Configure el despliegue cero del tacto (ZTD) de las oficinas remotas/spokes VPN

Transcripción

1 Configure el despliegue cero del tacto (ZTD) de las oficinas remotas/spokes VPN Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Configurar Diagrama de la red Flujo de red Autorización SUDI-basada Escenarios de instrumentación Flujo de red Configuración con CA solamente Configuración con CA y el RA Configuraciones/plantilla Verificación Troubleshooting Advertencias conocidas y problemas ZTD vía el USB contra los archivos de configuración predeterminada Summary Información Relacionada Introducción Este documento describe cómo una opción cero del despliegue del tacto (ZTD) es una rentable y una solución escalable para las implementaciones. El despliegue seguro y eficiente y la disposición de los routeres de oficina remota (a veces llamados Spokes) pueden ser una tarea difícil. Las oficinas remotas pudieron ser en las ubicaciones donde está un desafío para tener un ingeniero de campo configurar al router onsite, y la mayoría de los ingenieros eligen no enviar a los routeres radiales preconfigurados debido al coste y al riesgo de seguridad potencial. Prerrequisitos Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: Cualquier router de Cisco IOS que tenga un puerto USB que soporte memorias USB USB. Para los detalles, vea el USB etoken y el soporte de las características del Flash USB.

2 Esta característica se confirma para trabajar en casi cualquier plataforma de Cisco 8xx. Para los detalles, vea el White Paper de los archivos de configuración predeterminada (soporte de las características en las Cisco 800 Series ISR). Otras Plataformas que tienen puertos USB como las series G2 y 43xx/44xx del router del servicio integrado (ISR). Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Protocolo simple certificate enrollment (SCEP) Despliegue cero del tacto vía el USB DMVPN/FlexVPN/Site-to-site VPN La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Configurar Note: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección. Diagrama de la red Flujo de red 1. En el sitio central (la sede de la compañía), una plantilla de la configuración radial se crea. La plantilla contiene el certificado del Certificate Authority (CA) que firmó el certificado del router de eje de conexión VPN.

3 2. La plantilla de configuración se ejemplifica en llave USB en un archivo llamado ciscortr.cfg. Este archivo de configuración contiene la configuración específica del spoke para que el router sea desplegado. Note: La configuración en el USB no contiene ninguna información vulnerable con excepción de los IP Addresses y del certificado de CA. No hay clave privada del spoke o del servidor de CA. 3. Memoria USB se envía a la oficina remota vía el correo o una empresa de distribución del paquete. 4. Envían el router radial también a la oficina remota directamente de la fabricación de Cisco. 5. En la oficina remota, el router está conectado para accionar y telegrafiado a la red como se explica en las instrucciones que se incluyen con memoria USB. Después, memoria USB se inserta en el router. Note: Hay poco a ningunas habilidades técnicas implicadas en este paso, así que puede ser realizado fácilmente por cualquier personal de la oficina. 6. Una vez que el router arranca, lee la configuración de usbflash0:/ciscortr.cfg. Tan pronto como el router haya accionado para arriba, una petición del protocolo simple certificate enrollment (SCEP) se envía al servidor de CA. 7. Al conceder manual o automática del servidor de CA puede ser configurado sobre la base de la política de seguridad de la compañía. Cuando está configurada para el certificado manual que concede, la verificación fuera de banda de la petición SCEP debe ser realizada (comprobación de validación de la dirección IP, validación credencial para el personal que realiza el despliegue, etc.). Este paso pudo diferenciar basado en el servidor de CA se utiliza que. 8. Una vez que la respuesta SCEP es recibida por el router radial, que ahora tiene un certificado válido, la sesión del Internet Key Exchange (IKE) autentica con el concentrador VPN y el túnel establece con éxito. Autorización SUDI-basada El paso 7 implica la verificación manual del pedido de firma de certificado enviado vía el protocolo SCEP, que pudo ser incómodo y difícil de realizarse para los personales no técnicos. Para aumentar la Seguridad y automatizar el proceso, los Certificados seguros del dispositivo de la identificación de dispositivo único (SUDI) pueden ser utilizados. Los Certificados SUDI son Certificados incorporados a los dispositivos ISR 4K. Estos Certificados son firmados por Cisco CA. Cada dispositivo manufacturado se ha publicado con diverso certificado y el número de serie del dispositivo se contiene dentro del Common Name del certificado. El certificado SUDI, el par clave asociado, y su Cadena de certificados entera se salvan en el chip resistente del ancla de la confianza del pisón. Además, el par clave está limitado criptográficamente a un chip específico del ancla de la confianza y la clave privada nunca se exporta. Esta característica hace la reproducción o el spoofing la información de identidad virtualmente imposible. La clave privada SUDI se puede utilizar para firmar la petición SCEP generada por el router. El servidor de CA puede verificar la firma y leer el contenido del certificado SUDI del dispositivo. El servidor de CA puede extraer la información del certificado SUDI (como un número de serie) y realizar la autorización basada en esa información. El servidor de RADIUS puede ser utilizado para responder a tal pedido de autorización. El administrador crea una lista del Routers del spokes y de sus números de serie asociados. Los números de serie se pueden leer en el caso del router por los personales no técnicos. Estos números de serie se salvan en la base de datos del servidor RADIUS y el servidor autoriza las peticiones SCEP basadas en esa información que permita que el certificado sea concedido

4 automáticamente. Observe que el número de serie está atado criptográficamente a un dispositivo específico vía el certificado firmado Cisco SUDI, así que es imposible ser forjado. En resumen, el servidor de CA se configura para conceder automáticamente las peticiones que cumplen ambos estos criterios: Se firman con la clave privada asociada a un certificado firmado por Cisco SUDI CA Son autorizados por el servidor de RADIUS basado en la información del número de serie tomada del certificado SUDI Escenarios de instrumentación El servidor de CA se pudo exponer directamente a Internet, así permitiendo que los clientes realicen la inscripción antes de que el túnel pueda ser construido. El servidor de CA se puede incluso configurar en el mismo router como concentrador VPN. La ventaja de esta topología es simplicidad. La desventaja es Seguridad disminuida pues el servidor de CA se expone directamente para las diversas formas de ataque vía Internet. Alternativamente, la topología puede ser ampliada configurando el servidor de la autoridad de registro. La Función del servidor de la autoridad de registro es evaluar y remitir las solicitudes de firma del certificado válido al servidor de CA. El servidor sí mismo RA no contiene la clave privada de CA y no puede generar los Certificados en sí mismo. En tal despliegue, el servidor de CA no necesita ser expuesto a Internet, que aumenta la seguridad general. ' Flujo de red 1. El router radial crea la petición SCEP, la firma con la clave privada de su certificado SUDI y la envía al servidor de CA. 2. Si la petición se firma correctamente, se genera el pedido de RADIUS. El número de serie se utiliza como parámetro del nombre de usuario. 3. El servidor de RADIUS valida o rechaza la petición. 4. Si se valida la petición, el servidor de CA concede la petición. Si se rechaza, el servidor de CA contesta con hasta que finalice el estatus y el cliente revisa la petición después de que expire un temporizador del retraso.

5 Configuración con CA solamente!ca server radius server RADSRV address ipv auth-port 1812 acct-port 1813 key cisco123 aaa group server radius RADSRV server name RADSRV aaa authorization network SUDI group RADSRV crypto pki server CA! will grant certificate for requests signed by SUDI certificate automatically grant auto trustpoint SUDI issuer-name CN=ca.example.com hash sha256 lifetime ca-certificate 7200 lifetime certificate 3600 crypto pki trustpoint CA rsakeypair CA 2048

6 crypto pki trustpoint SUDI! Need to import the SUDI CA certificate manually, for example with "crypto pki import" command enrollment terminal revocation-check none! Authorize with Radius server authorization list SUDI! SN extracted from cert will be used as username in access-request authorization username subjectname serialnumber!client crypto pki trustpoint FLEX enrollment profile PROF! Serial-number, fqdn and ip-address fields need to be defined, otherwise the interactive prompt will prevent the process from starting automatically serial-number none fqdn none ip-address none! Password needs to be specified to automate the process. However, it will not be used by CA server password 7 110A D5A5E57 subject-name CN=spoke.example.com revocation-check none rsakeypair FLEX 2048 auto-enroll 85 crypto pki profile enrollment PROF! CA server address enrollment url enrollment credential CISCO_IDEVID_SUDI! By pre-importing CA cert you will avoid crypto pki authenticate step. If auto-enroll is configured, enrollment will also start automatically crypto pki certificate chain FLEX certificate ca C A D0609 2A F70D B310E30 0C A F310C30 0A B output truncated ---- quit RADIUS server: The Radius needs to return Access-Accept with the following Cisco AV Pair to enable certificate enrollment: pki:cert-application=all Configuración con CA y el RA!CA server crypto pki server CATEST issuer-name CN=CATEST.example.com,OU=TAC,O=Cisco! will grant the requests coming from RA automatically grant ra-auto crypto pki trustpoint CATEST revocation-check crl rsakeypair CATEST 2048!RA server radius server RADSRV address ipv auth-port 1812 acct-port 1813 key cisco123 aaa group server radius RADSRV server name RADSRV

7 aaa authorization network SUDI group RADSRV crypto pki server RA no database archive! will forward certificate requests signed by SUDI certificate automatically grant auto trustpoint SUDI mode ra crypto pki trustpoint RA! CA server address enrollment url serial-number none ip-address none subject-name CN=ra1.example.com, OU=ioscs RA, OU=TAC, O=Cisco revocation-check crl rsakeypair RA 2048 crypto pki trustpoint SUDI! Need to import the SUDI CA certificate manually, for example with "crypto pki import" command enrollment terminal revocation-check none! Authorize with Radius server authorization list SUDI! SN extracted from cert will be used as username in access-request authorization username subjectname serialnumber!client crypto pki trustpoint FLEX enrollment profile PROF! Serial-number, fqdn and ip-address fields need to be defined, otherwise the interactive prompt will prevent the process from starting automatically serial-number none fqdn none ip-address none! Password needs to be specified to automate the process. However, it will not be used by CA server password 7 110A D5A5E57 subject-name CN=spoke.example.com revocation-check none rsakeypair FLEX 2048 auto-enroll 85 crypto pki profile enrollment PROF! RA server address enrollment url enrollment credential CISCO_IDEVID_SUDI! By pre-importing CA cert you will avoid crypto pki authenticate step. If auto-enroll is configured, enrollment will also start automatically crypto pki certificate chain FLEX certificate ca C A D0609 2A F70D B310E30 0C A F310C30 0A B output truncated ---- quit

8 !CLIENT crypto pki trustpoint FLEX enrollment profile PROF! Serial-number, fqdn and ip-address fields need to be defined, otherwise the interactive prompt will prevent the process from starting automatically serial-number none fqdn none ip-address none! Password needs to be specified to automate the process. However, it will not be used by CA server password 7 110A D5A5E57 subject-name CN=spoke.example.com revocation-check none rsakeypair FLEX 2048 auto-enroll 85 crypto pki profile enrollment PROF! RA server address enrollment url enrollment credential CISCO_IDEVID_SUDI! By pre-importing CA cert you will avoid crypto pki authenticate step. If auto-enroll is configured, enrollment will also start automatically crypto pki certificate chain FLEX certificate ca C A D0609 2A F70D B310E30 0C A F310C30 0A B output truncated ---- quit Configuraciones/plantilla Esta salida de muestra muestra una configuración ejemplar de la oficina remota de FlexVPN que se ponga en memoria USB en el archivo usbflash0:/ciscortr.cfg. hostname client1! interface GigabitEthernet0 ip address dhcp! crypto pki trustpoint client1! CA Server's URL enrollment url These fields needs to be filled, to avoid prompt while doing enroll! This will differ if you use SUDI, please see above serial-number none ip-address none password subject-name cn=client1.cisco.com ou=cisco ou! crypto pki certificate chain client1 certificate ca 01! CA Certificate here quit

9 ! crypto ikev2 profile default match identity remote any authentication remote rsa-sig authentication local rsa-sig pki trustpoint client1 aaa authorization group cert list default default! interface Tunnel1 ip unnumbered GigabitEthernet0 tunnel source GigabitEthernet0 tunnel mode ipsec ipv4! Destination is Internet IP Address of VPN Hub tunnel destination tunnel protection ipsec profile default! event manager applet import-cert! Start importing certificates only after 60s after bootup! Just to give DHCP time to boot up event timer watchdog time 60 action 1.0 cli command "enable" action 2.0 cli command "config terminal"! Enroll spoke's certificate action 3.0 cli command "crypto pki enroll client1"! After enrollement request is sent, remove that EEM script action 4.0 cli command "no event manager applet import-cert" action 5.0 cli command "exit" event manager applet write-mem event syslog pattern "PKI-6-CERTRET" action 1.0 cli command "enable" action 2.0 cli command "write memory" action 3.0 syslog msg "Automatically saved configuration" Verificación Utilize esta sección para confirmar que su configuración funcione correctamente. La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show. Usted puede verificar en el spoke si subieron los túneles: client1#show crypto session Crypto session current status Interface: Tunnel1 Profile: default Session status: UP-ACTIVE Peer: port 500 Session ID: 1 IKEv2 SA: local /500 remote /500 Active IPSEC FLOW: permit ip / / Active SAs: 2, origin: crypto map Usted puede también verificar en el spoke si el certificado fue alistado correctamente: client1#show crypto pki certificates Certificate

10 Status: Available Certificate Serial Number (hex): 06 Certificate Usage: General Purpose Issuer: Subject: Name: client1 hostname=client1 cn=client1.cisco.com ou=cisco ou Validity Date: start date: 01:34:34 PST Apr end date: 01:34:34 PST Apr Associated Trustpoints: client1 Storage: nvram:ca#6.cer CA Certificate Status: Available Certificate Serial Number (hex): 01 Certificate Usage: Signature Issuer: Subject: Validity Date: start date: 01:04:46 PST Apr end date: 01:04:46 PST Apr Associated Trustpoints: client1 Storage: nvram:ca#1ca.cer Troubleshooting Actualmente, no hay información específica de troubleshooting disponible para esta configuración. Advertencias conocidas y problemas Id. de bug Cisco CSCuu El flujo de PnP de las paradas del Asisitente de los Config en las Plataformas G2 pudo hacer el sistema no cargar la configuración del usbflash: /ciscortr.cfg. En lugar el sistema pudo parar en la característica del Asisitente de los Config: client1#show crypto pki certificates Certificate Status: Available Certificate Serial Number (hex): 06 Certificate Usage: General Purpose Issuer: Subject: Name: client1 hostname=client1 cn=client1.cisco.com ou=cisco ou Validity Date: start date: 01:34:34 PST Apr end date: 01:34:34 PST Apr Associated Trustpoints: client1 Storage: nvram:ca#6.cer CA Certificate Status: Available Certificate Serial Number (hex): 01

11 Certificate Usage: Signature Issuer: Subject: Validity Date: start date: 01:04:46 PST Apr end date: 01:04:46 PST Apr Associated Trustpoints: client1 Storage: nvram:ca#1ca.cer Note: Asegúrese de que usted utilice una versión que contenga un arreglo para este defecto. ZTD vía el USB contra los archivos de configuración predeterminada Observe que los archivos de configuración predeterminada ofrecen que este documento utiliza es una diversa característica que el despliegue cero del tacto vía el USB descrito en la descripción del despliegue de las Cisco 800 Series ISR. - Ponga a cero el despliegue del tacto vía el USB Plataformas Soportadas Limitado solamente a pocos 8xx Router. Para los detalles, vea la descripción del despliegue de las Cisco 800 Series ISR Nombre de archivo *.cfg ciscortr.cfg Guarda la configuración en el flash local Sí, automáticamente Archivos de configuración predeterminada Todos los ISR G2, 43xx y 44x No, el administrador del even integrado (EEM) requirió Porque más Plataformas son soportadas por la característica de los archivos de configuración predeterminada, esta tecnología fue elegida para la solución presentada en este artículo. Resumen La configuración predeterminada USB (con el nombre del archivo ciscortr.cfg de memoria USB) da a administradores de la red la capacidad de desplegar al router radial VPN de la oficina remota (pero no limitado apenas al VPN) sin la necesidad de registrar en el dispositivo en el lugar remoto. Información Relacionada Protocolo simple certificate enrollment (SCEP) Despliegue cero del tacto vía el USB DMVPN/FlexVPN/Site-to-site VPN Soporte Técnico y Documentación - Cisco Systems Tecnología del ancla de Cisco