FlexVPN con el ejemplo de la configuración de encripción de la última generación

Documentos relacionados
L2TPv3 sobre la guía de configuración de FlexVPN

Contenido. Introducción. Prerequisites. Requisitos

Sitio dinámico para localizar el túnel IKEv2 VPN entre un ASA y un ejemplo de configuración del router IOS

Migración de FlexVPN: Herencia EzVPN-NEM+ y FlexVPN en el mismo servidor

Packet Tracer: Configuración de GRE por IPsec (optativo)

Configurando el IPSec - Claves comodín previamente compartidas con el Cliente Cisco Secure VPN y los Config Ninguno-MODE

IKEv2 con el cliente VPN ágil de Windows 7 IKEv2 y autenticación certificada en FlexVPN

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

ASDM 6.4: Túnel del VPN de sitio a sitio con el ejemplo de configuración IKEv2

En este ejemplo, dos Puentes Cisco Aironet de la serie 350 establece el WEP; el dos Routers configura un túnel IPsec.

Configurar el hub and spoke del router a router del IPSec

IPSec claves generadas manualmente entre el ejemplo de configuración del Routers

Configuración de IPSec entre tres routers mediante el uso de direcciones privadas

Acceso ASA al ASDM de una interfaz interior sobre un ejemplo de la configuración del túnel VPN

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Mensaje de error del Syslog el "%CRYPTO-4- RECVD_PKT_MAC_ERR:" con la pérdida del ping sobre el troubleshooting del túnel IPsec

Configurando a túnel IPSec de red privada a privada del router con el NAT y los parásitos atmosféricos

Papel de la autenticación CHAP configurado bajo interfaz celular

FlexVPN habló en el diseño redundante del concentrador con un ejemplo de configuración dual del acercamiento de la nube

Sitio dinámico para localizar el túnel IKEv2 VPN entre el ejemplo de configuración dos ASA

Ejemplo de configuración usando el comando ip nat outside source static

Configure IPSec sitio a sitio un túnel IKEv1 entre un ASA y un router del Cisco IOS

UD 3:Implantación de técnicas de seguridad remoto. Seguridad perimetral

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

Router y cliente VPN para el Internet pública en un ejemplo de configuración del palillo

Proxy WebRTC de la configuración con CMS sobre Expressway con el dominio dual

Habilitación del Secure Shell (SSH) en un punto de acceso

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Creación de túnel redundante entre los Firewall usando el PDM

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

Acceso del administrador TACACS al ejemplo de configuración convergido de los reguladores del Wireless LAN del acceso

FlexVPN: Acceso Remoto de AnyConnect IKEv2 con el AnyConnect-EAP

VPN sitio a sitio. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 3 SAD

Jabber de Cisco para Windows en el ejemplo de configuración expreso del CallManager

Equilibrio de carga remoto del cliente VPN en el ejemplo de configuración ASA 5500

Configure a una sesión ebgp segura con un IPSec VTI

IPS 5.x y posterior: NTP en el ejemplo de configuración IPS

Configuración que abre una sesión el módulo de FirePOWER para los eventos del tráfico del sistema usando el ASDM (Administración del En-cuadro)

Configuración de VPN de IPSec con la clave Preshared IKE y la clave manual en el router WRVS4400N

SSLVPN con el ejemplo de configuración de los Teléfonos IP

ASA 8.x: Renueve y instale el certificado SSL con el ASDM

Configuración del Protocolo de tunelización de la capa 2 (L2TP) por IPSec.

Migración del EzVPN de la herencia al ejemplo de configuración aumentado del EzVPN

Bridging L2 a través de un ejemplo de la configuración de red L3

Túnel VPN de LAN a LAN entre dos PIXes usando el ejemplo de configuración PDM

Configuración de WPA/WPA2 con la clave previamente compartida: IOS 15.2JB y posterior

Cifrado de la última generación CUCM Criptografía elíptica de la curva

Certificado de servidor UCS de la configuración a CIMC

Certificado del CAPF firmado por CA para CUCM

FlexVPN: Acceso Remoto de AnyConnect IKEv2 con el AnyConnect-EAP

PIX: Acceda el PDM de una interfaz exterior sobre un túnel VPN

Tema: Implementación de redes privadas virtuales VPN de sitio a sitio.

Router IOS como Easy VPN Server usando el ejemplo de configuración del profesional de la configuración

Configuración del VPN de acceso remoto de AnyConnect en FTD

OSPF como técnicas del protocolo y de la Loopprevención PE-CE en el ejemplo de la configuración VPN MPLS L3

El IOS PKI Auto-alista, Auto-renovación, y los temporizadores

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Ejemplo de configuración de la autenticación del mensaje del EIGRP

Configuración de ISDN BRI y PRI en Australia

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Uso de números de puerto FTP no estándares con NAT

Qué significan los mensajes "Not On Common Subnet" (No en la subred común) de EIGRP?

