IKEv2, peer-specific politiky pro negociaci IPSec tunelů

Transkript

1 IKEv2, peer-specific politiky pro negociaci IPSec tunelů Bc. Pavel Kovář Bc. Roman Kaláb Abstrakt: Tento dokument ukazuje možné řešení realizace IPSec tunelů a využití IKEv2 a peer-specific politik pro negociaci zabezpečení. Návrh a zapojení bylo otestováno v laboratorních podmínkách na směrovačích značky Cisco C2900 se systémem IOS 15.3(2)T. Klíčová slova: Cisco, IPSec, IKEv2, politika, zabezpečení, peer-specific 1 Úvod Technologie IPSec Zabezpečení za pomoci IPSec Technologie IKEv Konfigurace směrovačů Popis konfigurace IKEv2 na směrovači A Testování konfigurace Závěr Použitá literatura Příloha Konfigurace směrovače A Konfigurace směrovače B...12 listopad /15

2 1 Úvod Cílem projektu je zprovoznit a otestovat IKEv2 a peer-specific politiky nad IPSec. V textu budou popsány technologie, které se při této konfiguraci využívají a také zapojení a konfigurace sloužící k otestování této technologie. 2 Technologie IPSec IPsec (IP security) je rozšíření protokolu IP. Ze začátku bylo vyvinuto pro IPv6, ale později bylo backportováno také do IPv4. Toto rozšíření se využívá pro zabezpečení libovolného přenosu dat pomocí IP. IPSec umožňuje autentizovat a šifrovat každý IP datagram, po případě provádět pouze autentizaci porvozu. Vzhledem k tomu, že se z pohledu OSI modelu jedná o zabezpečení na síťové vrstvě, je pro aplikace zcela transparentní. Je tedy značně výhodnější než zabezpečení na úrovni vyšší, které již musí mít podporu přímo v aplikaci (např. HTTPS, SSH, FTPS atd.). Pro vytvoření šifrovaného spojení je potřeba vytvořit logický kanál nazývaný Security Association. Vzhledem k tomu, že SA mimo jiné má uloženou zdrojovou a cílovou adresu jako své parametry, jsou tyto kanály vždy jednosměrné, proto je pro obousměrnou komunikaci nutné použít dva. Sestavení SA je realizováno použitím Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP může být implementováno různými způsoby, například předem nastavenými hodnotami včetně bezpečnostních klíčů, pomocí Internet Key Exchange protokolů (IKE a IKEv2), pomocí systému Kerberos (Kerberized Internet Negotiation of Keys KINK) a dalšími. 2.1 Zabezpečení za pomoci IPSec IPSec zabezpečuje komunikaci za pomoci několika základních prvků. Integrita datagramů je zajištěna použitím hash autentizačních kódů zpráv (hash message authentication codes HMAC). Tyto kódy jsou generovány algoritmy MD5 či SHA. Jsou založeny na zabezpečovacím klíči a obsahu IP datagramu. Tyto HMAC jsou pak přiloženy do hlavičky IPSec a mohou být ověřeny přijímající stranou, pokud má přístup k zabezpečovacímu klíči. Pro zabezpečení obsahu proti možnosti přečtení třetí stranou se používá šifrování symetrickými algoritmy. IPSec standard vyžaduje implementaci algoritmu NULL nebo DES. V dnešní době se však spíše používají algoritmy 3DES, AES a Blowfish. Podle nejnovější specifikace (srpen 2014) již není možné použít algoritmus DES a naopak je nezbytné implementovat algoritmus AES a doporučeno implementovat 3DES. Pro zabezpečení proti záznamu datagramů a jejich opětovnému odeslání útočníkem jsou označovány číslem pořadí a v případě příjmu datagramu se starým číslem je tento okamžitě zahozen. 3 Technologie IKEv2 Protokol IKEv2 řeší jeden z největších problémů nastavení zabezpečené komunikace ověření jednotlivých stran a výměnu symetrických bezpečnostních klíčů. IKEv2 protokol používá UDP port 500 pro komunikaci. K ověření stran se obvykle využívá pre-shared keys (PSK), RSA klíče a X.509 certifikáty. Obvykle strany vyjednávají parametry komunikace pouze jednou a poté je použijí pro více IPSec SA (alespoň dvou pro možnost obousměrné komunikace). 4 Konfigurace směrovačů Pro ověření funkčnosti konfigurace jsem použili topologii na obrázku 1 Kompletní konfigurace jednotlivých směrovačů je uvedena v příloze. Obrázek 1: Testovaná topologie listopad /15

