IKEv2, peer-specific politiky pro negociaci IPSec tunelů

Podobné dokumenty
DMVPN na IPv6. Ondřej Folber (fol179) Marek Smolka (smo119)

Zone-Based Firewall a CBAC na Cisco IOS

IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco

Bezpečnost vzdáleného přístupu. Jan Kubr

PROSECOM. Professional Secure Communications. Instalač ní př í řuč ka

TheGreenBow IPSec VPN klient

Vytvoření šifrovaného tunelu Ipsec na směrovačích Cisco a Mikrotik

Zone-Based Firewall a CBAC na Cisco IOS

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

SSL Secure Sockets Layer

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

2N EasyRoute UMTS datová a hlasová brána

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Podpora QoS na DSLAM Zyxel IP Expres IES 1000

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

VŠB - Technická univerzita Ostrava

VPN - Virtual private networks

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

IPsec tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Směrování. 4. Přednáška. Směrování s částečnou znalostí sítě

Základy IOS, Přepínače: Spanning Tree

Projekt k předmětu Směrované a přepínané sítě. Ověření kompatibility implementací OSPF na Cisco IOS a Linuxu - různé typy oblastí

Desktop systémy Microsoft Windows

Protokol LLDP, srovnání s Cisco CDP, možnosti konfigurace na běžných platformách Cisco, Linux, Windows

Semestrální projekt do SPS Protokol RSVP na Cisco routerech

Semestrální projekt do předmětu SPS

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Nástroje pro FlowSpec a RTBH. Jiří Vraný, Petr Adamec a Josef Verich CESNET. 30. leden 2019 Praha

Loop-Free Alternative (LFA)

Zero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

Možnosti Web-based autentizace na Cisco Catalyst 3560

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

VLSM Statické směrování

Nezávislé unicast a multicast topologie s využitím MBGP

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

BEZPEČNOST SLUŽEB NA INTERNETU

PA159 - Bezpečnost na síti II

Site - Zapich. Varianta 1

QoS na MPLS (Diffserv)

IBM i Verze 7.2. Zabezpečení VPN (Virtual Private Networking)

MPLS LDP na přepínané síti. L2 enkapsulace odchozích paketu, vazba na CEF. Rekonvergence v případě ztráty LDP Hello paketu.

SMĚROVANÉ A PŘEPÍNANÉ SÍTĚ semestrální projekt. DHCP snooping. Petr Gurecký gur020

Autentizace na 3Com Switch 4200G pomocí IEEE standardu 802.1x s využitím RADIUS serveru Winradius 4.00

VRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

Semestrální projekt do předmětu TPS

PA159 - Bezpečnostní aspekty

12. Bezpečnost počítačových sítí

ERP-001, verze 2_10, platnost od

Technologie počítačových sítí - ZS 2015/2016 Kombinované studium

VŠB Technická univerzita Ostrava Technologie Počítačových Sítí SSL VPN

Projekt. Howto VRF/VPN na CISCO routerech v. 2. Zpracoval:BU KOVÁ Dagmar, BUC061

Protokol GLBP. Projekt do předmětu Správa počítačových systémů Radim Poloch (pol380), Jan Prokop (pro266)

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Desktop systémy Microsoft Windows

Access Control Lists (ACL)

Použití Virtual NAT interfaces na Cisco IOS

Hypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták

KAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup

Principy a použití dohledových systémů

Technologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

BEZPEČNOST SLUŽEB NA INTERNETU

Projekt VRF LITE. Jiří Otisk, Filip Frank

Identifikátor materiálu: ICT-3-03

Semestrální projekt do předmětu. Technologie počítačových sítí

BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2

Josef Hajas.

Administrace služby - GTS Network Storage

Zabezpečení sítí VPN (Virtual private networking)

Cisco IOS TCL skriptování využití SMTP knihovny

Bezpečnostní problémy VoIP a jejich řešení

Šifrování MPLS provozu: Realizace MPLS nad Cisco DM-VPN

Zabezpečení sítí VPN (Virtual private networking)

Uživatelský modul. WiFi STA

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Počítačové sítě Systém pro přenos souborů protokol FTP

Základní příkazy Cisco IOS pro správu směrovačů a přepínačů

Route reflektory protokolu BGP

Semestrální projekt do SPS. Směrování pomocí MPLS v operačním systému linux

POPIS STANDARDU CEN TC278/WG4. 1 z 5. Oblast: TTI. Zkrácený název: Zprávy přes CN 4. Norma číslo:

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta,

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními

Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky UPS. FTP Klient. A05463 fboranek@atlas.

Tunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

Přednáška 9. Síťové rozhraní. Úvod do Operačních Systémů Přednáška 9

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Desktop systémy Microsoft Windows

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Pokročilé možnosti DHCP serveru v Cisco IOS. Vladimír Jarotek

Multipoint LDP (mldp)

Obsah PODĚKOVÁNÍ...11

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Transkript:

IKEv2, peer-specific politiky pro negociaci IPSec tunelů Bc. Pavel Kovář Bc. Roman Kaláb Abstrakt: Tento dokument ukazuje možné řešení realizace IPSec tunelů a využití IKEv2 a peer-specific politik pro negociaci zabezpečení. Návrh a zapojení bylo otestováno v laboratorních podmínkách na směrovačích značky Cisco C2900 se systémem IOS 15.3(2)T. Klíčová slova: Cisco, IPSec, IKEv2, politika, zabezpečení, peer-specific 1 Úvod...2 2 Technologie IPSec...2 2.1 Zabezpečení za pomoci IPSec...2 3 Technologie IKEv2...2 4 Konfigurace směrovačů...2 4.1 Popis konfigurace IKEv2 na směrovači A...3 5 Testování konfigurace...4 6 Závěr...8 7 Použitá literatura...8 8 Příloha...8 8.1 Konfigurace směrovače A...8 8.2 Konfigurace směrovače B...12 listopad 2014 1/15

1 Úvod Cílem projektu je zprovoznit a otestovat IKEv2 a peer-specific politiky nad IPSec. V textu budou popsány technologie, které se při této konfiguraci využívají a také zapojení a konfigurace sloužící k otestování této technologie. 2 Technologie IPSec IPsec (IP security) je rozšíření protokolu IP. Ze začátku bylo vyvinuto pro IPv6, ale později bylo backportováno také do IPv4. Toto rozšíření se využívá pro zabezpečení libovolného přenosu dat pomocí IP. IPSec umožňuje autentizovat a šifrovat každý IP datagram, po případě provádět pouze autentizaci porvozu. Vzhledem k tomu, že se z pohledu OSI modelu jedná o zabezpečení na síťové vrstvě, je pro aplikace zcela transparentní. Je tedy značně výhodnější než zabezpečení na úrovni vyšší, které již musí mít podporu přímo v aplikaci (např. HTTPS, SSH, FTPS atd.). Pro vytvoření šifrovaného spojení je potřeba vytvořit logický kanál nazývaný Security Association. Vzhledem k tomu, že SA mimo jiné má uloženou zdrojovou a cílovou adresu jako své parametry, jsou tyto kanály vždy jednosměrné, proto je pro obousměrnou komunikaci nutné použít dva. Sestavení SA je realizováno použitím Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP může být implementováno různými způsoby, například předem nastavenými hodnotami včetně bezpečnostních klíčů, pomocí Internet Key Exchange protokolů (IKE a IKEv2), pomocí systému Kerberos (Kerberized Internet Negotiation of Keys KINK) a dalšími. 2.1 Zabezpečení za pomoci IPSec IPSec zabezpečuje komunikaci za pomoci několika základních prvků. Integrita datagramů je zajištěna použitím hash autentizačních kódů zpráv (hash message authentication codes HMAC). Tyto kódy jsou generovány algoritmy MD5 či SHA. Jsou založeny na zabezpečovacím klíči a obsahu IP datagramu. Tyto HMAC jsou pak přiloženy do hlavičky IPSec a mohou být ověřeny přijímající stranou, pokud má přístup k zabezpečovacímu klíči. Pro zabezpečení obsahu proti možnosti přečtení třetí stranou se používá šifrování symetrickými algoritmy. IPSec standard vyžaduje implementaci algoritmu NULL nebo DES. V dnešní době se však spíše používají algoritmy 3DES, AES a Blowfish. Podle nejnovější specifikace (srpen 2014) již není možné použít algoritmus DES a naopak je nezbytné implementovat algoritmus AES a doporučeno implementovat 3DES. Pro zabezpečení proti záznamu datagramů a jejich opětovnému odeslání útočníkem jsou označovány číslem pořadí a v případě příjmu datagramu se starým číslem je tento okamžitě zahozen. 3 Technologie IKEv2 Protokol IKEv2 řeší jeden z největších problémů nastavení zabezpečené komunikace ověření jednotlivých stran a výměnu symetrických bezpečnostních klíčů. IKEv2 protokol používá UDP port 500 pro komunikaci. K ověření stran se obvykle využívá pre-shared keys (PSK), RSA klíče a X.509 certifikáty. Obvykle strany vyjednávají parametry komunikace pouze jednou a poté je použijí pro více IPSec SA (alespoň dvou pro možnost obousměrné komunikace). 4 Konfigurace směrovačů Pro ověření funkčnosti konfigurace jsem použili topologii na obrázku 1 Kompletní konfigurace jednotlivých směrovačů je uvedena v příloze. Obrázek 1: Testovaná topologie listopad 2014 2/15