REDES PRIVADAS VIRTUALES VPN

Acceso porta administrativo ISE con el ejemplo de configuración de las credenciales AD

DNS SRV en CUCM para IM y el ejemplo de la configuración de servicio de la presencia

Link LSA (tipo LSA 8) e Intra-Área-prefijo (tipo LSA 9)

Ejemplo de configuración ISDN - IP

CISCO Site-to-Site VPN

Configuración del fax en Cisco WS-X6624 con un gateway de H.323

Contenido. Introducción. Prerrequisitos. Requisitos

IPSec entre el PIX y el Cliente Cisco VPN que usa el ejemplo de configuración de los Certificados de Smartcard

Contenido. Introducción. prerrequisitos. Requisitos. Componentes Utilizados

Ejemplo de configuración local de la autenticación Web del portal del invitado del Identity Services Engine

NetFlow Flexible que filtra con el monitor de rendimiento

Configuraciones iniciales para OSPF sobre un link punto a punto

Configuración básica de MPLS usando OSPF

Configurar el router a router, el Pre-shared del IPSec, sobrecarga NAT entre un soldado y una red pública

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Instale la clave de activación o las teclas de función del producto del servidor del TelePresence

Configure el despliegue cero del tacto (ZTD) de las oficinas remotas/spokes VPN

Delegación del prefijo de la configuración en el escenario de VPDN

Infraestructura del software que reconoce VRF de la configuración (VASI) NAT en IOS-XE

Servidor configurado terminal con las opciones de menú

Configurar el IPSec dinámica a estática de router a router con NAT

Configuración de una clave previamente compartida WPA2 (PSK) Configuración de la autenticación abierta

Despliegue de FlexVPN: Acceso Remoto de AnyConnect IKEv2 con el EAP-MD5

Implementación de la mejora de las características ASA SNMP

Túnel ipsec de LAN a LAN entre un Cisco VPN 3000 Concentrator y un router con el ejemplo de configuración AES

Equilibrio de carga VPN en el CS en el ejemplo de configuración del modo dirigido

IPS 7.X: Autenticación de ingreso del usuario al sistema usando ACS 5.X como ejemplo de la configuración de servidor de RADIUS

Configurar al cliente VPN 3.x para conseguir un certificado digital

Configurar el Cisco VPN 3000 Concentrator 4.7.x para conseguir un certificado digital y un certificado SSL

Agujero negro accionado telecontrol del IPV6 de la configuración con el IPv6 BGP

Configuración RADIUS DTL en el Identity Services Engine

Transcripción:

FlexVPN con el ejemplo de la configuración de encripción de la última generación Contenido Introducción Cifrado de la última generación Habitación Suite-B-GCM-128 prerrequisitos Requisitos Componentes Utilizados Certificate Authority Configurar Topología de red Pasos requeridos para permitir al router para utilizar el Digital Signature Algorithm elíptico de la curva Configuración Verifique la conexión Troubleshooting Conclusión Introducción Este documento describe cómo configurar un FlexVPN entre dos Routers que soporte la última generación de Cisco que el cifrado (NGE) fijó de los algoritmos. Cifrado de la última generación La criptografía de Cisco NGE asegura la información que viaja sobre las redes que utilizan cuatro configurables, establecido, y los algoritmos criptográficos del public domain: Cifrado basado en el Advanced Encryption Standard (AES), que utiliza el 128-bit o las claves del 256-bit Firmas digitales con el Digital Signature Algorithm elíptico de la curva (ECDSA) que ese uso curva con el 256-bit y los módulos primeros del 384-bit Intercambio de claves que utiliza el método elíptico de Diffie Hellman de la curva (ECDH) El desmenuzar (huellas dactilares digitales) basado en el algoritmo de troceo seguro 2 (SHA- 2) Los estados del National Security Agency (NSA) que estos cuatro algoritmos en la combinación ofrecen la garantía de la información adecuada para la información clasificada. La criptografía de la habitación B NSA para el IPSec se ha publicado como estándar en el RFC 6379 y ha ganado la

