всю статью в формате PDF

А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Безопасность удаленного доступа в сетях
Cisco
Автор:
Бубенкова Татьяна Владимировна
Инженер отдела системной интеграции
ООО «А-Реал Консалтинг»
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-1-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Глава 1. Создание защищенных сетей VPN с помощью
IPSec.
Существует множество вопросов сетевого планирования, касающихся сетей VPN, например, как создавать такие сети и как согласовывать их с существующей
архитектурой сети предприятия. Сеть VPN (Virtual Private Network — виртуальная
частная сеть) является сетью предприятия, разворачиваемой в рамках общедоступной
инфраструктуры, но использующей возможности защиты, управления и политики
качества сервиса, применяемые в частной сети. Сети VPN строятся на использовании
инфраструктуры глобальных сетей, обеспечивая альтернативу существующим частным
сетям, использующим арендуемые каналы.
Существует три категории сетей VPN.



Коммутируемые сети. Такая сеть VPN связывает надомных работников,
мобильных пользователей и даже небольшие удаленные подразделения компании
(интенсивность трафика которых невысока) с глобальной сетью предприятия и
корпоративными вычислительными ресурсами.
Интрасети. Интрасеть VPN соединяет фиксированные подразделения, филиалы и
домашние офисы в рамках глобальной сети предприятия.
Экстрасети. Такая сеть позволяет ограниченный доступ к вычислительным
ресурсам предприятия деловым партнерам (например, поставщикам или клиентам) с
целью совместного использования информации, представляющей общий интерес.
Для реализации каждого из указанных типов сетей VPN используются наборы
соответствующих протоколов.
Протоколы VPN
Для создания сетей VPN разработано множество протоколов. Каждый из этих
протоколов обеспечивает определенные возможности VPN. Например, протокол IPSec
(который является главным предметом обсуждения данной главы) предлагает методы
шифрования сетевого уровня, обеспечивающие возможности аутентификации и сервис
шифрования между конечными точками в общедоступных IP-сетях. Другие протоколы
обеспечивают поддержку определенных возможностей VPN с помощью туннелирования,
т.е. инкапсуляции данных или протоколов в другие протоколы. Ниже перечислены
некоторые из наиболее популярных туннельных протоколов, используемых для
создания сетей VPN

Протокол GRE (Generic Routing Encapsulation — общая инкапсуляция для
маршрутизации). Разработанный Cisco туннельный протокол, обеспечивающий
инкапсуляцию многих типов протокольных пакетов в туннели IP, создает
виртуальную двухточечную связь с маршрутизаторами Cisco в удаленных точках IPсети.

Протокол L2F (Layer 2 Forwarding — протокол пересылки уровня 2).
Разработанный Cisco туннельный протокол, который позволяет создать сеть VPDN
(Virtual Private Dialup Network — виртуальная частная коммутируемая сеть) —
систему,
обеспечивающую
существование
коммутируемых
сетей,
распространяющихся на удаленные домашние офисы, которые кажутся при этом
непосредственной частью сети предприятия.
Протокол
РРТР
(Point-to-Point
Tunneling
Protocol
—
протокол
туннелирования двухточечного соединения). Разработанный Microsoft сетевой
протокол, обеспечивающий защищенную передачу данных от удаленного клиента к
частному серверу предприятия с помощью создания сети VPN над IP-сетями.

тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-2-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Протокол РРТР поддерживает маршрутизацию по требованию, многопротокольный
обмен и виртуальные частные сети в открытых сетях типа Internet.

Протокол L2TP (Layer 2 Tunnel Protocol — протокол туннелирования РРРсоединения уровня 2). Разработанный Cisco и Microsoft туннельный протокол,
позволяющий создавать сети VPDN. Протокол L2TP является расширением
протокола РРР (Point-to-Point Protocol — протокол передачи от точки к точке),
используемого для сетей VPN, и объединяет лучшие возможности туннельных
протоколов РРТР и L2F.

Протокол МРРЕ (Microsoft Point-to-Point Encryption — протокол Microsoft
шифрования двухточечного соединения). Средство перевода пакетов РРР в
через
шифрованную
форму.
Позволяет
создать
защищенную
VPN-связь
коммутируемую или удаленную сеть. Для обеспечения конфиденциальности данных
в рамках МРРЕ используется алгоритм шифрования RSA типа RC4.
Что такое IPSec
IP Security - это комплект протоколов, касающихся вопросов шифрования,
аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав
сейчас входят почти 20 предложений по стандартам и 18 RFC. Продукты Cisco для
поддержки VPN используют набор протоколов IPSec, являющийся
на
сегодня
промышленным
стандартом
обеспечения широких возможностей VPN. IPSec
предлагает механизм защищенной передачи данных в
IP-сетях, обеспечивая
конфиденциальность,
целостность и достоверность данных, передаваемых через
незащищенные сети типа Internet. IPSec обеспечивает следующие возможности VPN в
сетях Cisco:




Конфиденциальность данных. Отправитель данных IPSec имеет возможность
шифровать пакеты перед тем, как передавать их по сети.
Целостность
данных.
Получатель
данных
IPSec
имеет возможность
аутентифицировать сообщающиеся с ним стороны (устройства или программное
обеспечение, в которых начинаются и заканчиваются туннели IPSec) и пакеты
IPSec, посылаемые этими сторонами, чтобы быть уверенным в том, что данные не
были изменены в пути.
Аутентификация
источника
данных.
Получатель
данных IPSec имеет
возможность
аутентифицировать
источник получаемых пакетов IPSec. Этот
сервис зависит от сервиса целостности данных.
Защита от воспроизведения. Получатель данных IPSec может обнаруживать
и
отвергать воспроизведенные пакеты, не допуская их фальсификации и
проведения атак внедрения посредника.
IPSec
представляет
собой основанный на стандартах набор протоколов и
алгоритмов защиты. Технология IPSec и связанные с ней протоколы защиты
соответствуют открытым стандартам, которые поддерживаются группой IETF (Internet
Engineering Task Force -- проблемная группа проектирования Internet) и описаны в
спецификациях RFC и проектах IETF. IPSec
действует на сетевом уровне,
обеспечивая
защиту
и аутентификацию
пакетов IP, пересылаемых между
устройствами (сторонами) IPSec - такими как маршрутизаторы Cisco, брандмауэры PIX
Firewall, клиенты
и концентраторы Cisco VPN, а также многие другие продукты,
поддерживающие IPSec. Средства поддержки IPSec допускают
масштабирование от
самых малых до очень больших сетей.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-3-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Ассоциации защиты (Security Association ,SA)
IPSec
предлагает
стандартный
способ
аутентификации
и
шифрования
соединений между сообщающимися сторонами. Чтобы обеспечить защиту связей,
средства
IPSec
используют стандартные алгоритмы (т.е.
математические
формулы) шифрования и аутентификации, называемые преобразованиями. В IPSec
используются открытые стандарты согласования
ключей
шифрования
и
управления соединениями, что обеспечивает возможность взаимодействия между
сторонами. Технология IPSec предлагает методы, позволяющие сторонам IPSec
"договориться" о согласованном
использовании
сервисов. Чтобы указать
согласуемые параметры, в IPSec используются ассоциации защиты.
-SA) представляет собой
Ассоциация
защиты
(Security
Association
согласованную
политику
или
способ
обработки данных, обмен которыми
предполагается
между двумя устройствами сообщающихся сторон. Одной из
составляющих
такой
политики
может
быть
алгоритм, используемый для
шифрования данных. Обе стороны могут использовать один и тот же алгоритм как
для
шифрования,
так
и
для дешифрования. Действующие
параметры
SA
Association Database -сохраняются в базе данных ассоциаций защиты (Security
SAD) обеих сторон.
Два компьютера на каждой стороне SA хранят режим, протокол, алгоритмы
и
ключи, используемые в SA. Каждый SA используется только в одном направлении.
Для двунаправленной связи требуется два SA. Каждый SA реализует один режим и
протокол; таким образом, если для одного пакета
необходимо использовать два
протокола (как например AH и ESP), то требуется два SA.
IKE
Протокол IKE (Internet Key Exchange -- обмен Internet-ключами) является
гибридным протоколом, обеспечивающим специальный сервис для IPSec, а именно
аутентификацию сторон IPSec, согласование параметров ассоциаций защиты IKE и
IPSec, а также выбор ключей для алгоритмов шифрования, используемых в рамках
IPSec. Протокол IKE опирается на протоколы ISAKMP (Internet Security Association
and Key Management
Protocol -- протокол управления ассоциациями и ключами
защиты в сети
Internet) и Oakley, которые применяются для управления
процессом
создания и обработки ключей шифрования, используемых в
преобразованиях IPSec. Протокол IKE применяется также для формирования
ассоциаций защиты между потенциальными сторонами IPSec.
Как IKE, так и IPSec используют ассоциации зашиты, чтобы указать параметры
связи.
Инфраструктура IPSec
Сети VPN на основе IPSec могут быть построены с помощью самых разных
устройств Cisco - маршрутизаторов Cisco, брандмауэров CiscoSecure PIX Firewall,
программного обеспечения клиента CiscoSecure VPN и концентраторов Cisco VPN
серий 3000 и 5000. Маршрутизаторы Cisco имеют встроенную поддержку VPN с
соответствующими богатыми возможностями программного обеспечения Cisco IOS,
что уменьшает сложность сетевых решений и снижает общую стоимость VPN при
возможности построения многоуровневой
защиты
предоставляемых
сервисов.
Брандмауэр PIX Firewall является высокопроизводительным сетевым устройством,
которое может обслуживать конечные точки туннелей, обеспечивая им высокую
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-4-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
пропускную
способность
и
прекрасные
функциональные
возможности
брандмауэра. Программное обеспечение клиента CiscoSecure VPN поддерживает
самые строгие требования VPN удаленного доступа для операций электронной
коммерции, а также приложений мобильного доступа,
предлагая
законченную
реализацию
стандартов IPSec и обеспечивая
надежное
взаимодействие
маршрутизаторов Cisco и брандмауэров PIX Firewall.
Как работает IPSec
IPSec опирается на ряд технологических решений и методов шифрования, но
действие IPSec в общем можно представить в виде следующих главных шагов:

Шаг 1. Начало процесса IPSec. Трафик, которому требуется шифрование
в соответствии с политикой защиты IPSec, согласованной сторонами IPSec,
начинает IКЕ-процесс.

Шаг 2. Первая фаза IKE. IKE-процесс выполняет аутентификацию сторон
IPSec и ведет переговоры о параметрах ассоциаций защиты IKE, в результате
чего создается защищенный канал для ведения переговоров о параметрах
ассоциаций защиты IPSec в ходе второй фазы IKE.

Шаг
3. Вторая фаза IKE. IKE-процесс ведет переговоры о параметрах
ассоциации защиты IPSec и устанавливает соответствующие ассоциации защиты
IPSec для устройств сообщающихся сторон.

Шаг
4.
Передача
данных.
Происходит
обмен данными между
сообщающимися сторонами IPSec, который основывается на параметрах IPSec и
ключах, хранимых в базе данных ассоциаций защиты.

Шаг
5.
Завершение
работы туннеля IPSec. Ассоциации защиты IPSec
завершают свою работу либо в результате их удаления, либо по причине
превышения предельного времени их существования.
В следующих разделах указанные шаги будут описаны подробнее.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-5-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Шаг 1. Начало процесса IPSec
Тип
трафика, который должен защищаться средствами IPSec, определяется в
рамках политики защиты для VPN. Затем эта политика реализуется в виде команд
конфигурации интерфейсов устройств каждой стороны IPSec. Например, в
маршрутизаторах Cisco и брандмауэрах PIX Firewall для определения трафика,
подлежащего шифрованию, используют списки доступа. Списки доступа реализуют
политику шифрования, например, с помощью операторов permit, указывающих, что
соответствующий трафик должен шифроваться, и операторов deny, запрещающих
шифрование соответствующего трафика. В случае клиента Cisco VPN используются
окна меню, где указываются соединения, которым должна обеспечиваться защита
IPSec. Когда подлежащий шифрованию трафик генерируется клиентом IPSec или
проходит через него, клиент инициирует следующий шаг процесса, начиная первую
фазу IKE.
Шаг 2. Первая фаза IKE
Главной целью обмена данными, происходящего в первой фазе IKE, является
аутентификация сторон IPSec и создание защищенного канала между сторонами,
позволяющего начать обмен IKE. В ходе первой фазы IKE выполняются следующие
действия.

Ведутся переговоры о согласовании политики ассоциаций защиты IKE между
сторонами, чтобы обеспечить защиту обмена IKE. Ассоциация защиты IKE
получает согласованные параметры IKE и является двусторонней.

Выполняется аутентифицированный обмен Диффи-Хеллмана, в результате
которого выбирается общий секретный ключ для использования в алгоритмах
шифрования IPSec.

Выполняется аутентификация и обеспечивается защита сторон IPSec.

Устанавливается
защищенный
параметрах второй фазы IKE.
туннель
для
ведения
переговоров
о
Для первой фазы IKE допустимы два режима: основной и энергичный
Основной режим первой фазы IKE (Main Mode)
В этом режиме выполняются три двухсторонних обмена между инициатором и
респондентом.
1. В ходе первого обмена алгоритмы, используемые для защиты связи IKE,
согласуются до тех пор, пока не будет достигнуто соответствие для всех
ассоциаций защиты IKE сообщающихся сторон.
2. В процессе второго обмена выполняется алгоритм Диффи-Хеллмана, чтобы
согласовать общий секретный материал, на основе которого создаются общие
секретные ключи, передать так называемые "оказии" (случайные значения,
посылаемые
другой стороне), подписать их и возвратить обратно, чтобы
доказать "свою личность".
3. В
ходе
третьего
обмена
выполняется
аутентификация стороныпартнера. Идентификационным значением в данном случае выступает IPадрес стороны IPSec в шифрованном виде.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-6-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Основным
результатом
этого
режима
является согласование параметров
ассоциаций защиты IKE между сторонами с целью создания защищенного канала для
последующих обменов IKE. Ассоциация защиты IKE определяет параметры обмена
IKE: используемый метод аутентификации, алгоритмы шифрования и хэширования,
используемая группа Диффи-Хеллмана (одна из двух доступных), максимальное
время
существования ассоциации защиты IKE в секундах или килобайтах и
совместно используемые секретные значения ключей для алгоритмов шифрования.
Ассоциации защиты IKE в устройствах каждой из сторон являются двусторонними.
Энергичный режим первой фазы IKE (Aggressive mode)
В данном режиме меньше и число обменов, и число пересылаемых при этом
пакетов, в результате чего требуется меньше времени для установки сеанса IPSec. В
этом случае выполняются следующие действия.
1. В
ходе
первого обмена почти все необходимое включается в
предлагаемые значения для ассоциаций защиты IKE, открытый ключ
Диффи-Хеллмана, оказию, подписываемую второй стороной, и пакет
идентификации,
который
можно
использовать для того, чтобы
аутентифицировать вторую сторону с помощью третьей стороны.
2. Получатель отправляет назад все, что требуется, чтобы завершить обмен.
Инициатору остается только подтвердить обмен.
Недостатком использования энергичного режима является то, что обе стороны
обмениваются информацией до того, как создан защищенный канал. Таким образом,
можно подключиться к линии и выяснить, кто формирует новую ассоциацию защиты.
С другой стороны, обмен происходит быстрее, чем в основном режиме. Энергичный
режим
для обмена IKE обычно не инициируется
продуктами
Cisco, но
маршрутизаторы Cisco и брандмауэры PIX Firewall могут соответствующим образом
ответить стороне IPSec, инициировавшей обмен в энергичном режиме.
Шаг 3. Вторая фаза IKE (Quick Mode)
Задачей второй фазы IKE является согласование параметров ассоциации защиты
IPSec с целью создания туннеля IPSec. В этой фазе выполняются следующие действия.

Ведутся переговоры о параметрах ассоциации защиты IPSec, защищаемые
существующей ассоциацией защиты IKE.

Устанавливаются ассоциации защиты IPSec.

Периодически
возобновляются
чтобы гарантировать защиту.

В необязательном порядке может выполняться дополнительный обмен ДиффиХеллмана.
переговоры
об
ассоциациях
защиты IPSec,
Вторая
фаза IKE выполняется только в быстром режиме, после того как в
результате первой фазы IKE создается защищенный туннель. Затем ведутся переговоры
о согласованной политике IPSec, извлекается общий секретный материал для работы
алгоритмами защиты IPSec и создаются ассоциации защиты IPSec. В быстром режиме
выполняется обмен оказиями, которые обеспечивают
защиту от воспроизведения
сообщений. Оказии используются для того, чтобы гарантировать создание новых
секретных ключей и не допустить проведения атак воспроизведения, в результате
которых противник мог бы создать "фальшивые" ассоциации защиты.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-7-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Быстрый
режим используется также для того, чтобы договориться о новых
ассоциациях
защиты
IPSec,
когда оказывается превышен предел времени
существования старой ассоциации защиты IPSec. Базовый вариант быстрого режима
используется для того, чтобы обновить секретный материал, предназначенный для
создания общего секретного ключа на основе значений, полученных при обмене
Диффи-Хеллмана в ходе первой фазы. В IPSec имеется опция PFS (Perfect Forward
Secrecy -- совершенная прямая секретность), усиливающая защиту ключей. Если
политикой IPSec предписано использование опции PFS, то для каждого обмена в
быстром режиме требуется новый обмен Диффи-Хеллмана, обеспечивающий новые
данные для ключей, в результате чего данные для ключей будут обладать большей
энтропией ("нерегулярностью") и потому большей устойчивостью в отношении
числа
криптографических атак. Каждый обмен Диффи-Хеллмана требует большого
возведений в степень, что увеличивает загрузку
процессора и снижает общую
производительность системы.
Ассоциации защиты, согласуемые в быстром режиме, идентифицируются IPадресами IКЕ-сторон.
Согласование преобразований IPSec
В ходе второй фазы в рамках протокола IKE ведутся переговоры о
преобразованиях IPSec (алгоритмах защиты IPSec). IPSec состоит из двух главных
протоколов защиты и множества протоколов поддержки. Преобразования IPSec и
связанные с ними алгоритмы шифрования являются следующими.

Протокол АН (Authentication Header -- заголовок аутентификации).
Протокол зашиты, обеспечивающий аутентификацию и (в качестве опции)
сервис выявления воспроизведения. Протокол АН действует как цифровая
подпись и гарантирует, что данные в пакете IP не будут несанкционированно
изменены.
Протокол
АН не обеспечивает сервис шифрования
и
дешифрования
данных.
Данный
протокол может использоваться или
самостоятельно, или совместно с протоколом ESP.

Протокол ESP (Encapsulating Security Payload -- включающий защиту
полезный груз). Протокол защиты, обеспечивающий конфиденциальность и
защиту данных, а также (в качестве опции) сервис аутентификации и
выявления
воспроизведения. Поддерживающие IPSec продукты Cisco
используют ESP для шифрования полезного груза IP-пакетов. Протокол ESP
может использоваться самостоятельно или совместно с АН.

Стандарт DES (Data Encription Standard -- стандарт шифрования
Алгоритм шифрования и дешифрования данных пакетов.
данных).
Алгоритм DES используется как в рамках IPSec, так и IKE. Для алгоритма
DES используется 56-битовый ключ, что означает не только более высокое
потребление вычислительных ресурсов, но и более надежное шифрование.
Алгоритм DES является симметричным алгоритмом шифрования, для которого
требуются идентичные секретные ключи шифрования в устройствах каждой из
сообщающихся сторон IPSec. Для создания симметричных ключей применяется
алгоритм Диффи-Хеллмана. IKE и IPSec используют алгоритм DES для
шифрования сообщений.

"Тройной" DES (3DES). Вариант DES, основанный на использовании трех
итераций стандартного DES с тремя разными ключами, что практически
утраивает стойкость DES. Алгоритм 3DES используется в рамках IPSec для
шифрования и дешифрования потока данных. Данный алгоритм использует
168-битовый ключ, что гарантирует высокую надежность шифрования. IKE и
IPSec используют алгоритм 3DES для шифрования сообщений.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-8-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
При преобразовании IPSec используется также два стандартных алгоритма
хэширования, обеспечивающих аутентификацию данных.

Алгоритм
MD5
(Message
Digest
5).
Алгоритм
хэширования,
применяемый
для
аутентификации пакетов данных. В продуктах Cisco
используется
вычисляемый
с помощью MD5 код НМАС (Hashed Message
Authentication Code -- хэшированный код аутентичности сообщения)- вариант
кода аутентичности сообщения, которому обеспечивается дополнительная
защита
с
помощью
хэширования.
Хэширование представляет собой
процесс одностороннего (т.е. необратимого) шифрования,
в результате
которого
для
поступающего
на
вход сообщения произвольной длины
получается вывод фиксированной длины. IKE, АН и ESP используют MD5 для
аутентификации данных.

Алгоритм SHA-1 (Secure Hash Algorithm-1 -- защищенный алгоритм
хэширования 1). Алгоритм хэширования, используемый для аутентификации
пакетов данных.
В
продуктах
Cisco применяется вариант кода НМАС,
вычисляемый
с
помощью
SHA-1. IKЕ, АН и ESP используют SHA-1 для
аутентификации данных.
В рамках протокола IKE симметричные ключи создаются с помощью алгоритма
Диффи-Хеллмана, использующего DES, 3DES, MD5 и SHA. Протокол Диффи-Хеллмана
является криптографическим протоколом, основанным на применении открытых
ключей. Он позволяет двум сторонам согласовать общий секретный ключ, не имея
достаточно надежного канала связи. Общие секретные
ключи
требуются
для
алгоритмов DES и НМАС. Алгоритм Диффи-Хеллмана используется в рамках IKE
для создания сеансовых ключей. В продуктах Cisco поддерживаются 768- и 1024битовые группы Диффи-Хеллмана.
1024-битовая
группа обеспечивает более
надежную защиту.
Каждой ассоциации защиты IPSec присваивается индекс SPI (Security Parameter
Index -- индекс параметров защиты) -- число, используемое для идентификации
ассоциации защиты IPSec. Ассоциация защиты IPSec определяет
используемое
преобразование IPSec (ESP и/или АН и соответствующие алгоритмы шифрования
и хэширования), предел времени существования ассоциации
защиты
IPSec в
секундах или килобайтах, указывает необходимость применения опции PFS, IPадреса сторон, а также общие значения секретных ключей для алгоритмов
шифрования и другие параметры. Все ассоциации защиты IPSec являются
односторонними. Один цикл согласования ассоциации защиты IPSec завершается
созданием двух ассоциаций защиты - одной входящей и одной исходящей.
Протоколы
АН
и
ESP
IPSec могут действовать или в туннельном, или в
транспортном режимах. Туннельный режим используется для связи между шлюзами
IPSec, и в этом случае средствам IPSec приходится создавать совершенно
новый
заголовок IPSec. Транспортный режим обычно применяется между клиентом и
сервером VPN, и при этом используется существующий заголовок IP.
Шаг 4. Передача данных
После завершения второй фазы IKE и создания ассоциаций защиты IPSec в быстром
режиме,
начинается
обмен
информацией
через туннель IPSec, связывающий
стороны
IPSec.
Пакеты шифруются и дешифруются с помощью алгоритмов
шифрования и ключей, указанных ассоциацией защиты IPSec. Ассоциация защиты
IPSec
задает
также
предел времени своего существования
в килобайтах
передаваемых данных или в секундах. Ассоциация защиты имеет специальный
счетчик, значение которого уменьшается на единицу за каждую секунду или после
передачи каждого килобайта данных.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
-9-
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Шаг 5. Завершение работы туннеля IPSec
Ассоциации защиты IPSec завершают свою работу либо по причине их
удаления,
либо
потому,
что
оказывается
превышен предел времени их
существования.
Когда
ассоциации
защиты
завершают
работу,
соответствующие им ключи тоже становятся недействительными. Если для потока
данных требуются новые ассоциации защиты IPSec, в рамках протокола IKE снова
выполняется обмен второй фазы, а если необходимо, то и первой. В результате
успешного их завершения создаются новые ассоциации защиты и новые ключи.
Новые
ассоциации
защиты
могут создаваться
и
до
истечения
времени
существования предыдущих, чтобы поток данных мог двигаться непрерывно. Обычно
переговоры второй фазы выполняются чаще, чем переговоры первой фазы.
Настройка Cisco IOS для поддержки IPSec
В этой главе объясняется, как настроить средства IPSec программного обеспечения
Cisco IOS, используя аутентификацию с помощью заранее согласованных общих
ключей или оказий, шифрованных методом RSA. Сначала рассмотрим набор команд
Cisco IOS, используемых для настройки IPSec, а затем будут описаны действия,
которые необходимо выполнить в процессе настройки
Настройка IPSec для работы с общими ключами
В этом разделе объясняется как настроить средства шифрования IPSec, используя в
маршрутизаторах Cisco заранее согласованные ключи аутентификации. На рис. 16.1
показана упрощенная топология сети компании XYZ, используемая в примерах данной
главы.
Процесс настройки средств Cisco IOS для использования заранее согласованных
ключей IKE в маршрутизаторах Cisco предполагает решение следующих основных
задач.
•Задача 1. Подготовка к использованию IPSec. Определение деталей политики
шифрования, идентификация хостов и сетей, которые необходимо защитить, выяснение
характеристик сторон IPSec, возможностей IPSec, которые будут необходимы, а также
проверка того, что существующие списки доступа, применяемые для фильтрования
пакетов, позволяют использовать IPSec.
•Задача 2. Настройка IKE. Активизация средств IKE, создание политики IKE и
проверка правильности выбранной конфигурации.
•Задача 3. Настройка IPSec. Определение множеств преобразований, создание
списков шифрованного доступа и криптографических карт, а также применение
криптографических карт к соответствующим интерфейсам.
•Задача
4.
Тестирование
и
контроль
IPSec.
Проверка
правильности
функционирования IPSec с помощью show, debug и других аналогичных команд и
решение возможных проблем.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 10 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
В следующих разделах каждая из этих задач конфигурации будет обсуждаться
подробно.
Задача 1. Подготовка к использованию IPSec
Перед тем как приступить непосредственно к настройке маршрутизаторов, для
успешного построения сети IPSec требуется предварительное планирование.
Планирование должно начинаться с определения политики защиты IPSec на основе
требований общей политики защиты компании. В процессе планирования выполняются
следующие основные шаги.
Шаг 1. Определение политики IKE взаимодействия сторон IPSec (первая фаза IKE), в
зависимости от числа сторон и их размещения.
Шаг 2. Определение политики IPSec для учета параметров сторон IPSec (вторая фаза
IKE), в частности IP-адресов и режимов IPSec.
Шаг 3. Проверка текущей конфигурации с помощью команд write terminal, show
isakmp, show crypto map и других команд show.
Шаг 4. Проверка работоспособности сети при отключенных средствах шифрования (с
помощью команд ping и направления нешифрованного трафика к месту назначения).
Шаг 5. Проверка того, что списки доступа, определяющие фильтрацию пакетов,
разрешают движение трафика IPSec.
В следующих разделах рассматриваются задачи, которые необходимо решить для
настройки средств IPSec в маршрутизаторах Cisco.
Задача 2. Настройка IKE для работы с общими ключами
Следующей задачей настройки IPSec является выбор параметров IKE в соответствии
с той информацией о сети, которая была выяснена ранее. Процесс настройки IKE
состоит из следующих шагов.
Шаг 1. Активизация или отключение IKE с помощью команды crypto isakmp enable.
Шаг 2. Создание политик IKE с помощью команд crypto isakmp policy.
Шаг 3. Выбор общих ключей с помощью команды crypto isakmp key и связанных с ней
команд.
Шаг 4. Проверка конфигурации IKE с помощью команды show crypto isakmp policy.
Ниже эти шаги будут описаны подробно.
Шаг 1. Активизация или отключение IKE
Первым шагом настройки IKE является активизация или отключение IKE.
Активизировать IKE глобально можно с помощью команды crypto isakmp enable, а
отменить использование IKE — с помощью той же команды с префиксом nо. По
умолчанию протокол IKE активизирован. Этот протокол активизируется глобально для
всех интерфейсов в маршрутизаторе, поэтому нет необходимости активизировать IKE
для каждого интерфейса в отдельности. На интерфейсах, не используемых для IPSec,
IKE можно отключить с помощью операторов списка доступа, запрещающих
использование UDP- порта 500 (тем самым обеспечивается защита от атак
блокирования сервиса).
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 11 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Шаг 2. Создание политик IKE
Следующим шагом настройки IKE является определение набора политик IKE,
используемых при создании связей IKE между сторонами IPSec. Политика IKE
определяет набор параметров, которые могут использоваться в процессе переговоров
согласования IKE.В табл. 16.1 представлены элементы политики IKE, настройка
которых будет обсуждаться в примерах данного раздела.
Таблица 16.1. Пример политики IKE для двух маршрутизаторов
Параметр
Значение для
Значение для
маршрутизатора А
маршрутизатора В
Алгоритм шифрования
DES
DES
сообщений
Алгоритм гарантии
MD5
MD5
целостности
(алгоритм хэширования)
сообщений
Метод аутентификации
Согласованный ключ
Согласованный ключ
сторон
Параметры обмена ключами Группа 1 (768-битовый
Группа 1 (768-битовый
(идентификатор группы
вариант
вариант
Диффи-Хеллмана)
алгоритма Диффиалгоритма ДиффиХеллмана)
Хеллмана)
Предел времени
86400 (по умолчанию)
86400 (по умолчанию)
существования асассоциаций защиты,
установленных с
помощью ISAKMP
IP-адрес стороны IPSec
172.16.2.1
172.16.1.1
Определив параметры политики IKE, используйте команду crypto isakmp policy, чтобы
задать политику IKE, или команду no crypto isakmp policy, чтобы удалить
соответствующую политику. Указанная команда имеет следующий синтаксис.
crypto isakmp policy приоритет
Параметр команды описан в следующей таблице.
Параметр
Описание
команды
приоритет
Однозначно идентифицирует политику IKE, присваивая ей приоритет.
Используйте целое число от 1 до 10000, где 1 - наивысший приоритет,
а 10000 — наименьший
Эта команда открывает режим конфигурации политики IKE (режим config-isakmp), в
котором можно устанавливать параметры IKE. Параметры устанавливаются с помощью
ключевых слов, описания которых представлены в табл. 16.2. Если в режиме configisakmp вы не укажете какую-то из команд, для соответствующего параметра будет
использоваться значение по умолчанию.
Таблица 16.2 ключевые слова командного режима config-isakmp
Ключево
е
слово
Допустимые значения
des
sha
56-битовый DES-CBC
SHA-1 (вариант НМАС)
тел.: +7(485)279-96-96
Значение
по
умолчани
ю
des
sha
http://www.a-real.ru
Описание
Алгоритм шифрования сообщений
Алгоритм гарантии целостности
(алгоритм хэширования)
hello@a-real.ru
- 12 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
md5
rsa-sig
MD5 (вариант НМАС)
Подписи RSA
rsa-encr
Оказии, шифрованные
методом RSA
pre-share
Заранее согласованные
ключи
768-битовый вариант
алгоритма
1
2
lifetime
секунды
Диффи-Хеллмана
1024-битовый вариант
алгоритма
Диффи-Хеллмана
Любое число
rsa-sig
сообщений
Метод аутентификации сторон
1
Параметры обмена ключами
(идентификатор группы ДиффиХеллмана)
86400
секунд
(одни
сутки)
Предел времени существования
ассоциации защиты,
установленной с помощью IKE.
Обычно можно оставить
значение, используемое по
умолчанию
Выход из режима config-isakmp
exit
В настройках каждой стороны IPSec можно указать несколько вариантов политики IKE.
Перед тем как приступить к согласованию параметров ассоциаций защиты IPSec,
стороны IKE "договариваются" о приемлемой политике IKE.
Шаг З. Согласование общих ключей
Важным шагом процесса настройки средств поддержки IKE является установка
режима идентификации IKE и согласование ключей.
Установка режима идентификации
Стороны IPSec выполняют взаимную аутентификацию в ходе переговоров IKE с
помощью заранее согласованных общих ключей и идентификации объекта IKE.
Идентификатором объекта может быть IP-адрес маршрутизатора или имя хоста.
Программное обеспечение Cisco IOS по умолчанию использует метод идентификации по
IP-адресу. Чтобы использовать идентификацию по имени хоста, введите команду
глобальной конфигурации crypto isakmp identity. Воспользуйтесь этой командой с
префиксом по, чтобы для идентификации IKE восстановить значение по умолчанию
(идентификация по адресу). Указанная команда имеет следующий синтаксис.
crypto isakmp identity {address | hostname}
Параметры команды описаны в следующей таблице.
Параметр
Описание
команды
address
Задает идентификацию IKE no IP-адресу интерфейса, используемого в
процессе согласования IKE для связи с удаленной стороной. Это
ключевое слово указывают тогда, когда для обмена IKE используется
один интерфейс и известен IP-адрес этого интерфейса
hostname
Задает идентификацию IKE по имени хоста в комбинации с именем
домена
(например, myhost.domain.com). Это ключевое слово указывают тогда,
когда для обмена IKE могут использоваться несколько интерфейсов или
IP-адрес интерфейса неизвестен (например, при динамическом выборе
IP-адресов)
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 13 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Замечание
Команда crypto isakmp identity address отсутствует в конфигурации маршрутизатора,
поскольку она используется по умолчанию.
Если вы используете метод идентификации по имени хоста, в конфигурации
маршрутизатора необходимо указать имя хоста удаленной стороны на случай, если
сервер
DNS окажется недоступным. Это можно сделать, например, так, как предлагает
следующая команда для маршрутизатора А.
RouterA(config)# ip host RouterB.domain.com 172.16.2.1
Выбор общих ключей
Выбор общих ключей аутентификации осуществляется с помощью команды crypto
isakmp key глобальной конфигурации. Ключ следует определять каждый раз, когда в
политике IKE указывается использование заранее согласованных общих ключей. Чтобы
удалить общий ключ аутентификации, используйте команду с префиксом по. Синтаксис
команды следующий:
crypto isakmp key ключ address адрес
crypto isakmp key ключ hostname имя-хоста
Параметры команды описаны в следующей таблице.
Параметр
Описание
команды
ключ
Указывает значение общего ключа. Используйте любую комбинацию
буквенно-цифровых символов длиной до 128 байт. Значения общих
ключей должны быть одинаковы в устройствах обеих сторон
address
Используется тогда, когда выбрана идентификация IKE удаленной
стороны по IP-адресу
адрес
Описывает IP-адрес удаленной стороны
hostname
Используется тогда, когда выбрана идентификация IKE удаленной
стороны по имени хоста
имя-хоста
Описывает имя хоста удаленной стороны. Это имя хоста, связанное с
именем домена (например, myhost.domain.com)
Замечание
При использовании аутентификации IKE с согласованными общими ключами в
устройствах обеих сторон IPSec должны быть указаны одинаковые значения ключей.
Настоятельно рекомендуется для разных пар сторон IPSec использовать разные общие
ключи. Использование одного ключа для нескольких пар IPSec потенциально
рискованно и поэтому нежелательно.
Шаг 4. Проверка конфигурации IKE
Чтобы увидеть заданные в конфигурации и используемые по умолчанию параметры
политики, воспользуйтесь командой show crypto isakmp policy. Политика IKE для
маршрутизатора показана в примере 16.4; конфигурация для маршрутизатора В
выглядит аналогично.
Задача З. Настройка IPSec
Следующей задачей настройки IPSec в Cisco IOS является установка ранее
определенных параметров шифрования IPSec. Действия, которые необходимо
выполнить для этого в маршрутизаторах Cisco, являются следующими.
Шаг 1. Определение наборов преобразований с помощью команды crypto ipsec
transform-set.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 14 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Шаг 2. Установка глобальных пределов существования ассоциаций защиты IPSec с
помощью команды crypto ipsec security-association lifetime.
Шаг 3. Настройка списков доступа посредством команды access-list.
Шаг 4. Настройка криптографических карт с помощью команды crypto map.
Шаг 5. Применение криптографических карт к интерфейсам с помощью команд
interface и crypto map.
В таблице представлены элементы политики IPSec, настройка которых будет обобсуждаться
в
примерах
данного
раздела.
Поддерживаемые
программным
обеспечением
Cisco IOS преобразования IPSec будут обсуждаться позже.
Параметр
Набор преобразований
Режим IPSec
Алгоритм хэширования
Имя удаленного хоста
Интерфейс
IP-адрес удаленной стороны
IP-адрес хостов, которые
должны быть защищены
Тип трафика для шифрования
Установка ассоциаций защиты
Значение для стороны
А
AH-MD5, ESP-DES
Туннельный
MD5
RouterB
Serial 0
172.16.2.1
192.168.1.0
Значение для стороны
В
AH-MD5, ESP-DES
Туннельный
MD5
RouterA
Serial 0
172.16.1.1
192.168.2.0
TCP
ipsec-isakmp
TCP
ipsec-isakmp
Шаг 1. Определение набора преобразований
Первым шагом настройки IPSec в Cisco IOS является использование политики
защиты IPSec для определения набора преобразований, представляющего собой
совокупность конкретных алгоритмов IPSec, с помощью которых реализуется политика
защиты для выбранного трафика. В рамках ассоциации защиты IKE выполняются
операции согласования (в ходе второй фазы IKE, быстрый режим), в результате
которых стороны соглашаются использовать конкретный набор преобразований для
защиты потока данных.
Набор преобразований объединяет следующие элементы IPSec:
• механизм аутентификации данных: преобразование АН (Authentication Header —
заголовок аутентификации);
• механизм шифрования данных: преобразование ESP (Encapsulating Security Payload —
включающий защиту полезный груз);
• режим IPSec (транспортный или туннельный).
Набор преобразований определяется с помощью команды глобальной конфигурации
crypto ipsec transform-set, активизирующей конфигурационный режим crypto-transform.
Чтобы удалить набор преобразований, используйте указанную команду с префиксом
nо.
Команда имеет следующий синтаксис:
crypto
ipsec
transform-set
имя-набора
[преобразование3]]
преобразование1
[преобразование2
Параметры команды описаны в следующей таблице.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 15 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Параметр
команды
имя-набора
Преобразование1
Преобразование2
Преобразование3
Описание
Определяет
имя
создаваемого
(или
изменяемого)
набора
преобразований
Указывают до трех преобразований, определяющих протокол(ы) и
алгоритм(ы) защиты IPSec. Требуется указать, по крайней мере,
одно преобразование АН или ESP
Можно указать до трех преобразований. По умолчанию для всех преобразований
применяется туннельный режим. Можно указать не более одного преобразования АН и
не более двух преобразований ESP. Если для создания ассоциаций защиты протокол
IKE не применяется, должен использоваться один набор преобразований. Согласования
такого набора преобразований не предполагается.
Программное обеспечение Cisco IOS поддерживает следующие преобразования IPSec.
Преобразования АН.
• ah-md5-hmac — преобразование AH-HMAC-MD5
• ah-sha-hmac — преобразование AH-HMAC-SHA
• ah-rfcl828 — преобразование AH-MD5 (RFC 1828), используемое с более ранними
реализациями IPSec
Замечание
АН редко используется вместе с ESP, поскольку аутентификация предлагается
преобразованиями esp-sha-hmac и esp-md5-hmac. Кроме того, протокол АН
несовместим со средствами NAT (Network Address Translation — трансляция сетевых
адресов) и PAT (Port Address Translation — трансляция адресов портов), поскольку
последние изменяют IP-адрес в заголовке пакета TCP/IP, нарушая данные
аутентификации, созданные протоколом АН. Протокол АН можно использовать для
аутентификации данных, но он не защищает содержимое, поскольку пакет не
шифруется. АН используют вместе с ESP тогда, когда требуется максимальная защита
данных.
Преобразования ESP.
• esp-des — преобразование ESP, использующее шифр DES (56 бит)
• esp-3des — преобразование ESP, использующее шифр 3DES(EDE) (168 бит)
• esp-md5-hmac — преобразование ESP с аутентификацией HMAC-MD5; используется в
комбинации с esp-des или esp-3des, чтобы обеспечить целостность пакетов ESP
• esp-sha-hmac — преобразование ESP с аутентификацией HMAC-SHA; используется в
комбинации с esp-des или esp-3des, чтобы обеспечить целостность пакетов ESP
• esp-null — преобразование ESP, не предполагающее шифрование; используется в
комбинации с esp-ind5-hmac или esp-sha-hmac, если необходимо обеспечить
аутентификацию ESP без шифрования
• esp-rfcl829 — преобразование ESP-DES-CBC (RFC 1829), используемое с
более ранними реализациями IPSec
Согласование набора преобразований
Наборы преобразований согласуются в быстром режиме второй фазы IKE на основе
определенных наборов преобразований. Можно выбрать множество наборов
преобразований, а затем указать один из них (или сразу несколько) в записи
криптографической карты. В рамках одной политики наборы преобразований должны
размещаться от наиболее надежного к наименее надежному. Набор преобразований,
определенный записью криптографической карты, используется при согласовании
ассоциаций защиты IPSec для защиты потоков данных, определяемых списком доступа,
связанным с этой записью. В ходе согласования стороны пытаются найти набор
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 16 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
преобразований, допустимый для обеих сторон. Если такой набор преобразований
имеетимеется, то он применяется для защиты потока данных в рамках ассоциаций защиты
IPSec
обеих сторон. Стороны IPSec договариваются об одном наборе преобразований для
каждой ассоциации защиты (они являются односторонними).
Шаг 2. Установка глобальных
ассоциаций защиты IPSec
пределов
существования
для
Пределы существования ассоциаций защиты IPSec указывают, как долго
ассоциации защиты IPSec остаются действительными, т.е. когда потребуется их
переустановка. Программное обеспечение Cisco IOS поддерживает глобальное
значение предела существования, применимого сразу ко всем криптографическим
картам. Глобальное значение может быть изменено соответствующей записью
криптографической карты. Пределы существования применимы только к ассоциациям
защиты, создаваемым посредством IKE. Созданные вручную ассоциации защиты не
прекращают своего существования автоматически. Перед тем как ассоциация защиты
прекратит свое существование, проводятся переговоры о создании новой, чтобы
обеспечить непрерывность потока данных.
Изменить глобальные значения пределов существования для ассоциаций защиты
IPSec
можно с помощью команды глобальной конфигурации crypto ipsec security-association
lifetime. Чтобы восстановить значение предела существования, заданное по умолчанию,
используйте команду с префиксом по. Указанная команда имеет следующий синтаксис:
crypto ipsec security-association lifetime
{seconds секунды | kilobytes килобайты)
Параметры команды описаны в следующей таблице.
Параметр
Описание
команды
seconds
Указывает время (в секундах), в течение которого ассоциация защиты
секунды
будет действительна. По умолчанию соответствующее значение равно
3600 секундам (одному часу)
kilobytes
Указывает объем данных (в килобайтах), который можно передать по
килобайты
данной связи, до того как она станет недействительной. По умолчанию
используется значение,равное 4608000 Кбайт
Шаг 3. Создание списков шифрованного доступа
Еще одним шагом настройки IPSec является настройка списков шифрованного
доступа, которые используются для определения трафика IP, защищаемого (или не
защищаемого) средствами IPSec. Списки шифрованного доступа в рамках IPSec
выполняют следующие функции.
• Выбор исходящего трафика, подлежащего защите средствами IPSec.
• Обработка входящего трафика на предмет выявления трафика IPSec.
• Выявление и фильтрация входящего трафика, подлежащего защите средствами IPSec.
• Удовлетворение запросов создания ассоциаций защиты IPSec в процессе
согласования IKE.
При создании списков шифрованного доступа используются расширенные списки
доступа IP. Списки шифрованного доступа выявляют данные, которым требуется
защита. Синтаксис списков шифрованного доступа ничем не отличается от синтаксиса
расширенных списков доступа IP, но в списках шифрованного доступа ключевые слова
интерпретируются иначе. Ключевое слово permit означает, что соответствующие
пакеты должны шифроваться, a deny означает отказ от шифрования. Списки
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 17 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
шифрованного доступа действуют подобно расширенным спискам доступа IP,
применяемым к исходящему трафику интерфейса.
Если одной части трафика необходимо обеспечить одну комбинацию средств защиты
IPSec (например, только аутентификацию), а другой — иную (и аутентификацию, и
шифрование), создайте два списка шифрованного доступа, чтобы определить два типа
трафика. Эти списки доступа нужно использовать в разных записях криптографической
карты, описывающих разные политики IPSec.
Шаг 4. Создание криптографических карт
При создании криптографических карт, с помощью средств IPSec можно установить
ассоциации защиты для потоков данных, подлежащих шифрованию. В этом разделе
рассматриваются цели создания криптографических карт, описывается команда crypto
map и предлагаются примеры криптографических карт. Записи криптографических
карт определяют параметры ассоциаций защиты IPSec, связывая следующие элементы
конфигурации.
• Трафик, который должен защищаться средствами IPSec (списком шифрованного
доступа), и степень детализации трафика, защищаемого набором ассоциаций защиты.
• Пункт назначения, куда направляется трафик IPSec (описание удаленной стороны
IPSec).
• Локальный адрес, который должен использоваться для трафика IPSec.
• Тип защиты IPSec, применяемый к указанному трафику (наборы преобразований).
• Способ создания ассоциаций защиты: создание вручную или посредством IKE.
• Другие параметры, которые могут понадобиться при создании ассоциаций защиты
IPSec.
Настройка криптографических карт
Команда глобальной конфигурации crypto map используется для создания или
изменения записей криптофафических карт и для перехода в режим конфигурации
криптографической карты. Записи криптографической карты, ссылающиеся на
динамические карты, должны быть записями с самым низким приоритетом (т.е.
соответстсоответствующие номера записей должны иметь наивысшие значения). Чтобы удалить
запись или набор записей криптофафический карты, используйте указанную команду с
префиксом nо. Команда имеет следующий синтаксис:
crypto map имя-карты порядк-номер cisco
crypto map имя-карты порядк-номер ipsec-manual
crypto map имя-карты порядк-номер ipsec-isakmp [dynamic имя-динамич-карты]
no crypto map имя-карты [порядк-номер]
Параметры команды описаны в следующей таблице.
Параметр
Описание
команды
cisco
(Значение, принятое по умолчанию.) Указывает, что для защиты
трафика, определяемого новой записью криптографической карты, будет
использоваться СЕТ, а не IPSec
имя-карты
Имя криптографической карты
порядкНомер, присваиваемый записи криптографической карты
номер
ipsec-manual Запрет использования IKE при создании ассоциаций защиты IPSec для
трафика, определяемого новой записью криптографической карты
ipsec-isakmp Требование использовать IKE при создании ассоциаций защиты IPSec
для трафика, определяемого новой записью криптографической карты
dynamic
(необязательный) Означает, что данная запись ссылается на уже
существующую
динамическую
криптографическую
карту.
При
использовании этого ключевого слова команды режима конфигурации
криптографической карты недоступны
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 18 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
имядинамичкарты
(необязательный) Имя набора записей динамической криптографической
карты, используемого в качестве шаблона политики защиты
При
вводе
команды
crypto
map
открывается
режим
конфигурации
криптографической карты (характеризующийся приглашением router(config-cryptomap)#), в котором будут доступны следующие команды.
match address [id-списка-доступа | имя]
set peer [имя-хоста | ip-адрес]
set pfs [group1 | group2]
set security-association level per-host
set security-association lifetime {seconds секунды | kilobytes килобайты}
set transform-set имя-иабора [имя-набора2...имя-набора6]
set session-key {inbound | outbound} ah | esp
exit
Синтаксис команд, доступных в режиме конфигурации криптографической карты,
описан в следующей таблице.
Параметр
Описание
id-спискаИдентифицирует (с помощью номера или имени) расширенный список
доступа | имя
доступа, используемый криптографической картой. Значение должно
соответствовать
номеру
или
имени
ранее
определенного
расширенного списка доступа IP
имя-хоста | ip- Идентифицирует IPSec-партнера с помощью IP-адреса или имени
адрес
хоста. Можно указать несколько адресов для реализации стратегии
резервирования
group1 | group2 (необязательный) Определяет использование 768-битовой (groupl)
или
1024-битовой (group2) группы Диффи-Хеллмана для нового обмена в
рамках IPSec. По умолчанию используется groupl
set
security- Означает необходимость запроса отдельных ассоциаций защиты IPSec
association
для
каждой пары
адресов
источника/получателя
в
списке
level per-host
шифрованного доступа
seconds
Задает предел времени существования ассоциации защиты, по
секунды
истечении которого связь становится недействительной
kilobytes
Задает предельный объем (в килобайтах) для передаваемых
килобайты
сторонами IPSec данных, в результате превышения которого
ассоциация защиты становится недействительной
имя-набора
Список наборов преобразований в порядке возрастания приоритета.
[имяДля записей ipsec-isakmp и dynamic можно указать до шести наборов
набора2...имяпреобразований. В процессе согласования наборы преобразований
набора6]
рассматриваются в порядке приоритета - от низшего значения к
высшему,
поэтому
набору преобразований, обеспечивающему
наиболее надежную защиту (например, esp-3des), следует присвоить
наименьшее значение
set session-key
Установка параметров ассоциации защиты вручную, включая
{inbound
| установку вручную паролей для преобразований АН и ESP.
outbound} ah
Указывает, для каких ассоциаций защиты вводятся значения—для
входящих (inbound) или исходящих (outbound)
| esp
exit
Выход из режима конфигурации криптографической карты
Шаг 5. Применение криптографических карт к интерфейсам
Последним шагом настройки IPSec является применение набора записей
криптографической карты к интерфейсу с помощью команды crypto map в режиме
конфигурации интерфейса. Используйте данную команду с префиксом nо, чтобы
удалить
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 19 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
криптографическую
синтаксис:
карту
с
интерфейса.
Указанная
команда
имеет
следующий
crypto map имя-карты
Параметр команды имеет следующее значение.
Параметр
Описание
команды
имя-карты
Идентифицирует набор записей криптографической карты. Это имя,
присваиваемое при создании криптографической карты
Как только вы примените криптографическую карту, в базе данных ассоциаций
защиты в памяти системы будут установлены параметры ассоциации защиты.
Проверить установленные ассоциации защиты можно с помощью команды show crypto
ipsec sa. С одним интерфейсом можно связать только один набор записей
криптографической карты. Записи криптографической карты, имеющие одно и то же
имя, но разные порядковые номера, считаются частью одного набора и применяются к
интерфейсу одновременно. Запись криптографической карты с наименьшим значением
порядкового номера имеет высший приоритет и оценивается первой.
Задача 4. Тестирование и контроль IPSec
Завершающей задачей процесса настройки IPSec для работы с общими ключами
является проверка текущих установок и функциональных возможностей IPSec.
Программное обеспечение Cisco IOS предлагает ряд команд show, clear и debug, с
помощью которых можно проконтролировать работу IKE и IPSec. Их использование
обсуждается в следующих разделах.
Команды IKE
Команды, описанные в следующих разделах, можно использовать для проверки
конфигурации и действия IKE.
Команду show crypto isakmp policy режима EXEC можно использовать для того, чтобы
выяснить параметры политики IKE.
Команду show crypto isakmp sa режима EXEC можно использовать для того, чтобы
увидеть параметры всех текущих ассоциаций защиты IKE
Команду clear crypto isakmp глобальной конфигурации можно применять для очистки
активных соединений IKE. Эта команда имеет следующий синтаксис:
clear crypto isakmp [id-соедииеиия]
Где id-соединения (необязательный) идентифицирует соединение, которое требуется
очистить. Если значение параметра не указано, будут очищены все существующие
соединения
Команда debug crypto isakmp режима EXEC используется для отображения сообщений о
событиях IKE. Использование этой команды с префиксом nо отключает вывод
отладочных данных.
Команды IPSec
Команды, описываемые в следующих разделах, можно применять для проверки
параметров конфигурации и контроля действия IPSec.
Командой show crypto ipsec transform-set режима EXEC можно воспользоваться для
проверки размещенных наборов преобразований. Указанная команда имеет следующий
синтаксис:
show crypto ipsec transform-set [tag имя-набора]
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 20 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Команду show crypto map режима EXEC применяют для просмотра конфигурации
криптографической карты. Если эту команду использовать без дополнительных
ключевых слов, будут показаны все криптографические карты, размещенные в
маршрутизаторе. Синтаксис указанной команды следующий:
show crypto map [interface интерфейс | tag имя-карты]
С помощью команды show crypto ipsec security-association lifetime режима EXEC можно
выяснить значения пределов существования ассоциаций защиты для конкретной
записи криптографической карты. Эта команда не имеет параметров или
дополнительных ключевых слов.
Команда show crypto ipsec sa режима EXEC применяется для просмотра установок,
используемых текущими ассоциациями защиты. Если команда вводится без
дополнительных ключевых слов, отображается информация обо всех ассоциациях
защиты. Синтаксис указанной команды следующий:
show crypto ipsec sa [map имя-карты | address | identity] [detail]
Команда debug crypto ipsec режима EXEC предназначена для вывода информации о
событиях IPSec. При использовании этой команды с префиксом nо вывод отладочных
данных отключается.
Команда clear crypto sa глобальной конфигурации используется для того, чтобы
очистить ассоциации защиты IPSec. Синтаксис указанной команды следующий:
clear crypto sа peer {ip-адрес | имя-стороны)
clear crypto sa map имя-карты
clear crypto sa entry адрес-получателя протокол spi
clear crypto sa counters
Глава 2. Защита сетевого доступа с помощью средств
ААА
Несанкционированный доступ, а также возможность фальсификации и обмана в
сетевой среде дают1 нарушителям потенциальную возможность получения доступа к
сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно
ограничить возможности нарушителей, оставляя законным пользователям сети право
иметь доступ к сетевым ресурсам.
Архитектура защиты ААА
Защита сетевого доступа — независимо от того, рассматривается она в применении к
территориальной сети предприятия, удаленному доступу или Internet — имеет
модульную архитектуру, состоящую из следующих трех компонентов.

Аутентификация. Требует от пользователей доказательства того, что они
действительно являются теми, за кого себя выдают, например, посредством ввода
имени пользователя и пароля, использования системы запросов/подтверждений,
идентификационных карт или какого-то другого метода.
"Я — пользователь student, и мой пароль validateme доказывает это"

Авторизация. После аутентификации пользователя сервис авторизации решает, к
каким ресурсам разрешается доступ данному пользователю и какие действия
разрешается ему выполнять.
"Пользователь student может иметь доступ к узлу NT_Server посредством Telnet"

Аудит. Запись того, что пользователь действительно делал, к чему имел доступ и в
течение какого времени, осуществляется с целью учета, контроля и выяснения
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 21 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
стоимости. С помощью аудита можно проследить за тем, как используются сетевые
ресурсы. Аудит может быть применен для анализа практики сетевого доступа и
обнаружения сетевых вторжений.
"Пользователь student получал доступ к узлу NT_Server посредством Telnet 15 раз"
Серверы защиты ААА
Средства ААА в продуктах Cisco поддерживают контроль доступа либо с помощью
локальной базы данных на сервере сетевого доступа, либо с помощью удаленной базы
данных зашиты, использующей протокол защиты ААА. Оба подхода имеют свои плюсы
и минусы. В этом разделе мы рассмотрим применение средств ААА с локальной и
удаленной базами данных зашиты, а также стандарты удаленной базы данных зашиты,
поддерживаемые средствами ААА Cisco.
ААА и локальная база данных защиты
Если требуется обеспечить доступ к сети небольшому числу удаленных пользователей
через один-два сервера сетевого доступа, можно хранить информацию об их именах и
паролях на сервере сетевого доступа. Такой подход называют локальной
аутентификацией, или аутентификацией с помощью локальной базы данных зашиты.
Ниже указаны особенности использования средств ААА с локальной базой данных
зашиты.





Локальная аутентификация подходит для малых сетей с небольшим числом
удаленных пользователей и серверов сетевого доступа.
Имена пользователей, пароли и параметры авторизации хранятся в локальной
базе данных защиты на сервере сетевого доступа.
Удаленные пользователи проходят аутентификацию и авторизацию с помощью
локальной базы данных зашиты.
Авторизация и аудит при использовании локальной базы данных зашиты имеют
ограниченную поддержку.
Контроль доступа с помощью локальной базы данных защиты позволяет
сэкономить на установке и поддержке удаленной базы данных зашиты.
Аутентификация с использованием локальной базы данных зашиты обычно
выполняется следующим образом. Сначала с помощью команд ААА необходимо в
локальной базе данных зашиты каждого сервера сетевого доступа указать
соответствующие параметры для каждого из возможных пользователей. Процесс ААА
состоит из следующих шагов.
1. Удаленный пользователь устанавливает соединение РРР с сервером сетевого
доступа.
2. Сервер сетевого доступа запрашивает у пользователя имя и пароль.
3. Сервер сетевого доступа выполняет аутентификацию имени и пароля с помощью
локальной базы данных.
4. Сервер сетевого доступа выполняет процедуру авторизации, в результате чего
пользователь получает право доступа к сетевым сервисам и другим ресурсам в
соответствии со значениями, заданными в локальной базе данных.
5. Сервер сетевого доступа следит за трафиком пользователя и создает записи аудита
в соответствии со значениями, заданными в локальной базе данных.
ААА и удаленная база данных защиты
По мере роста сети все более остро встает вопрос о необходимости использования
удаленной базы данных защиты, которая обеспечивала бы информацию об именах
пользователей и паролях всем серверам сетевого доступа и маршрутизаторам сети.
Удаленная база данных защиты размешается на сервере защиты. Удаленную базу
данных защиты удобно использовать тогда, когда имеется большое число серверов
сетевого доступа, контролирующих доступ к сети. Такая база данных позволяет
централизованно управлять файлами профилей (т.е. параметрами доступа) удаленных
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 22 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
пользователей, что избавляет от необходимости менять файлы профилей каждого
удаленного пользователя на всех серверах сетевого доступа. Удаленная база данных
зашиты помогает создать и реализовать согласованную политику защиты удаленного
доступа для всех подразделений корпорации.
Рассмотрим особенности использования средств ААА с удаленной базой данных
защиты.






Аутентификация с помощью удаленной базы данных защиты оптимальна для
средних и больших сетей с большим числом удаленных пользователей и
множеством серверов сетевого доступа, когда затраты на содержание сервера
защиты могут быть оправданы.
Имена пользователей, пароли и параметры авторизации централизованно
хранятся в удаленной базе данных защиты на сервере защиты.
Удаленные пользователи проходят процедуры аутентификации и авторизации с
помощью удаленной базы данных защиты.
Авторизация и аудит поддерживаются сервером сетевого доступа с
использованием удаленной базы данных защиты.
Удаленная база данных защиты может использоваться для контроля доступа к
серверу сетевого доступа или к сети через сервер сетевого доступа. Некоторые
протоколы удаленной базы данных защиты поддерживают контроль доступа к
маршрутизаторам, коммутаторам Ethernet и брандмауэрам. Удаленная база
данных защиты применяется для контроля доступа к сетевому оборудованию,
поддерживающему стандартные протоколы удаленного доступа.
Централизованный контроль посредством удаленной базы данных защиты
позволяет сэкономить средства, избавляя от необходимости управлять каждым
сервером сетевого доступа в отдельности. Для защиты базы данных необходимо,
чтобы содержащий ее хост был защищен с максимальной степенью надежности.
Аутентификация с использованием удаленной базы данных защиты обычно
выполняется так. Сначала необходимо заполнить локальную базу данных защиты
каждого сервера сетевого доступа, описав соответствующие параметры для каждого из
возможных пользователей. Кроме того, необходимо настроить сервер сетевого доступа
(и другое сетевое оборудование) на взаимодействие с удаленной базой данных защиты
при выполнении операций ААА. Процесс ААА в данном случае состоит из следующих
шагов.
1. Пользователь устанавливает соединение РРР с сервером сетевого доступа.
2. Сервер сетевого доступа запрашивает у пользователя имя и пароль, и пользователь
предъявляет соответствующие данные.
3. Сервер сетевого доступа передает имя пользователя и пароль серверу защиты.
4. Удаленная база данных защиты выполняет процедуру аутентификации и
авторизации для данного пользователя и предоставляет ему соответствующие права
доступа в сети. База данных на самом деле изменяет конфигурацию сервера
сетевого доступа в соответствии с параметрами аутентификации, загружая
необходимые команды в сервер сетевого доступа и активизируя соответствующие
списки доступа.
5. Сервер сетевого доступа создает записи аудита в соответствии с параметрами
удаленной базы данных защиты и посылает эти записи серверу защиты. Сервер
защиты тоже может создавать записи аудита.
Основным преимуществом использования удаленной базы данных защиты является то,
что вследствие централизованного управления упрощается администрирование и
обеспечивается согласованная реализация политики защиты в отношении удаленного
доступа, доступа по телефонным линиям связи и управления маршрутизаторами.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 23 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Стандарты базы данных защиты, поддерживаемые Cisco
Существует несколько стандартов удаленной базы данных защиты, призванных
обеспечить унифицированный подход к управлению доступом к сети. Эти стандарты
поддерживаются многими приложениями, среди которых есть как условно-бесплатные,
так и коммерческие продукты.
Сетевое оборудование Cisco поддерживает три протокола сервера защиты — TACACS+,
RADIUS и Kerberos. TACACS+ и RADIUS являются главными протоколами сервера
защиты, используемыми для решения задач ААА с серверами сетевого доступа,
маршрутизаторами и брандмауэрами. Эти протоколы применяются при обмене
информацией об управлении доступом между сервером защиты и сетевым
оборудованием. Cisco также предлагает поддержку протоколов TACACS+ и RADIUS
для CiscoSecure ACS.
Семейство серверов сетевого доступа и маршрутизаторов Cisco, пользовательский
интерфейс Cisco IOS и PIX Firewall поддерживают взаимодействие с серверами защиты,
использующими TACACS+ и RADIUS.
Серверы защиты TACACS+ или RADIUS взаимодействуют с сетевым оборудованием так,
как будто они являются серверами сетевого доступа
RADIUS
RADIUS (Remote Access Dial-In User Service — сервис идентификации удаленных
абонентов) представляет собой распределенный протокол, используемый в рамках
технологии клиент/сервер и обеспечивающий защиту сети от несанкционированного
доступа. Cisco поддерживает RADIUS как одну из составляющих системы защиты ААА.
Рассматриваемый протокол скорее объединяет аутентификацию и авторизацию, чем
трактует их отдельно, как это делается в отношении аудита. Протокол RADIUS может
использоваться с другими протоколами защиты ААА, например с TACACS+, Kerberos и
локальными базами данных защиты. Данный протокол был разработан компанией
Livingston Enterprises (теперь находящейся в составе Lucent Technologies). Протокол
RADIUS описывается в документе RFC 2865, а аудит RADIUS — в RFC 2866.
Протокол RADIUS реализован во многих сетевых средах, требующих высокого уровня
зашиты при условии поддержки сетевого доступа для удаленных пользователей. Он
представляет собой полностью открытый протокол, поставляемый в формате исходного
текста, который можно изменить для того, чтобы он мог работать с любой доступной в
настоящий момент системой защиты. Широкую популярность RADIUS обеспечивает
возможность добавлять новые пары "атрибут/значение" в дополнение к тем, которые
описаны в документе RFC 2865. Протокол RADIUS имеет атрибут поставщика (атрибут
26), позволяющий
поставщику
осуществлять
поддержку своих
собственных
расширенных наборов атрибутов, включающих нестандартные атрибуты. Вследствие
использования пар "атрибут/значение" конкретных поставщиков могут возникать
трудности при интеграции серверных продуктов защиты RADIUS в другие системы
защиты. Серверы защиты RADIUS и соответствующие клиенты должны игнорировать
нестандартные пары "атрибут/значение", созданные конкретными поставщиками.
Cisco осуществляет поддержку клиентов RADIUS посредством набора серверов сетевого
доступа, маршрутизаторов, коммутаторов Ethernet, брандмауэров PIX, концентраторов
VPN 3000 и CiscoSecure ACS.
Возможности RADIUS
RADIUS поддерживает следующие возможности сервера защиты.
 Пакеты UDP. Для связи RADIUS между сервером сетевого доступа и сервером
защиты используется протокол UDP и UDP-порт 1812, официально назначенный
для этого. Некоторые реализации RADIUS используют UDP-порт 1645.
Использование UDP упрощает реализацию клиента и сервера RADIUS.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 24 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения









Объединение аутентификации и авторизации и выделение аудита. Сервер
RADIUS получает запросы пользователя, выполняет аутентификацию и
обеспечивает клиенту информацию о конфигурации. Аудит выполняется
сервером аудита RADIUS.
Шифрование паролей пользователей. Пароли, содержащиеся в пакетах RADIUS
(a это только пользовательские пароли), шифруются посредством хэширования
MD5.
Аутентификация РАР и CHAP. Обеспечивает управление аутентификацией с
помощью средств вызова/ответа РАР и CHAP, а также посредством диалога
начала сеанса и ввода пароля наподобие входа в систему UNIX.
Защита глобальной сети. Обеспечивает поддержку средств ААА удаленного
доступа для серверов сетевого доступа многих поставщиков, поддерживающих
клиентов RADIUS. Дает возможность централизовать управление удаленным
доступом.
Протоколы группы SLIP, РРР и ARAP. Поддерживаются также Telnet, rlogin и LAT
(Local Area Transport — протокол доступа к терминалу в сетях DECnet).
Автокоманды. Пользователь может автоматически выполнить команду, если она
указана в базе данных RADIUS и поддерживается сервером сетевого доступа.
Функция обратного вызова. Данная функция возвращает телефонные вызовы,
заставляя сервер сетевого доступа звонить соответствующему пользователю, что
может дать дополнительные гарантии защиты пользователям, использующим
доступ по телефонным линиям.
Расширяемость.
Все
транзакции
предполагают
использование
пар
"атрибут/значение" переменной длины. Новые атрибуты могут быть добавлены в
существующие реализации протокола. Протокол разрешает производителям
добавлять новые атрибуты с помощью атрибута поставщика.
Гарантированная сетевая защита. Аутентификация транзакций между клиентом
и сервером защиты RADIUS предполагает использование общего секретного
значения.
Процесс аутентификации и авторизации RADIUS
Клиент RADIUS и сервер защиты RADIUS обмениваются пакетами Access-Request
(доступ-запрос), Access-Accept (доступ-подтверждение), Access-Reject (доступ-отказ) и
Access-Challenge (доступ-вызов). При попытке подключиться к серверу сетевого
доступа, имеющему конфигурацию клиента RADIUS, выполняются следующие шаги.
1. Пользователь инициализирует запрос аутентификации РРР к серверу сетевого
доступа.
2. У пользователя запрашивается имя и пароль, и он вводит их.
3. Сервер сетевого доступа посылает серверу защиты RADIUS пакет Acces-Request,
содержащий имя пользователя, шифрованный пароль и другие атрибуты.
4. Сервер защиты RADIUS идентифицирует посылающего клиента, выполняет
аутентификацию пользователя, проверяет параметры авторизации пользователя и
возвращает один из следующих ответов.
Access-Accept — пользователь аутентифицирован.
Access-Reject — пользователь не аутентифицирован, и сервер сетевого доступа либо
предлагает ввести имя пользователя и пароль снова, либо запрещает доступ.
Access-Challenge — вызов является дополнительной возможностью сервера защиты
RADIUS, позволяющей получить дополнительные данные о пользователе, чтобы
послать их серверу защиты RADIUS.
5. Сервер сетевого доступа обращается к параметрам аутентификации, разрешающим
использование конкретных служб.
6. Ответ Access-Accept или Access-Reject связывается с дополнительными данными
(парами "атрибут/значение"), используемыми для сеансов EXEC и авторизации.
Процесс аутентификации RADIUS должен быть завершен до начала процесса
авторизации. Дополнительные данные в пакетах Accept или Reject состоят из пар
"атрибут/значение" для следующих объектов:
 сервисы, к которым разрешается доступ пользователю, включая Telnet,
rlogin, а также соединения LAT и РРР;
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 25 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения


сервисы EXEC и SLIP;
параметры соединения, включая IP-адреса клиента и хоста, список доступа и
ограничения времени.
7. Сервер защиты RADIUS может периодически посылать пакеты Access-Challenge
серверу сетевого доступа, чтобы потребовать повторного введения имени и пароля
пользователем, информировать о состоянии сервера сетевого доступа или
выполнить какие-то другие действия, предусмотренные разработчиками сервера
RADIUS. Клиент RADIUS не может посылать пакеты Access-Challenge.
Процесс аудита RADIUS
Протокол RADIUS был усовершенствован с тем, чтобы обеспечить доставку информации
аудита от клиента RADIUS серверу аудита RADIUS через UDP-порт 1813. Клиент
RADIUS отвечает за отправку информации аудита пользователя соответствующему
серверу аудита RADIUS, для чего используется пакет типа Accounting-Request (аудитзапрос) с соответствующим набором пар "атрибут/значение".
Сервер аудита RADIUS должен принять запрос аудита и вернуть ответ,
подтверждающий успешное получение запроса. Для этого используется пакет типа
Accounting-Response (аудит-ответ).
При попытке подключиться к серверу сетевого доступа, имеющему конфигурацию
клиента RADIUS, выполняются следующие шаги.
1. После исходной аутентификации сервер сетевого доступа посылает серверу защиты
RADIUS старт-пакет Accounting-Request.
2. Сервер защиты RADIUS подтверждает получение старт-пакета, возвращая пакет
Accounting- Response.
3. По окончании использования сервиса сервер сетевого доступа посылает стоп-пакет
Accounting-Request; в этом пакете указываются тип предоставленного сервиса и
дополнительные статистические данные.
4. Сервер защиты RADIUS подтверждает получение стоп-пакета, возвращая пакет
Accounting- Response.
CiscoSecure ACS
Специалисты Cisco разработали семейство масштабируемых продуктов CiscoSecure ACS
(Access Control Server — сервер управления доступом), обеспечивающих поддержку
удаленной базы защиты для малых и средних предприятий и поставщиков сетевых
услуг. CiscoSecure ACS поддерживает являющиеся промышленными стандартами
протоколы TACACS+ и RADIUS.
Компания Cisco предлагает версии CiscoSecure ACS, работающие под управлением либо
Solaris, либо Windows NT Server. CiscoSecure использует центральную базу данных,
которая
хранит
пользовательские
и
групповые
профили
с
информацией
аутентификации и авторизации, а также записи аудита. CiscoSecure ACS допускает
удаленное управление с помощью стандартного обозревателя Web, что обеспечивает
простоту изменения, перемещения или удаления имен пользователей, паролей и
сетевых устройств.
CiscoSecure ACS является всеобъемлющим и гибким средством контроля доступа к сети.
CiscoSecure контролирует сетевой доступ по следующим направлениям:



удаленный доступ через серверы сетевого доступа и маршрутизаторы Cisco;
доступ к консоли маршрутизаторов и коммутаторов Ethernet и порту vty с целью
осуществления централизованного управления;
контроль доступа через брандмауэр PIX.
CiscoSecure ACS взаимодействует с сервером сетевого доступа, маршрутизатором и
брандмауэром PIX Firewall при реализации всеобъемлющей политики защиты в рамках
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 26 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
архитектуры ААА. Имеется также возможность использования идентификационных карт
и серверов, поставляемых лидерами этой отрасли. CiscoSecure ACS может применяться
для контроля доступа к оборудованию других производителей, если это оборудование
поддерживает протоколы TACACS+ и RADIUS. Семейство продуктов CiscoSecure ACS
включает следующее:



CiscoSecure ACS для Windows NT;
CiscoSecure ACS для UNIX;
CiscoSecure GRS (Global Roaming Server — сервер глобального роуминга).
Конфигурация средств ААА сервера сетевого доступа
Шаг 1. Глобальная активизация ААА в сервере сетевого
доступа
Чтобы создать раздел ААА в файле конфигурации необходимо сделать следующее.
1. Настроить сервер сетевого доступа на выполнение аутентификации пользователей,
пытающихся получить доступ к командам привилегированного уровня.
2. Создать строку символов, содержащую список методов аутентификации,
активизируемых при входе пользователя в систему, и базу данных имен
пользователей, используемую для аутентификации (таких баз данных может быть
несколько).
3. Указать один или несколько методов аутентификации ААА для использования с
последовательным интерфейсом по протоколу РРР (Point-to-Point Protocol —протокол
двухточечного соединения).
Глобальная активизация средств ААА на сервере сетевого доступа выполняется с
помощью следующих команд
NASx(config)#aaa new-model
NASx(config)#aaa authentication login default enable
Первая команда, ааа new-model, создает новую конфигурацию ААА. Вторая, ааа
authentication login default enable, обеспечивает постоянную защиту доступа по
всем линиям (кроме РРР). Теперь можно продолжить изменение и тестирование
конфигурации с помощью команд ААА и соответствующих приложений.
Внимание!
Только при первом использовании команды ааа new-model создается новая
конфигурация. Последующее применение команды по умолчанию предполагает
использование операторов ААА, уже введенных ранее.
Шаг 2. Настройка профилей аутентификации ААА
Используйте команду глобальной конфигурации ааа authentication для установки
параметров идентификации пользователя и проверки этой информации. После
глобальной активизации ААА на сервере доступа необходимо определить списки
методов аутентификации, а затем связать их с линиями и интерфейсами. Списки
методов аутентификации представляют собой профили защиты, указывающие сервис
(РРР, ARAP или NASI) или метод входа в систему и аутентификации (local, TACACS+,
RADIUS, login, enable, line или none).
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 27 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Чтобы определить список методов аутентификации
authentication, необходимо выполнить следующее.
с
помощью
команды
ааа
1. Указать сервис (РРР, ARAP или NASI) или аутентификацию входа в систему (login).
2. Определить имя списка или имя по умолчанию. Именем списка может быть любая
буквенно-цифровая строка. Имя по умолчанию указывает метод, применяемый ко
всем строкам и интерфейсам, для которых явно не указано иное. В каждом списке
можно указать только один входной протокол, но можно создать множество списков
методов аутентификации. Каждому списку необходимо дать уникальное имя.
3. Указать метод аутентификации. Можно указать до четырех методов. Если для
некоторого метода регистрируется ошибка (что выявляется с помощью команды
debug aaa authentication), система пытается использовать следующий метод.
После определения списки
следующих объектов.
методов
аутентификации
применяются
к
одному
из

Линии. Линии tty, vty, консоли, aux и async или консольный порт для входа в
систему и асинхронные линии (в большинстве случаев) для ARA.

Интерфейсы. Синхронный, асинхронный и виртуальный интерфейсы для РРР,
SLIP, NASI или ARAP.
Для активизации процесса аутентификации ААА используется
authentication в режиме глобальной конфигурации. Синтаксис
authentication следующий.
команда
команды
ааа
ааа
ааа authentication {arap | enable | login | nasi | ppp} {default | имя-списка)
метод1 [метод2] [метод3] [метод4]
Аргументы команды enable authentication и их значения объясняются в следуюследующей таблице.
Аргумент
команды
arap метод
enable
метод
Описание
Активизирует метод аутентификации ААА для ARA (AppleTalk Remote
Access - удаленный доступ AppleTalk) с использованием RADIUS или
TACACS+. Аргумент метод допускает следующие параметры.
• guest - разрешает гостевой вход в систему. Этот метод должен быть
первым в списке, но за ним могут следовать другие методы на случай,
если метод не сработает
• autho-guest - разрешает гостевой вход в систему при условии, что
пользователь уже получил доступ к режиму EXEC. Этот метод должен
быть первым в списке, но за ним могут следовать другие методы на
случай, если этот метод не сработает
• line - использование пароля линии
• local — использование локальной базы данных имен пользователей
• tacacs+ - использование аутентификации TACACS+
• radius - использование аутентификации RADIUS
Создает набор методов аутентификации для выяснения возможности
получения доступа к командам привилегированного уровня. Аргумент
метод задает методы, которые алгоритм аутентификации пытается
применить в указанном порядке:
• enable - использование пароля enable
• line — использование пароля линии
• none — отказ от аутентификации
• tacacs+ - использование аутентификации TACACS+
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 28 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
login метод
nasi
ррр метод
default
имя-списка
• radius - использование аутентификации RADIUS
Использование аутентификации ААА в начале сеанса. Аргумент метод
задает список методов, которые алгоритм аутентификации пытается
применить в указанном порядке:
• enable - использование пароля enable
• krb5 - использование аутентификации Kerberos 5
• line — использование пароля линии
• local - использование пароля линии
• none — отказ от аутентификации
• radius - использование аутентификации RADIUS
• tacacs+ — использование аутентификации TACACS+
• krb5-telnet - использование протокола аутентификации Kerberos 5
Telnet при осуществлении доступа Telnet к маршрутизатору
Использование аутентификации ААА для клиентов NASI, одключающихся
через сервер доступа. Аргумент метод задает список методов, которые
алгоритм аутентификации пытается применить в указанном порядке:
• enable — использование пароля enable
• line — использование пароля линии
• local — использование линейного пароля
• попе - отказ от аутентификации
• tacacs+ - использование аутентификации TACACS+
Указывает один или несколько методов аутентификации ААА для
последовательного интерфейса, использующего РРР и TACACS+.
Аргумент
метод
задает
список
методов,
которые
алгоритм
аутентификации пытается применить в указанном порядке:
• if-needed - не использовать аутентификацию, если пользователь уже
аутентифицирован на линии tty
• krb5 — использование аутентификации Kerberos 5 (может
использоваться только для аутентификации РАР)
• local — использование пароля линии
• попе - отказ от аутентификации
• radius - использование аутентификации RADIUS
• tacacs+ - использование аутентификации TACACS+
Использование следующих за данным аргументом методов по умолчанию
при входе пользователя в систему
Указывает имя списка методов аутентификации, применяемых при входе
пользователя в систему
В следующей таблице представлены команды настройки параметров аутентификации
ААА.
Команда
ааа authentication
tech-pubs local
ааа authentication
mktg if-needed local
login
ppp
Описание
Определяет профиль аутентификации при входе в систему
(tech-pubs), использующий для аутентификации
локальную базу данных
Определяет профиль аутентификации РРР (mktg), не
требующий аутентификации, если пользователь уже
аутентифицирован. Иначе для аутентификации РРР
используется локальная база данных
В примере ниже показаны команды аутентификации, применяемые к линиям и ининтерфейсам.
(config)#line console 0
(config-line)#login authentication tech-pubs
(config)#interface serial 3/0
(config-line)#ppp authentication chap mktg
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 29 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Команда line console 0 открывает режим конфигурации консольной линии. Команда
login authentication tech-pubs задает использование профиля tech-pubs для
аутентификации входа в систему при доступе через консольный порт 0. Команда
interface serial 3/0 указывает порт 0 сегмента 3 последовательного интерфейса.
Команда ppp authentication chap mktg задает использование профиля mktg для
аутентификации CHAP PPP в рамках интерфейса, описанного предыдущей командой.
Для "аварийного варианта" аутентификации ААА используется список по умолчанию.
Шаг 3. Настройка средств авторизации ААА
Средства авторизации ААА позволяют ограничить доступ к сервисам. Когда средства
авторизации ААА активизированы, сервер сетевого доступа настраивает параметры
сеанса связи в соответствии с профилем пользователя, хранящимся либо в локальной
базе данных, либо на сервере защиты. Пользователю предоставляется доступ к
соответствующему сервису, если это допускается параметрами профиля.
Для установки параметров, определяющих права пользователя, используется команда
глобальной конфигурации ааа authorization. Сервер доступа необходимо настроить так,
чтобы после успешной аутентификации пользователю предоставлялось право доступа
только к определенным функциям. Синтаксис команды ааа authorization следующий.
ааа authorization {network | exec | commands уровень | reverse-access}
{default | имя-списка} {if-authenticated | local | none | radius |
tacacs+ | krb5-instance}
Аргументы команды и их значения объясняются в следующей таблице.
Аргумент
команды
network
exec
commands
уровень
reverse-access
default
имя-списка
if-authenticated
local
none
radius
tacacst
krb5-instance
Описание
Для сетевых сервисов (РРР, SUP, ARAP)
Для запуска exec (shell)
Для команд exec (shell)
Указывает уровень команды, требующей авторизации. Допустимы
значения 0-15
Выполнение авторизации для соединений обратного доступа,
например обратного доступа Telnet
Использование методов из указанного после этого аргумента списка
в качестве методов авторизации по умолчанию
Символьная строка, задающая имя списка методов авторизации
Разрешает использовать запрошенную функцию, если пользователь
аутентифицирован
Использование для авторизации локальной базы данных (с паролями
пользователя)
Отказ от авторизации
Использование авторизации RADIUS
Использование авторизации TACACS+
Использование экземпляра, определяемого командой таблицы
экземпляров Kerberos
Имеется возможность указать профиль авторизации после указания сервиса. Точно
так же, как и в команде aaa authentication, в данном случае можно указать до четырех
различных методов.
Именованные списки авторизации позволяют определить различные методы
авторизации и аудита с тем, чтобы применить их к конкретным интерфейсам и каналам
связи. В таблице ниже приводится список команд авторизации ААА, которые должны
использоваться в режиме глобальной конфигурации.
Команда
Описание
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 30 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
aaa authorization
commands
1
Orion local
aaa authorization
commands
15
Andromeda
local
aaa authorization
network
Pisces
local none
aaa authorization
exec Virgo
if-authenticated
Применение локальной базы данных имен пользователей для
авторизации использования всех команд уровня 1
То же для авторизации использования всех команд уровня 15
Применение локальной базы данных для всех сетевых сервисов
типа SLIP (Serial Line Internet Protocol - межсетевой протокол для
последовательного канала), РРР и ARAP. Если локальный сервер
недоступен, авторизация не выполняется и пользователь может
использовать все сетевые услуги
Дает аутентифицированному пользователю право вывыполнить процесс EXEC
Шаг 4. Настройка параметров аудита ААА
Возможности аудита ААА позволяют контролировать доступ к сервисам, а также объемы
потребляемых пользователями сетевых ресурсов. Для установки параметров записи
действий пользователя используется команда глобальной конфигурации ааа
accounting. Синтаксис команды ааа accounting следующий.
ааа accounting {system | network | exec | connection | commands уровень}
{default | имя-списка} {start-stop | wait-start | stop-only | none}
[метод1 [метод2]]
Аргументы команды и их значения объясняются в следующей таблице.
Аргумент
Описание
команды
system
Аудит всех событий системного уровня (типа перезагрузки)
network
Аудит запросов сетевого сервиса (SUP, PPP и ARAP)
exec
Аудит процессов EXEC
connection
Аудит всех исходящих соединений типа Telnet или rlogin
commands
Аудит всех команд указанного уровня привилегий
уровень
default
Использование методов авторизации из списка, указанного после этого
аргумента, в качестве методов авторизации по умолчанию
имя-списка
Символьная строка, определяющая имя списка методов аудита
start-stop
Отправка уведомлений о начале и окончании аудита. Запись начала
аудита посылается в фоновом режиме. Запрошенный пользователем
процесс начинается, даже если уведомление о начале аудита не будет
получено сервером
wait-start
Как и для аргумента start-stop, серверу аудита посылаются уведомления
о начале и окончании аудита. Однако при использовании wait-start
запрошенный пользователем сервис не предоставляется до тех пор, пока
не будет получено подтверждение получения уведомления о начале
аудита
stop-only
Отправка
уведомления
об
окончании
аудита
по
завершении
запрошенного
пользователем процесса
none
Отменяет аудит для данной линии или интерфейса
метод1,
Активизирует аудит TACACS+ или RADIUS с помощью ключевых слов
метод2
tacacs+ или radius.
В таблице ниже приводятся команды аудита ААА, используемые в режиме глобальной
конфигурации.
Команда
Описание
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 31 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
ааа accounting
system wait-start
local
ааа accounting
network stop-only
local
ааа accounting exec
start-stop local
ааа accounting
commands 15 waitstart
local
Аудит системных событий с использованием метода wait-start
Отправка уведомлений о прекращении записи по завершении
работы сервиса
Отправка уведомлений о начале записи в начале процесса EXEC и
о прекращении записи в конце этого процесса
Отправка уведомления о начале записи и ожидание
подтверждения, перед тем как начать выполнение любой команды
уровня 15. Отправка уведомления о прекращении записи по
завершении выполнения команды
Шаг 5. Отладка конфигурации
Команды debug ааа предназначены для того, чтобы выяснить, какие методы аутентификации и авторизации используются, для отображения результатов использования
этих методов и отображения событий аудита по мере их возникновения.
В таблице ниже представлены команды debug, используемые в сервере сетевого
доступа
для мониторинга событий аутентификации, авторизации и аудита.
Команда
Описание
debug ааа
Отображает информацию аутентификации AАА/TACACS+. Для отказа
authentication
от вывода данных отладки используйте эту команду в форме nо
debug ааа
Отображает информацию авторизации AAA/TACACS+. Для отказа от
authorization
вывода данных отладки используйте эту команду в форме nо
debug ааа
Отображает информацию аудита ААА/TАСАСS+. Для отказа от
accounting
вывода данных отладки используйте эту команду в форме no
Каждая из команд debug имеет свои форматы вывода. Одни генерируют по одной
строке в пакете, тогда как другие — множество строк. Какие-то команды генерируют
большие объемы выводимых данных, в то время как другие генерируют вывод только
иногда. Одни команды генерируют строки текста, а другие — информацию в виде
набора полей.
Глава 3. Конфигурирование IPSec туннеля между
маршрутизатором Cisco и Cisco VPN клиентом версии 4.x
для Windows с использованием RADIUS сервера для
аутентификации пользователей
Введение
Эта глава описывает как сконфигурировать IPSec туннель между маршрутизатором
Cisco 1751-V и Cisco Virtual Private Network (VPN) Client 4.x , используя для
аутентификации пользователей Remote Authentication Dial-In User Service (RADIUS).
Cisco IOS® Software Release 12.2(8)T и более поздние релизы поддерживают
соединения с Cisco VPN Client 4.x. VPN Client 4.x использует 2 группу Диффи-Хеллмана.
В этой главе рассматривается аутентификация на RADIUS сервере и авторизация
(назначение Windows Internet Naming Service (WINS) and Domain Naming Service
(DNS)) локально на маршрутизаторе.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 32 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Используемые компоненты