Zabezpečení pomocí IPsec se provádí pouze s provozem mezi podsítěmi v obr. 1 znázorněnými jako mraky. Na obou směrovačích je nakonfigurován pro odchozí provoz na IPv4 i na IPv6 Rozbočovač (HUB) a připojený počítač slouží pouze pro zachytávání provozu. Inicializace navazování SA se provádí v obou případech pomocí před-sdílených klíčů. 4.1 Popis konfigurace IKEv2 na směrovači A Nastavení názvu a rozhraní směrovače: hostname A interface gigabitethernet 0/0 ip address 10.0.0.1 255.255.255.0 ipv6 address FC::A/64 no interface gigabitethernet 0/1 ip address 192.168.0.1 255.255.255.0 ipv6 address FC:A::1/64 no ip route 0.0.0.0 0.0.0.0 10.0.0.2 ipv6 route ::/0 FC::B Nastavení access listů: (Paket vyhoví bude zapouzdřen IPsecem) no access-list 101 access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 no ipv6 access-list ipv6ipsec ipv6 access-list ipv6ipsec permit ipv6 FC:A::/64 FC:B::/64 Povolení a nastavení parametrů šifrování paketů IPsecem: crypto isakmp enable crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac Nastavení IKEv2: crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group 16 14 crypto ikev2 policy v2pol match address local 10.0.0.1 match address local FC::A proposal v2prop Nabízené šifrovací algoritmy Nabízené hashovací algoritmy Skupiny určují velikost prvočísel diffe-hemlamanova algoritmu Přiřazení proposalů na základě identity vzdálené strany. crypto ikev2 keyring v2kr peer Bv4 address 10.0.0.2 255.255.255.0 pre-shared-key psisco peer Bv6 address FC::B/64 pre-shared-key psisco listopad 2014 3/15

crypto ikev2 profile v2profv4 match identity remote address 10.0.0.2 255.255.255.0 identity local address 10.0.0.1 authentication local pre-share authentication remote pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote email B@vsb.cz identity local email A@vsb.cz authentication remote pre-share authentication local pre-share keyring local v2kr Identita protistrany Naše identita Identita protistrany ve formě e-mailu Naše identita ve formě e-mailu Nastavení IPSec: crypto map v2mapv4 1 ipsec-isakmp set peer 10.0.0.2 set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::B set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec Přiřazení IPSec k rozhraní: interface gigabitethernet 0/0 crypto map v2mapv4 ipv6 crypto map v2mapv6 5 Testování konfigurace Směrovače šifrují pouze provoz mezi 192.168.0.0/24 a 192.168.1.0/24 (viz ACL 101). Testování probíhalo pomocí pingování druhého směrovače a sledování komunikace pomocí programu WireShark. Na obrázku je vidět, že nejprve dochází k inicializaci SA, poté k autentizaci a až pak k samotné výměně dat. Ze zvýrazněného řádku v dolní třetině je taktéž vidět použití IKE verze 2. listopad 2014 4/15

Obrázek 2: zachycená komunikace při použití pingu Z následujících výsledků testování je také možno vidět, že komunikace je plně funkční jak na IPv4 tak na v6. První paket by ztracen kvůli prodlevě vzniklé nutností vytvořit tunel pro odeslání a následně druhý pro odpověď. Ping z směrovače A na směrovač B: A#ping ipv6 FC:B::1 source gigabitethernet 0/1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to FC:B::1, timeout is 2 seconds: Packet sent with a source address of FC:A::1. Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms A#ping 192.168.1.1 source gigabitethernet 0/1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.0.1. Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Pro nalezení případných chyb v konfiguraci se hodí následující příkaz: debug crypto ikev2 Jak je patrné níže, jeho výpis je sice velmi obsáhlý ale obsahuje užitečné informace, například, že se nepodařilo najít politiku odpovídající identitě protistrany. Příklad výpisu debug crypto ikev2 pro úspěšné vytvoření tunelu: IPv4: *Nov 24 14:14:08.183: IKEv2:% Getting preshared key from profile keyring v2kr *Nov 24 14:14:08.183: IKEv2:% Matched peer block 'Bv4' *Nov 24 14:14:08.183: IKEv2:Searching Policy with fvrf 0, local address 10.0.0.1 *Nov 24 14:14:08.183: IKEv2:Found Policy 'v2pol' listopad 2014 5/15