aceptación en la industria. Habitación Suite-B-GCM-128 Según el RFC 6379, estos algoritmos se requieren para la habitación Suite-B-GCM-128. Esta habitación proporciona la protección y la confidencialidad de la integridad del Encapsulating Security Payload (ESP) con el 128-bit AES-GCM (véase el RFC4106). Esta habitación debe ser utilizada cuando se necesitan la protección y el cifrado ambas de la integridad ESP. ESP Cifrado AES con las claves y el valor de la verificación de la integridad 16-octet (ICV) del 128-bit en Galois/el modo contrario (GCM) (RFC4106) FALTA DE INFORMACIÓN de la integridad IKEv2 Cifrado AES con las claves del 128-bit en el modo del Cipher Block Chaining (CBC) (RFC3602) Función pseudoaleatoria HMAC-SHA-256 (RFC4868) Integridad HMAC-SHA-256-128 (RFC4868) Grupo al azar del 256-bit ECP del grupo Diffie-Hellman (RFC5903) Más información sobre la habitación B y NGE se puede encontrar en el cifrado de la última generación. Prerequisites Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: FlexVPN Intercambio de claves de Internet versión 2 (IKEv2) IPSec Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Hardware Ese de la generación 2 (G2) del Routers de los Servicios integrados (ISR) ejecutado la licencia de la Seguridad. Software: Versión 15.2.3T2 del Cisco IOS Software. Cualquier versión de la versión de Cisco IOS Software puede ser utilizada M o 15.1.2T o más adelante puesto que es ésta cuando GCM fue introducido. Para los detalles, refiera al navegador de la característica. La información que contiene este documento se creó a partir de los dispositivos en un ambiente

de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Certificate Authority Actualmente, el Cisco IOS Software no soporta un servidor local del Certificate Authority (CA) que ejecute ECDH, que se requiere para el paquete B. Un servidor del otro vendedor CA debe ser implementado. Este ejemplo utiliza Microsoft CA basado en el paquete B PKI Configurar Topología de red Esta guía se basa en esta topología ilustrada. Los IP Addresses se deben enmendar para adaptarse a sus requisitos. Notas: La configuración consiste en dos Routers conectado directamente, que pudieron ser separados por muchos saltos. Si es así asegúrese de que haya una ruta a conseguir al IP Address de Peer. Esta configuración detalla solamente el cifrado usado. La encaminamiento IKEv2 o un Routing Protocol se debe implementar sobre el IPSec VPN. Pasos requeridos para permitir al router para utilizar el Digital Signature Algorithm elíptico de la curva 1. Cree el Domain Name y el nombre de host, que son requisitos previos para crear un keypair EC. ip domain-name cisco.com hostname Router1 crypto key generate ec keysize 256 label Router1.cisco.com Note: A menos que usted funcione con una versión con el arreglo para el Id. de bug Cisco CSCue59994, el router no permitirá que usted aliste un certificado con un keysize

2. menos de 768. Cree un trustpoint local para ganar un certificado de CA. crypto pki trustpoint ecdh enrollment terminal revocation-check none eckeypair Router1.cisco.com 3. Note: Puesto que CA era offline, los controles de la revocación fueron inhabilitados. Los controles de la revocación se deben habilitar para la seguridad máxima en un entorno de producción. Autentique el trustpoint (esto obtiene una copia del certificado de CA que contiene la clave pública). crypto pki authenticate ecdh 4. Ingrese el certificado codificado base64 del CA en el prompt. Ingrese salido y después ingrese sí para validar. 5. Aliste al router en el PKI en CA. crypto pki enrol ecdh 6. La salida visualizada se utiliza para presentar un pedido de certificado a CA. Para Microsoft CA, conecte con la interfaz Web de CA y selecto presente un pedido de certificado. 7. Importe el certificado recibido de CA en el router. Ingrese salido una vez que se importa el certificado. crypto pki import ecdh certificate Configuración La configuración proporcionada aquí está para el router1. El router2 requiere un espejo de la configuración donde solamente están únicos los IP Addresses en la interfaz del túnel. 1. Cree una correspondencia del certificado para hacer juego el certificado del dispositivo de peer. crypto pki certificate map certmap 10 subject-name co cisco.com 2. Configure la oferta IKEv2 para la habitación B. crypto ikev2 proposal default encryption aes-cbc-128

