Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNv1 do grupo

VPN em grupo é um conjunto de recursos necessários para proteger o tráfego de grupos IP multicast ou tráfego unicast em uma WAN privada que se origina ou flui por meio de um dispositivo.

Visão geral do grupo VPNv1

Uma associação de segurança IPsec (SA) é um acordo unidirecional entre os participantes da rede privada virtual (VPN) que define as regras para uso para algoritmos de autenticação e criptografia, mecanismos de troca chave e comunicações seguras. Com as implementações de VPN atuais, a SA é um túnel ponto a ponto entre dois dispositivos de segurança. O VPNv1 do grupo estende a arquitetura IPsec para oferecer suporte a SAs que são compartilhadas por um grupo de dispositivos de segurança (ver Figura 1).

Figura 1: VPN IPsec padrão e VPNv1 de grupoVPN IPsec padrão e VPNv1 de grupo

O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650. Com o Grupo VPNv1, a conectividade entre todos é alcançada preservando os endereços IP de origem e destino originais no cabeçalho externo. Pacotes multicast seguros são replicados da mesma forma que pacotes multicast cleartext na rede principal.

Começando pelo Junos OS Release 12.3X48-D30, os membros do Grupo VPNv1 podem interoperar com servidores VPNv2 do grupo.

O VPNv1 do grupo tem algumas limitações de propriedade em relação à RFC 6407, Domínio de interpretação do grupo (GDOI). Para usar a VPN do grupo sem limitações proprietárias, atualize para o Grupo VPNv2. O VPNv2 do grupo é suportado em instâncias de firewall virtual vSRX a partir do Junos OS Release 15.1X49-D30, firewalls da Série SRX começando pelo Junos OS Release 15.1X49-D40 e dispositivos da Série MX começando com o Junos OS Release 15.1r2.

Entendendo o protocolo de GDOI para VPNv1 do grupo

O VPNv1 do grupo é baseado no RFC 3547, Domínio de interpretação em grupo (GDOI). Esta RFC descreve o protocolo entre membros do grupo e um servidor de grupo para estabelecer SAs entre os membros do grupo. As mensagens de GDOI criam, mantêm ou apagam SAs para um grupo de dispositivos. O protocolo GDOI é executado na porta 848.

A Internet Security Association e o Key Management Protocol (ISAKMP) definem duas fases de negociação para estabelecer SAs para um túnel IPsec de IPsec autokey. A fase 1 permite que dois dispositivos estabeleçam uma SA ISAKMP. A Fase 2 estabelece SAs para outros protocolos de segurança, como o GDOI.

Com a VPN do grupo, a negociação de SA ISAKMP da Fase 1 é realizada entre um servidor do grupo e um membro do grupo. O servidor e o membro devem usar a mesma política ISAKMP. Na Fase 2, as trocas de GDOI entre o servidor e o membro estabelecem as SAs compartilhadas com outros membros do grupo. Um membro do grupo não precisa negociar o IPsec com outros membros do grupo. As trocas de GDOI na Fase 2 devem ser protegidas pelos SAs de Fase 1 do ISAKMP.

Existem dois tipos de trocas de GDOI:

  • A groupkey-pull troca permite que um membro solicite SAs e chaves compartilhadas pelo grupo do servidor.

  • A groupkey-push troca é uma única mensagem rekey que permite que o servidor envie SAs e chaves do grupo para os membros antes que os SAs do grupo existente expiram. As mensagens rekey são mensagens não solicitadas enviadas do servidor aos membros.

Entendendo as limitações do VPNv1 do grupo

Os seguintes não são suportados nesta versão para VPNv1 do grupo:

  • Instâncias de roteamento não padrão

  • Cluster de chassi

  • Clusters de servidor

  • VPN de grupo baseado em rota

  • Implantação pública baseada na Internet

  • SNMP

  • Negar política do servidor VPN Cisco GET

  • Interface J-Web para configuração e monitoramento

Começando pelo Junos OS Release 12.3X48-D30, membros do Grupo VPNv1 nos dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 e SRX650 podem interoperar com servidores do Grupo VPNv2. Ao configurar membros do Grupo VPNv1 para uso com servidores VPNv2 do grupo, observe as seguintes limitações:

  • O VPNv2 do grupo oferece suporte ao protocolo de detecção de atraso de entrega de IP de especificação IETF para um mecanismo de antireplay baseado em tempo. Portanto, o antireplay baseado em protocolo de detecção de atraso de entrega de IP não é suportado por membros do Grupo VPNv1 e deve ser desativado no servidor VPNv2 do grupo com o deactivate security group-vpn server group group-name anti-replay-time-window comando.

  • O servidor VPNv2 do grupo não oferece suporte à colocação, onde o servidor do grupo e as funções de membro do grupo existem no mesmo dispositivo.

  • O servidor VPNv2 do grupo não oferece suporte a transmissões de pulsação. O coração pulsante deve ser desativado no membro VPNv1 do grupo com o deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold comando. Recomendamos o uso de clusters de servidor VPNv2 do grupo para evitar impactos no tráfego devido a reinicializações ou outras interrupções no servidor VPNv2 do grupo.

  • As mensagens de pressão em grupo enviadas do servidor VPNv2 do grupo são baseadas em RFC 6407, The Group Domain of Interpretation (GDOI) e não têm suporte para membros do Grupo VPNv1. Portanto, as mensagens de push em grupo devem ser desabilitadas no servidor VPNv2 do grupo com o deactivate security group-vpn server group group-name server-member-communication comando.

    Os rekeys são suportados com mensagens de atração de chaves de grupo. Se houver problemas de escala em que os membros do Grupo VPNv1 não possam concluir a operação de retirada de chaves de grupo antes que a dura vida útil da TEK expira, recomendamos aumentar a vida útil da TEK para permitir que os membros completem a operação de retirada de chaves de grupo. Os números de escala da Juniper são qualificados com uma vida útil de TEK de 2 horas.

  • Se o servidor VPNv2 do grupo for reiniciado ou atualizado, ou os SAs para o grupo forem liberados, novos membros não poderão ser adicionados à rede até que a próxima rekey ocorra para os membros existentes. Os novos membros não podem enviar tráfego para membros existentes que tenham chaves antigas. Como uma solução alternativa, libere os SAs sobre os membros VPNv1 do grupo existente com o clear security group-vpn member ipsec security-associations comando.

  • Como o tráfego de dados multicast não é suportado por membros do Grupo VPNv2, o tráfego de dados multicast não pode ser usado quando os membros do Grupo VPNv1 e VPNv2 do grupo coexistem na rede para o mesmo grupo.

Entender os servidores e membros do VPNv1 do grupo

O centro de uma VPN em grupo é o servidor do grupo. O servidor do grupo executa as seguintes tarefas:

  • Controla a associação de grupos

  • Gera chaves de criptografia

  • Gerencia SAs e chaves do grupo e as distribui aos membros do grupo

Os membros do grupo criptografam o tráfego com base nos SAs do grupo e nas chaves fornecidas pelo servidor do grupo.

Um servidor de grupo pode atender a vários grupos. Um único dispositivo de segurança pode ser um membro de vários grupos.

Cada grupo é representado por um identificador de grupo, que é um número entre 1 e 65.535. O servidor do grupo e os membros do grupo são ligados pelo identificador do grupo. Só pode haver um identificador de grupo por grupo, e vários grupos não podem usar o mesmo identificador de grupo.

A seguir, uma visão de alto nível das ações do servidor VPN do grupo e dos membros:

  1. O servidor do grupo ouve a porta UDP 848 para que os membros se inscrevam. Um dispositivo membro deve fornecer autenticação correta da Fase 1 do IKE para participar do grupo. A autenticação de chave pré-compartilhada por membro é suportada.

  2. Após autenticação e registro bem-sucedidos, o dispositivo membro recupera SAs e chaves do grupo do servidor com uma troca de GDOI groupkey-pull .

  3. O servidor adiciona o membro à associação do grupo.

  4. Os membros do grupo trocam pacotes criptografados com chaves SA do grupo.

O servidor envia periodicamente a SA e as principais atualizações aos membros do grupo com mensagens rekey (GDOI groupkey-push). As mensagens rekey são enviadas antes que os SAs expirem; isso garante que as chaves válidas estejam disponíveis para criptografar o tráfego entre os membros do grupo.

