法

建立控制訊號(SA)傳送所需要的參數

(1)Main mode: (標準)

優點 較安全
缺點 需要較多程序

(2)Aggressive mode: (較簡易 option)

優點 較簡單、快速
缺點 無法驗證對方的身分

Phase 1.5:

(option)

用於remote-to-site VPN

1.Xauth : User的驗證,用於remote-to-site VPN去驗證。

可用AAA OTP或本機其他驗證方式

2.Mode config : (option) 用於建立VPN後由server push相關的參數。

Phase 2:

建立Data management tunnel相關的參數

*建立IPSec SA

1.IPSec SA:

建立Data訊號(SA)傳送所需要的參數

*IPSec SA為單向分為Outbound或Inbound

2.Quick mode: (建立IPSec SA的方法)

Agreessive Mode協商方式類似,以達到快速協商。

ISAKMP

(Internet security association and Key managmant  protocol)

安全關聯跟key的管理協定。

 

Key management

1.ISAKMP: ISAKMPIKE來實做。

2.SKEME:  用來做keyreflash,自動更換key

3.Oakley: diffie-Hellman演算法,來安全交換加密用的key的演算法

4.key

交換的方法

Manual(手動交換較不方便)

Secret Key Exchange (diffie-hellman 自動交換)

Public Key Exchange (CA(憑證中心)來交換,類似數位憑證)

SA(Security Association)

單一方向認證,也可以說是Security policy(詳細資訊在此篇最下方)

Data management tunnel

建立一個安全的Data的傳輸管道

AH(Authentication Header)

只對來源ip header & 資料做正確性的驗證&認證,沒有對資料做加密(較少人使用)

Protocol number : 51

Transport mode:

*建立tunnel時不變更原來的ip header 只變更protocol number

*NAT & PAT下無法使用。

*適用於小型區網(host-to-host)

 

Tunnel mode:

*在區域網內用明文方式傳送,到Tunnel時加密傳送

*建立tunnel時插入新的ip header故新的IP可以routing

*驗證包含IP header & Payload

*NAT & PAT下可以使用。

*適用於大型區域網(client-to-site VPNgatway-to-gatwaysite-to-site)

ESP(Encapsulating Security Payload)

對來源 ip header & 資料做完整(正確)性&認證&加密payload(最常用的方式)

Protocol number : 50

Transport mode:

*建立tunnel時不變更原來的ip header 只變更protocol number

*NAT & PAT下無法使用。

*適用於小型區網(host-to-host)

Tunnel mode: (最常用的方式)

*在區域網內用明文方式傳送,到tunnel時加密傳送。

*建立tunnel時插入新的ip header故新的IP可以routing

*加密的部份&驗證的部份都是針對Payload做檢查,不包含IP header。

*NAT & PAT下可以使用。

*適用於大型區域網(client-to-site VPNgatway-to-gatwaysite-to-site)

*建議用ESP+AH就可以把IP hader & Payload做加密及驗證。 

SA (Security Association) 單一方向認證,也可以說是Security policy

步驟

名稱

細節

1.

Authentication method

驗證的方法

2.

Encryption algorithm

加解密的方法

3.

Encryption & authentication key

壓縮和認證的key

Encryption

Symmetric(對稱式):

*加密與解密的key是一樣的

*用於資料傳輸的加密

(1)DES:Key的長度為56bits

(2)3DES:做3次DES,key的長度為168bits

(3)AES:key的長度為128、192、256bits最常用(較安全且效率較好)

Asymmetric(非對稱式):

*加密與解密的key是不一樣的,每一個單位都會產生一個key,會產生公鑰與私鑰。

*用於key的加密

RSA:使用Diffie-Hellman Group 1、2來交換key。

PKI:利用CA的憑證驗證雙方

Authentication

Digital Signature(數位憑證)

MAC(hash的機制)

HMAC (hash的機制)

MD5(已遭破解)

*長度為128bits

SHA-1(較安全)

*長度為160bits

4.

Life time of  SA(時效性)

可設定時間(10sec)及傳遞資料量當作單位

5.

Sequence number

可避免replay攻擊

  

2009 年 02 月 09 日

CCNP-ISCW Module 03 IPSec VPN(1)

Filed under: CCNP-ISCW Module 03 — nkongkimo @ 04:40:37
Tunnel Protocol

Application lyaer

SSH PGP 支援的廣度大小
L4 TLS (SSL) 需應用層支援 需應用層支援
L3 IPSec ( IP Security ) 建構在TCP/IP網路上
支援TCP/UDP/ICMP
預設的行為是Unicast
L2 L2TP (正式的標準)
Layer 2 Tunneling Protocol

PPTP
(Point-to-Point Tunneling Protocol)

End-to-End
沒有彈性/無法建立多點
L3 的協定都支援
 
VPN 運用的概念

把私有網路建構在一個公眾的網路上,而不使用私人的網路,因為專屬 的線路較貴,使用公眾的網路較便宜,故需要搭配tunnel IPsec的機制來達到傳輸的安全。

 IPSec 希望做的項目

1.IPSsc為CPE base Tunnel的技術
2.可以做到Site-to-Site  Client-to-Site

IPSec的種類


IPSec support functions

Peer authencation

認證方式

Pre-shared key

共用的key(較不安全)

IPSec 會在兩端建立tunnel 故需要先驗證對方

Digital certuficate

數位憑證(較安全)

Data confidentiality

資料私密性的方法

DES(56bit)

*64 bit data block

*資料私密性一定要對資料做加密,以防竊聽

*長度越長越難破解

*與國防政策有關

*利用key來預防

3DES(168bit)

3DES

AES(256bit)

*128 bit data block

*key 128192256bit

RSA

(512bit以上)

*diffie-Hellman演算法取一個大質數以達到加密的效果

*D.H分為 Group1&2

*加密和解密用的key不一樣,分為public(公開給任何人)&privity(需自己保密) Key

*Key的管理用非對

PKI

數位憑證

Data integrity

資料完整性的方法

(資料正確性)

One way hash

雜湊函數(不安全)

*檢查資料的正確性

*需互相用相同的KEY來驗證

HMAC

*MAC=Message

Authentication Code

MD5

128bit為一個單位(不安全)

雜湊函數+MAC

(較安全)

SHA-1

160bit為一個單位(較安全)

Data replay protection

資料重傳

 

*預防資料被複製並重傳

*利用續號來預防

CCNP-ISCW Module 03 IPSec VPNs(3)

Filed under: CCNP-ISCW Module 03 — nkongkimo @ 04:12:25

IPSec VPN tunnel的程序

IPsec NAT Transversal (NAT-T) 步驟

NAT-T detection 再Phase 1 用NAT discovery封包偵測傳輸中是否有NAT的設備
NAT-T decision 再Phase 2 把IPSec封包,封裝在UDP Header裡面。

PKI (Public Key Infrastruture) Environment

名稱 備註
CA
(Certificate Authority)
憑證管理中心,最重要的信任點。
功能:Key的產生。
RA
(Registration and Certification Insurance)
幫助CA註冊的單位
Certificate Revocation 憑證廢止單位
功能未註銷憑證
Trusted Time Service 校時系統
功能為驗證CA Key的時效性
Key Recovery Key回覆機制
Support for Nonrepudiation 不可否認性

憑證的處理過程

設備若要使用憑證 會把憑證存放再NVRAM裡面或E-toke裡面(usb smart card)

IPSec建立流程:

Setup 2.利用Main Mode的方式協商IKE SA

看哪一個限制先到達就會中斷

設定IPSec的步驟

Configure IKE 步驟
Step1:Enable or Disable IKE
*啟動IKE

Step2:Create IKE policies
*建立IKE policy
*優先權低的會先協商(由低到高)
*建議越安全的值,優先權設定越小
*Lifetime 86400表示一天
*雙邊要設定相同的參數

Step3:Configure ISAKMP identity
*設定協商的對象
*大部分使用ip address
*雙邊都要設定
Step 4:Configure Preshared Keys
*設定協商的key
*雙邊都需要設定相同的key
*需要設定協商對方的IP
Step 5:Verify IKE Configuare

Configure IPSec 步驟
Step 1:Configure Transform Sets
Step 2:Configure global IPSec Lifelines
*設定lifetime

image
Step 3:Create crypto ACLs
*定義可以使用IPSec的網段
*設定的方向要正確
Step 4:Configure IPSec Crypto maps
*用crypto把IPSec的設定巨集起來
*可建立多點peer協商IPSsec
*pfs為一個安全的機制:定期更新加密的key,只要建立IPSec SA後會把IKE SA刪掉,若lifetime到時,需要重新協商IKE SA以達到最安全的目的。
*match指令表示:只要滿足ACL 110 就做下列項目。
image
Step 5:Applying Crypto Maps to Interfaces
*套用到介面上
*關鍵點在於peer的的介面,若是peer在Ethernet介面就套在Ethernet介面

查看設定的方法:
1.show run
2.show crypto isakmp policy
*查看Phase1的設定
3.show crypto ipsec transform-set
*查看transform的設定
4.show crypto isakmp sa
*查看IKE SA(Phase 1)
5.show crypto ipsec sa
*查看IPSec SA(Phase 2)
*IPSec會有outbound及inbound的SA
6.show crypto map
7.debug crypto

IPSec VPN範例:

Phase 1 設定方式

image

Phase 2 設定方式

image

套用到介面

image

GRE(Generic Routing Encapsulation) V.S IPSec

名稱   支援協定      
IPSec L3 Tunnel IP/IPX/Apple…
多種協定
Multicast
12.4(4)T後
沒有Flowcontrol 不安全
GRE L3 只有IP Unicast 有Flowcontrol 安全

安裝SDM的方法

步驟 備註
1.建立user name(LV 15) Router(config)#username 名稱 privilege 15 secret 密碼
2.啟動http(https) server Router(config)#ip http server
Router(config)#ip http authencation local(用本地端帳號認證)
3.設定line vty Router(config)#line vty 0 4
Router(config-line)#password 密碼
Router(config-line)#login local
4.選擇安裝在router or PC 安裝SDM軟體&JRE程式

建議事項:

Quick setup設定步驟:

*較簡單的設定方式

*細部的設定無法使用

Step 1:設定Site-to-site VPN
Step 2:選擇Quick setup模式

Step 3:設定細部參數
(1)設定VPN的介面

(2)設定Peer的IP位址

(3)認證的方式:分為數位憑證&Pre-shared Key

(4)建立Interesting Traffic & ACL

Step 4:設定完成

Step by Step設定步驟:

Step 1:設定Site-to-site VPN

Step 2:選擇Step by Step模式
Step 3:設定細部參數
(1)設定VPN的介面

(2)設定Peer的IP

(3)認證的方式:pre-shared key or 數位憑證
Step 4.IKE Policy

(1)新增IKE Policy
Step 5.Transform Set

(1)新增Transform Set
Step 6.設定受保護的資料流
Step 7:設定完成

GRE封包格式

*支援多種protocol,利用protocol type的欄位

*GRE沒有安全的機制

*只支援IP及unicast

設定的方法

*Split tunneling表示要到特定的位址才走tunnel,其他的走一般介面。

*若關閉Split tunneling會全部走tunnel介面。

*宣告路由時要把tunnel的介面宣告出去。

IKE Keeplive *CISCO 專屬協定
*會週期送出資訊詢問對方是否還活著,約10秒一次,較快偵測對方的狀況
*較耗資源
IPSec DPD *由IKE Keeplive演變來的機制
*DPD是一個標準,各家都可以使用
*分為週期性更新及On-demand的方式
*On-demand:當有資料要傳送的時候但出現問題,才會去偵測連線的狀況
*較不即時偵測連線的狀況
*預設值為on-demand的模式
*IOS 12.2(8)之後才會支援

  種類 運用
Stateless failover
斷線時需要重新建立session
PPP/HSRP/IGP…
*會造成瞬斷的狀況
一般企業(較不講究連線穩定的狀況下)
Statefull failover
斷線時不需要中斷session
*IOS/設備規格/設定要相同
*需要互相交換IPSec的訊息
*需要一個設備接在brondcast上
*目前支援box-to-box
*完全的standby
遊戲公司(非常要求連線的穩定)

RRI-reverse-route-injection(動態產生靜態路由)

State crypto map 知道peerIP add(site-to-site ) RRI會自動在建立連線的peer加入一條靜態路由,但RRIstate效果不大

dynamic cryptomap 不知道peerIP add(remote to-site) RRI會自動在建立連線的peer加入一條靜態路由,但RRIdynamic效果較佳

EASY VPN 設定步驟

1.選擇Easy VPN
2.啟動AAA server
*啟動AAA server 只有SDM建立的user才可登入,故建議要修改AAA登入的方法,建議加入本機使用者帳號,必免AAA server 故障無法登入的狀況
3.建立使用者list
4.設定使用者參數
5.選擇要到套用的介面
6.設定IKE的參數
7.設定transform set
8.設定Group Policy建立好之後的擺放位置
9.
(1)選擇user認證的方法,及建立local使用者


(2)使用AAA server建立使用者

 

Local Group Policy的設定

*當group policy建立在本機時,才可以使用。

1.建立local group policy
2.設定 群組名稱/ pre-shared Key/ 是否建立一個新group policy的IP範圍或沿用舊的
3.設定DNS/WINS server
 
4.設定split Tunneling,設定那些路由要走tunnel出去

5. 增加group policy及安全等級的防護
(1)設定備援VPN server
(2)檢查有無防毒軟體
(3)定期更新key exchange(需要有憑證才可使用)

6.設定user authencication login的次數或指定群組

在 WordPress.com 建立免費網站或網誌.