integrity sha256 group 19 3. Note: Los valores por defecto elegantes IKEv2 implementan varios algoritmos preconfigurados dentro de la oferta del valor por defecto IKEv2. Puesto que aes-cbc-128 y sha256 se requieren para la habitación Suite-B-GCM-128, usted debe quitar aes-cbc-256, sha384, y sha512 dentro de estos algoritmos. La razón de esto es que IKEv2 elige el algoritmo más fuerte cuando está presentado con una opción. Para la seguridad máxima, el uso aes-cbc-256 y sha512. Sin embargo, esto no se requiere para Suite-B-GCM-128. Para ver la oferta configurada IKEv2, ingrese el comando crypto de la oferta ikev2 de la demostración. Configure el perfil IKEv2 para hacer juego la correspondencia del certificado y para utilizar ECDSA con el trustpoint definido anterior. crypto ikev2 profile default match certificate certmap identity local dn authentication remote ecdsa-sig authentication local ecdsa-sig pki trustpoint ecdh 4. Configure el IPSec transforman para utilizar GCM. crypto ipsec transform-set ESP_GCM esp-gcm mode transport 5. Configure el perfil de ipsec con los parámetros configurados anterior. crypto ipsec profile default set transform-set ESP_GCM set pfs group19 set ikev2-profile default 6. Configure la interfaz del túnel. interface Tunnel0 ip address 172.16.1.1 255.255.255.0 tunnel source Gigabit0/0 tunnel destination 10.10.10.2 tunnel protection ipsec profile default Verifique la conexión Utilize esta sección para confirmar que su configuración funcione correctamente. 1. Verifique que las claves ECDSA fueran generadas con éxito. Router1#show crypto key mypubkey ec

% Key pair was generated at: 04:05:07 JST Jul 6 2012 Key name: Router1.cisco.com Key type: EC KEYS Storage Device: private-config Usage: Signature Key Key is not exportable. Key Data: 30593013 06072A86 48CE3D02 0106082A 8648CE3D 03010703 4200048F 2B0B5B5E (...omitted...) 2. Verifique que el certificado fuera importado con éxito y que ECDH está utilizado. Router1#show crypto pki certificates verbose ecdh Certificate Status: Available Version: 3 Certificate Serial Number (hex): 6156E3D5000000000009 (...omitted...) 3. Verifique que IKEv2 SA fuera creado con éxito y utiliza los algoritmos de la habitación B. Router1#show crypto ikev2 sa IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status 1 10.10.10.1/500 10.10.10.2/500 none/none READY Encr: AES-CBC, keysize: 128, Hash: SHA256, DH Grp:19, Auth sign: ECDSA, Auth verify: ECDSA Life/Active Time: 86400/20 sec 4. Verifique que IKEv2 SA fuera creado con éxito y utiliza los algoritmos de la habitación B. Router1#show crypto ipsec sa interface: Tunnel0 Crypto map tag: Tunnel0-head-0, local addr 10.10.10.1 (...omitted...) local crypto endpt.: 10.10.10.1, remote crypto endpt.: 10.10.10.2 plaintext mtu 1466, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0xAC5845E1(2891466209) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0xAEF7FD9C(2935487900) transform: esp-gcm, in use settings ={Transport, } conn id: 6, flow_id: SW:6, sibling_flags 80000000, crypto map: Tunnel0-head-0 sa timing: remaining key lifetime (k/sec): (4341883/3471) IV size: 8 bytes replay detection support: N Status: ACTIVE(ACTIVE) Note: En esta salida, a diferencia en de la versión 1 (IKEv1) del intercambio de claves de

Internet, el valor de grupo del Diffie-Hellman (DH) del Confidencialidad directa perfecta (PFS) muestra como PFS (Y/N): N, grupo DH: ningunos durante la primera negociación de túnel, pero después de que ocurra una reintroducción, los valores correctos muestran. Esto no es un bug aunque el comportamiento se describe en el Id. de bug Cisco CSCug67056. La diferencia entre IKEv1 e IKEv2 es que, en estos últimos, crean a las asociaciones de seguridad del niño (SA) como parte del intercambio sí mismo AUTH. Utilizan al grupo DH configurado bajo correspondencia de criptografía solamente durante la reintroducción. Por lo tanto, usted ve el PFS (Y/N): N, grupo DH: ningunos hasta los primeros reintroducen. Pero con IKEv1, usted ve un diverso comportamiento porque la creación niño SA sucede durante el Quick Mode y el mensaje CREATE_CHILD_SA tiene una disposición para llevar el payload del intercambio de claves que especifica los parámetros DH para derivar un nuevo secreto compartido. Troubleshooting Actualmente, no hay información específica de troubleshooting disponible para esta configuración. Conclusión Los algoritmos criptográficos eficientes y fuertes definidos en NGE ofrecen la garantía a largo plazo que los datos confidencial y la integridad está proporcionados y mantenidos en un costo bajo para procesar. NGE se puede implementar fácilmente con FlexVPN, que proporciona la criptografía del estándar de la habitación B. La Más información en la implementación de Cisco de la habitación B se puede encontrar en el cifrado de la última generación.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback