А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Безопасность удаленного доступа в сетях Cisco Автор: Бубенкова Татьяна Владимировна Инженер отдела системной интеграции ООО «А-Реал Консалтинг» тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -1- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Глава 1. Создание защищенных сетей VPN с помощью IPSec. Существует множество вопросов сетевого планирования, касающихся сетей VPN, например, как создавать такие сети и как согласовывать их с существующей архитектурой сети предприятия. Сеть VPN (Virtual Private Network — виртуальная частная сеть) является сетью предприятия, разворачиваемой в рамках общедоступной инфраструктуры, но использующей возможности защиты, управления и политики качества сервиса, применяемые в частной сети. Сети VPN строятся на использовании инфраструктуры глобальных сетей, обеспечивая альтернативу существующим частным сетям, использующим арендуемые каналы. Существует три категории сетей VPN. Коммутируемые сети. Такая сеть VPN связывает надомных работников, мобильных пользователей и даже небольшие удаленные подразделения компании (интенсивность трафика которых невысока) с глобальной сетью предприятия и корпоративными вычислительными ресурсами. Интрасети. Интрасеть VPN соединяет фиксированные подразделения, филиалы и домашние офисы в рамках глобальной сети предприятия. Экстрасети. Такая сеть позволяет ограниченный доступ к вычислительным ресурсам предприятия деловым партнерам (например, поставщикам или клиентам) с целью совместного использования информации, представляющей общий интерес. Для реализации каждого из указанных типов сетей VPN используются наборы соответствующих протоколов. Протоколы VPN Для создания сетей VPN разработано множество протоколов. Каждый из этих протоколов обеспечивает определенные возможности VPN. Например, протокол IPSec (который является главным предметом обсуждения данной главы) предлагает методы шифрования сетевого уровня, обеспечивающие возможности аутентификации и сервис шифрования между конечными точками в общедоступных IP-сетях. Другие протоколы обеспечивают поддержку определенных возможностей VPN с помощью туннелирования, т.е. инкапсуляции данных или протоколов в другие протоколы. Ниже перечислены некоторые из наиболее популярных туннельных протоколов, используемых для создания сетей VPN Протокол GRE (Generic Routing Encapsulation — общая инкапсуляция для маршрутизации). Разработанный Cisco туннельный протокол, обеспечивающий инкапсуляцию многих типов протокольных пакетов в туннели IP, создает виртуальную двухточечную связь с маршрутизаторами Cisco в удаленных точках IPсети. Протокол L2F (Layer 2 Forwarding — протокол пересылки уровня 2). Разработанный Cisco туннельный протокол, который позволяет создать сеть VPDN (Virtual Private Dialup Network — виртуальная частная коммутируемая сеть) — систему, обеспечивающую существование коммутируемых сетей, распространяющихся на удаленные домашние офисы, которые кажутся при этом непосредственной частью сети предприятия. Протокол РРТР (Point-to-Point Tunneling Protocol — протокол туннелирования двухточечного соединения). Разработанный Microsoft сетевой протокол, обеспечивающий защищенную передачу данных от удаленного клиента к частному серверу предприятия с помощью создания сети VPN над IP-сетями. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -2- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Протокол РРТР поддерживает маршрутизацию по требованию, многопротокольный обмен и виртуальные частные сети в открытых сетях типа Internet. Протокол L2TP (Layer 2 Tunnel Protocol — протокол туннелирования РРРсоединения уровня 2). Разработанный Cisco и Microsoft туннельный протокол, позволяющий создавать сети VPDN. Протокол L2TP является расширением протокола РРР (Point-to-Point Protocol — протокол передачи от точки к точке), используемого для сетей VPN, и объединяет лучшие возможности туннельных протоколов РРТР и L2F. Протокол МРРЕ (Microsoft Point-to-Point Encryption — протокол Microsoft шифрования двухточечного соединения). Средство перевода пакетов РРР в через шифрованную форму. Позволяет создать защищенную VPN-связь коммутируемую или удаленную сеть. Для обеспечения конфиденциальности данных в рамках МРРЕ используется алгоритм шифрования RSA типа RC4. Что такое IPSec IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав сейчас входят почти 20 предложений по стандартам и 18 RFC. Продукты Cisco для поддержки VPN используют набор протоколов IPSec, являющийся на сегодня промышленным стандартом обеспечения широких возможностей VPN. IPSec предлагает механизм защищенной передачи данных в IP-сетях, обеспечивая конфиденциальность, целостность и достоверность данных, передаваемых через незащищенные сети типа Internet. IPSec обеспечивает следующие возможности VPN в сетях Cisco: Конфиденциальность данных. Отправитель данных IPSec имеет возможность шифровать пакеты перед тем, как передавать их по сети. Целостность данных. Получатель данных IPSec имеет возможность аутентифицировать сообщающиеся с ним стороны (устройства или программное обеспечение, в которых начинаются и заканчиваются туннели IPSec) и пакеты IPSec, посылаемые этими сторонами, чтобы быть уверенным в том, что данные не были изменены в пути. Аутентификация источника данных. Получатель данных IPSec имеет возможность аутентифицировать источник получаемых пакетов IPSec. Этот сервис зависит от сервиса целостности данных. Защита от воспроизведения. Получатель данных IPSec может обнаруживать и отвергать воспроизведенные пакеты, не допуская их фальсификации и проведения атак внедрения посредника. IPSec представляет собой основанный на стандартах набор протоколов и алгоритмов защиты. Технология IPSec и связанные с ней протоколы защиты соответствуют открытым стандартам, которые поддерживаются группой IETF (Internet Engineering Task Force -- проблемная группа проектирования Internet) и описаны в спецификациях RFC и проектах IETF. IPSec действует на сетевом уровне, обеспечивая защиту и аутентификацию пакетов IP, пересылаемых между устройствами (сторонами) IPSec - такими как маршрутизаторы Cisco, брандмауэры PIX Firewall, клиенты и концентраторы Cisco VPN, а также многие другие продукты, поддерживающие IPSec. Средства поддержки IPSec допускают масштабирование от самых малых до очень больших сетей. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -3- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Ассоциации защиты (Security Association ,SA) IPSec предлагает стандартный способ аутентификации и шифрования соединений между сообщающимися сторонами. Чтобы обеспечить защиту связей, средства IPSec используют стандартные алгоритмы (т.е. математические формулы) шифрования и аутентификации, называемые преобразованиями. В IPSec используются открытые стандарты согласования ключей шифрования и управления соединениями, что обеспечивает возможность взаимодействия между сторонами. Технология IPSec предлагает методы, позволяющие сторонам IPSec "договориться" о согласованном использовании сервисов. Чтобы указать согласуемые параметры, в IPSec используются ассоциации защиты. -SA) представляет собой Ассоциация защиты (Security Association согласованную политику или способ обработки данных, обмен которыми предполагается между двумя устройствами сообщающихся сторон. Одной из составляющих такой политики может быть алгоритм, используемый для шифрования данных. Обе стороны могут использовать один и тот же алгоритм как для шифрования, так и для дешифрования. Действующие параметры SA Association Database -сохраняются в базе данных ассоциаций защиты (Security SAD) обеих сторон. Два компьютера на каждой стороне SA хранят режим, протокол, алгоритмы и ключи, используемые в SA. Каждый SA используется только в одном направлении. Для двунаправленной связи требуется два SA. Каждый SA реализует один режим и протокол; таким образом, если для одного пакета необходимо использовать два протокола (как например AH и ESP), то требуется два SA. IKE Протокол IKE (Internet Key Exchange -- обмен Internet-ключами) является гибридным протоколом, обеспечивающим специальный сервис для IPSec, а именно аутентификацию сторон IPSec, согласование параметров ассоциаций защиты IKE и IPSec, а также выбор ключей для алгоритмов шифрования, используемых в рамках IPSec. Протокол IKE опирается на протоколы ISAKMP (Internet Security Association and Key Management Protocol -- протокол управления ассоциациями и ключами защиты в сети Internet) и Oakley, которые применяются для управления процессом создания и обработки ключей шифрования, используемых в преобразованиях IPSec. Протокол IKE применяется также для формирования ассоциаций защиты между потенциальными сторонами IPSec. Как IKE, так и IPSec используют ассоциации зашиты, чтобы указать параметры связи. Инфраструктура IPSec Сети VPN на основе IPSec могут быть построены с помощью самых разных устройств Cisco - маршрутизаторов Cisco, брандмауэров CiscoSecure PIX Firewall, программного обеспечения клиента CiscoSecure VPN и концентраторов Cisco VPN серий 3000 и 5000. Маршрутизаторы Cisco имеют встроенную поддержку VPN с соответствующими богатыми возможностями программного обеспечения Cisco IOS, что уменьшает сложность сетевых решений и снижает общую стоимость VPN при возможности построения многоуровневой защиты предоставляемых сервисов. Брандмауэр PIX Firewall является высокопроизводительным сетевым устройством, которое может обслуживать конечные точки туннелей, обеспечивая им высокую тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -4- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения пропускную способность и прекрасные функциональные возможности брандмауэра. Программное обеспечение клиента CiscoSecure VPN поддерживает самые строгие требования VPN удаленного доступа для операций электронной коммерции, а также приложений мобильного доступа, предлагая законченную реализацию стандартов IPSec и обеспечивая надежное взаимодействие маршрутизаторов Cisco и брандмауэров PIX Firewall. Как работает IPSec IPSec опирается на ряд технологических решений и методов шифрования, но действие IPSec в общем можно представить в виде следующих главных шагов: Шаг 1. Начало процесса IPSec. Трафик, которому требуется шифрование в соответствии с политикой защиты IPSec, согласованной сторонами IPSec, начинает IКЕ-процесс. Шаг 2. Первая фаза IKE. IKE-процесс выполняет аутентификацию сторон IPSec и ведет переговоры о параметрах ассоциаций защиты IKE, в результате чего создается защищенный канал для ведения переговоров о параметрах ассоциаций защиты IPSec в ходе второй фазы IKE. Шаг 3. Вторая фаза IKE. IKE-процесс ведет переговоры о параметрах ассоциации защиты IPSec и устанавливает соответствующие ассоциации защиты IPSec для устройств сообщающихся сторон. Шаг 4. Передача данных. Происходит обмен данными между сообщающимися сторонами IPSec, который основывается на параметрах IPSec и ключах, хранимых в базе данных ассоциаций защиты. Шаг 5. Завершение работы туннеля IPSec. Ассоциации защиты IPSec завершают свою работу либо в результате их удаления, либо по причине превышения предельного времени их существования. В следующих разделах указанные шаги будут описаны подробнее. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -5- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Шаг 1. Начало процесса IPSec Тип трафика, который должен защищаться средствами IPSec, определяется в рамках политики защиты для VPN. Затем эта политика реализуется в виде команд конфигурации интерфейсов устройств каждой стороны IPSec. Например, в маршрутизаторах Cisco и брандмауэрах PIX Firewall для определения трафика, подлежащего шифрованию, используют списки доступа. Списки доступа реализуют политику шифрования, например, с помощью операторов permit, указывающих, что соответствующий трафик должен шифроваться, и операторов deny, запрещающих шифрование соответствующего трафика. В случае клиента Cisco VPN используются окна меню, где указываются соединения, которым должна обеспечиваться защита IPSec. Когда подлежащий шифрованию трафик генерируется клиентом IPSec или проходит через него, клиент инициирует следующий шаг процесса, начиная первую фазу IKE. Шаг 2. Первая фаза IKE Главной целью обмена данными, происходящего в первой фазе IKE, является аутентификация сторон IPSec и создание защищенного канала между сторонами, позволяющего начать обмен IKE. В ходе первой фазы IKE выполняются следующие действия. Ведутся переговоры о согласовании политики ассоциаций защиты IKE между сторонами, чтобы обеспечить защиту обмена IKE. Ассоциация защиты IKE получает согласованные параметры IKE и является двусторонней. Выполняется аутентифицированный обмен Диффи-Хеллмана, в результате которого выбирается общий секретный ключ для использования в алгоритмах шифрования IPSec. Выполняется аутентификация и обеспечивается защита сторон IPSec. Устанавливается защищенный параметрах второй фазы IKE. туннель для ведения переговоров о Для первой фазы IKE допустимы два режима: основной и энергичный Основной режим первой фазы IKE (Main Mode) В этом режиме выполняются три двухсторонних обмена между инициатором и респондентом. 1. В ходе первого обмена алгоритмы, используемые для защиты связи IKE, согласуются до тех пор, пока не будет достигнуто соответствие для всех ассоциаций защиты IKE сообщающихся сторон. 2. В процессе второго обмена выполняется алгоритм Диффи-Хеллмана, чтобы согласовать общий секретный материал, на основе которого создаются общие секретные ключи, передать так называемые "оказии" (случайные значения, посылаемые другой стороне), подписать их и возвратить обратно, чтобы доказать "свою личность". 3. В ходе третьего обмена выполняется аутентификация стороныпартнера. Идентификационным значением в данном случае выступает IPадрес стороны IPSec в шифрованном виде. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -6- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Основным результатом этого режима является согласование параметров ассоциаций защиты IKE между сторонами с целью создания защищенного канала для последующих обменов IKE. Ассоциация защиты IKE определяет параметры обмена IKE: используемый метод аутентификации, алгоритмы шифрования и хэширования, используемая группа Диффи-Хеллмана (одна из двух доступных), максимальное время существования ассоциации защиты IKE в секундах или килобайтах и совместно используемые секретные значения ключей для алгоритмов шифрования. Ассоциации защиты IKE в устройствах каждой из сторон являются двусторонними. Энергичный режим первой фазы IKE (Aggressive mode) В данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec. В этом случае выполняются следующие действия. 1. В ходе первого обмена почти все необходимое включается в предлагаемые значения для ассоциаций защиты IKE, открытый ключ Диффи-Хеллмана, оказию, подписываемую второй стороной, и пакет идентификации, который можно использовать для того, чтобы аутентифицировать вторую сторону с помощью третьей стороны. 2. Получатель отправляет назад все, что требуется, чтобы завершить обмен. Инициатору остается только подтвердить обмен. Недостатком использования энергичного режима является то, что обе стороны обмениваются информацией до того, как создан защищенный канал. Таким образом, можно подключиться к линии и выяснить, кто формирует новую ассоциацию защиты. С другой стороны, обмен происходит быстрее, чем в основном режиме. Энергичный режим для обмена IKE обычно не инициируется продуктами Cisco, но маршрутизаторы Cisco и брандмауэры PIX Firewall могут соответствующим образом ответить стороне IPSec, инициировавшей обмен в энергичном режиме. Шаг 3. Вторая фаза IKE (Quick Mode) Задачей второй фазы IKE является согласование параметров ассоциации защиты IPSec с целью создания туннеля IPSec. В этой фазе выполняются следующие действия. Ведутся переговоры о параметрах ассоциации защиты IPSec, защищаемые существующей ассоциацией защиты IKE. Устанавливаются ассоциации защиты IPSec. Периодически возобновляются чтобы гарантировать защиту. В необязательном порядке может выполняться дополнительный обмен ДиффиХеллмана. переговоры об ассоциациях защиты IPSec, Вторая фаза IKE выполняется только в быстром режиме, после того как в результате первой фазы IKE создается защищенный туннель. Затем ведутся переговоры о согласованной политике IPSec, извлекается общий секретный материал для работы алгоритмами защиты IPSec и создаются ассоциации защиты IPSec. В быстром режиме выполняется обмен оказиями, которые обеспечивают защиту от воспроизведения сообщений. Оказии используются для того, чтобы гарантировать создание новых секретных ключей и не допустить проведения атак воспроизведения, в результате которых противник мог бы создать "фальшивые" ассоциации защиты. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -7- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Быстрый режим используется также для того, чтобы договориться о новых ассоциациях защиты IPSec, когда оказывается превышен предел времени существования старой ассоциации защиты IPSec. Базовый вариант быстрого режима используется для того, чтобы обновить секретный материал, предназначенный для создания общего секретного ключа на основе значений, полученных при обмене Диффи-Хеллмана в ходе первой фазы. В IPSec имеется опция PFS (Perfect Forward Secrecy -- совершенная прямая секретность), усиливающая защиту ключей. Если политикой IPSec предписано использование опции PFS, то для каждого обмена в быстром режиме требуется новый обмен Диффи-Хеллмана, обеспечивающий новые данные для ключей, в результате чего данные для ключей будут обладать большей энтропией ("нерегулярностью") и потому большей устойчивостью в отношении числа криптографических атак. Каждый обмен Диффи-Хеллмана требует большого возведений в степень, что увеличивает загрузку процессора и снижает общую производительность системы. Ассоциации защиты, согласуемые в быстром режиме, идентифицируются IPадресами IКЕ-сторон. Согласование преобразований IPSec В ходе второй фазы в рамках протокола IKE ведутся переговоры о преобразованиях IPSec (алгоритмах защиты IPSec). IPSec состоит из двух главных протоколов защиты и множества протоколов поддержки. Преобразования IPSec и связанные с ними алгоритмы шифрования являются следующими. Протокол АН (Authentication Header -- заголовок аутентификации). Протокол зашиты, обеспечивающий аутентификацию и (в качестве опции) сервис выявления воспроизведения. Протокол АН действует как цифровая подпись и гарантирует, что данные в пакете IP не будут несанкционированно изменены. Протокол АН не обеспечивает сервис шифрования и дешифрования данных. Данный протокол может использоваться или самостоятельно, или совместно с протоколом ESP. Протокол ESP (Encapsulating Security Payload -- включающий защиту полезный груз). Протокол защиты, обеспечивающий конфиденциальность и защиту данных, а также (в качестве опции) сервис аутентификации и выявления воспроизведения. Поддерживающие IPSec продукты Cisco используют ESP для шифрования полезного груза IP-пакетов. Протокол ESP может использоваться самостоятельно или совместно с АН. Стандарт DES (Data Encription Standard -- стандарт шифрования Алгоритм шифрования и дешифрования данных пакетов. данных). Алгоритм DES используется как в рамках IPSec, так и IKE. Для алгоритма DES используется 56-битовый ключ, что означает не только более высокое потребление вычислительных ресурсов, но и более надежное шифрование. Алгоритм DES является симметричным алгоритмом шифрования, для которого требуются идентичные секретные ключи шифрования в устройствах каждой из сообщающихся сторон IPSec. Для создания симметричных ключей применяется алгоритм Диффи-Хеллмана. IKE и IPSec используют алгоритм DES для шифрования сообщений. "Тройной" DES (3DES). Вариант DES, основанный на использовании трех итераций стандартного DES с тремя разными ключами, что практически утраивает стойкость DES. Алгоритм 3DES используется в рамках IPSec для шифрования и дешифрования потока данных. Данный алгоритм использует 168-битовый ключ, что гарантирует высокую надежность шифрования. IKE и IPSec используют алгоритм 3DES для шифрования сообщений. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -8- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения При преобразовании IPSec используется также два стандартных алгоритма хэширования, обеспечивающих аутентификацию данных. Алгоритм MD5 (Message Digest 5). Алгоритм хэширования, применяемый для аутентификации пакетов данных. В продуктах Cisco используется вычисляемый с помощью MD5 код НМАС (Hashed Message Authentication Code -- хэшированный код аутентичности сообщения)- вариант кода аутентичности сообщения, которому обеспечивается дополнительная защита с помощью хэширования. Хэширование представляет собой процесс одностороннего (т.е. необратимого) шифрования, в результате которого для поступающего на вход сообщения произвольной длины получается вывод фиксированной длины. IKE, АН и ESP используют MD5 для аутентификации данных. Алгоритм SHA-1 (Secure Hash Algorithm-1 -- защищенный алгоритм хэширования 1). Алгоритм хэширования, используемый для аутентификации пакетов данных. В продуктах Cisco применяется вариант кода НМАС, вычисляемый с помощью SHA-1. IKЕ, АН и ESP используют SHA-1 для аутентификации данных. В рамках протокола IKE симметричные ключи создаются с помощью алгоритма Диффи-Хеллмана, использующего DES, 3DES, MD5 и SHA. Протокол Диффи-Хеллмана является криптографическим протоколом, основанным на применении открытых ключей. Он позволяет двум сторонам согласовать общий секретный ключ, не имея достаточно надежного канала связи. Общие секретные ключи требуются для алгоритмов DES и НМАС. Алгоритм Диффи-Хеллмана используется в рамках IKE для создания сеансовых ключей. В продуктах Cisco поддерживаются 768- и 1024битовые группы Диффи-Хеллмана. 1024-битовая группа обеспечивает более надежную защиту. Каждой ассоциации защиты IPSec присваивается индекс SPI (Security Parameter Index -- индекс параметров защиты) -- число, используемое для идентификации ассоциации защиты IPSec. Ассоциация защиты IPSec определяет используемое преобразование IPSec (ESP и/или АН и соответствующие алгоритмы шифрования и хэширования), предел времени существования ассоциации защиты IPSec в секундах или килобайтах, указывает необходимость применения опции PFS, IPадреса сторон, а также общие значения секретных ключей для алгоритмов шифрования и другие параметры. Все ассоциации защиты IPSec являются односторонними. Один цикл согласования ассоциации защиты IPSec завершается созданием двух ассоциаций защиты - одной входящей и одной исходящей. Протоколы АН и ESP IPSec могут действовать или в туннельном, или в транспортном режимах. Туннельный режим используется для связи между шлюзами IPSec, и в этом случае средствам IPSec приходится создавать совершенно новый заголовок IPSec. Транспортный режим обычно применяется между клиентом и сервером VPN, и при этом используется существующий заголовок IP. Шаг 4. Передача данных После завершения второй фазы IKE и создания ассоциаций защиты IPSec в быстром режиме, начинается обмен информацией через туннель IPSec, связывающий стороны IPSec. Пакеты шифруются и дешифруются с помощью алгоритмов шифрования и ключей, указанных ассоциацией защиты IPSec. Ассоциация защиты IPSec задает также предел времени своего существования в килобайтах передаваемых данных или в секундах. Ассоциация защиты имеет специальный счетчик, значение которого уменьшается на единицу за каждую секунду или после передачи каждого килобайта данных. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru -9- А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Шаг 5. Завершение работы туннеля IPSec Ассоциации защиты IPSec завершают свою работу либо по причине их удаления, либо потому, что оказывается превышен предел времени их существования. Когда ассоциации защиты завершают работу, соответствующие им ключи тоже становятся недействительными. Если для потока данных требуются новые ассоциации защиты IPSec, в рамках протокола IKE снова выполняется обмен второй фазы, а если необходимо, то и первой. В результате успешного их завершения создаются новые ассоциации защиты и новые ключи. Новые ассоциации защиты могут создаваться и до истечения времени существования предыдущих, чтобы поток данных мог двигаться непрерывно. Обычно переговоры второй фазы выполняются чаще, чем переговоры первой фазы. Настройка Cisco IOS для поддержки IPSec В этой главе объясняется, как настроить средства IPSec программного обеспечения Cisco IOS, используя аутентификацию с помощью заранее согласованных общих ключей или оказий, шифрованных методом RSA. Сначала рассмотрим набор команд Cisco IOS, используемых для настройки IPSec, а затем будут описаны действия, которые необходимо выполнить в процессе настройки Настройка IPSec для работы с общими ключами В этом разделе объясняется как настроить средства шифрования IPSec, используя в маршрутизаторах Cisco заранее согласованные ключи аутентификации. На рис. 16.1 показана упрощенная топология сети компании XYZ, используемая в примерах данной главы. Процесс настройки средств Cisco IOS для использования заранее согласованных ключей IKE в маршрутизаторах Cisco предполагает решение следующих основных задач. •Задача 1. Подготовка к использованию IPSec. Определение деталей политики шифрования, идентификация хостов и сетей, которые необходимо защитить, выяснение характеристик сторон IPSec, возможностей IPSec, которые будут необходимы, а также проверка того, что существующие списки доступа, применяемые для фильтрования пакетов, позволяют использовать IPSec. •Задача 2. Настройка IKE. Активизация средств IKE, создание политики IKE и проверка правильности выбранной конфигурации. •Задача 3. Настройка IPSec. Определение множеств преобразований, создание списков шифрованного доступа и криптографических карт, а также применение криптографических карт к соответствующим интерфейсам. •Задача 4. Тестирование и контроль IPSec. Проверка правильности функционирования IPSec с помощью show, debug и других аналогичных команд и решение возможных проблем. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 10 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения В следующих разделах каждая из этих задач конфигурации будет обсуждаться подробно. Задача 1. Подготовка к использованию IPSec Перед тем как приступить непосредственно к настройке маршрутизаторов, для успешного построения сети IPSec требуется предварительное планирование. Планирование должно начинаться с определения политики защиты IPSec на основе требований общей политики защиты компании. В процессе планирования выполняются следующие основные шаги. Шаг 1. Определение политики IKE взаимодействия сторон IPSec (первая фаза IKE), в зависимости от числа сторон и их размещения. Шаг 2. Определение политики IPSec для учета параметров сторон IPSec (вторая фаза IKE), в частности IP-адресов и режимов IPSec. Шаг 3. Проверка текущей конфигурации с помощью команд write terminal, show isakmp, show crypto map и других команд show. Шаг 4. Проверка работоспособности сети при отключенных средствах шифрования (с помощью команд ping и направления нешифрованного трафика к месту назначения). Шаг 5. Проверка того, что списки доступа, определяющие фильтрацию пакетов, разрешают движение трафика IPSec. В следующих разделах рассматриваются задачи, которые необходимо решить для настройки средств IPSec в маршрутизаторах Cisco. Задача 2. Настройка IKE для работы с общими ключами Следующей задачей настройки IPSec является выбор параметров IKE в соответствии с той информацией о сети, которая была выяснена ранее. Процесс настройки IKE состоит из следующих шагов. Шаг 1. Активизация или отключение IKE с помощью команды crypto isakmp enable. Шаг 2. Создание политик IKE с помощью команд crypto isakmp policy. Шаг 3. Выбор общих ключей с помощью команды crypto isakmp key и связанных с ней команд. Шаг 4. Проверка конфигурации IKE с помощью команды show crypto isakmp policy. Ниже эти шаги будут описаны подробно. Шаг 1. Активизация или отключение IKE Первым шагом настройки IKE является активизация или отключение IKE. Активизировать IKE глобально можно с помощью команды crypto isakmp enable, а отменить использование IKE — с помощью той же команды с префиксом nо. По умолчанию протокол IKE активизирован. Этот протокол активизируется глобально для всех интерфейсов в маршрутизаторе, поэтому нет необходимости активизировать IKE для каждого интерфейса в отдельности. На интерфейсах, не используемых для IPSec, IKE можно отключить с помощью операторов списка доступа, запрещающих использование UDP- порта 500 (тем самым обеспечивается защита от атак блокирования сервиса). тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 11 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Шаг 2. Создание политик IKE Следующим шагом настройки IKE является определение набора политик IKE, используемых при создании связей IKE между сторонами IPSec. Политика IKE определяет набор параметров, которые могут использоваться в процессе переговоров согласования IKE.В табл. 16.1 представлены элементы политики IKE, настройка которых будет обсуждаться в примерах данного раздела. Таблица 16.1. Пример политики IKE для двух маршрутизаторов Параметр Значение для Значение для маршрутизатора А маршрутизатора В Алгоритм шифрования DES DES сообщений Алгоритм гарантии MD5 MD5 целостности (алгоритм хэширования) сообщений Метод аутентификации Согласованный ключ Согласованный ключ сторон Параметры обмена ключами Группа 1 (768-битовый Группа 1 (768-битовый (идентификатор группы вариант вариант Диффи-Хеллмана) алгоритма Диффиалгоритма ДиффиХеллмана) Хеллмана) Предел времени 86400 (по умолчанию) 86400 (по умолчанию) существования асассоциаций защиты, установленных с помощью ISAKMP IP-адрес стороны IPSec 172.16.2.1 172.16.1.1 Определив параметры политики IKE, используйте команду crypto isakmp policy, чтобы задать политику IKE, или команду no crypto isakmp policy, чтобы удалить соответствующую политику. Указанная команда имеет следующий синтаксис. crypto isakmp policy приоритет Параметр команды описан в следующей таблице. Параметр Описание команды приоритет Однозначно идентифицирует политику IKE, присваивая ей приоритет. Используйте целое число от 1 до 10000, где 1 - наивысший приоритет, а 10000 — наименьший Эта команда открывает режим конфигурации политики IKE (режим config-isakmp), в котором можно устанавливать параметры IKE. Параметры устанавливаются с помощью ключевых слов, описания которых представлены в табл. 16.2. Если в режиме configisakmp вы не укажете какую-то из команд, для соответствующего параметра будет использоваться значение по умолчанию. Таблица 16.2 ключевые слова командного режима config-isakmp Ключево е слово Допустимые значения des sha 56-битовый DES-CBC SHA-1 (вариант НМАС) тел.: +7(485)279-96-96 Значение по умолчани ю des sha http://www.a-real.ru Описание Алгоритм шифрования сообщений Алгоритм гарантии целостности (алгоритм хэширования) hello@a-real.ru - 12 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения md5 rsa-sig MD5 (вариант НМАС) Подписи RSA rsa-encr Оказии, шифрованные методом RSA pre-share Заранее согласованные ключи 768-битовый вариант алгоритма 1 2 lifetime секунды Диффи-Хеллмана 1024-битовый вариант алгоритма Диффи-Хеллмана Любое число rsa-sig сообщений Метод аутентификации сторон 1 Параметры обмена ключами (идентификатор группы ДиффиХеллмана) 86400 секунд (одни сутки) Предел времени существования ассоциации защиты, установленной с помощью IKE. Обычно можно оставить значение, используемое по умолчанию Выход из режима config-isakmp exit В настройках каждой стороны IPSec можно указать несколько вариантов политики IKE. Перед тем как приступить к согласованию параметров ассоциаций защиты IPSec, стороны IKE "договариваются" о приемлемой политике IKE. Шаг З. Согласование общих ключей Важным шагом процесса настройки средств поддержки IKE является установка режима идентификации IKE и согласование ключей. Установка режима идентификации Стороны IPSec выполняют взаимную аутентификацию в ходе переговоров IKE с помощью заранее согласованных общих ключей и идентификации объекта IKE. Идентификатором объекта может быть IP-адрес маршрутизатора или имя хоста. Программное обеспечение Cisco IOS по умолчанию использует метод идентификации по IP-адресу. Чтобы использовать идентификацию по имени хоста, введите команду глобальной конфигурации crypto isakmp identity. Воспользуйтесь этой командой с префиксом по, чтобы для идентификации IKE восстановить значение по умолчанию (идентификация по адресу). Указанная команда имеет следующий синтаксис. crypto isakmp identity {address | hostname} Параметры команды описаны в следующей таблице. Параметр Описание команды address Задает идентификацию IKE no IP-адресу интерфейса, используемого в процессе согласования IKE для связи с удаленной стороной. Это ключевое слово указывают тогда, когда для обмена IKE используется один интерфейс и известен IP-адрес этого интерфейса hostname Задает идентификацию IKE по имени хоста в комбинации с именем домена (например, myhost.domain.com). Это ключевое слово указывают тогда, когда для обмена IKE могут использоваться несколько интерфейсов или IP-адрес интерфейса неизвестен (например, при динамическом выборе IP-адресов) тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 13 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Замечание Команда crypto isakmp identity address отсутствует в конфигурации маршрутизатора, поскольку она используется по умолчанию. Если вы используете метод идентификации по имени хоста, в конфигурации маршрутизатора необходимо указать имя хоста удаленной стороны на случай, если сервер DNS окажется недоступным. Это можно сделать, например, так, как предлагает следующая команда для маршрутизатора А. RouterA(config)# ip host RouterB.domain.com 172.16.2.1 Выбор общих ключей Выбор общих ключей аутентификации осуществляется с помощью команды crypto isakmp key глобальной конфигурации. Ключ следует определять каждый раз, когда в политике IKE указывается использование заранее согласованных общих ключей. Чтобы удалить общий ключ аутентификации, используйте команду с префиксом по. Синтаксис команды следующий: crypto isakmp key ключ address адрес crypto isakmp key ключ hostname имя-хоста Параметры команды описаны в следующей таблице. Параметр Описание команды ключ Указывает значение общего ключа. Используйте любую комбинацию буквенно-цифровых символов длиной до 128 байт. Значения общих ключей должны быть одинаковы в устройствах обеих сторон address Используется тогда, когда выбрана идентификация IKE удаленной стороны по IP-адресу адрес Описывает IP-адрес удаленной стороны hostname Используется тогда, когда выбрана идентификация IKE удаленной стороны по имени хоста имя-хоста Описывает имя хоста удаленной стороны. Это имя хоста, связанное с именем домена (например, myhost.domain.com) Замечание При использовании аутентификации IKE с согласованными общими ключами в устройствах обеих сторон IPSec должны быть указаны одинаковые значения ключей. Настоятельно рекомендуется для разных пар сторон IPSec использовать разные общие ключи. Использование одного ключа для нескольких пар IPSec потенциально рискованно и поэтому нежелательно. Шаг 4. Проверка конфигурации IKE Чтобы увидеть заданные в конфигурации и используемые по умолчанию параметры политики, воспользуйтесь командой show crypto isakmp policy. Политика IKE для маршрутизатора показана в примере 16.4; конфигурация для маршрутизатора В выглядит аналогично. Задача З. Настройка IPSec Следующей задачей настройки IPSec в Cisco IOS является установка ранее определенных параметров шифрования IPSec. Действия, которые необходимо выполнить для этого в маршрутизаторах Cisco, являются следующими. Шаг 1. Определение наборов преобразований с помощью команды crypto ipsec transform-set. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 14 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Шаг 2. Установка глобальных пределов существования ассоциаций защиты IPSec с помощью команды crypto ipsec security-association lifetime. Шаг 3. Настройка списков доступа посредством команды access-list. Шаг 4. Настройка криптографических карт с помощью команды crypto map. Шаг 5. Применение криптографических карт к интерфейсам с помощью команд interface и crypto map. В таблице представлены элементы политики IPSec, настройка которых будет обобсуждаться в примерах данного раздела. Поддерживаемые программным обеспечением Cisco IOS преобразования IPSec будут обсуждаться позже. Параметр Набор преобразований Режим IPSec Алгоритм хэширования Имя удаленного хоста Интерфейс IP-адрес удаленной стороны IP-адрес хостов, которые должны быть защищены Тип трафика для шифрования Установка ассоциаций защиты Значение для стороны А AH-MD5, ESP-DES Туннельный MD5 RouterB Serial 0 172.16.2.1 192.168.1.0 Значение для стороны В AH-MD5, ESP-DES Туннельный MD5 RouterA Serial 0 172.16.1.1 192.168.2.0 TCP ipsec-isakmp TCP ipsec-isakmp Шаг 1. Определение набора преобразований Первым шагом настройки IPSec в Cisco IOS является использование политики защиты IPSec для определения набора преобразований, представляющего собой совокупность конкретных алгоритмов IPSec, с помощью которых реализуется политика защиты для выбранного трафика. В рамках ассоциации защиты IKE выполняются операции согласования (в ходе второй фазы IKE, быстрый режим), в результате которых стороны соглашаются использовать конкретный набор преобразований для защиты потока данных. Набор преобразований объединяет следующие элементы IPSec: • механизм аутентификации данных: преобразование АН (Authentication Header — заголовок аутентификации); • механизм шифрования данных: преобразование ESP (Encapsulating Security Payload — включающий защиту полезный груз); • режим IPSec (транспортный или туннельный). Набор преобразований определяется с помощью команды глобальной конфигурации crypto ipsec transform-set, активизирующей конфигурационный режим crypto-transform. Чтобы удалить набор преобразований, используйте указанную команду с префиксом nо. Команда имеет следующий синтаксис: crypto ipsec transform-set имя-набора [преобразование3]] преобразование1 [преобразование2 Параметры команды описаны в следующей таблице. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 15 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Параметр команды имя-набора Преобразование1 Преобразование2 Преобразование3 Описание Определяет имя создаваемого (или изменяемого) набора преобразований Указывают до трех преобразований, определяющих протокол(ы) и алгоритм(ы) защиты IPSec. Требуется указать, по крайней мере, одно преобразование АН или ESP Можно указать до трех преобразований. По умолчанию для всех преобразований применяется туннельный режим. Можно указать не более одного преобразования АН и не более двух преобразований ESP. Если для создания ассоциаций защиты протокол IKE не применяется, должен использоваться один набор преобразований. Согласования такого набора преобразований не предполагается. Программное обеспечение Cisco IOS поддерживает следующие преобразования IPSec. Преобразования АН. • ah-md5-hmac — преобразование AH-HMAC-MD5 • ah-sha-hmac — преобразование AH-HMAC-SHA • ah-rfcl828 — преобразование AH-MD5 (RFC 1828), используемое с более ранними реализациями IPSec Замечание АН редко используется вместе с ESP, поскольку аутентификация предлагается преобразованиями esp-sha-hmac и esp-md5-hmac. Кроме того, протокол АН несовместим со средствами NAT (Network Address Translation — трансляция сетевых адресов) и PAT (Port Address Translation — трансляция адресов портов), поскольку последние изменяют IP-адрес в заголовке пакета TCP/IP, нарушая данные аутентификации, созданные протоколом АН. Протокол АН можно использовать для аутентификации данных, но он не защищает содержимое, поскольку пакет не шифруется. АН используют вместе с ESP тогда, когда требуется максимальная защита данных. Преобразования ESP. • esp-des — преобразование ESP, использующее шифр DES (56 бит) • esp-3des — преобразование ESP, использующее шифр 3DES(EDE) (168 бит) • esp-md5-hmac — преобразование ESP с аутентификацией HMAC-MD5; используется в комбинации с esp-des или esp-3des, чтобы обеспечить целостность пакетов ESP • esp-sha-hmac — преобразование ESP с аутентификацией HMAC-SHA; используется в комбинации с esp-des или esp-3des, чтобы обеспечить целостность пакетов ESP • esp-null — преобразование ESP, не предполагающее шифрование; используется в комбинации с esp-ind5-hmac или esp-sha-hmac, если необходимо обеспечить аутентификацию ESP без шифрования • esp-rfcl829 — преобразование ESP-DES-CBC (RFC 1829), используемое с более ранними реализациями IPSec Согласование набора преобразований Наборы преобразований согласуются в быстром режиме второй фазы IKE на основе определенных наборов преобразований. Можно выбрать множество наборов преобразований, а затем указать один из них (или сразу несколько) в записи криптографической карты. В рамках одной политики наборы преобразований должны размещаться от наиболее надежного к наименее надежному. Набор преобразований, определенный записью криптографической карты, используется при согласовании ассоциаций защиты IPSec для защиты потоков данных, определяемых списком доступа, связанным с этой записью. В ходе согласования стороны пытаются найти набор тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 16 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения преобразований, допустимый для обеих сторон. Если такой набор преобразований имеетимеется, то он применяется для защиты потока данных в рамках ассоциаций защиты IPSec обеих сторон. Стороны IPSec договариваются об одном наборе преобразований для каждой ассоциации защиты (они являются односторонними). Шаг 2. Установка глобальных ассоциаций защиты IPSec пределов существования для Пределы существования ассоциаций защиты IPSec указывают, как долго ассоциации защиты IPSec остаются действительными, т.е. когда потребуется их переустановка. Программное обеспечение Cisco IOS поддерживает глобальное значение предела существования, применимого сразу ко всем криптографическим картам. Глобальное значение может быть изменено соответствующей записью криптографической карты. Пределы существования применимы только к ассоциациям защиты, создаваемым посредством IKE. Созданные вручную ассоциации защиты не прекращают своего существования автоматически. Перед тем как ассоциация защиты прекратит свое существование, проводятся переговоры о создании новой, чтобы обеспечить непрерывность потока данных. Изменить глобальные значения пределов существования для ассоциаций защиты IPSec можно с помощью команды глобальной конфигурации crypto ipsec security-association lifetime. Чтобы восстановить значение предела существования, заданное по умолчанию, используйте команду с префиксом по. Указанная команда имеет следующий синтаксис: crypto ipsec security-association lifetime {seconds секунды | kilobytes килобайты) Параметры команды описаны в следующей таблице. Параметр Описание команды seconds Указывает время (в секундах), в течение которого ассоциация защиты секунды будет действительна. По умолчанию соответствующее значение равно 3600 секундам (одному часу) kilobytes Указывает объем данных (в килобайтах), который можно передать по килобайты данной связи, до того как она станет недействительной. По умолчанию используется значение,равное 4608000 Кбайт Шаг 3. Создание списков шифрованного доступа Еще одним шагом настройки IPSec является настройка списков шифрованного доступа, которые используются для определения трафика IP, защищаемого (или не защищаемого) средствами IPSec. Списки шифрованного доступа в рамках IPSec выполняют следующие функции. • Выбор исходящего трафика, подлежащего защите средствами IPSec. • Обработка входящего трафика на предмет выявления трафика IPSec. • Выявление и фильтрация входящего трафика, подлежащего защите средствами IPSec. • Удовлетворение запросов создания ассоциаций защиты IPSec в процессе согласования IKE. При создании списков шифрованного доступа используются расширенные списки доступа IP. Списки шифрованного доступа выявляют данные, которым требуется защита. Синтаксис списков шифрованного доступа ничем не отличается от синтаксиса расширенных списков доступа IP, но в списках шифрованного доступа ключевые слова интерпретируются иначе. Ключевое слово permit означает, что соответствующие пакеты должны шифроваться, a deny означает отказ от шифрования. Списки тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 17 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения шифрованного доступа действуют подобно расширенным спискам доступа IP, применяемым к исходящему трафику интерфейса. Если одной части трафика необходимо обеспечить одну комбинацию средств защиты IPSec (например, только аутентификацию), а другой — иную (и аутентификацию, и шифрование), создайте два списка шифрованного доступа, чтобы определить два типа трафика. Эти списки доступа нужно использовать в разных записях криптографической карты, описывающих разные политики IPSec. Шаг 4. Создание криптографических карт При создании криптографических карт, с помощью средств IPSec можно установить ассоциации защиты для потоков данных, подлежащих шифрованию. В этом разделе рассматриваются цели создания криптографических карт, описывается команда crypto map и предлагаются примеры криптографических карт. Записи криптографических карт определяют параметры ассоциаций защиты IPSec, связывая следующие элементы конфигурации. • Трафик, который должен защищаться средствами IPSec (списком шифрованного доступа), и степень детализации трафика, защищаемого набором ассоциаций защиты. • Пункт назначения, куда направляется трафик IPSec (описание удаленной стороны IPSec). • Локальный адрес, который должен использоваться для трафика IPSec. • Тип защиты IPSec, применяемый к указанному трафику (наборы преобразований). • Способ создания ассоциаций защиты: создание вручную или посредством IKE. • Другие параметры, которые могут понадобиться при создании ассоциаций защиты IPSec. Настройка криптографических карт Команда глобальной конфигурации crypto map используется для создания или изменения записей криптофафических карт и для перехода в режим конфигурации криптографической карты. Записи криптографической карты, ссылающиеся на динамические карты, должны быть записями с самым низким приоритетом (т.е. соответстсоответствующие номера записей должны иметь наивысшие значения). Чтобы удалить запись или набор записей криптофафический карты, используйте указанную команду с префиксом nо. Команда имеет следующий синтаксис: crypto map имя-карты порядк-номер cisco crypto map имя-карты порядк-номер ipsec-manual crypto map имя-карты порядк-номер ipsec-isakmp [dynamic имя-динамич-карты] no crypto map имя-карты [порядк-номер] Параметры команды описаны в следующей таблице. Параметр Описание команды cisco (Значение, принятое по умолчанию.) Указывает, что для защиты трафика, определяемого новой записью криптографической карты, будет использоваться СЕТ, а не IPSec имя-карты Имя криптографической карты порядкНомер, присваиваемый записи криптографической карты номер ipsec-manual Запрет использования IKE при создании ассоциаций защиты IPSec для трафика, определяемого новой записью криптографической карты ipsec-isakmp Требование использовать IKE при создании ассоциаций защиты IPSec для трафика, определяемого новой записью криптографической карты dynamic (необязательный) Означает, что данная запись ссылается на уже существующую динамическую криптографическую карту. При использовании этого ключевого слова команды режима конфигурации криптографической карты недоступны тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 18 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения имядинамичкарты (необязательный) Имя набора записей динамической криптографической карты, используемого в качестве шаблона политики защиты При вводе команды crypto map открывается режим конфигурации криптографической карты (характеризующийся приглашением router(config-cryptomap)#), в котором будут доступны следующие команды. match address [id-списка-доступа | имя] set peer [имя-хоста | ip-адрес] set pfs [group1 | group2] set security-association level per-host set security-association lifetime {seconds секунды | kilobytes килобайты} set transform-set имя-иабора [имя-набора2...имя-набора6] set session-key {inbound | outbound} ah | esp exit Синтаксис команд, доступных в режиме конфигурации криптографической карты, описан в следующей таблице. Параметр Описание id-спискаИдентифицирует (с помощью номера или имени) расширенный список доступа | имя доступа, используемый криптографической картой. Значение должно соответствовать номеру или имени ранее определенного расширенного списка доступа IP имя-хоста | ip- Идентифицирует IPSec-партнера с помощью IP-адреса или имени адрес хоста. Можно указать несколько адресов для реализации стратегии резервирования group1 | group2 (необязательный) Определяет использование 768-битовой (groupl) или 1024-битовой (group2) группы Диффи-Хеллмана для нового обмена в рамках IPSec. По умолчанию используется groupl set security- Означает необходимость запроса отдельных ассоциаций защиты IPSec association для каждой пары адресов источника/получателя в списке level per-host шифрованного доступа seconds Задает предел времени существования ассоциации защиты, по секунды истечении которого связь становится недействительной kilobytes Задает предельный объем (в килобайтах) для передаваемых килобайты сторонами IPSec данных, в результате превышения которого ассоциация защиты становится недействительной имя-набора Список наборов преобразований в порядке возрастания приоритета. [имяДля записей ipsec-isakmp и dynamic можно указать до шести наборов набора2...