14 *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Computing DH public key, DH Group 16 *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Request queued for computation of DH key *Nov 24 14:14:08.183: IKEv2:IKEv2 initiator - no config data to send in IKE_SA_INIT exch *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Generating IKE_SA_INIT message *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):IKE Proposal: 1, SPI size: 0 (initial negotiation), Num. transforms: 8 AES-CBC AES-CBC SHA512 SHA1 SHA512 SHA96 DH_GROUP_4096_MODP/Group 16 DH_GROUP_2048_MODP/Group *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Sending Packet [To 10.0.0.2:500/From 10.0.0.1:500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 0000000000000000 Message id: 0 IKEv2 IKE_SA_INIT Exchange REQUEST SA KE N VID VID NOTIFY(NAT_DETECTION_SOURCE_IP) NOTIFY(NAT_DETECTION_DESTINATION_IP) *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Insert SA *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Received Packet [From 10.0.0.2:500/To 10.0.0.1:500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 0 IKEv2 IKE_SA_INIT Exchange RESPONSE SA KE N VID VID NOTIFY(NAT_DETECTION_SOURCE_IP) NOTIFY(NAT_DETECTION_DESTINATION_IP) *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Processing IKE_SA_INIT message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Verify SA init message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Processing IKE_SA_INIT message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Checking NAT discovery *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):NAT not found *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Computing DH secret key, DH Group 16 *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Request queued for computation of DH secret *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Calculate SKEYSEED and create rekeyed IKEv2 SA *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] SKEYSEED calculation and creation of rekeyed IKEv2 SA PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Completed SA init exchange *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Generate my authentication data *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Use preshared key for id 10.0.0.1, key len 6 *Nov 24 14:14:09.995: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:14:09.995: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Get my authentication method *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):My authentication method is 'PSK' *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Generating IKE_AUTH message *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Constructing IDi payload: '10.0.0.1' of type 'IPv4 address' *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):ESP Proposal: 1, SPI size: 4 (IPSec negotiation), Num. transforms: 3 AES-CBC SHA512 Don't use ESN *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Building packet for encryption. VID IDi AUTH SA TSi TSr NOTIFY(INITIAL_CONTACT) NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Sending Packet [To 10.0.0.2:500/From 10.0.0.1:500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 1 IKEv2 IKE_AUTH Exchange REQUEST ENCR *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Received Packet [From 10.0.0.2:500/To 10.0.0.1:500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 1 IKEv2 IKE_AUTH Exchange RESPONSE VID IDr AUTH SA TSi TSr NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Process auth response notify *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Searching policy based on peer's identity '10.0.0.2' of type 'IPv4 address' *Nov 24 14:14:10.007: IKEv2:Searching Policy with fvrf 0, local address 10.0.0.1 *Nov 24 14:14:10.007: IKEv2:Found Policy 'v2pol' *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Verify peer's policy listopad 2014 6/15

*Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Peer's policy verified *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Get peer's authentication method *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Peer's authentication method is 'PSK' *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Get peer's preshared key for 10.0.0.2 *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Verify peer's authentication data *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Use preshared key for id 10.0.0.2, key len 6 *Nov 24 14:14:10.007: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:14:10.007: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Verification of peer's authenctication data PASSED *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Processing IKE_AUTH message *Nov 24 14:14:10.011: IKEv2:KMI/verify policy/sending to IPSec: prot: 3 txfm: 12 hmac 7 flags 8177 keysize 128 IDB 0x0 *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):IKEV2 SA created; inserting SA into database. SA lifetime timer (86400 sec) started *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Session with IKE ID PAIR (10.0.0.2, 10.0.0.1) is UP *Nov 24 14:14:10.011: IKEv2:IKEv2 MIB tunnel started, tunnel index 1 *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Load IPSEC key material *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):[IKEv2 -> IPsec] Create IPsec SA into IPsec database *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Asynchronous request queued *Nov 24 14:14:10.011: IKEv2:(SA ID = 1): *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):[IPsec -> IKEv2] Creation of IPsec SA into IPsec database PASSED *Nov 24 14:14:10.015: IKEv2:(SA ID = 1):Checking for duplicate IKEv2 SA *Nov 24 14:14:10.015: IKEv2:(SA ID = 1):No duplicate IKEv2 SA found IPv6: *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Processing IKE_SA_INIT message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Verify SA init message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Processing IKE_SA_INIT message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Checking NAT discovery *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):NAT not found *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):[IKEv2 -> Crypto Engine] Computing DH secret key, DH Group 16 *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):Request queued for computation of DH secret *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[IKEv2 -> Crypto Engine] Calculate SKEYSEED and create rekeyed IKEv2 SA *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[Crypto Engine -> IKEv2] SKEYSEED calculation and creation of rekeyed IKEv2 SA PASSED *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):Completed SA init exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Generate my authentication data *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Use preshared key for id A@vsb.cz, key len 6 *Nov 24 14:15:00.175: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:15:00.175: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Get my authentication method *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):My authentication method is 'PSK' *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Generating IKE_AUTH message *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Constructing IDi payload: 'A@vsb.cz' of type 'RFC822 address' *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):ESP Proposal: 1, SPI size: 4 (IPSec negotiation), Num. transforms: 3 AES-CBC SHA512 Don't use ESN *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Building packet for encryption. VID IDi AUTH SA TSi TSr NOTIFY(INITIAL_CONTACT) NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Sending Packet [To FC::B:500/From FC::A:500/VRF i0:f0] Initiator SPI : 6A8B7102DC07F041 - Responder SPI : E4919E76A5431BF3 Message id: 1 IKEv2 IKE_AUTH Exchange REQUEST ENCR *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Received Packet [From FC::B:500/To FC::A:500/VRF i0:f0] Initiator SPI : 6A8B7102DC07F041 - Responder SPI : E4919E76A5431BF3 Message id: 1 IKEv2 IKE_AUTH Exchange RESPONSE VID IDr AUTH SA TSi TSr NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Process auth response notify listopad 2014 7/15

*Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Searching policy based on peer's identity 'B@vsb.cz' of type 'RFC822 address' *Nov 24 14:15:00.183: IKEv2:Searching Policy with fvrf 0, local address FC::A *Nov 24 14:15:00.183: IKEv2:Found Policy 'v2pol' *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Verify peer's policy *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Peer's policy verified *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Get peer's authentication method *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Peer's authentication method is 'PSK' *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Get peer's preshared key for B@vsb.cz *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Verify peer's authentication data *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Use preshared key for id B@vsb.cz, key len 6 *Nov 24 14:15:00.187: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:15:00.187: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Verification of peer's authenctication data PASSED *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Processing IKE_AUTH message *Nov 24 14:15:00.187: IKEv2:KMI/verify policy/sending to IPSec: prot: 3 txfm: 12 hmac 7 flags 8177 keysize 128 IDB 0x0 *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):IKEV2 SA created; inserting SA into database. SA lifetime timer (86400 sec) started *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Session with IKE ID PAIR (B@vsb.cz, A@vsb.cz) is UP *Nov 24 14:15:00.187: IKEv2:IKEv2 MIB tunnel started, tunnel index 2 *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Load IPSEC key material *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):[IKEv2 -> IPsec] Create IPsec SA into IPsec database *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Asynchronous request queued *Nov 24 14:15:00.187: IKEv2:(SA ID = 2): *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):[IPsec -> IKEv2] Creation of IPsec SA into IPsec database PASSED *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):Checking for duplicate IKEv2 SA *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):No duplicate IKEv2 SA found 6 Závěr V projektu se nám podařilo ověřit funkčnost IKEv2, peer-specific politiky pro negociaci IPSec tunelů. Zjistili jsme, že je možné specifikovat politiky na základě IP adresy (IPv4 a IPv6) a také na základě emailových adres. Díky tomuto je možné vytvořit různé politiky pro jednotlivé klienty. Cíle tohoto projektu se nám podařilo splnit. 7 Použitá literatura [ 1 ] KÁRA, Michal. Tuneluji, tuneluješ, tunelujeme: IPSec [online] 2003 [cit. 2014-11-29] Dostupné z: http://www.root.cz/clanky/tuneluji-tunelujes-tunelujeme-ipsec/ [ 2 ] SPENNEBERG, Ralph. The official IPsec Howto for Linux [online] 2007 [cit. 2014-11-29] Dostupné z: http://www.ipsec-howto.org/ [ 3 ] MANRAL, V. RFC4835 Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) [online] 2007 [cit 2014-11-29] Dostupné z: http://tools.ietf.org/html/rfc4835 [ 4 ] MCGREW, D., HOFFMAN P. RFC7321 Cryptographic Algorithm Implementation Requirements and Usage Guidance for Encapsulating Security Payload (ESP) and Authentication Header (AH) [online] 2014 [cit 2014-11-29] Dostupné z: http://tools.ietf.org/html/rfc7321 8 Příloha 8.1 Konfigurace směrovače A A#show running-config Building configuration... Current configuration : 3395 bytes Last configuration change at 14:09:16 UTC Mon Nov 24 2014 version 15.3 listopad 2014 8/15

service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname A boot-start-marker boot-end-marker card type command needed for slot/vwic-slot 0/3 no aaa new-model ip cef no ipv6 cef multilink bundle-name authenticated voice-card 0 license udi pid CISCO2901/K9 sn FCZ1635C2J0 license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 hw-module pvdm 0/0 redundancy crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group 16 14 crypto ikev2 policy v2pol match address local 10.0.0.1 match address local FA::A match address local FC::A proposal v2prop crypto ikev2 keyring v2kr peer Bv4 address 10.0.0.2 255.255.255.0 pre-shared-key psisco listopad 2014 9/15

peer Bv6 address FC::B/64 pre-shared-key psisco crypto ikev2 profile v2profv4 match identity remote address 10.0.0.2 255.255.255.0 identity local address 10.0.0.1 authentication remote pre-share authentication local pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote email B@vsb.cz identity local email A@vsb.cz authentication remote pre-share authentication local pre-share keyring local v2kr crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac mode tunnel crypto map v2mapv4 1 ipsec-isakmp set peer 10.0.0.2 set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::B set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address 10.0.0.1 255.255.255.0 duplex auto speed auto ipv6 address FC::A/64 ipv6 crypto map v2mapv6 crypto map v2mapv4 interface GigabitEthernet0/1 listopad 2014 10/15

ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ipv6 address FC:A::1/64 interface Serial0/0/0 interface Serial0/0/1 interface Serial0/1/0 interface Serial0/1/1 interface FastEthernet0/2/0 interface FastEthernet0/2/1 interface FastEthernet0/2/2 interface FastEthernet0/2/3 interface Vlan1 ip forward-protocol nd no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 10.0.0.2 ipv6 route ::/0 FC::B access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 ipv6 access-list ipv6ipsec permit ipv6 FC:A::/64 FC:B::/64 listopad 2014 11/15

control-plane mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable mgcp profile default gatekeeper line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all scheduler allocate 20000 1000 end 8.2 Konfigurace směrovače B B#show running-config Building configuration... Current configuration : 3163 bytes Last configuration change at 14:11:27 UTC Mon Nov 24 2014 version 15.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname B boot-start-marker boot-end-marker no aaa new-model listopad 2014 12/15

ip cef no ipv6 cef multilink bundle-name authenticated voice-card 0 license udi pid CISCO2901/K9 sn FCZ1706C0W3 license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 license boot module c2900 technology-package datak9 redundancy crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group 16 14 crypto ikev2 policy v2pol match address local 10.0.0.2 match address local FA::B match address local FC::B proposal v2prop crypto ikev2 keyring v2kr peer Bv4 address 10.0.0.1 255.255.255.0 pre-shared-key psisco peer Bv6 address FC::A/64 pre-shared-key psisco crypto ikev2 profile v2profv4 match identity remote address 10.0.0.1 255.255.255.0 identity local address 10.0.0.2 authentication remote pre-share authentication local pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote email A@vsb.cz identity local email B@vsb.cz authentication remote pre-share listopad 2014 13/15

authentication local pre-share keyring local v2kr crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac mode tunnel crypto map v2mapv4 1 ipsec-isakmp set peer 10.0.0.1 set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::A set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address 10.0.0.2 255.255.255.0 duplex auto speed auto ipv6 address FC::B/64 ipv6 crypto map v2mapv6 crypto map v2mapv4 interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ipv6 address FC:B::1/64 interface Serial0/0/0 interface Serial0/0/1 interface Serial0/1/0 listopad 2014 14/15

interface Serial0/1/1 ip forward-protocol nd no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 10.0.0.1 ipv6 route ::/0 FC::A access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 ipv6 access-list ipv6ipsec permit ipv6 FC:B::/64 FC:A::/64 control-plane mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable mgcp profile default gatekeeper line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all scheduler allocate 20000 1000 end listopad 2014 15/15

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář