Kategoria: IPsec – Internet Protocol Security

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp

Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list

Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa

Wyświetla

# show crypto isakmp sa active

Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]

Wyświetla

# show crypto isakmp profile

Wyświetla

# show crypto isakmp policy

Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key

Wyświetla

# show crypto isakmp default policy

Wyświetla

# show crypto isakmp diagnose error count

Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa

Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail

Wyświetla

# show crypto map

Wyświetla

Inne komendy show

# show crypto session [detail]

Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime

Wyświetla

# show crypto ipsec security-association idle-time

Wyświetla

# show crypto isakmp sa active

Wyświetla

Komendy debug

# debug crypto isakmp

Debaguje

# debug crypto ipsec

Debaguje

Komendy clear

# clear crypto isakmp

Czyści

# clear crypto sa

Czyści

Pozostałe tematy związane z protokołem IPSec

• Teoria protokołu IPsec
• Troubleshooting protokołu IPsec
• Konfiguracja protokołu IPsec Crypto Map
• Konfiguracja protokołu IPsec ISAKMP Profil
• Konfiguracja protokołu IPsec over GRE
• Konfiguracja protokołu IPsec over DMVPN

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp

Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list

Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa

Wyświetla

# show crypto isakmp sa active

Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]

Wyświetla

# show crypto isakmp profile

Wyświetla

# show crypto isakmp policy

Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key

Wyświetla

# show crypto isakmp default policy

Wyświetla

# show crypto isakmp diagnose error count

Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa

Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail

Wyświetla

# show crypto map

Wyświetla

Inne komendy show

# show crypto session [detail]

Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime

Wyświetla

# show crypto ipsec security-association idle-time

Wyświetla

# show crypto isakmp sa active

Wyświetla

Komendy debug

# debug crypto isakmp

Debaguje

# debug crypto ipsec

Debaguje

Komendy clear

# clear crypto isakmp

Czyści

# clear crypto sa

Czyści

Pozostałe tematy związane z protokołem IPSec

• Teoria protokołu IPsec
• Troubleshooting protokołu IPsec
• Konfiguracja protokołu IPsec Crypto Map
• Konfiguracja protokołu IPsec ISAKMP Profil
• Konfiguracja protokołu IPsec over GRE
• Konfiguracja protokołu IPsec over DMVPN

IPsec Crypto Map + ISAKMP Profil

Konfiguracja polisy isakmp

(conf-keyring)# crypto isakmp profile nazwa-profilu

Tworzy nową polisę ISAKMP.

(conf-isa-prof)# keyring nazwa-keyring

Przypisuje do polisy ISAKMP zestaw kluczy KeyRing.

(conf-isa-prof)# match identity address {adres-IP / 0.0.0.0 0.0.0.0}

(conf-isa-prof)# self-identity address

(conf-isa-prof)# local-address interfejs

Określa źródłowy adres IP (Przypisany do wskazanego interfejsu).

Konfiguracja krypto mapy & listy acl

(config)# ip access-list extended ACL

(config-ext-nacl)# permit ip źródłowy-adres-IP dzika-maska docelowy-adres-IP dzika-maska

(config-ext-nacl)# crypto map nazwa-mapy 1-65535(numer sekwencji) ipsec-isakmp

(config-crypto-map)# match address ACL

(config-crypto-map)# set peer adres-IP

(config-crypto-map)# set transform-set nazwa-set

Połączenie krypto mapy z interfejsem

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# crypto map nazwa-mapy

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp

Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list

Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa

Wyświetla

# show crypto isakmp sa active

Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]

Wyświetla

# show crypto isakmp profile

Wyświetla

# show crypto isakmp policy

Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key

Wyświetla

# show crypto isakmp default policy

Wyświetla

# show crypto isakmp diagnose error count

Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa

Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail

Wyświetla

# show crypto map

Wyświetla

Inne komendy show

# show crypto session [detail]

Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime

Wyświetla

# show crypto ipsec security-association idle-time

Wyświetla

# show crypto isakmp sa active

Wyświetla

Komendy debug

# debug crypto isakmp

Debaguje

# debug crypto ipsec

Debaguje

Komendy clear

# clear crypto isakmp

Czyści

# clear crypto sa

Czyści

Pozostałe tematy związane z protokołem IPSec

• Teoria protokołu IPsec
• Troubleshooting protokołu IPsec
• Konfiguracja protokołu IPsec Crypto Map
• Konfiguracja protokołu IPsec ISAKMP Profil
• Konfiguracja protokołu IPsec over GRE
• Konfiguracja protokołu IPsec over DMVPN

Wstęp do protokołu IPsec

Standaryzacja protokołu IPsec

• RFC 2408 – Definiuje podstawowe założenia protokołu IPsec.
• RFC 2409 – Definiuje protokół IKEv1.
• RFC 4306 – Definiuje protokół IKEv2.
• RFC 3407 – Definiuje protokół IPsec DOI.
• RFC 3947 – Definiuje protokół NAT-T.
• RFC 3948 – Definiuje enkapsulację UDP względem protokołu ESP.

Cechy protokołu IPsec

• Zachowanie poufności / szyfrowanie (Confidentiality) –
• Zachowanie integralności (Data Integrity) –
• Uwierzytelnianie (Authentication) –
• Zapobieganie powtórką (Anti-replay Protection) –

Proces negocjowania połączenia IPsec

• IKEv1 (Internet Key Exchange) (RFC 2409) – Negocjuje a następnie nawiązuje bezpieczne połączenie VPN.
• IKEv2 (Internet Key Exchange) (RFC 4306) –
• ISAKMP (Internet Security Association and Key Management Protocol) –

Negocjacja połączenia IPsec

Metody negocjacji połączenia IPsec

• ESP (Encapsulating Security Payload) – Zapewnia poufność osiąganą za pomocą szyfrowania, uwierzytelnienie drugiej strony połączenia oraz zapewnienia integralność danych.
• AH (Authentication Header) – Zapewnia uwierzytelnienie, zachowanie integralności przesyłanych danych oraz ochronę przed powtórzeniami (Nie zapewniając przy tym szyfrowania). Protokół AH:
  • Zapewnia integralność przesyłanych danych oraz autentykację źródła komunikacji (Provides integrity and origin authentication).
  • Zapewnia autentykację części nagłówka AH (Authenticates portions of the IP header).
  • Zabezpiecza transmisje przed auto-powtarzaniem pakietów (Anti-replay service).
  • Nie zapewnia poufności, szyfrowania (No Confidentiality).
• Tunelowany ESP (Tunneled Encapsulating Security Payload) –
• Tunelowany AH (Tunneled Authentication Header) –
• SA (Security Association) –
• SA lifetime – Wartość czasu w czasie trwania którego, klucze wymienione pomiędzy urządzeniami są akceptowane przez konfigurowane urządzenie. Po upływie określonego w sekundach czasu lifetime, sąsiednie urządzenia muszą ponownie wymienić pomiędzy sobą nowe klucze. Wartość czasu nie musi zgadzać się pomiędzy dwoma urządzeniami, w przypadku niezgodności wykorzystywana będzie najmniejsza wartość skonfigurowana na sąsiednich urządzeniach.

Zaleca się stosowanie tych samych wartości czasu SA lifetime.

Proces negocjowania połączenia IPsec

• IKE Phase 1 – Negocjuje nawiązanie bezpiecznego, uwierzytelnionego połączenia pomiędzy dwoma urządzeniami. Wykorzystując w tym celu wstępnie współdzielone klucze (Preshared Keys) bądź też certyfikaty cyfrowe (Digital Certificates). Klucze współdzielone są wykorzystywane w mniejszych implementacjach protokołu IPsec, natomiast certyfikaty cyfrowe są stosowane w dużych sieciach wymagających wysokiego poziomu bezpieczeństwa oraz mniejszej komplikacji związanej z konfiguracją. Faza pierwsza wymiany IKE definiuje następujące komponenty wykorzystywane podczas negocjacji protokołu IPSec:
  • DH (Diffie-Hellman) – Protokół wykorzystywany w celu bezpiecznej wymiany klucza współdzielonego.
• Faza pierwsza wymiany IKE działa zgodnie z jednym, z poniższych trybów:
  • Main Mode – Domyślny tryb pracy protokołu IPSec, wymienia pomiędzy urządzeniami trzy dwukierunkowe wiadomości:
    • Pierwsza wymiana – Określa jakie algorytmy oraz jakie metody haszowania będą wykorzystywane.
    • Druga wymiana – Wykorzystuje protokół DH w celu wymiany klucza pomiędzy urządzeniami.
    • Trzecia wymiana – Weryfikuje tożsamość drugiej strony wykorzystując jako wartość identyfikacyjną adres IP sąsiada. Głównym celem trybu Main Mode jest stworzenie bezpiecznego połączenia za pomocą którego będą przesyłane informacje umożliwiające nawiązanie końcowego połączenia IPsec.
  • Aggressive Mode – Szybszy a tym samym mniej bezpieczny tryb pracy protokołu IPsec, prowadzący wymianę klucza bez wcześniejszego zestawienia bezpiecznego połączenia, przez co proces ten jest narażony na podsłuch.

W trybie Main Mode wymiana druga jak i trzecia jest szyfrowana, natomiast w trybie Aggressive Mode szyfrowana może być (lecz zgodnie ze standardami RFC nie musi) jedynie ostatnia z wymienianych wiadomości.

Faza pierwsza wymiany IKE wykorzystuje protokół UDP na porcie 500 (W sytuacji zastosowania protokołu NAT port zostaje zmieniony na 4500). Tymczasem druga Faza dziedziczy port po fazie pierwszej (500 bądź 4500).

• IKE Phase 2 – Negocjuje wymianę danych protokołu SA, w celu nawiązania bezpiecznego połączenia IPsec, jak i:
  • Negocjuje parametry protokołu IPsec SA pod ochroną istniejącego tunelu fazy pierwszej.
  • Nawiązuje asocjację protokołu IPsec SA (IPSec security associations).
  • Okresowo renegocjuje połączenie IPsec SA w celu zapewnienia większego poziomu bezpieczeństwa.
  • Opcjonalnie dokonuje dodatkowej wymiany DH.
• Faza druga wymiany IKE stosuje jedynie jeden tryb Quick Mode, aktywowany zaraz po nawiązaniu bezpiecznego połączenia w fazie pierwszej IKE. Umożliwia on wymianę informacji niezbędnych do nawiązania połączenia IPsec.

Algorytmy protokołu IPsec

Metody Autentykacji (Authentication metod)

• Symetric Key Exchange –
• Asymetric Key Exchange –
• PSK (Pre Share Key) –
• RSA (Rivest-Shamir Adelman Algorithm) –

Certyfikaty podpisu cyfrowego

• DSA (Digital Signature Algorithm) –
• ECDSA (Elliptic Curve Digital Signature Algorithm) –

Algorytmy szyfrujące (Encryption Algorithm)

• DES (Data Encryption Standard) –
• AES (Advanced Encryption Standard) –

Algorytmy haszujące (Hash Algorithm)

• SHA (Secure Hash Algorithm) –
• MD5 (Message-Digest Algorithm) –

Wymiana klucza (Diffie-Hellman Group)

• DH (Diffie-Hellman) –

Pozostałe tematy związane z protokołem IPSec

• Teoria protokołu IPsec
• Troubleshooting protokołu IPsec
• Konfiguracja protokołu IPsec Crypto Map
• Konfiguracja protokołu IPsec ISAKMP Profil
• Konfiguracja protokołu IPsec over GRE
• Konfiguracja protokołu IPsec over DMVPN

Konfiguracja IPsec Crypto Map

System Cisco IOS posiada szereg zdefiniowanych szablonów polis ISAKMP, które można wyświetlić za pomocą komendy [show crypto isakmp policy] (Po skonfigurowaniu własnej polisy, domyślne polisy nie są już wyświetlane).

Konfiguracja krypto mapy & listy acl

(config)# ip access-list extended ACL

(config-ext-nacl)# permit ip źródłowy-adres-IP dzika-maska docelowy-adres-IP dzika-maska

(config-ext-nacl)# crypto map nazwa-mapy 1-65535(numer sekwencyjny) ipsec-isakmp

(config-crypto-map)# match address ACL

(config-crypto-map)# set peer adres-IP

(config-crypto-map)# set transform-set nazwa-set

Połączenie krypto mapy z interfejsem

(config-if)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# crypto map nazwa-mapy

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp

Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list

Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa

Wyświetla

# show crypto isakmp sa active

Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]

Wyświetla

# show crypto isakmp profile

Wyświetla

# show crypto isakmp policy

Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key

Wyświetla

# show crypto isakmp default policy

Wyświetla

# show crypto isakmp diagnose error count

Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa

Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail

Wyświetla

# show crypto map

Wyświetla

Inne komendy show

# show crypto session [detail]

Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime

Wyświetla

# show crypto ipsec security-association idle-time

Wyświetla

# show crypto isakmp sa active

Wyświetla

Komendy debug

# debug crypto isakmp

Debaguje

# debug crypto ipsec

Debaguje

Komendy clear

# clear crypto isakmp

Czyści

# clear crypto sa

Czyści

Pozostałe tematy związane z protokołem IPSec

• Teoria protokołu IPsec
• Troubleshooting protokołu IPsec
• Konfiguracja protokołu IPsec Crypto Map
• Konfiguracja protokołu IPsec ISAKMP Profil
• Konfiguracja protokołu IPsec over GRE
• Konfiguracja protokołu IPsec over DMVPN

Stany komendy [show crypto isakmp sa / show crypto session detail]

• Stany występujące w trybie Main Mode:
  • MM_NO_STATE – Proces ISAKMP został rozpoczęty ale nie mógł być kontynuowany z powodu problemów związanych z łącznością
  • MM_SA_SETUP – Obydwa urządzenia wynegocjowały warunki połączenia.
  • MM_KEY_EXCH – Obydwa urządzenia dokonały wymiany klucza DH, generując przy tym bezpieczne klucze (Secret Keys). Jeżeli stan ten trwa z byt długo, może oznaczać on problemy z poprawnością klucza.
  • MM_KEY_AUTH – Proces ISAKMP został zakończony, stan połączenia zostanie przeniesiony do (QM_IDLE).
• Stany występujące w trybie Aggressive Mode:
  • AG_NO_STATE – Proces ISAKMP został rozpoczęty ale nie mógł być kontynuowany z powodu problemów z łącznością.
  • AG_INIT_EXCH – Urządzenia wymieniły pierwsze pakiety, ale nie zostały jeszcze uwierzytelniony.
  • AG_AUTH – Proces ISAKMP został zakończony, stan połączenia zostanie przeniesiony do (QM_IDLE).
• Stany występujące w trybie Quick Mode:
  • QM_IDLE – Proces ISAKMP SA jest bezczynny jak i uwierzytelniony.
• Status połączenia IPsec:
  • Up-Active – Połączenie IPsec jest podniesione (Up) oraz aktywne (Active), dane są przesyłane.
  • Up-IDLE – Połączenie IPsec jest podniesione (Up), jednak dane nie są przesyłane.
  • Down-Negotiating – Połączenie IPsec jest zamknięte (Down), trwa negocjacja parametrów.
  • Down – Połączenie IPsec jest zamknięte (Down).

Pozostałe tematy związane z protokołem IPSec

• Teoria protokołu IPsec
• Troubleshooting protokołu IPsec
• Konfiguracja protokołu IPsec Crypto Map
• Konfiguracja protokołu IPsec ISAKMP Profil
• Konfiguracja protokołu IPsec over GRE
• Konfiguracja protokołu IPsec over DMVPN