имяпреобразований. В процессе согласования наборы преобразований набора6] рассматриваются в порядке приоритета - от низшего значения к высшему, поэтому набору преобразований, обеспечивающему наиболее надежную защиту (например, esp-3des), следует присвоить наименьшее значение set session-key Установка параметров ассоциации защиты вручную, включая {inbound | установку вручную паролей для преобразований АН и ESP. outbound} ah Указывает, для каких ассоциаций защиты вводятся значения—для входящих (inbound) или исходящих (outbound) | esp exit Выход из режима конфигурации криптографической карты Шаг 5. Применение криптографических карт к интерфейсам Последним шагом настройки IPSec является применение набора записей криптографической карты к интерфейсу с помощью команды crypto map в режиме конфигурации интерфейса. Используйте данную команду с префиксом nо, чтобы удалить тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 19 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения криптографическую синтаксис: карту с интерфейса. Указанная команда имеет следующий crypto map имя-карты Параметр команды имеет следующее значение. Параметр Описание команды имя-карты Идентифицирует набор записей криптографической карты. Это имя, присваиваемое при создании криптографической карты Как только вы примените криптографическую карту, в базе данных ассоциаций защиты в памяти системы будут установлены параметры ассоциации защиты. Проверить установленные ассоциации защиты можно с помощью команды show crypto ipsec sa. С одним интерфейсом можно связать только один набор записей криптографической карты. Записи криптографической карты, имеющие одно и то же имя, но разные порядковые номера, считаются частью одного набора и применяются к интерфейсу одновременно. Запись криптографической карты с наименьшим значением порядкового номера имеет высший приоритет и оценивается первой. Задача 4. Тестирование и контроль IPSec Завершающей задачей процесса настройки IPSec для работы с общими ключами является проверка текущих установок и функциональных возможностей IPSec. Программное обеспечение Cisco IOS предлагает ряд команд show, clear и debug, с помощью которых можно проконтролировать работу IKE и IPSec. Их использование обсуждается в следующих разделах. Команды IKE Команды, описанные в следующих разделах, можно использовать для проверки конфигурации и действия IKE. Команду show crypto isakmp policy режима EXEC можно использовать для того, чтобы выяснить параметры политики IKE. Команду show crypto isakmp sa режима EXEC можно использовать для того, чтобы увидеть параметры всех текущих ассоциаций защиты IKE Команду clear crypto isakmp глобальной конфигурации можно применять для очистки активных соединений IKE. Эта команда имеет следующий синтаксис: clear crypto isakmp [id-соедииеиия] Где id-соединения (необязательный) идентифицирует соединение, которое требуется очистить. Если значение параметра не указано, будут очищены все существующие соединения Команда debug crypto isakmp режима EXEC используется для отображения сообщений о событиях IKE. Использование этой команды с префиксом nо отключает вывод отладочных данных. Команды IPSec Команды, описываемые в следующих разделах, можно применять для проверки параметров конфигурации и контроля действия IPSec. Командой show crypto ipsec transform-set режима EXEC можно воспользоваться для проверки размещенных наборов преобразований. Указанная команда имеет следующий синтаксис: show crypto ipsec transform-set [tag имя-набора] тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 20 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Команду show crypto map режима EXEC применяют для просмотра конфигурации криптографической карты. Если эту команду использовать без дополнительных ключевых слов, будут показаны все криптографические карты, размещенные в маршрутизаторе. Синтаксис указанной команды следующий: show crypto map [interface интерфейс | tag имя-карты] С помощью команды show crypto ipsec security-association lifetime режима EXEC можно выяснить значения пределов существования ассоциаций защиты для конкретной записи криптографической карты. Эта команда не имеет параметров или дополнительных ключевых слов. Команда show crypto ipsec sa режима EXEC применяется для просмотра установок, используемых текущими ассоциациями защиты. Если команда вводится без дополнительных ключевых слов, отображается информация обо всех ассоциациях защиты. Синтаксис указанной команды следующий: show crypto ipsec sa [map имя-карты | address | identity] [detail] Команда debug crypto ipsec режима EXEC предназначена для вывода информации о событиях IPSec. При использовании этой команды с префиксом nо вывод отладочных данных отключается. Команда clear crypto sa глобальной конфигурации используется для того, чтобы очистить ассоциации защиты IPSec. Синтаксис указанной команды следующий: clear crypto sа peer {ip-адрес | имя-стороны) clear crypto sa map имя-карты clear crypto sa entry адрес-получателя протокол spi clear crypto sa counters Глава 2. Защита сетевого доступа с помощью средств ААА Несанкционированный доступ, а также возможность фальсификации и обмана в сетевой среде дают1 нарушителям потенциальную возможность получения доступа к сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно ограничить возможности нарушителей, оставляя законным пользователям сети право иметь доступ к сетевым ресурсам. Архитектура защиты ААА Защита сетевого доступа — независимо от того, рассматривается она в применении к территориальной сети предприятия, удаленному доступу или Internet — имеет модульную архитектуру, состоящую из следующих трех компонентов. Аутентификация. Требует от пользователей доказательства того, что они действительно являются теми, за кого себя выдают, например, посредством ввода имени пользователя и пароля, использования системы запросов/подтверждений, идентификационных карт или какого-то другого метода. "Я — пользователь student, и мой пароль validateme доказывает это" Авторизация. После аутентификации пользователя сервис авторизации решает, к каким ресурсам разрешается доступ данному пользователю и какие действия разрешается ему выполнять. "Пользователь student может иметь доступ к узлу NT_Server посредством Telnet" Аудит. Запись того, что пользователь действительно делал, к чему имел доступ и в течение какого времени, осуществляется с целью учета, контроля и выяснения тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 21 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения стоимости. С помощью аудита можно проследить за тем, как используются сетевые ресурсы. Аудит может быть применен для анализа практики сетевого доступа и обнаружения сетевых вторжений. "Пользователь student получал доступ к узлу NT_Server посредством Telnet 15 раз" Серверы защиты ААА Средства ААА в продуктах Cisco поддерживают контроль доступа либо с помощью локальной базы данных на сервере сетевого доступа, либо с помощью удаленной базы данных зашиты, использующей протокол защиты ААА. Оба подхода имеют свои плюсы и минусы. В этом разделе мы рассмотрим применение средств ААА с локальной и удаленной базами данных зашиты, а также стандарты удаленной базы данных зашиты, поддерживаемые средствами ААА Cisco. ААА и локальная база данных защиты Если требуется обеспечить доступ к сети небольшому числу удаленных пользователей через один-два сервера сетевого доступа, можно хранить информацию об их именах и паролях на сервере сетевого доступа. Такой подход называют локальной аутентификацией, или аутентификацией с помощью локальной базы данных зашиты. Ниже указаны особенности использования средств ААА с локальной базой данных зашиты. Локальная аутентификация подходит для малых сетей с небольшим числом удаленных пользователей и серверов сетевого доступа. Имена пользователей, пароли и параметры авторизации хранятся в локальной базе данных защиты на сервере сетевого доступа. Удаленные пользователи проходят аутентификацию и авторизацию с помощью локальной базы данных зашиты. Авторизация и аудит при использовании локальной базы данных зашиты имеют ограниченную поддержку. Контроль доступа с помощью локальной базы данных защиты позволяет сэкономить на установке и поддержке удаленной базы данных зашиты. Аутентификация с использованием локальной базы данных зашиты обычно выполняется следующим образом. Сначала с помощью команд ААА необходимо в локальной базе данных зашиты каждого сервера сетевого доступа указать соответствующие параметры для каждого из возможных пользователей. Процесс ААА состоит из следующих шагов. 1. Удаленный пользователь устанавливает соединение РРР с сервером сетевого доступа. 2. Сервер сетевого доступа запрашивает у пользователя имя и пароль. 3. Сервер сетевого доступа выполняет аутентификацию имени и пароля с помощью локальной базы данных. 4. Сервер сетевого доступа выполняет процедуру авторизации, в результате чего пользователь получает право доступа к сетевым сервисам и другим ресурсам в соответствии со значениями, заданными в локальной базе данных. 5. Сервер сетевого доступа следит за трафиком пользователя и создает записи аудита в соответствии со значениями, заданными в локальной базе данных. ААА и удаленная база данных защиты По мере роста сети все более остро встает вопрос о необходимости использования удаленной базы данных защиты, которая обеспечивала бы информацию об именах пользователей и паролях всем серверам сетевого доступа и маршрутизаторам сети. Удаленная база данных защиты размешается на сервере защиты. Удаленную базу данных защиты удобно использовать тогда, когда имеется большое число серверов сетевого доступа, контролирующих доступ к сети. Такая база данных позволяет централизованно управлять файлами профилей (т.е. параметрами доступа) удаленных тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 22 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения пользователей, что избавляет от необходимости менять файлы профилей каждого удаленного пользователя на всех серверах сетевого доступа. Удаленная база данных зашиты помогает создать и реализовать согласованную политику защиты удаленного доступа для всех подразделений корпорации. Рассмотрим особенности использования средств ААА с удаленной базой данных защиты. Аутентификация с помощью удаленной базы данных защиты оптимальна для средних и больших сетей с большим числом удаленных пользователей и множеством серверов сетевого доступа, когда затраты на содержание сервера защиты могут быть оправданы. Имена пользователей, пароли и параметры авторизации централизованно хранятся в удаленной базе данных защиты на сервере защиты. Удаленные пользователи проходят процедуры аутентификации и авторизации с помощью удаленной базы данных защиты. Авторизация и аудит поддерживаются сервером сетевого доступа с использованием удаленной базы данных защиты. Удаленная база данных защиты может использоваться для контроля доступа к серверу сетевого доступа или к сети через сервер сетевого доступа. Некоторые протоколы удаленной базы данных защиты поддерживают контроль доступа к маршрутизаторам, коммутаторам Ethernet и брандмауэрам. Удаленная база данных защиты применяется для контроля доступа к сетевому оборудованию, поддерживающему стандартные протоколы удаленного доступа. Централизованный контроль посредством удаленной базы данных защиты позволяет сэкономить средства, избавляя от необходимости управлять каждым сервером сетевого доступа в отдельности. Для защиты базы данных необходимо, чтобы содержащий ее хост был защищен с максимальной степенью надежности. Аутентификация с использованием удаленной базы данных защиты обычно выполняется так. Сначала необходимо заполнить локальную базу данных защиты каждого сервера сетевого доступа, описав соответствующие параметры для каждого из возможных пользователей. Кроме того, необходимо настроить сервер сетевого доступа (и другое сетевое оборудование) на взаимодействие с удаленной базой данных защиты при выполнении операций ААА. Процесс ААА в данном случае состоит из следующих шагов. 1. Пользователь устанавливает соединение РРР с сервером сетевого доступа. 2. Сервер сетевого доступа запрашивает у пользователя имя и пароль, и пользователь предъявляет соответствующие данные. 3. Сервер сетевого доступа передает имя пользователя и пароль серверу защиты. 4. Удаленная база данных защиты выполняет процедуру аутентификации и авторизации для данного пользователя и предоставляет ему соответствующие права доступа в сети. База данных на самом деле изменяет конфигурацию сервера сетевого доступа в соответствии с параметрами аутентификации, загружая необходимые команды в сервер сетевого доступа и активизируя соответствующие списки доступа. 5. Сервер сетевого доступа создает записи аудита в соответствии с параметрами удаленной базы данных защиты и посылает эти записи серверу защиты. Сервер защиты тоже может создавать записи аудита. Основным преимуществом использования удаленной базы данных защиты является то, что вследствие централизованного управления упрощается администрирование и обеспечивается согласованная реализация политики защиты в отношении удаленного доступа, доступа по телефонным линиям связи и управления маршрутизаторами. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 23 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Стандарты базы данных защиты, поддерживаемые Cisco Существует несколько стандартов удаленной базы данных защиты, призванных обеспечить унифицированный подход к управлению доступом к сети. Эти стандарты поддерживаются многими приложениями, среди которых есть как условно-бесплатные, так и коммерческие продукты. Сетевое оборудование Cisco поддерживает три протокола сервера защиты — TACACS+, RADIUS и Kerberos. TACACS+ и RADIUS являются главными протоколами сервера защиты, используемыми для решения задач ААА с серверами сетевого доступа, маршрутизаторами и брандмауэрами. Эти протоколы применяются при обмене информацией об управлении доступом между сервером защиты и сетевым оборудованием. Cisco также предлагает поддержку протоколов TACACS+ и RADIUS для CiscoSecure ACS. Семейство серверов сетевого доступа и маршрутизаторов Cisco, пользовательский интерфейс Cisco IOS и PIX Firewall поддерживают взаимодействие с серверами защиты, использующими TACACS+ и RADIUS. Серверы защиты TACACS+ или RADIUS взаимодействуют с сетевым оборудованием так, как будто они являются серверами сетевого доступа RADIUS RADIUS (Remote Access Dial-In User Service — сервис идентификации удаленных абонентов) представляет собой распределенный протокол, используемый в рамках технологии клиент/сервер и обеспечивающий защиту сети от несанкционированного доступа. Cisco поддерживает RADIUS как одну из составляющих системы защиты ААА. Рассматриваемый протокол скорее объединяет аутентификацию и авторизацию, чем трактует их отдельно, как это делается в отношении аудита. Протокол RADIUS может использоваться с другими протоколами защиты ААА, например с TACACS+, Kerberos и локальными базами данных защиты. Данный протокол был разработан компанией Livingston Enterprises (теперь находящейся в составе Lucent Technologies). Протокол RADIUS описывается в документе RFC 2865, а аудит RADIUS — в RFC 2866. Протокол RADIUS реализован во многих сетевых средах, требующих высокого уровня зашиты при условии поддержки сетевого доступа для удаленных пользователей. Он представляет собой полностью открытый протокол, поставляемый в формате исходного текста, который можно изменить для того, чтобы он мог работать с любой доступной в настоящий момент системой защиты. Широкую популярность RADIUS обеспечивает возможность добавлять новые пары "атрибут/значение" в дополнение к тем, которые описаны в документе RFC 2865. Протокол RADIUS имеет атрибут поставщика (атрибут 26), позволяющий поставщику осуществлять поддержку своих собственных расширенных наборов атрибутов, включающих нестандартные атрибуты. Вследствие использования пар "атрибут/значение" конкретных поставщиков могут возникать трудности при интеграции серверных продуктов защиты RADIUS в другие системы защиты. Серверы защиты RADIUS и соответствующие клиенты должны игнорировать нестандартные пары "атрибут/значение", созданные конкретными поставщиками. Cisco осуществляет поддержку клиентов RADIUS посредством набора серверов сетевого доступа, маршрутизаторов, коммутаторов Ethernet, брандмауэров PIX, концентраторов VPN 3000 и CiscoSecure ACS. Возможности RADIUS RADIUS поддерживает следующие возможности сервера защиты. Пакеты UDP. Для связи RADIUS между сервером сетевого доступа и сервером защиты используется протокол UDP и UDP-порт 1812, официально назначенный для этого. Некоторые реализации RADIUS используют UDP-порт 1645. Использование UDP упрощает реализацию клиента и сервера RADIUS. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 24 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Объединение аутентификации и авторизации и выделение аудита. Сервер RADIUS получает запросы пользователя, выполняет аутентификацию и обеспечивает клиенту информацию о конфигурации. Аудит выполняется сервером аудита RADIUS. Шифрование паролей пользователей. Пароли, содержащиеся в пакетах RADIUS (a это только пользовательские пароли), шифруются посредством хэширования MD5. Аутентификация РАР и CHAP. Обеспечивает управление аутентификацией с помощью средств вызова/ответа РАР и CHAP, а также посредством диалога начала сеанса и ввода пароля наподобие входа в систему UNIX. Защита глобальной сети. Обеспечивает поддержку средств ААА удаленного доступа для серверов сетевого доступа многих поставщиков, поддерживающих клиентов RADIUS. Дает возможность централизовать управление удаленным доступом. Протоколы группы SLIP, РРР и ARAP. Поддерживаются также Telnet, rlogin и LAT (Local Area Transport — протокол доступа к терминалу в сетях DECnet). Автокоманды. Пользователь может автоматически выполнить команду, если она указана в базе данных RADIUS и поддерживается сервером сетевого доступа. Функция обратного вызова. Данная функция возвращает телефонные вызовы, заставляя сервер сетевого доступа звонить соответствующему пользователю, что может дать дополнительные гарантии защиты пользователям, использующим доступ по телефонным линиям. Расширяемость. Все транзакции предполагают использование пар "атрибут/значение" переменной длины. Новые атрибуты могут быть добавлены в существующие реализации протокола. Протокол разрешает производителям добавлять новые атрибуты с помощью атрибута поставщика. Гарантированная сетевая защита. Аутентификация транзакций между клиентом и сервером защиты RADIUS предполагает использование общего секретного значения. Процесс аутентификации и авторизации RADIUS Клиент RADIUS и сервер защиты RADIUS обмениваются пакетами Access-Request (доступ-запрос), Access-Accept (доступ-подтверждение), Access-Reject (доступ-отказ) и Access-Challenge (доступ-вызов). При попытке подключиться к серверу сетевого доступа, имеющему конфигурацию клиента RADIUS, выполняются следующие шаги. 1. Пользователь инициализирует запрос аутентификации РРР к серверу сетевого доступа. 2. У пользователя запрашивается имя и пароль, и он вводит их. 3. Сервер сетевого доступа посылает серверу защиты RADIUS пакет Acces-Request, содержащий имя пользователя, шифрованный пароль и другие атрибуты. 4. Сервер защиты RADIUS идентифицирует посылающего клиента, выполняет аутентификацию пользователя, проверяет параметры авторизации пользователя и возвращает один из следующих ответов. Access-Accept — пользователь аутентифицирован. Access-Reject — пользователь не аутентифицирован, и сервер сетевого доступа либо предлагает ввести имя пользователя и пароль снова, либо запрещает доступ. Access-Challenge — вызов является дополнительной возможностью сервера защиты RADIUS, позволяющей получить дополнительные данные о пользователе, чтобы послать их серверу защиты RADIUS. 5. Сервер сетевого доступа обращается к параметрам аутентификации, разрешающим использование конкретных служб. 6. Ответ Access-Accept или Access-Reject связывается с дополнительными данными (парами "атрибут/значение"), используемыми для сеансов EXEC и авторизации. Процесс аутентификации RADIUS должен быть завершен до начала процесса авторизации. Дополнительные данные в пакетах Accept или Reject состоят из пар "атрибут/значение" для следующих объектов: сервисы, к которым разрешается доступ пользователю, включая Telnet, rlogin, а также соединения LAT и РРР; тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 25 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения сервисы EXEC и SLIP; параметры соединения, включая IP-адреса клиента и хоста, список доступа и ограничения времени. 7. Сервер защиты RADIUS может периодически посылать пакеты Access-Challenge серверу сетевого доступа, чтобы потребовать повторного введения имени и пароля пользователем, информировать о состоянии сервера сетевого доступа или выполнить какие-то другие действия, предусмотренные разработчиками сервера RADIUS. Клиент RADIUS не может посылать пакеты Access-Challenge. Процесс аудита RADIUS Протокол RADIUS был усовершенствован с тем, чтобы обеспечить доставку информации аудита от клиента RADIUS серверу аудита RADIUS через UDP-порт 1813. Клиент RADIUS отвечает за отправку информации аудита пользователя соответствующему серверу аудита RADIUS, для чего используется пакет типа Accounting-Request (аудитзапрос) с соответствующим набором пар "атрибут/значение". Сервер аудита RADIUS должен принять запрос аудита и вернуть ответ, подтверждающий успешное получение запроса. Для этого используется пакет типа Accounting-Response (аудит-ответ). При попытке подключиться к серверу сетевого доступа, имеющему конфигурацию клиента RADIUS, выполняются следующие шаги. 1. После исходной аутентификации сервер сетевого доступа посылает серверу защиты RADIUS старт-пакет Accounting-Request. 2. Сервер защиты RADIUS подтверждает получение старт-пакета, возвращая пакет Accounting- Response. 3. По окончании использования сервиса сервер сетевого доступа посылает стоп-пакет Accounting-Request; в этом пакете указываются тип предоставленного сервиса и дополнительные статистические данные. 4. Сервер защиты RADIUS подтверждает получение стоп-пакета, возвращая пакет Accounting- Response. CiscoSecure ACS Специалисты Cisco разработали семейство масштабируемых продуктов CiscoSecure ACS (Access Control Server — сервер управления доступом), обеспечивающих поддержку удаленной базы защиты для малых и средних предприятий и поставщиков сетевых услуг. CiscoSecure ACS поддерживает являющиеся промышленными стандартами протоколы TACACS+ и RADIUS. Компания Cisco предлагает версии CiscoSecure ACS, работающие под управлением либо Solaris, либо Windows NT Server. CiscoSecure использует центральную базу данных, которая хранит пользовательские и групповые профили с информацией аутентификации и авторизации, а также записи аудита. CiscoSecure ACS допускает удаленное управление с помощью стандартного обозревателя Web, что обеспечивает простоту изменения, перемещения или удаления имен пользователей, паролей и сетевых устройств. CiscoSecure ACS является всеобъемлющим и гибким средством контроля доступа к сети. CiscoSecure контролирует сетевой доступ по следующим направлениям: удаленный доступ через серверы сетевого доступа и маршрутизаторы Cisco; доступ к консоли маршрутизаторов и коммутаторов Ethernet и порту vty с целью осуществления централизованного управления; контроль доступа через брандмауэр PIX. CiscoSecure ACS взаимодействует с сервером сетевого доступа, маршрутизатором и брандмауэром PIX Firewall при реализации всеобъемлющей политики защиты в рамках тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 26 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения архитектуры ААА. Имеется также возможность использования идентификационных карт и серверов, поставляемых лидерами этой отрасли. CiscoSecure ACS может применяться для контроля доступа к оборудованию других производителей, если это оборудование поддерживает протоколы TACACS+ и RADIUS. Семейство продуктов CiscoSecure ACS включает следующее: CiscoSecure ACS для Windows NT; CiscoSecure ACS для UNIX; CiscoSecure GRS (Global Roaming Server — сервер глобального роуминга). Конфигурация средств ААА сервера сетевого доступа Шаг 1. Глобальная активизация ААА в сервере сетевого доступа Чтобы создать раздел ААА в файле конфигурации необходимо сделать следующее. 1. Настроить сервер сетевого доступа на выполнение аутентификации пользователей, пытающихся получить доступ к командам привилегированного уровня. 2. Создать строку символов, содержащую список методов аутентификации, активизируемых при входе пользователя в систему, и базу данных имен пользователей, используемую для аутентификации (таких баз данных может быть несколько). 3. Указать один или несколько методов аутентификации ААА для использования с последовательным интерфейсом по протоколу РРР (Point-to-Point Protocol —протокол двухточечного соединения). Глобальная активизация средств ААА на сервере сетевого доступа выполняется с помощью следующих команд NASx(config)#aaa new-model NASx(config)#aaa authentication login default enable Первая команда, ааа new-model, создает новую конфигурацию ААА. Вторая, ааа authentication login default enable, обеспечивает постоянную защиту доступа по всем линиям (кроме РРР). Теперь можно продолжить изменение и тестирование конфигурации с помощью команд ААА и соответствующих приложений. Внимание! Только при первом использовании команды ааа new-model создается новая конфигурация. Последующее применение команды по умолчанию предполагает использование операторов ААА, уже введенных ранее. Шаг 2. Настройка профилей аутентификации ААА Используйте команду глобальной конфигурации ааа authentication для установки параметров идентификации пользователя и проверки этой информации. После глобальной активизации ААА на сервере доступа необходимо определить списки методов аутентификации, а затем связать их с линиями и интерфейсами. Списки методов аутентификации представляют собой профили защиты, указывающие сервис (РРР, ARAP или NASI) или метод входа в систему и аутентификации (local, TACACS+, RADIUS, login, enable, line или none). тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 27 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Чтобы определить список методов аутентификации authentication, необходимо выполнить следующее. с помощью команды ааа 1. Указать сервис (РРР, ARAP или NASI) или аутентификацию входа в систему (login). 2. Определить имя списка или имя по умолчанию. Именем списка может быть любая буквенно-цифровая строка. Имя по умолчанию указывает метод, применяемый ко всем строкам и интерфейсам, для которых явно не указано иное. В каждом списке можно указать только один входной протокол, но можно создать множество списков методов аутентификации. Каждому списку необходимо дать уникальное имя. 3. Указать метод аутентификации. Можно указать до четырех методов. Если для некоторого метода регистрируется ошибка (что выявляется с помощью команды debug aaa authentication), система пытается использовать следующий метод. После определения списки следующих объектов. методов аутентификации применяются к одному из Линии. Линии tty, vty, консоли, aux и async или консольный порт для входа в систему и асинхронные линии (в большинстве случаев) для ARA. Интерфейсы. Синхронный, асинхронный и виртуальный интерфейсы для РРР, SLIP, NASI или ARAP. Для активизации процесса аутентификации ААА используется authentication в режиме глобальной конфигурации. Синтаксис authentication следующий. команда команды ааа ааа ааа authentication {arap | enable | login | nasi | ppp} {default | имя-списка) метод1 [метод2] [метод3] [метод4] Аргументы команды enable authentication и их значения объясняются в следуюследующей таблице. Аргумент команды arap метод enable метод Описание Активизирует метод аутентификации ААА для ARA (AppleTalk Remote Access - удаленный доступ AppleTalk) с использованием RADIUS или TACACS+. Аргумент метод допускает следующие параметры. • guest - разрешает гостевой вход в систему. Этот метод должен быть первым в списке, но за ним могут следовать другие методы на случай, если метод не сработает • autho-guest - разрешает гостевой вход в систему при условии, что пользователь уже получил доступ к режиму EXEC. Этот метод должен быть первым в списке, но за ним могут следовать другие методы на случай, если этот метод не сработает • line - использование пароля линии • local — использование локальной базы данных имен пользователей • tacacs+ - использование аутентификации TACACS+ • radius - использование аутентификации RADIUS Создает набор методов аутентификации для выяснения возможности получения доступа к командам привилегированного уровня. Аргумент метод задает методы, которые алгоритм аутентификации пытается применить в указанном порядке: • enable - использование пароля enable • line — использование пароля линии • none — отказ от аутентификации • tacacs+ - использование аутентификации TACACS+ тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 28 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения login метод nasi ррр метод default имя-списка • radius - использование аутентификации RADIUS Использование аутентификации ААА в начале сеанса. Аргумент метод задает список методов, которые алгоритм аутентификации пытается применить в указанном порядке: • enable - использование пароля enable • krb5 - использование аутентификации Kerberos 5 • line — использование пароля линии • local - использование пароля линии • none — отказ от аутентификации • radius - использование аутентификации RADIUS • tacacs+ — использование аутентификации TACACS+ • krb5-telnet - использование протокола аутентификации Kerberos 5 Telnet при осуществлении доступа Telnet к маршрутизатору Использование аутентификации ААА для клиентов NASI, одключающихся через сервер доступа. Аргумент метод задает список методов, которые алгоритм аутентификации пытается применить в указанном порядке: • enable — использование пароля enable • line — использование пароля линии • local — использование линейного пароля • попе - отказ от аутентификации • tacacs+ - использование аутентификации TACACS+ Указывает один или несколько методов аутентификации ААА для последовательного интерфейса, использующего РРР и TACACS+. Аргумент метод задает список методов, которые алгоритм аутентификации пытается применить в указанном порядке: • if-needed - не использовать аутентификацию, если пользователь уже аутентифицирован на линии tty • krb5 — использование аутентификации Kerberos 5 (может использоваться только для аутентификации РАР) • local — использование пароля линии • попе - отказ от аутентификации • radius - использование аутентификации RADIUS • tacacs+ - использование аутентификации TACACS+ Использование следующих за данным аргументом методов по умолчанию при входе пользователя в систему Указывает имя списка методов аутентификации, применяемых при входе пользователя в систему В следующей таблице представлены команды настройки параметров аутентификации ААА. Команда ааа authentication tech-pubs local ааа authentication mktg if-needed local login ppp Описание Определяет профиль аутентификации при входе в систему (tech-pubs), использующий для аутентификации локальную базу данных Определяет профиль аутентификации РРР (mktg), не требующий аутентификации, если пользователь уже аутентифицирован. Иначе для аутентификации РРР используется локальная база данных В примере ниже показаны команды аутентификации, применяемые к линиям и ининтерфейсам. (config)#line console 0 (config-line)#login authentication tech-pubs (config)#interface serial 3/0 (config-line)#ppp authentication chap mktg тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 29 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Команда line console 0 открывает режим конфигурации консольной линии. Команда login authentication tech-pubs задает использование профиля tech-pubs для аутентификации входа в систему при доступе через консольный порт 0. Команда interface serial 3/0 указывает порт 0 сегмента 3 последовательного интерфейса. Команда ppp authentication chap mktg задает использование профиля mktg для аутентификации CHAP PPP в рамках интерфейса, описанного предыдущей командой. Для "аварийного варианта" аутентификации ААА используется список по умолчанию. Шаг 3. Настройка средств авторизации ААА Средства авторизации ААА позволяют ограничить доступ к сервисам. Когда средства авторизации ААА активизированы, сервер сетевого доступа настраивает параметры сеанса связи в соответствии с профилем пользователя, хранящимся либо в локальной базе данных, либо на сервере защиты. Пользователю предоставляется доступ к соответствующему сервису, если это допускается параметрами профиля. Для установки параметров, определяющих права пользователя, используется команда глобальной конфигурации ааа authorization. Сервер доступа необходимо настроить так, чтобы после успешной аутентификации пользователю предоставлялось право доступа только к определенным функциям. Синтаксис команды ааа authorization следующий. ааа authorization {network | exec | commands уровень | reverse-access} {default | имя-списка} {if-authenticated | local | none | radius | tacacs+ | krb5-instance} Аргументы команды и их значения объясняются в следующей таблице. Аргумент команды network exec commands уровень reverse-access default имя-списка if-authenticated local none radius tacacst krb5-instance Описание Для сетевых сервисов (РРР, SUP, ARAP) Для запуска exec (shell) Для команд exec (shell) Указывает уровень команды, требующей авторизации. Допустимы значения 0-15 Выполнение авторизации для соединений обратного доступа, например обратного доступа Telnet Использование методов из указанного после этого аргумента списка в качестве методов авторизации по умолчанию Символьная строка, задающая имя списка методов авторизации Разрешает использовать запрошенную функцию, если пользователь аутентифицирован Использование для авторизации локальной базы данных (с паролями пользователя) Отказ от авторизации Использование авторизации RADIUS Использование авторизации TACACS+ Использование экземпляра, определяемого командой таблицы экземпляров Kerberos Имеется возможность указать профиль авторизации после указания сервиса. Точно так же, как и в команде aaa authentication, в данном случае можно указать до четырех различных методов. Именованные списки авторизации позволяют определить различные методы авторизации и аудита с тем, чтобы применить их к конкретным интерфейсам и каналам связи. В таблице ниже приводится список команд авторизации ААА, которые должны использоваться в режиме глобальной конфигурации. Команда Описание тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 30 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения aaa authorization commands 1 Orion local aaa authorization commands 15 Andromeda local aaa authorization network Pisces local none aaa authorization exec Virgo if-authenticated Применение локальной базы данных имен пользователей для авторизации использования всех команд уровня 1 То же для авторизации использования всех команд уровня 15 Применение локальной базы данных для всех сетевых сервисов типа SLIP (Serial Line Internet Protocol - межсетевой протокол для последовательного канала), РРР и ARAP. Если локальный сервер недоступен, авторизация не выполняется и пользователь может использовать все сетевые услуги Дает аутентифицированному пользователю право вывыполнить процесс EXEC Шаг 4. Настройка параметров аудита ААА Возможности аудита ААА позволяют контролировать доступ к сервисам, а также объемы потребляемых пользователями сетевых ресурсов. Для установки параметров записи действий пользователя используется команда глобальной конфигурации ааа accounting. Синтаксис команды ааа accounting следующий. ааа accounting {system | network | exec | connection | commands уровень} {default | имя-списка} {start-stop | wait-start | stop-only | none} [метод1 [метод2]] Аргументы команды и их значения объясняются в следующей таблице. Аргумент Описание команды system Аудит всех событий системного уровня (типа перезагрузки) network Аудит запросов сетевого сервиса (SUP, PPP и ARAP) exec Аудит процессов EXEC connection Аудит всех исходящих соединений типа Telnet или rlogin commands Аудит всех команд указанного уровня привилегий уровень default Использование методов авторизации из списка, указанного после этого аргумента, в качестве методов авторизации по умолчанию имя-списка Символьная строка, определяющая имя списка методов аудита start-stop Отправка уведомлений о начале и окончании аудита. Запись начала аудита посылается в фоновом режиме. Запрошенный пользователем процесс начинается, даже если уведомление о начале аудита не будет получено сервером wait-start Как и для аргумента start-stop, серверу аудита посылаются уведомления о начале и окончании аудита. Однако при использовании wait-start запрошенный пользователем сервис не предоставляется до тех пор, пока не будет получено подтверждение получения уведомления о начале аудита stop-only Отправка уведомления об окончании аудита по завершении запрошенного пользователем процесса none Отменяет аудит для данной линии или интерфейса метод1, Активизирует аудит TACACS+ или RADIUS с помощью ключевых слов метод2 tacacs+ или radius. В таблице ниже приводятся команды аудита ААА, используемые в режиме глобальной конфигурации. Команда Описание тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 31 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения ааа accounting system wait-start local ааа accounting network stop-only local ааа accounting exec start-stop local ааа accounting commands 15 waitstart local Аудит системных событий с использованием метода wait-start Отправка уведомлений о прекращении записи по завершении работы сервиса Отправка уведомлений о начале записи в начале процесса EXEC и о прекращении записи в конце этого процесса Отправка уведомления о начале записи и ожидание подтверждения, перед тем как начать выполнение любой команды уровня 15. Отправка уведомления о прекращении записи по завершении выполнения команды Шаг 5. Отладка конфигурации Команды debug ааа предназначены для того, чтобы выяснить, какие методы аутентификации и авторизации используются, для отображения результатов использования этих методов и отображения событий аудита по мере их возникновения. В таблице ниже представлены команды debug, используемые в сервере сетевого доступа для мониторинга событий аутентификации, авторизации и аудита. Команда Описание debug ааа Отображает информацию аутентификации AАА/TACACS+. Для отказа authentication от вывода данных отладки используйте эту команду в форме nо debug ааа Отображает информацию авторизации AAA/TACACS+. Для отказа от authorization вывода данных отладки используйте эту команду в форме nо debug ааа Отображает информацию аудита ААА/TАСАСS+. Для отказа от accounting вывода данных отладки используйте эту команду в форме no Каждая из команд debug имеет свои форматы вывода. Одни генерируют по одной строке в пакете, тогда как другие — множество строк. Какие-то команды генерируют большие объемы выводимых данных, в то время как другие генерируют вывод только иногда. Одни команды генерируют строки текста, а другие — информацию в виде набора полей. Глава 3. Конфигурирование IPSec туннеля между маршрутизатором Cisco и Cisco VPN клиентом версии 4.x для Windows с использованием RADIUS сервера для аутентификации пользователей Введение Эта глава описывает как сконфигурировать IPSec туннель между маршрутизатором Cisco 1751-V и Cisco Virtual Private Network (VPN) Client 4.x , используя для аутентификации пользователей Remote Authentication Dial-In User Service (RADIUS). Cisco IOS® Software Release 12.2(8)T и более поздние релизы поддерживают соединения с Cisco VPN Client 4.x. VPN Client 4.x использует 2 группу Диффи-Хеллмана. В этой главе рассматривается аутентификация на RADIUS сервере и авторизация (назначение Windows Internet Naming Service (WINS) and Domain Naming Service (DNS)) локально на маршрутизаторе. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 32 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Используемые компоненты Маршрутизатор 1751-V с версией IOS 12.3(4)XK4 CiscoSecure ACS for Windows 2000 версии 3.2 (любой RADIUS сервер) Cisco VPN Client for Windows версии 4.8 (любой VPN Client 4.x и более поздней версии) Результат команды show version на маршрутизаторе показан ниже. Router#sh version Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(4)XK4, RELEAS E SOFTWARE (fc1) Synched to technology version 12.3(5.7)T Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Wed 05-Oct-05 16:49 by ealyon ROM: System Bootstrap, Version 12.2(1r)XE1, RELEASE SOFTWARE (fc1) ROM: Router uptime is 6 days, 19 hours, 50 minutes System returned to ROM by reload at 15:33:53 MOSCOW Mon Jun 18 2007 System restarted at 15:35:22 UTC Mon Jun 18 2007 System image file is "flash:c1700-k9o3sy7-mz.123-4.XK4.bin" Cisco 1751-V (MPC860P) processor (revision 0x200) with 55706K/9830K bytes of mem ory. Processor board ID JAD06440L6B (2945274353), with hardware revision 0000 MPC860P processor: part number 5, mask 2 1 FastEthernet interface 1 Serial(sync/async) interface 32K bytes of NVRAM. 32768K bytes of processor board System flash (Read/Write) Configuration register is 0x2101 Примечание: тестирование данной схемы проводилось в условиях лаборатории. В начале работы все устройства имели конфигурацию по умолчанию. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 33 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Диаграмма сети Конфигурирование маршрутизатора 1751-V 1751-V Router !--- Включаем аутентификацию, авторизацию и аудит (AAA) !---для аутентификации пользователей и авторизации групп. aaa new-model ! !--Чтобы включить расширенную аутентификацию (Xauth) для аутентификации !----пользователей используем команду aaa authentication.. !--- Команда Group radius указывает на использование сервера RADIUS для аутентификации пользователей. aaa authentication login userauthen group radius !--- Чтобы включить групповую авторизацию !--- используем команду aaa authorization. aaa authorization network groupauthor local !--- !--- Создаем политику Internet Security Association and !--- Key Management Protocol (ISAKMP) для фазы 1. crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! !--- Создаем группу чтобы тел.: +7(485)279-96-96 назначать http://www.a-real.ru hello@a-real.ru - 34 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения !---адреса WINS и DNS серверов VPN клиентам, !--- используя pre-shared key для аутентификации crypto isakmp client configuration group 3000client key cisco123 dns 10.1.1.10 wins 10.1.1.20 domain cisco.com pool ippool ! !--- Создаем политику для 2 для шифрования данных. crypto ipsec transform-set myset esp-3des esp-sha-hmac ! !---Создаем динамическую карту и !--- применяем набор преобразований, который ранее был создан. crypto dynamic-map dynmap 10 set transform-set myset ! !--- Создаем криптографическую карту, !---и применяем AAA лист который был создан ранее. crypto crypto crypto crypto map map map map clientmap clientmap clientmap clientmap client authentication list userauthen isakmp authorization list groupauthor client configuration address respond 10 ipsec-isakmp dynamic dynmap !---Применяем криптографическую карту на выходной интерфейс. interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 half-duplex crypto map clientmap interface Ethernet0/1 ip address 172.18.124.159 255.255.255.0 half-duplex ! !--- Создаем пул адресов для раздачи VPN клиентам. ip ip ip ip ip ! ! ! local pool ippool 10.16.20.1 10.16.20.200 classless route 0.0.0.0 0.0.0.0 10.1.1.2 http server pim bidir-enable тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 35 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения !--- определяем IP адрес RADIUS сервера, !--- используя RADIUS shared secret key. radius-server host 172.18.124.96 auth-port 1645 acct-port 1646 key cisco123 radius-server retransmit 3 Конфигурация RADIUS сервера 1. Слева в меню выбираем Network Configuration. Нажимаем Add an Entry чтобы добавить маршрутизатор в базу данных RADIUS сервера. 2. Определяем IP адрес маршрутизатора "172.18.124.159", используя секретный ключ (shared secret key) "cisco123". Выбираем RADIUS в выпадающем списке Authenticate Using. 3. Слева в меню выбираем User Setup. Вводим имя пользователя для клиента VPN , чтобы добавить его в базу данных CiscoSecure. Например, пользователь cisco. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 36 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения 4. В следующем окне необходимо ввести пароль для пользователя cisco. В этом примере пароль тоже cisco. Можно добавить пользователя а группу. После окончания нажать кнопку Submit. Конфигурирование VPN клиента 4.8 1. Выбрать Start > Programs > Cisco Systems VPN Client > VPN Client. 2. Нажать New чтобы создать новое VPN подключение. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 37 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения 3. Ввести название подключения и его описание. Ввести IP адрес маршрутизатора в окне Host. Затем необходимо ввести название VPN группы и пароль группы, нажать Save. 4. Кликнуть на соединение, которое хотим подключить и нажать Connect в главном окне VPN клиента. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 38 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения 5. В появившемся окне введите Имя Пользователя и Пароль для расширенной аутентификации (xauth) и нажмите OK чтобы установить соединение с удаленной сетью. VPN клиент установил соединение с маршрутизатором. тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 39 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Дополнительно Расщепление туннеля Чтобы включить расщепление туннеля для VPN соединений, надо убедиться, что на маршрутизаторе сконфигурирован список доступа (ACL). В этом примере, команда access-list 108 ассоциируется с группой с целью расщепления туннеля, и туннель формируется для 14.38.X.X /16 сети. Трафик, не попадающий в ACL 108 (например, интернет), не шифруется. access-list 108 permit ip 172.18.124.0 0.0.255.255 10.16.20.0 0.0.0.255 Применяем ACL в свойства группы. crypto isakmp client configuration group 3000client key cisco123 dns 10.1.1.10 wins 10.1.1.20 domain cisco.com pool ippool acl 108 Проверка туннеля Чтобы проверить то. Что туннель работает корректно, используются следующие команды vpn2621#show crypto isakmp sa dst src state 10.1.1.1 10.0.0.1 QM_IDLE 3 conn-id 0 slot vpn2621#show crypto ipsec sa interface: Ethernet0/0 Crypto map tag: clientmap, local addr. 10.1.1.1 тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 40 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения local ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (10.16.20.2/255.255.255.255/0/0) current_peer: 10.0.0.1 PERMIT, flags={} #pkts encaps: 5, #pkts encrypt: 5, #pkts digest 5 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify 5 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.0.0.1 path mtu 1500, media mtu 1500 current outbound spi: 77AFCCFA inbound esp sas: spi: 0xC7AC22AB(3349947051) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: clientmap sa timing: remaining key lifetime (k/sec): (4608000/3444) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x77AFCCFA(2008009978) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: clientmap sa timing: remaining key lifetime (k/sec): (4608000/3444) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas: local ident (addr/mask/prot/port): (172.18.124.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.16.20.2/255.255.255.255/0/0) current_peer: 10.0.0.1 PERMIT, flags={} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4 #pkts decaps: 6, #pkts decrypt: 6, #pkts verify 6 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 41 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.0.0.1 path mtu 1500, media mtu 1500 current outbound spi: 2EE5BF09 inbound esp sas: spi: 0x3565451F(895829279) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2002, flow_id: 3, crypto map: clientmap sa timing: remaining key lifetime (k/sec): (4607999/3469) IV size: 8 bytes replay detection support: Y inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x2EE5BF09(786808585) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2003, flow_id: 4, crypto map: clientmap sa timing: remaining key lifetime (k/sec): (4607999/3469) IV size: 8 bytes replay detection support: Y outbound ah sas: outbound pcp sas: vpn2621#show crypto engine connections active ID Interface Encrypt Decrypt 3 Ethernet0/0 0 2000 Ethernet0/0 5 2001 Ethernet0/0 0 2002 Ethernet0/0 6 2003 Ethernet0/0 0 IP-Address State Algorithm 10.1.1.1 set HMAC_SHA+3DES_56_C 0 10.1.1.1 set HMAC_SHA+3DES_56_C 0 10.1.1.1 set HMAC_SHA+3DES_56_C 5 10.1.1.1 set HMAC_SHA+3DES_56_C 0 10.1.1.1 set HMAC_SHA+3DES_56_C 4 vpn2621#show crypto engine accelerator statistic Virtual Private Network (VPN) Module in aim slot : 0 Statistics for Hardware VPN Module since the last clear of counters 5570 seconds ago 14 packets in 14 packets out 0 packet overruns 0 output packets dropped тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 42 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения 0 packets decompressed 0 compressed bytes in 0 packets compressed 0 uncompressed bytes 0 decompressed bytes out 0 compressed bytes 0 packets bypass compression 0 packets abort 0 packets fail decompression 0 packets fail in out compression compression 7 packets decrypted 532 bytes decrypted 784 bytes before decrypt 7 packets encrypted 532 bytes encrypted 19200 bytes after encrypt 0 paks/sec in 0 Kbits/sec decrypted 0 paks/sec out 0 Kbits/sec encrypted Last 5 minutes: 14 packets in 14 packets out 7 packets decrypted 7 packets encrypted 532 bytes decrypted 420 bytes encrypted 784 bytes before decrypt 672 bytes after encrypt 0 paks/sec in 0 paks/sec out 0 Kbits/sec decrypted 0 Kbits/sec encrypted rx_no_endp: 0 rx_hi_discards: 0 fw_failure: 0 invalid_sa: 0 invalid_flow: 0 cgx_errors 0 fw_qs_filled: 0 fw_resource_lock: 0 lotx_full_err: 0 null_ip_error: 0 pad_size_error: 0 out_bound_dh_acc: 0 esp_auth_fail: 0 ah_auth_failure: 0 crypto_pad_error: 0 ah_prot_absent: 0 ah_seq_failure: 0 ah_spi_failure: 0 esp_prot_absent: 0 esp_seq_fail: 0 esp_spi_failure: 0 obound_sa_acc: 0 invalid_sa: 0 out_bound_sa_flow: 0 invalid_dh: 0 bad_keygroup: 0 out_of_memory: 0 no_sh_secret: 0 no_skeys: 0 invalid_cmd: 0 dsp_coproc_err: 0 comp_unsupported: 0 pak_too_big: 0 null packets: 0 pak_mp_length_spec_fault: 0 cmd queue errors: 0 tx_lo_queue_size_max 0 cmd_unimplemented: 0 Interrupts: 439 Immed: 0 HiPri ints: 14 LoPri ints: 425 POST Errs: 0 Alerts: 0 Unk Cmds: 0 UnexpCmds: 0 cgx_cmd_pending:0 packet_loop_max: 0packet_loop_limit: 0 vpn2621#sh crypto engine configuration crypto engine name: crypto engine type: тел.: +7(485)279-96-96 Virtual Private Network (VPN) Module hardware http://www.a-real.ru hello@a-real.ru - 43 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Product Name: Configuration: : : : CryptIC Version: CGX Version: CGX Reserved: PCDB info: Serial Number: : DSP firmware version: DSP Bootstrap Version: DSP Bootstrap Info: AIM-VPN/BP 0x000109010F00F00784000000 0x995FB1441BA279D5BD46CF6C 0xECE77614C30835CB0A000300 0x000000000000000000000000 001.000 001.009 0x000F 0x07F0 0x0084 0x0000 0x5F9944B1A21BD57946BD 0x6CCFE7EC14768C3CB35 000.010 000.003 0x0000 Compression: DES: 3 DES: AES CBC: AES CNTR: Maximum buffer length: Maximum DH index: Maximum SA index: Maximum Flow index: Maximum RSA key size: crypto engine in slot: platform: Yes Yes Yes No No 4096 0210 0420 0840 0000 0 VPN hardware accelerator Crypto Adjacency Counts: Lock Count: Unlock Count: crypto lib version: ipsec lib version: 0 0 16.0.0 2.0.0 Поиск неисправностей Для поиска неисправностей используются следующие команды (подробное описание команд см. Глава 1). debug crypto ipsec debug crypto isakmpdebug crypto engine debug aaa authentication debug aaa authorization raduis debug radius тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 44 - А-Реал Консалтинг Сети, Разработка ПО, Контроль Интернет подключения Список использованной при написании литературы 1. Уэнстром М. Организация защиты сетей Cisco. 2. «IPSEC как протокол защиты сетевого трафика» http://www.ciscolab.ru/2007/01/07/chto_takoe_ipsec.html 3. Настройка IPSec тоннеля между маршрутизаторами Cisco и D-Link DI-804HV http://www.d-link.ru/technical/faq_vpn_4.php 4. D-Link Firewalls User’s Guide. Part VIII Virtual Private Network(VPN) 5. Cisco IOS VPN Configuration Guide 6. Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS for User Authentication http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_exam ple09186a00800946b7.shtml 7. User Guide for Cisco Secure ACS for Windows Version 4.0 тел.: +7(485)279-96-96 http://www.a-real.ru hello@a-real.ru - 45 -