Маршрутизатор 1751-V с версией IOS 12.3(4)XK4
CiscoSecure ACS for Windows 2000 версии 3.2 (любой RADIUS сервер)
Cisco VPN Client for Windows версии 4.8 (любой VPN Client 4.x и более поздней
версии)
Результат команды show version на маршрутизаторе показан ниже.
Router#sh version
Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(4)XK4, RELEAS
E SOFTWARE (fc1)
Synched to technology version 12.3(5.7)T
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 05-Oct-05 16:49 by ealyon
ROM: System Bootstrap, Version 12.2(1r)XE1, RELEASE SOFTWARE (fc1)
ROM:
Router uptime is 6 days, 19 hours, 50 minutes
System returned to ROM by reload at 15:33:53 MOSCOW Mon Jun 18 2007
System restarted at 15:35:22 UTC Mon Jun 18 2007
System image file is "flash:c1700-k9o3sy7-mz.123-4.XK4.bin"
Cisco 1751-V (MPC860P) processor (revision 0x200) with 55706K/9830K bytes of mem
ory.
Processor board ID JAD06440L6B (2945274353), with hardware revision 0000
MPC860P processor: part number 5, mask 2
1 FastEthernet interface
1 Serial(sync/async) interface
32K bytes of NVRAM.
32768K bytes of processor board System flash (Read/Write)
Configuration register is 0x2101
Примечание: тестирование данной схемы проводилось в условиях лаборатории. В
начале работы все устройства имели конфигурацию по умолчанию.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 33 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Диаграмма сети
Конфигурирование маршрутизатора 1751-V
1751-V Router
!--- Включаем аутентификацию, авторизацию и аудит (AAA)
!---для аутентификации пользователей и авторизации групп.
aaa new-model
!
!--Чтобы
включить
расширенную
аутентификацию
(Xauth)
для
аутентификации
!----пользователей используем команду aaa authentication..
!--- Команда Group radius указывает на использование сервера RADIUS
для аутентификации пользователей.
aaa authentication login userauthen group radius
!--- Чтобы включить групповую авторизацию
!--- используем команду aaa authorization.
aaa authorization network groupauthor local
!--- !--- Создаем политику Internet Security Association and
!--- Key Management Protocol (ISAKMP) для фазы 1.
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
!--- Создаем группу чтобы
тел.: +7(485)279-96-96
назначать
http://www.a-real.ru
hello@a-real.ru
- 34 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
!---адреса WINS и DNS серверов VPN клиентам,
!--- используя pre-shared key для аутентификации
crypto isakmp client configuration group 3000client
key cisco123
dns 10.1.1.10
wins 10.1.1.20
domain cisco.com
pool ippool
!
!--- Создаем политику для 2
для шифрования данных.
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
!---Создаем динамическую карту и
!--- применяем набор преобразований, который ранее был создан.
crypto dynamic-map dynmap 10
set transform-set myset
!
!--- Создаем криптографическую карту,
!---и применяем AAA лист который был создан ранее.
crypto
crypto
crypto
crypto
map
map
map
map
clientmap
clientmap
clientmap
clientmap
client authentication list userauthen
isakmp authorization list groupauthor
client configuration address respond
10 ipsec-isakmp dynamic dynmap
!---Применяем криптографическую карту на выходной интерфейс.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
half-duplex
crypto map clientmap
interface Ethernet0/1
ip address 172.18.124.159 255.255.255.0
half-duplex
!
!--- Создаем пул адресов для раздачи VPN клиентам.
ip
ip
ip
ip
ip
!
!
!
local pool ippool 10.16.20.1 10.16.20.200
classless
route 0.0.0.0 0.0.0.0 10.1.1.2
http server
pim bidir-enable
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 35 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
!--- определяем IP адрес RADIUS сервера,
!--- используя RADIUS shared secret key.
radius-server host 172.18.124.96 auth-port 1645 acct-port 1646 key
cisco123
radius-server retransmit 3
Конфигурация RADIUS сервера
1. Слева в меню выбираем Network Configuration. Нажимаем Add an Entry чтобы
добавить маршрутизатор в базу данных RADIUS сервера.
2. Определяем IP адрес маршрутизатора "172.18.124.159", используя секретный
ключ (shared secret key) "cisco123". Выбираем RADIUS в выпадающем списке
Authenticate Using.
3. Слева в меню выбираем User Setup. Вводим имя пользователя для клиента VPN
, чтобы добавить его в базу данных CiscoSecure. Например, пользователь cisco.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 36 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
4. В следующем окне необходимо ввести пароль для пользователя cisco. В этом
примере пароль тоже cisco. Можно добавить пользователя а группу. После
окончания нажать кнопку Submit.
Конфигурирование VPN клиента 4.8
1. Выбрать Start > Programs > Cisco Systems VPN Client > VPN Client.
2. Нажать New чтобы создать новое VPN подключение.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 37 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
3. Ввести название подключения и его описание. Ввести IP адрес
маршрутизатора в окне Host. Затем необходимо ввести название VPN группы и
пароль группы, нажать Save.
4. Кликнуть на соединение, которое хотим подключить и нажать Connect в
главном окне VPN клиента.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 38 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
5. В появившемся окне введите Имя Пользователя и Пароль для расширенной
аутентификации (xauth) и нажмите OK чтобы установить соединение с
удаленной сетью.
VPN клиент установил соединение с маршрутизатором.
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 39 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Дополнительно
Расщепление туннеля
Чтобы включить расщепление туннеля для VPN соединений, надо убедиться, что на
маршрутизаторе сконфигурирован список доступа (ACL). В этом примере, команда
access-list 108 ассоциируется с группой с целью расщепления туннеля, и туннель
формируется для 14.38.X.X /16 сети. Трафик, не попадающий в ACL 108 (например,
интернет), не шифруется.
access-list 108 permit ip 172.18.124.0 0.0.255.255 10.16.20.0 0.0.0.255
Применяем ACL в свойства группы.
crypto isakmp client configuration group 3000client
key cisco123
dns 10.1.1.10
wins 10.1.1.20
domain cisco.com
pool ippool
acl 108
Проверка туннеля
Чтобы проверить то. Что туннель работает корректно, используются следующие
команды
vpn2621#show crypto isakmp sa
dst
src
state
10.1.1.1
10.0.0.1
QM_IDLE
3
conn-id
0
slot
vpn2621#show crypto ipsec sa interface: Ethernet0/0
Crypto map tag: clientmap, local addr. 10.1.1.1
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 40 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
local ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/0/0)
remote ident (addr/mask/prot/port):
(10.16.20.2/255.255.255.255/0/0)
current_peer: 10.0.0.1
PERMIT, flags={}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress
failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.0.0.1
path mtu 1500, media mtu 1500
current outbound spi: 77AFCCFA
inbound esp sas:
spi: 0xC7AC22AB(3349947051)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3444)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x77AFCCFA(2008009978)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3444)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas:
local ident (addr/mask/prot/port):
(172.18.124.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port):
(10.16.20.2/255.255.255.255/0/0)
current_peer: 10.0.0.1
PERMIT, flags={}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 6, #pkts decrypt: 6, #pkts verify 6
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress
failed: 0
#send errors 0, #recv errors 0
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 41 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.0.0.1
path mtu 1500, media mtu 1500
current outbound spi: 2EE5BF09
inbound esp sas:
spi: 0x3565451F(895829279)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2002, flow_id: 3, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/3469)
IV size: 8 bytes
replay detection support: Y
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x2EE5BF09(786808585)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2003, flow_id: 4, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/3469)
IV size: 8 bytes
replay detection support: Y
outbound ah sas:
outbound pcp sas:
vpn2621#show crypto engine connections active
ID Interface
Encrypt Decrypt
3 Ethernet0/0
0
2000 Ethernet0/0
5
2001 Ethernet0/0
0
2002 Ethernet0/0
6
2003 Ethernet0/0
0
IP-Address
State
Algorithm
10.1.1.1
set
HMAC_SHA+3DES_56_C
0
10.1.1.1
set
HMAC_SHA+3DES_56_C
0
10.1.1.1
set
HMAC_SHA+3DES_56_C
5
10.1.1.1
set
HMAC_SHA+3DES_56_C
0
10.1.1.1
set
HMAC_SHA+3DES_56_C
4
vpn2621#show crypto engine accelerator statistic
Virtual Private Network (VPN) Module in aim slot : 0
Statistics for Hardware VPN Module since the last clear
of counters 5570 seconds ago
14 packets in
14 packets out
0 packet overruns
0 output packets
dropped
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 42 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
0 packets decompressed
0 compressed bytes in
0 packets compressed
0 uncompressed bytes
0 decompressed bytes out
0 compressed bytes
0 packets bypass compression
0 packets abort
0 packets fail decompression
0 packets fail
in
out
compression
compression
7 packets decrypted
532 bytes decrypted
784 bytes before decrypt
7 packets encrypted
532 bytes encrypted
19200 bytes after
encrypt
0 paks/sec in
0 Kbits/sec decrypted
0 paks/sec out
0 Kbits/sec
encrypted
Last 5 minutes:
14 packets in
14 packets out
7 packets decrypted
7 packets encrypted
532 bytes decrypted
420 bytes encrypted
784 bytes before decrypt
672 bytes after encrypt
0 paks/sec in
0 paks/sec out
0 Kbits/sec decrypted
0 Kbits/sec encrypted
rx_no_endp:
0 rx_hi_discards:
0
fw_failure:
0
invalid_sa:
0 invalid_flow:
0
cgx_errors
0
fw_qs_filled:
0 fw_resource_lock:
0
lotx_full_err:
0
null_ip_error:
0 pad_size_error:
0
out_bound_dh_acc:
0
esp_auth_fail:
0 ah_auth_failure:
0
crypto_pad_error:
0
ah_prot_absent:
0 ah_seq_failure:
0
ah_spi_failure:
0
esp_prot_absent:
0 esp_seq_fail:
0
esp_spi_failure:
0
obound_sa_acc:
0 invalid_sa:
0
out_bound_sa_flow:
0
invalid_dh:
0 bad_keygroup:
0
out_of_memory:
0
no_sh_secret:
0 no_skeys:
0
invalid_cmd:
0
dsp_coproc_err:
0 comp_unsupported:
0
pak_too_big:
0
null packets:
0
pak_mp_length_spec_fault:
0 cmd queue errors:
0
tx_lo_queue_size_max
0 cmd_unimplemented:
0
Interrupts:
439 Immed:
0 HiPri ints:
14
LoPri ints:
425 POST Errs:
0 Alerts:
0
Unk Cmds:
0 UnexpCmds:
0
cgx_cmd_pending:0
packet_loop_max: 0packet_loop_limit: 0
vpn2621#sh crypto engine configuration
crypto engine name:
crypto engine type:
тел.: +7(485)279-96-96
Virtual Private Network (VPN) Module
hardware
http://www.a-real.ru
hello@a-real.ru
- 43 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Product Name:
Configuration:
:
:
:
CryptIC Version:
CGX Version:
CGX Reserved:
PCDB info:
Serial Number:
:
DSP firmware version:
DSP Bootstrap Version:
DSP Bootstrap Info:
AIM-VPN/BP
0x000109010F00F00784000000
0x995FB1441BA279D5BD46CF6C
0xECE77614C30835CB0A000300
0x000000000000000000000000
001.000
001.009
0x000F
0x07F0 0x0084 0x0000
0x5F9944B1A21BD57946BD
0x6CCFE7EC14768C3CB35
000.010
000.003
0x0000
Compression:
DES:
3 DES:
AES CBC:
AES CNTR:
Maximum buffer length:
Maximum DH index:
Maximum SA index:
Maximum Flow index:
Maximum RSA key size:
crypto engine in slot:
platform:
Yes
Yes
Yes
No
No
4096
0210
0420
0840
0000
0
VPN hardware accelerator
Crypto Adjacency Counts:
Lock Count:
Unlock Count:
crypto lib version:
ipsec lib version:
0
0
16.0.0
2.0.0
Поиск неисправностей
Для поиска неисправностей используются следующие команды (подробное описание
команд см. Глава 1).
 debug crypto ipsec
 debug crypto isakmpdebug crypto engine
 debug aaa authentication
 debug aaa authorization raduis
 debug radius
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 44 -
А-Реал Консалтинг
Сети, Разработка ПО, Контроль Интернет подключения
Список использованной при написании литературы
1. Уэнстром М. Организация защиты сетей Cisco.
2. «IPSEC как протокол защиты сетевого трафика»
http://www.ciscolab.ru/2007/01/07/chto_takoe_ipsec.html
3. Настройка IPSec тоннеля между маршрутизаторами Cisco и D-Link DI-804HV
http://www.d-link.ru/technical/faq_vpn_4.php
4. D-Link Firewalls User’s Guide. Part VIII Virtual Private Network(VPN)
5. Cisco IOS VPN Configuration Guide
6. Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for
Windows Using RADIUS for User Authentication
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_exam
ple09186a00800946b7.shtml
7. User Guide for Cisco Secure ACS for Windows Version 4.0
тел.: +7(485)279-96-96
http://www.a-real.ru
hello@a-real.ru
- 45 -