3 Zabezpečení pomocí IPsec se provádí pouze s provozem mezi podsítěmi v obr. 1 znázorněnými jako mraky. Na obou směrovačích je nakonfigurován pro odchozí provoz na IPv4 i na IPv6 Rozbočovač (HUB) a připojený počítač slouží pouze pro zachytávání provozu. Inicializace navazování SA se provádí v obou případech pomocí před-sdílených klíčů. 4.1 Popis konfigurace IKEv2 na směrovači A Nastavení názvu a rozhraní směrovače: hostname A interface gigabitethernet 0/0 ip address ipv6 address FC::A/64 no interface gigabitethernet 0/1 ip address ipv6 address FC:A::1/64 no ip route ipv6 route ::/0 FC::B Nastavení access listů: (Paket vyhoví bude zapouzdřen IPsecem) no access-list 101 access-list 101 permit ip no ipv6 access-list ipv6ipsec ipv6 access-list ipv6ipsec permit ipv6 FC:A::/64 FC:B::/64 Povolení a nastavení parametrů šifrování paketů IPsecem: crypto isakmp enable crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac Nastavení IKEv2: crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group crypto ikev2 policy v2pol match address local match address local FC::A proposal v2prop Nabízené šifrovací algoritmy Nabízené hashovací algoritmy Skupiny určují velikost prvočísel diffe-hemlamanova algoritmu Přiřazení proposalů na základě identity vzdálené strany. crypto ikev2 keyring v2kr peer Bv4 address pre-shared-key psisco peer Bv6 address FC::B/64 pre-shared-key psisco listopad /15

4 crypto ikev2 profile v2profv4 match identity remote address identity local address authentication local pre-share authentication remote pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote identity local authentication remote pre-share authentication local pre-share keyring local v2kr Identita protistrany Naše identita Identita protistrany ve formě u Naše identita ve formě u Nastavení IPSec: crypto map v2mapv4 1 ipsec-isakmp set peer set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::B set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec Přiřazení IPSec k rozhraní: interface gigabitethernet 0/0 crypto map v2mapv4 ipv6 crypto map v2mapv6 5 Testování konfigurace Směrovače šifrují pouze provoz mezi /24 a /24 (viz ACL 101). Testování probíhalo pomocí pingování druhého směrovače a sledování komunikace pomocí programu WireShark. Na obrázku je vidět, že nejprve dochází k inicializaci SA, poté k autentizaci a až pak k samotné výměně dat. Ze zvýrazněného řádku v dolní třetině je taktéž vidět použití IKE verze 2. listopad /15

5 Obrázek 2: zachycená komunikace při použití pingu Z následujících výsledků testování je také možno vidět, že komunikace je plně funkční jak na IPv4 tak na v6. První paket by ztracen kvůli prodlevě vzniklé nutností vytvořit tunel pro odeslání a následně druhý pro odpověď. Ping z směrovače A na směrovač B: A#ping ipv6 FC:B::1 source gigabitethernet 0/1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to FC:B::1, timeout is 2 seconds: Packet sent with a source address of FC:A::1. Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms A#ping source gigabitethernet 0/1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Pro nalezení případných chyb v konfiguraci se hodí následující příkaz: debug crypto ikev2 Jak je patrné níže, jeho výpis je sice velmi obsáhlý ale obsahuje užitečné informace, například, že se nepodařilo najít politiku odpovídající identitě protistrany. Příklad výpisu debug crypto ikev2 pro úspěšné vytvoření tunelu: IPv4: *Nov 24 14:14:08.183: IKEv2:% Getting preshared key from profile keyring v2kr *Nov 24 14:14:08.183: IKEv2:% Matched peer block 'Bv4' *Nov 24 14:14:08.183: IKEv2:Searching Policy with fvrf 0, local address *Nov 24 14:14:08.183: IKEv2:Found Policy 'v2pol' listopad /15

6 14 *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Computing DH public key, DH Group 16 *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Request queued for computation of DH key *Nov 24 14:14:08.183: IKEv2:IKEv2 initiator - no config data to send in IKE_SA_INIT exch *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Generating IKE_SA_INIT message *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):IKE Proposal: 1, SPI size: 0 (initial negotiation), Num. transforms: 8 AES-CBC AES-CBC SHA512 SHA1 SHA512 SHA96 DH_GROUP_4096_MODP/Group 16 DH_GROUP_2048_MODP/Group *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Sending Packet [To :500/From :500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : Message id: 0 IKEv2 IKE_SA_INIT Exchange REQUEST SA KE N VID VID NOTIFY(NAT_DETECTION_SOURCE_IP) NOTIFY(NAT_DETECTION_DESTINATION_IP) *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Insert SA *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Received Packet [From :500/To :500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 0 IKEv2 IKE_SA_INIT Exchange RESPONSE SA KE N VID VID NOTIFY(NAT_DETECTION_SOURCE_IP) NOTIFY(NAT_DETECTION_DESTINATION_IP) *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Processing IKE_SA_INIT message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Verify SA init message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Processing IKE_SA_INIT message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Checking NAT discovery *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):NAT not found *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Computing DH secret key, DH Group 16 *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Request queued for computation of DH secret *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Calculate SKEYSEED and create rekeyed IKEv2 SA *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] SKEYSEED calculation and creation of rekeyed IKEv2 SA PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Completed SA init exchange *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Generate my authentication data *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Use preshared key for id , key len 6 *Nov 24 14:14:09.995: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:14:09.995: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Get my authentication method *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):My authentication method is 'PSK' *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Generating IKE_AUTH message *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Constructing IDi payload: ' ' of type 'IPv4 address' *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):ESP Proposal: 1, SPI size: 4 (IPSec negotiation), Num. transforms: 3 AES-CBC SHA512 Don't use ESN *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Building packet for encryption. VID IDi AUTH SA TSi TSr NOTIFY(INITIAL_CONTACT) NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Sending Packet [To :500/From :500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 1 IKEv2 IKE_AUTH Exchange REQUEST ENCR *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Received Packet [From :500/To :500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 1 IKEv2 IKE_AUTH Exchange RESPONSE VID IDr AUTH SA TSi TSr NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Process auth response notify *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Searching policy based on peer's identity ' ' of type 'IPv4 address' *Nov 24 14:14:10.007: IKEv2:Searching Policy with fvrf 0, local address *Nov 24 14:14:10.007: IKEv2:Found Policy 'v2pol' *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Verify peer's policy listopad /15

7 *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Peer's policy verified *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Get peer's authentication method *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Peer's authentication method is 'PSK' *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Get peer's preshared key for *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Verify peer's authentication data *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Use preshared key for id , key len 6 *Nov 24 14:14:10.007: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:14:10.007: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Verification of peer's authenctication data PASSED *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Processing IKE_AUTH message *Nov 24 14:14:10.011: IKEv2:KMI/verify policy/sending to IPSec: prot: 3 txfm: 12 hmac 7 flags 8177 keysize 128 IDB 0x0 *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):IKEV2 SA created; inserting SA into database. SA lifetime timer (86400 sec) started *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Session with IKE ID PAIR ( , ) is UP *Nov 24 14:14:10.011: IKEv2:IKEv2 MIB tunnel started, tunnel index 1 *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Load IPSEC key material *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):[IKEv2 -> IPsec] Create IPsec SA into IPsec database *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Asynchronous request queued *Nov 24 14:14:10.011: IKEv2:(SA ID = 1): *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):[IPsec -> IKEv2] Creation of IPsec SA into IPsec database PASSED *Nov 24 14:14:10.015: IKEv2:(SA ID = 1):Checking for duplicate IKEv2 SA *Nov 24 14:14:10.015: IKEv2:(SA ID = 1):No duplicate IKEv2 SA found IPv6: *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Processing IKE_SA_INIT message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Verify SA init message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Processing IKE_SA_INIT message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Checking NAT discovery *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):NAT not found *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):[IKEv2 -> Crypto Engine] Computing DH secret key, DH Group 16 *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):Request queued for computation of DH secret *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[IKEv2 -> Crypto Engine] Calculate SKEYSEED and create rekeyed IKEv2 SA *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[Crypto Engine -> IKEv2] SKEYSEED calculation and creation of rekeyed IKEv2 SA PASSED *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):Completed SA init exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Generate my authentication data *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Use preshared key for id A@vsb.cz, key len 6 *Nov 24 14:15:00.175: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:15:00.175: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Get my authentication method *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):My authentication method is 'PSK' *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Generating IKE_AUTH message *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Constructing IDi payload: 'A@vsb.cz' of type 'RFC822 address' *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):ESP Proposal: 1, SPI size: 4 (IPSec negotiation), Num. transforms: 3 AES-CBC SHA512 Don't use ESN *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Building packet for encryption. VID IDi AUTH SA TSi TSr NOTIFY(INITIAL_CONTACT) NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Sending Packet [To FC::B:500/From FC::A:500/VRF i0:f0] Initiator SPI : 6A8B7102DC07F041 - Responder SPI : E4919E76A5431BF3 Message id: 1 IKEv2 IKE_AUTH Exchange REQUEST ENCR *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Received Packet [From FC::B:500/To FC::A:500/VRF i0:f0] Initiator SPI : 6A8B7102DC07F041 - Responder SPI : E4919E76A5431BF3 Message id: 1 IKEv2 IKE_AUTH Exchange RESPONSE VID IDr AUTH SA TSi TSr NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Process auth response notify listopad /15

8 *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Searching policy based on peer's identity 'B@vsb.cz' of type 'RFC822 address' *Nov 24 14:15:00.183: IKEv2:Searching Policy with fvrf 0, local address FC::A *Nov 24 14:15:00.183: IKEv2:Found Policy 'v2pol' *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Verify peer's policy *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Peer's policy verified *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Get peer's authentication method *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Peer's authentication method is 'PSK' *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Get peer's preshared key for B@vsb.cz *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Verify peer's authentication data *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Use preshared key for id B@vsb.cz, key len 6 *Nov 24 14:15:00.187: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:15:00.187: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Verification of peer's authenctication data PASSED *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Processing IKE_AUTH message *Nov 24 14:15:00.187: IKEv2:KMI/verify policy/sending to IPSec: prot: 3 txfm: 12 hmac 7 flags 8177 keysize 128 IDB 0x0 *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):IKEV2 SA created; inserting SA into database. SA lifetime timer (86400 sec) started *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Session with IKE ID PAIR (B@vsb.cz, A@vsb.cz) is UP *Nov 24 14:15:00.187: IKEv2:IKEv2 MIB tunnel started, tunnel index 2 *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Load IPSEC key material *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):[IKEv2 -> IPsec] Create IPsec SA into IPsec database *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Asynchronous request queued *Nov 24 14:15:00.187: IKEv2:(SA ID = 2): *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):[IPsec -> IKEv2] Creation of IPsec SA into IPsec database PASSED *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):Checking for duplicate IKEv2 SA *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):No duplicate IKEv2 SA found 6 Závěr V projektu se nám podařilo ověřit funkčnost IKEv2, peer-specific politiky pro negociaci IPSec tunelů. Zjistili jsme, že je možné specifikovat politiky na základě IP adresy (IPv4 a IPv6) a také na základě ových adres. Díky tomuto je možné vytvořit různé politiky pro jednotlivé klienty. Cíle tohoto projektu se nám podařilo splnit. 7 Použitá literatura [ 1 ] KÁRA, Michal. Tuneluji, tuneluješ, tunelujeme: IPSec [online] 2003 [cit ] Dostupné z: [ 2 ] SPENNEBERG, Ralph. The official IPsec Howto for Linux [online] 2007 [cit ] Dostupné z: [ 3 ] MANRAL, V. RFC4835 Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) [online] 2007 [cit ] Dostupné z: [ 4 ] MCGREW, D., HOFFMAN P. RFC7321 Cryptographic Algorithm Implementation Requirements and Usage Guidance for Encapsulating Security Payload (ESP) and Authentication Header (AH) [online] 2014 [cit ] Dostupné z: 8 Příloha 8.1 Konfigurace směrovače A A#show running-config Building configuration... Current configuration : 3395 bytes Last configuration change at 14:09:16 UTC Mon Nov version 15.3 listopad /15

