1 / 23

PIX ASA 7.x - Interface DMZ faisant partie du trafic passant par le Tunnel IPSec

PIX ASA 7.x - Interface DMZ faisant partie du trafic passant par le Tunnel IPSec. Sommaire • Introduction - Prérequis - Composants utilisés • Rappel • Configuration - Schéma du réseau - Configurations • Vérification • Résolution de problèmes

wilkinsonf
Download Presentation

PIX ASA 7.x - Interface DMZ faisant partie du trafic passant par le Tunnel IPSec

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PIX ASA 7.x - Interface DMZ faisant partie du trafic passant par le Tunnel IPSec ccnp_cch

  2. Sommaire • Introduction -Prérequis - Composants utilisés •Rappel •Configuration - Schéma du réseau - Configurations • Vérification • Résolution de problèmes - Effacement des associations de sécurité (SA) ccnp_cch

  3. Introduction Cette configuration permet à deux PIX Cisco avec la version logicielle PIX 7.x de former un tunnel VPN unique depuis l'interface interne et l'interface DMZ (Demilitarized Zone) d'un PIX vers l'autre PIX à travers Internet ou tout autre réseau public qui utilise IPSec. IPSec est une combinaison de standards ouverts qui fournissent confidentialité des données, intégrité des données et authentification de l'origine des données entre deux extrémités IPSec. Prérequis Assurez-vous d'avoir les prérequis avant de tenter cette configuration: ● Outils de base pour IPSec et VPN ● Connaissance de la configuration d'IPSec et d'ISAKMP Composants utilisés Les informations présentées dans ce document sont basées sur les pare-feux Cisco Secure PIX 515E avec PIX Security Appliance version 7.2(1) possédant des interfaces DMZ. Rappel La négociation IPSec peut être divisée en cinq étapes et comprend deux phases IKE (Internet Key Exchange). 1. Un tunnel IPSec est initié par du trafic particulier. Ce trafic est considéré comme particulier ou intéressant quand il passe entre les extrémités IPSec. 2. Dans la phase 1 IKE, les extrémités IPSec négocient la politique IKE Security Asso- ciation établie. Une fois que les extrémités sont authentifiées, un tunnel sécurisé est crée en utilisant ISAKMP (Internet Security Association and Key Management). 3. Dans IKE Phase 2, les extrémités IPSec utilisent le tunnel authentifié et sécurisé pour négocier les paramètres des SA IPSec. La négociation de la politique partagée détermine comment le tunnel IPSec est établi. 4. Le tunnel IPSec est crée et les données sont transférées entre les extrémités IPSec sur la base des paramètres IPSec configurés dans les "transform set" IPSec. 5. Le tunnel IPSec est fermé quand les SAs IPSec sont effacées ou lorsque leur durée de vie expire.Note: La négociation IPSec échoue entre les deux PIX si les Sas des deux phases IKE ne correspondent pas entre les extrémités. ccnp_cch

  4. Extrémités du tunnel 10.2.2.0/24 10.6.6.0/24 PIX1 PIX2 172.16.1.2 172.16.2.5 .5 Internet .2 .2 10.3.3.0/24 .3 10.6.6.6 10.2.2.1 Serveur sur interface DMZ Configuration Dans cette section sont présentées les informations nécessaires à la configuration du tunnel IPSec entre les interfaces interne et DMZ d'un PIX avec un autre PIX. Cette configuration suppose que la configuration du routage de base est déjà faite et que les équipements sont accessibles de bout en out. Dans ce document vous pouvez afficher la configuration avec ces commandes: ● show isakmp ● show isakmp policy ● show access−list ● show crypto ipsec transform−set ● show crypto isakmp sa ● show crypto ipsec sa La formation d'un tunnel sécurisé se produit dans les phases 1 et phase 2 d'IKE. Schéma du réseau ccnp_cch

  5. Configurations Configuration IKE pour des clés pré-partagées Valider IKE sur les interfaces de terminaison IPSec en utilisant la commande isakmp enable. Dans ce scénario, l'interface outside est une interface de terminaison IPSec sur les deux PIX. IKE est configuré sur les deux PIX. Utilisez la commande isakmp enable outside sur les deux PIX. Utilisez la commande isakmp policy pour définir les politiques IKE qui sont utilisées pendant les négociations IKE. Quand vous utilisez cette commande, vous devez affec- ter un niveau de priorité pour que les politiques soient identifiées de manière unique. Dans cas la priorité 10 est affectée à cette politique. PIX1(config)#isakmp policy 10 authentication pre−share PIX1(config)#isakmp policy 10 encryption des PIX1(config)#isakmp policy 10 hash md5 PIX1(config)#isakmp policy 10 group 1 PIX1(config)#isakmp policy 10 lifetime 1000 Cette politique est également faite pour: ● Utiliser une clé pré-partagée ● Utiliser un algorithme de hachage MD5 pour l'authentification des données ● Utiliser DES pour ESP (Encapsulation Security Payload) ● Utiliser Diffie-Hellman groupe 1 ● Fixer la durée de vie de la SA Utilisez la commande show isakmp policy pour vérifier si la politique est actuellement configurée avec les paramètres de votre choix. Pour créer et gérer la base de données des enregistrements spécifiques-connexion pour les tunnels IPSec, utilisez la commande tunnel-group en mode de configuration global. le nom du groupe tunnel doit être l'adresse IP de l'autre extrémité. Le type doit être IPSec LAN-to-LAN. En mode de configuration tunnel IPSec, entrez la commande pre-shared-key <Password> comme cela est montré ci-dessous: PIX1(config)#tunnel−group 172.16.2.5 type ipsec−l2l PIX1(config)#tunnel−group 172.16.2.5 ipsec−attributes PIX1(config−tunnel−ipsec)#pre−shared−key cisco ccnp_cch

  6. Configuration de NAT (Network Address Translation) Cette configuration utilise l'exclusion NAT pour le trafic devant passer dans le tunnel. Ceci signifie que le trafic intéressant ne subira pas NAT. Tout autre trafic utilise PAT (Port Address Translation) pour changer l'adresse IP source du paquet par l'adresse IP de l'interface externe (outside). PIX1(config)#access−list NoNAT extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0 PIX1(config)#access−list NoNAT extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0 PIX1(config)#access−list PAT permit ip 10.2.2.0 255.255.255.0 any PIX1(config)#access−list PAT permit ip 10.3.3.0 255.255.255.0 any PIX1(config)#nat (inside) 0 access−list NoNAT PIX1(config)#nat (inside) 1 access−list PAT PIX1(config)#nat (DMZ) 0 access−list NoNAT De manière similaire sur le PIX2, NAT est configuré de manière identique pour le trafic devant passer par le tunnel et tout le reste du trafic est transmis en utilisant PAT. PIX2(config)#access−list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0 PIX2(config)#access−list NoNAT extended permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0 PIX2(config)#nat (inside) 0 access−list NoNAT PIX2(config)#nat (inside) 1 10.6.6.0 255.255.255.0 PIX2(config)#global (outside) 1 interface Configuration IPSec IPSec est initié quand un des PIX reçoit du trafic qui est destiné au réseau interne de l'autre PIX. Ce trafic est le trafic intéressant qui doit être protégé par IPSec. Une liste d'accès est utilisée pour déterminer quel trafic initie IKE et les négociations IPSec. La liste d'accès nommée INTERESTING permet l'envoi du trafic issu des réseaux 10.2.2.0 et 10.3.3.0 sur le PIX1 vers le réseau 10.6.6.0 sur le pare-feu PIX2. PIX1(config)#access−list INTERESTING extended permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0 PIX1(config)#access−list INTERESTING extended permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0 Le "transform set" IPSec définit la politique de sécurité que les extrémités utilisent pour protéger le flux de données. Le "transform set" IPSec est défini par la commande crypto ipsec transform-set et jusqu'à trois "transform set" peuvent être sélectionnés pour définir les protocoles de sécurité IPSec. Cette configuration utilise uniquement deux "transform": ● esp-md5-hmac ● esp-des PIX1(config)#crypto ipsec transform−set my−set esp−des esp−md5−hmac ccnp_cch

  7. Les crypto maps établissent les Sas pour le trafic crypté. Vous devez affecter un nom de map, un numéro de séquence et définir les paramètres de la crypto map pour la créer. La crypto map "mymap" utilise IKE pour établir les Sas IPSec, crypter tout ce qui correspond à la liste d'accès INTERESTING, a une extrémité établie et utilise le "transform set" my-set pour mettre en action la politique de sécurité pour le trafic. PIX1(config)#crypto map mymap 20 match address INTERESTING PIX1(config)#crypto map mymap 20 set peer 172.16.2.5 PIX1(config)#crypto map mymap 20 set transform−set my−set Après avoir défini la crypto map, utilisez la commande crypto map mymap interfaceoutside pour appliquer la crypto map à l'interface. L'interface que vous choisissez doit être une terminaison IPSec.PIX1(config)#crypto map mymap interface outside Configuration PIX1 ccnp_cch

  8. ccnp_cch

  9. ccnp_cch

  10. Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. ● show crypto isakmp sa - Affiche les SAs ISAKMP en cours. PIX1#show crypto isakmp sa Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 172.16.2.5 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE ● show crypto ipsec sa - Affiche les paramètres des Sas IPSec. Dès que vous envoyez du trafic défini comme intéressant entre les réseaux, le tunnel IPsec est monté. Un "ping" entre deux hosts peut être utilisé pour tester la formation du tunnel. C'est la sortie de la commande show crypto ipsec sa sur le PIX1. PIX1#show crypto ipsec sa interface: outside Crypto map tag: mymap, seq num: 20, local addr: 172.16.1.2 access−list INTERESTING permit ip 10.2.2.0 255.255.255.0 10.6.6.0 255.255.255.0 local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0) current_peer: 172.16.2.5 !−−− This verifies that encrypted packets are !−−− sent and receive without any errors. #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199 #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.16.2.5 path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: 80A00578 inbound esp sas: spi: 0xD92F129E (3643740830) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (3824980/28593) IV size: 8 bytes replay detection support: Y ccnp_cch

  11. outbound esp sas: spi: 0x80A00578 (2157970808) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (3824980/28591) IV size: 8 bytes replay detection support: Y Crypto map tag: mymap, seq num: 20, local addr: 172.16.1.2 access−list INTERESTING permit ip 10.3.3.0 255.255.255.0 10.6.6.0 255.255.255.0 local ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0) current_peer: 172.16.2.5 #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199 #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.1.2, remote crypto endpt.: 172.16.2.5 path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: 3D0C2074 inbound esp sas: spi: 0x5B64B9D6 (1533327830) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (3824980/28658) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x3D0C2074 (1024204916) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (3824980/28658) IV size: 8 bytes replay detection support: Y ccnp_cch

  12. C'est la sortie de la commande show crypto ipsec sa sur le PIX1. PIX2#show crypto ipsec sa interface: outside Crypto map tag: mymap, seq num: 20, local addr: 172.16.2.5 access−list INTERESTING permit ip 10.6.6.0 255.255.255.0 10.3.3.0 255.255.255.0 local ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.3.3.0/255.255.255.0/0/0) current_peer: 172.16.1.2 #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199 #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 172.16.2.5, remote crypto endpt.: 172.16.1.2 path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: 5B64B9D6 inbound esp sas: spi: 0x3D0C2074 (1024204916) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (4274980/28465) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x5B64B9D6 (1533327830) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (4274980/28463) IV size: 8 bytes replay detection support: Y Crypto map tag: mymap, seq num: 20, local addr: 172.16.2.5 access−list INTERESTING permit ip 10.6.6.0 255.255.255.0 10.2.2.0 255.255.255.0 local ident (addr/mask/prot/port): (10.6.6.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0) current_peer: 172.16.1.2 #pkts encaps: 199, #pkts encrypt: 199, #pkts digest: 199 #pkts decaps: 199, #pkts decrypt: 199, #pkts verify: 199 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 199, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 ccnp_cch

  13. local crypto endpt.: 172.16.2.5, remote crypto endpt.: 172.16.1.2 path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: D92F129E inbound esp sas: spi: 0x80A00578 (2157970808) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (4274980/28393) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0xD92F129E (3643740830) transform: esp−des esp−md5−hmac in use settings ={L2L, Tunnel, } slot: 0, conn_id: 1, crypto−map: mymap sa timing: remaining key lifetime (kB/sec): (4274980/28393) IV size: 8 bytes replay detection support: Y Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. ● debug crypto isakmp - Affiche les informations de debug sur les connexions IPSec. ccnp_cch

  14. ccnp_cch

  15. ccnp_cch

  16. ccnp_cch

  17. ● debug crypto ipsec - Affiche les informations de debug sur les connexions IPSec. ccnp_cch

  18. ccnp_cch

  19. ccnp_cch

  20. ccnp_cch

  21. ccnp_cch

  22. ccnp_cch

  23. Effacement les associations de sécurité clear crypto isakmp sa peer 10.6.6.6 efface toutes les SA IPSecpour une extrémité identifiée par un nom de host ou une adresse IP. ● clear [crypto] ipsec sa - Efface les SAs IPsec actives. Le mot-clé crypto est optionnel. ● clear [crypto] isakmp sa - Efface les SAs IKE actives. Le mot-clé crypto est optionnel. ccnp_cch

More Related