Comunidad de Soporte de Cisco en Español Webcast en vivo:

Transcripción

1 Comunidad de Soporte de Cisco en Español Webcast en vivo: Configuración y Resolución de problemas para GETVPN (Group Encrypted Transport Virtual Private Network) Itzcoatl Espinosa, CCIE Seguridad #33540 HTTS TAC CSE 20 de mayo del 2014

2 El experto del día de hoy es Itzcoatl Espinosa Haga sus preguntas acerca de: Configuración y Resolución de problemas para GETVPN (Group Encrypted Transport VPN) Ingeniero TAC Cisco Confidential 2

3 GETVPN: Configuración y Resolución de Problemas Panel de Expertos Ricardo Prado Ingeniero TAC Paulo de Aguiar Ingeniero TAC Cisco Confidential 3

4 Gracias por su asistencia el día de hoy La presentación incluirá algunas preguntas a la audiencia. Le invitamos cordialmente a participar activamente en las preguntas que le haremos durante la sesión Cisco Confidential 4

5 Historial de Webcasts de la comunidad: Puede encontrar los Webcast de la Comunidad de Soporte de Cisco en español en: comunidad-de-soporte-de-cisco-en-español Cisco Confidential 5

6 Ahora puede realizar sus preguntas al panel de expertos! Use el panel de preguntas y respuestas (Q&A) para preguntar a los expertos ahora. Ellos empezarán a responder.

7 Primera Pregunta a la audiencia Qué tan familiarizado se encuentra con GETVPN (Group Encrypted Transport VPN)? a) Tengo una idea básica de qué es y para qué sirve. b) Tengo conocimiento teórico acerca del equipo, pero sin experiencia práctica. c) He trabajado con el equipo en el laboratorio. d) Lo tengo en una red en producción. Cisco Confidential 7

8 Configuración e Resolución de problemas para GETVPN (Group Encrypted Transport VPN) Itzcoatl Espinosa Ingeniero TAC 20 de mayo 2014

9 Agenda Qué es GETVPN? Conceptos básicos Implementación y configuración Key Server en modo cooperativo (COOP KS) Verificación y resolución de problemas Demo lab Cisco Confidential 9

10 Cisco Confidential 10

11 GETVPN: Group Encrypted Transport Virtual Private Network Nueva generación de VPNs para WAN que no utiliza los tradicionales túneles punto a punto. Se basa en un modelo de seguridad de miembros confiables. Los miembros de un grupo de GETVPN pueden comunicarse entre sí utilizando una política común, por lo que no es necesario la negociación de IPSec entre los GMs. Escalable (conexión cualquier-a-cualquier) Preserva la dirección IP de origen y destino en el encabezado del paquete. Provee seguridad a conexiones WAN privadas. Cifra tráfico sobre redes de MPLS. Cisco Confidential 11

12 Conceptos básicos GDOI. (Group Domain of Interpretation). Protocolo de ISAKMP utilizado para la administración de llaves. Se utiliza en la comunicación entre el KS y los GMs a través del puerto UDP 848. Key Server. Controla y establece las Asociaciones de Seguridad (SAs.) Mantenimiento de las políticas y llaves del grupo. Group Member. Se registra con el Key Server para obtener las IPSEC SAs (Asociaciones de Seguridad) que son necesarias para cifrar el tráfico. Cisco Confidential 12

13 Conceptos básicos KEK (Key Encryption Key). Cifra el mensaje de rekey entre el Key Server y los Group Members. Tiempo de vida KEK. Al menos 3 veces el tiempo TEK. crypto gdoi group GDOI-GROUP1 server local rekey lifetime seconds TEK (Traffic Encryption Key). IPSEC SA utilizadas para la comunicación de los Group Members. Tiempo de vida TEK. Valor recomendo: 2 horas: crypto IPSec profile profile1 set security-association lifetime seconds 7200 Cisco Confidential 13

14 Plataformas y requisitos IOS image version: 12.4(15)T8 and 12.4(22)T2 IOS-XE image version: 12.2(33)XNC Referencia: GETVPN_DIG_version_1_0_External.pdf Cisco Confidential 14

15 GETVPN GETVPN utiliza los siguiente pasos: Key Server GM 1 GM 2 1.Registro del GM al Key Server 2.Autenticación del KS y envio de las políticas de cifrado (SAs) (KEK) 3. Envio de tráfico cifrado entre los GMs. (TEK) 4. Envio de Rekey (KEK) Cisco Confidential 15

16 Configuración del Key Server Instalar llave RSA para el rekey. Ejemplo: crypto key generate rsa modulus 1024 label REKEYRSA Verificar el estado de la llave show crypto key mypubkey rsa Si se tendrá KS en modo cooperativo se debe hacer exportable. crypto key generate rsa modulus 1024 label REKEYRSA exportable Cisco Confidential 16

17 Rekey (Distribución de las llaves) Sirve para el envío de políticas. El KS monitorea el tiempo de vida (lifetime) del SA, manda un rekey antes de que expire. Las llaves se pueden distribuir de manera unicast o multicast. Multicast. Utilizado en una implementación grande. Es escalable pero requiere una infraestructura que soporte ruteo multicast. Unicast. El GM requiere confirmar de recibido al KS. Cisco Confidential 17

18 Rekey (Distribuición del las llaves) Los siguientes cambios generarán un rekey por parte del Key Server. Modificar la ACL del crypto Modificar el IPSec transform set. Cambiar el tipo de rekey (unicast a multicast o viceversa). Cambiar la dirección multicast del rekey. Cambiar la llave RSA para el rekey. Modificar la configuración del perfil del crypto Habilitar o deshabilitar detección de anti-replay Cisco Confidential 18

19 Implementación de GETVPN Instalar los KS en sitios separados geográficamente. Se puede utilizar rekey en unicast en implementaciones de hasta 2000 GMs. Usar certificados en lugar de llave pre-shared para mayor escalabilidad y seguridad. Cuando existen mas de 1000 GMs y políticas largas, los mensajes de rekey pueden ser muy grandes. En ocasiones se recomienda incrementar el tamaño del buffer en el KS buffers huge size Cisco Confidential 19

20 Implementación de GETVPN La red debe ser alcanzable entre los Key Servers y Group Members. El router CE (Customer Edge) debe tener el hardware de cifrado apropiado para manejar la cantidad de tráfico esperado. Si existe un firewall en el medio, verificar que no estén bloqueados los siguientes puertos: GDOI (UDP 848). ESP (IP 50). NTP y la Autoridad Certificadora (CA) deben ser alcanzables. Se puede balancear el registro entre los Key Server cambiando el órden en la configuración del GMs Cisco Confidential 20

21 Configuración del ACL del crypto Se recomienda tener la configuración lo mas reducida posible. Colocar entradas de permit y al final tener el deny any any implícito. No utilizar puertos para definir el ACL. Configurar entradas de deny y tener un permit any any. Existe un límite de 100, sin embargo, se ha visto problemas de rendimiento en configuraciones menores. Utilizar una configuración simétrica y sumarizar redes para evitar consumo de la memoria. Ejemplo: permit ip Cisco Confidential 21

22 Configuración del Key Server KS1#show run crypto isakmp policy 1 encr 3des! crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac! crypto ipsec profile profile1 set transform-set 3des-sha! crypto gdoi group group1 identity number 1111 server local rekey address ipv4 rekey_mul rekey retransmit 10 number 2 rekey authentication mypubkey rsa REKEYRSA Políticas Fase I Perfil donde se aplica el transform set Creación del grupo de GETVPN Identificador del grupo Tipo de rekey utilizado Llave usada para el rekey Cisco Confidential 22

23 Configuración del Key Server! continuación sa ipsec 1 profile profile1 match address ipv4 getvpn_acl replay counter window-size 64 address ipv ! ip access-list extended getvpn_acl permit ip host host permit ip host host !! ip access-list extended rekey_mul permit ip host host permit ip host host Políticas de Fase II (IPSEC) Crypto ACL Dirección ip del servidor ACL del cifrado ACL para el rekey en multcast Cisco Confidential 23

24 Configuración del Group Member GM GM#show run crypto isakmp policy 1 encr 3des! crypto gdoi group group1 identity number 1111 server address ipv server address ipv ! crypto map gdoi_map 1 gdoi set group group1! interface Ethernet0/0 ip address crypto map gdoi_map Políticas de Fase I Creación del grupo de GETVPN Identificador del grupo Servidor primario para el registro Servidor secundario Aplicación del grupo en el crypto map Aplicación del crypto map a la interfaz Cisco Confidential 24

25 Cisco Confidential 25

26 Segunda Pregunta a la audiencia Qué tan familiarizado se encuentra con el ambiente de GETVPN en modo cooperativo? a) Conozco el concepto. b) Tengo el conocimiento teórico necesario. c) Lo he hecho funcionar en el laboratorio. d) Lo tengo funcionando en mi red. Cisco Confidential 26

27 Coop Key Server Utilizado en grandes implementaciones para asegurar redundancia y registro de todos los GMs. El KS primario es el encargado de crear y distribuir las políticas de cifrado. Envía actualizaciónes a otros KS para mantener la sincronía. El KS secundario mantiene un seguimiento del estado del KS Primario (Alive o Dead). Si el KS secundario deja de recibir mensajes de COOP por parte del primario, este transiciona al estado primario. El registro se puede realizar a cualquier KS para realizar balanceo de cargas, sin embargo sólo el KS primario distribuye los mensajes de rekey. Cisco Confidential 27

28 Coop Key Server Generar una llave RSA y exportarla a los demás Key Servers. La elección del KS primario se basa en la prioridad más alta. Habilitar ISAKMP keepalive (Dead Peer Detection -DPD). La configuración de GETVPN debe ser igual entre los Key Servers. Si se utilizan certificados PKI para la autenticación del Fase I, se recomienda utilizar una llave RSA diferente. Key Server 1 Key Server 2 GM 1 GM 2 Cisco Confidential 28

29 Configuración del Coop Key Server Generar una llave de tipo exportable crypto key generate rsa modulus 1024 label REKEYRSA exportable Exportar la llave RSA crypto key export rsa REKEYRSA pem terminal 3des <pass code> Importar la llave en los demás KS crypto key import rsa REKEYRSA pem terminal <pass code> Configurar Key Server en modo cooperativo crypto isakmp keepalive 15 periodic! crypto gdoi group GDOI-GROUP1 server local address ipv redundancy local priority 250 peer address ipv Habilitar keepalive Dirección del KS local Habilitar redundancia Prioridad para la elección Dirección del KS par Cisco Confidential 29

30 Cisco Confidential 30

31 Registro del Group Member Registro exitoso de un Group Member May 10 22:56:23.871: %CRYPTO-5-GM_REGSTER: Start registration to KS for group group1 using address May 10 22:56:24.051: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE May 10 22:56:24.051: ISAKMP:(1005):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE May 10 22:56:24.055: GDOI:INFRA:(0): Completed KEK Processing May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111):Completed processing 2 GDOI SA TEK Payloads May 10 22:56:24.055: ISAKMP:(1005): sending packet to my_port 848 peer_port 848 (I) GDOI_IDLE May 10 22:56:24.055: %GDOI-5-GM_REGS_COMPL: Registration to KS complete for group group1 using address May 10 22:56:24.059: GDOI:GM:(0):Registration installed 2 new ipsec SA(s) for group group1. Cisco Confidential 31

32 Verificación del Key Server KS1_CA#show cry gdoi GROUP INFORMATION Group Name : group1 (Multicast) Group Identity : 1111 Group Members : 2 IPSec SA Direction : Both Active Group Server : Local Redundancy : Configured Local Address : Local Priority : 250 Local KS Status : Alive Local KS Role : Primary Group Rekey Lifetime : secs Group Rekey Remaining Lifetime : secs Rekey Retransmit Period : 10 secs Rekey Retransmit Attempts: 2 Group Retransmit Remaining Lifetime : 0 secs IPSec SA Number : 1 IPSec SA Rekey Lifetime: 3600 secs Profile Name : profile1 Replay method : Count Based Replay Window Size : 64 SA Rekey Remaining Lifetime : 2516 secs ACL Configured : access-list getvpn_acl Group Server list : Local Cisco Confidential 32