9 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname A boot-start-marker boot-end-marker card type command needed for slot/vwic-slot 0/3 no aaa new-model ip cef no ipv6 cef multilink bundle-name authenticated voice-card 0 license udi pid CISCO2901/K9 sn FCZ1635C2J0 license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 hw-module pvdm 0/0 redundancy crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group crypto ikev2 policy v2pol match address local match address local FA::A match address local FC::A proposal v2prop crypto ikev2 keyring v2kr peer Bv4 address pre-shared-key psisco listopad /15

10 peer Bv6 address FC::B/64 pre-shared-key psisco crypto ikev2 profile v2profv4 match identity remote address identity local address authentication remote pre-share authentication local pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote identity local authentication remote pre-share authentication local pre-share keyring local v2kr crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac mode tunnel crypto map v2mapv4 1 ipsec-isakmp set peer set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::B set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address duplex auto speed auto ipv6 address FC::A/64 ipv6 crypto map v2mapv6 crypto map v2mapv4 interface GigabitEthernet0/1 listopad /15

11 ip address duplex auto speed auto ipv6 address FC:A::1/64 interface Serial0/0/0 interface Serial0/0/1 interface Serial0/1/0 interface Serial0/1/1 interface FastEthernet0/2/0 interface FastEthernet0/2/1 interface FastEthernet0/2/2 interface FastEthernet0/2/3 interface Vlan1 ip forward-protocol nd no ip http server no ip http secure-server ip route ipv6 route ::/0 FC::B access-list 101 permit ip ipv6 access-list ipv6ipsec permit ipv6 FC:A::/64 FC:B::/64 listopad /15

12 control-plane mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable mgcp profile default gatekeeper line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all scheduler allocate end 8.2 Konfigurace směrovače B B#show running-config Building configuration... Current configuration : 3163 bytes Last configuration change at 14:11:27 UTC Mon Nov version 15.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname B boot-start-marker boot-end-marker no aaa new-model listopad /15

13 ip cef no ipv6 cef multilink bundle-name authenticated voice-card 0 license udi pid CISCO2901/K9 sn FCZ1706C0W3 license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 license boot module c2900 technology-package datak9 redundancy crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group crypto ikev2 policy v2pol match address local match address local FA::B match address local FC::B proposal v2prop crypto ikev2 keyring v2kr peer Bv4 address pre-shared-key psisco peer Bv6 address FC::A/64 pre-shared-key psisco crypto ikev2 profile v2profv4 match identity remote address identity local address authentication remote pre-share authentication local pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote A@vsb.cz identity local B@vsb.cz authentication remote pre-share listopad /15

14 authentication local pre-share keyring local v2kr crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac mode tunnel crypto map v2mapv4 1 ipsec-isakmp set peer set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::A set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address duplex auto speed auto ipv6 address FC::B/64 ipv6 crypto map v2mapv6 crypto map v2mapv4 interface GigabitEthernet0/1 ip address duplex auto speed auto ipv6 address FC:B::1/64 interface Serial0/0/0 interface Serial0/0/1 interface Serial0/1/0 listopad /15

15 interface Serial0/1/1 ip forward-protocol nd no ip http server no ip http secure-server ip route ipv6 route ::/0 FC::A access-list 101 permit ip ipv6 access-list ipv6ipsec permit ipv6 FC:B::/64 FC:A::/64 control-plane mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable mgcp profile default gatekeeper line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all scheduler allocate end listopad /15