33 Verificación del Group Member GM1#show crypto gdoi GROUP INFORMATION Group Name : group1 Group Identity : 1111 Rekeys received : 0 IPSec SA Direction : Both Active Group Server : Group Server list : GM Reregisters in : 2426 secs Rekey Received : never Rekeys received Cumulative : 0 After registration : 0 KEK POLICY: Rekey Transport Type : Multicast Lifetime (secs) : Encrypt Algorithm : 3DES Key Size : 192 Sig Hash Algorithm : HMAC_AUTH_SHA Sig Key Length (bits) : 1024 TEK POLICY for the current KS-Policy ACEs Downloaded: Ethernet0/0: IPsec SA: spi: 0x22AF9D8E( ) transform: esp-3des esp-sha-hmac sa timing:remaining key lifetime (sec): (2549) Anti-Replay(Counter Based) : 64 ACL Downloaded From KS : access-list permit ip host host access-list permit ip host host Cisco Confidential 33

34 Verificación del Group Member Una vez registrado el GM, se debe tener verificar el rekey: GM1#show cry isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status GDOI_REKEY 1006 ACTIVE GDOI_IDLE 1005 ACTIVE Los GMs deben recibir periódicamente los rekeys. GM#00:02:51: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from to with seq # 1 GM# 00:03:02: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from to with seq # 2 GM# 00:03:12: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from to with seq # 3 Cisco Confidential 34

35 Verificación del Coop KS KS1_CA#show cry gdoi ks coop Crypto Gdoi Group Name :group1 Group handle: , Local Key Server handle: Local Address: Local Priority: 250 Local KS Role: Primary, Local KS Status: Alive Primary Timers: Peer Sessions: Session 1: Server handle: Peer Address: Peer Priority: 100 Peer KS Role: Secondary, Peer KS Status: Alive Antireplay Sequence Number: 4 IKE status: Established Counters: KS2#show crypto gdoi ks coop Crypto Gdoi Group Name :group1 Group handle: , Local Key Server handle: Local Address: Local Priority: 100 Local KS Role: Secondary, Local KS Status: Alive Secondary Timers: Peer Sessions: Session 1: Server handle: Peer Address: Peer Priority: 250 Peer KS Role: Primary, Peer KS Status: Alive Antireplay Sequence Number: 183 IKE status: Established Counters: Cisco Confidential 35

36 Cifrado del tráfico en los GMs GM2#show crypto ipsec sa interface: Ethernet0/0 Crypto map tag: gdoi_map, local addr local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 848 PERMIT, flags={origin_is_acl,} #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0x22AF9D8E( ) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x22AF9D8E( ) transform: esp-3des esp-sha-hmac, outbound esp sas: spi: 0x22AF9D8E( ) transform: esp-3des esp-sha-hmac Cisco Confidential 36

37 Comandos útiles En el Key Server Show crypto gdoi Show crypto gdoi ks acl Show crypto gdoi ks coop Show crypto gdoi ks members Show crypto gdoi ks policy En el Group Member Show crypto gdoi Show crypto gdoi gm acl Show crypto gdoi gm rekey Show crypto gdoi ipsec sa Show crypto isakmp sa Show crypto ipsec sa Cisco Confidential 37

38 Comandos útiles Limpiar el túnel Clear crypto sa Clear crypto isakmp Clear crypto gdoi Nota: El comando clear crypto gdoi ejecutado en el Key Server, limpia todos los registros. Debugs debug crypto gdoi? error Error level event Event level gm ks Group Member Key Server packet Packet level NOTA: El habilitar debugs en un ambiente de producción puede ocasionar problemas de rendimiento en los equipos. Cisco Confidential 38

39 Problemas en el registro del Group Member Verificar conectividad entre el GM y el KS (ping). Si el KS está detrás de un firewall, verificar que GDOI (udp 848) esté permitido. Si se tiene rekey en multicast, verificar que el router esté habilitado para ruteo en multicast. Debido a que IKE fase 1 es utilizado para el registro, verificar que las políticas entre el KS y el GM sean iguales. Si existe un gran número de GMs tratándose de registrar al mismo tiempo puede ocasionar alto CPU en el KS. En caso de utilizar certificados, verificar que estén correctos y sean válidos. Cisco Confidential 39

40 Falla en el cifrado del GM La falla puede darse debido a una diferencia en el SPI (Security Payload Index) entre los GMs causada por una división en la red. Esta división ocasiona que los Key Servers pierdan sincronía y cada uno envíe sus propias llaves TEK. Verificar que estén utilizando el mismo SPI y restaurar la comunicación entre los Key Servers. Cisco Confidential 40

41 Polling Question 3 Cuál de los siguientes cambios, NO generarán un disparo del rekey? a) Modificar el ACL del crypto b) Modificar el tipo de rekey de unicast a multicast. c) Modificar la dirección IP multicast del rekey. d) Modificar el tamaño de la ventana del anti-replay. Cisco Confidential 41

42 Cisco Confidential 42

43 Lab Demo: Topología Cisco Confidential 43

44 Referencias GETVPN deployment guide 07_ html GETVPN Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide %2fproducts%2fcollateral%2fsecurity%2fgroup-encrypted-transportvpn%2fGETVPN_DIG_version_1_0_External.pdf&pos=2&query=getvpn+scalability Cisco Confidential 44

45 Haga sus preguntas ahora Utilize el panel de Q & A para realizar sus preguntas

46 Para llenar la evaluación haga clik en el link que está en el chat, también aparecerá automáticamente al cerrar el browser de la sesión. Cisco Confidential 46

47 Si tiene dudas adicionales pregunte a Itzcóatl, nos ayudará a responder sus preguntas del 20 al 30 de mayo del 2014 Puede ver la grabación de este evento, y leer las preguntas y respuestas en 5 días hábiles en:

48 Martes, 10 de Junio a las: 9:00 a.m. Ciudad de México 9:30 a.m. Caracas 11:00 p.m. Buenos Aires 4:00 p.m. Madrid Con el Experto de Cisco: Ramiro Amaya En la presentación se dará un vistazo general a las tres alternativas que los clientes pueden implementar para dar soluciones de callback o retorno de llamada para evitar que el cliente espere en la línea por un agente. Cisco Confidential 48

49 Martes, 27 de Mayo a las: 9:00 p.m. Ciudad de México 9:30 p.m. Caracas 11:00 p.m. Buenos Aires Con los Expertos de Cisco: Raees Shaikh y Vasanth Kumar Durante este evento en vivo, los expertos en la materia se centrarán en la implementación de Intercluster Servicio de Búsqueda (ILS) redes en implementaciones empresariales, a continuación, utilizando ILS para construir una red de empresa con servicio de datos de usuario (UDS) de descubrimiento de servicios de clientes Jabber Cisco Confidential 49

50 Cisco Confidential 50

51 El reconocimiento al Partcipante Destacado de la Comunidad se otorga a los miembros que demuestran liderazgo y colaboración con la Comunidad, está diseñado para reconocer y agradecer a aquellas personas que colaboran con contenido técnico de calidad y ayudan a posicionar nuestra comunidad como el destino número uno para las personas interesadas en tecnología Cisco. Cisco Confidential 51

52 Ahora puede calificar discusiones, documentos, blogs y videos!!... Esto es con el fin de que nos ayude a distinguir contenido de calidad y también para reconocer los esfuerzos de los integrantes de la Comunidad de Soporte de Cisco en español. Cisco Confidential 52

53 . La Comunidad de Soporte de Cisco cuenta con una aplicación de Acceso Móvil hacia la Comunidades Globales > Español, Portugués, Japonés, Ruso, y Polaco. Cisco Confidential 53

54 CiscoLatinoamerica Cisco Mexico @cisco_spain Cisco Cono Sur Comunidad Cisco @cisco_support 2013 Cisco and/or its affiliates. All rights reserved. 54

55 CiscoLatam ciscosupportchannel Cisco Technical Support CSC-Cisco-Support-Community Escucha nuestros próximos anuncios en Cisco Radio Latina Cisco and/or its affiliates. All rights reserved. 55

56 Cisco Confidential 56

57 Gracias por su tiempo Por favor tome un momento para llenar su evaluación

58