O servidor também envia mensagens rekey para fornecer novas chaves aos membros quando houver uma mudança na associação do grupo ou quando a SA do grupo tiver mudado.

Entenda a comunicação entre membros do servidor VPNv1 do grupo

O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650. A comunicação entre membros do servidor permite que o servidor envie mensagens de GDOI groupkey-push aos membros. Se a comunicação entre membros do servidor não estiver configurada para o grupo, os membros podem enviar mensagens de GDOI groupkey-pull para se registrar e se reinscrever no servidor, mas o servidor não poderá enviar mensagens rekey aos membros.

A comunicação entre membros do servidor é configurada para o grupo usando a server-member-communication declaração de configuração na [edit security group-vpn server] hierarquia. As seguintes opções podem ser definidas:

  • Algoritmo de criptografia usado para comunicações entre o servidor e o membro. Você pode especificar 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc ou des-cbc. Não há algoritmo padrão.

  • Algoritmo de autenticação (md5 ou sha1) usado para autenticar o membro no servidor. Não há algoritmo padrão.

  • Seja o servidor que envia mensagens de rekey unicast ou multicast para membros do grupo e parâmetros relacionados ao tipo de comunicação.

  • Intervalo em que o servidor envia mensagens de coração para o membro do grupo. Isso permite que o membro determine se o servidor reinicializou, o que exigiria que o membro se reregissaria com o servidor. O padrão é de 300 segundos.

  • Vida útil para a chave chave de criptografia (KEK). O padrão é de 3600 segundos.

A configuração da comunicação entre membros do servidor é necessária para que o servidor do grupo envie mensagens rekey aos membros, mas pode haver situações em que esse comportamento não seja desejado. Por exemplo, se os membros do grupo são pares dinâmicos (como em um home office), os dispositivos nem sempre estão funcionando e o endereço IP de um dispositivo pode ser diferente cada vez que ele é alimentado. A configuração da comunicação entre membros do servidor para um grupo de pares dinâmicos pode resultar em transmissões desnecessárias pelo servidor. Se você quiser que a negociação de SA da Fase 1 da IKE seja sempre realizada para proteger a negociação do GDOI, não configure a comunicação entre membros do servidor.

Se a comunicação entre membros do servidor para um grupo não estiver configurada, a lista de membros exibida pelo comando mostra que os membros do show security group-vpn server registered-members grupo que se registraram no servidor; os membros podem estar ativos ou não. Quando a comunicação entre membros do servidor para um grupo é configurada, a lista de membros do grupo é liberada. Se o tipo de comunicação estiver configurado como unicast, o show security group-vpn server registered-members comando mostra apenas membros ativos. Se o tipo de comunicação estiver configurado como multicast, o show security group-vpn server registered-members comando mostra membros que se registraram no servidor após a configuração; a lista de membros não representa necessariamente membros ativos porque os membros podem desistir após o registro.

Entendendo as operações-chave do grupo VPNv1 do Grupo VPNv1

Este tópico contém as seguintes seções:

Chaves do grupo

O servidor do grupo mantém um banco de dados para rastrear o relacionamento entre grupos de VPN, membros do grupo e chaves do grupo. Existem dois tipos de chaves de grupo que o servidor baixa para os membros:

  • Chave de criptografia de chave (KEK) — usada para criptografar mensagens rekey. Um KEK é suportado por grupo.

  • Chave de criptografia de tráfego (TEK) — usada para criptografar e descriptografar o tráfego de dados IPsec entre membros do grupo.

A chave associada a uma SA é aceita por um membro do grupo apenas se houver uma política de escopo correspondente configurada no membro. Uma chave aceita é instalada para a VPN do grupo, enquanto uma chave descartada é descartada.

Mensagens rekey

Se o grupo estiver configurado para comunicações de membros do servidor, o servidor envia periodicamente SA e atualizações importantes aos membros do grupo com mensagens rekey (GDOI groupkey-push). As mensagens rekey são enviadas antes que os SAs expirem; isso garante que as chaves válidas estejam disponíveis para criptografar o tráfego entre os membros do grupo.

O servidor também envia mensagens rekey para fornecer novas chaves aos membros quando há uma mudança na associação do grupo ou a SA do grupo mudou (por exemplo, uma política de grupo é adicionada ou excluída).

As opções de comunicação entre membros do servidor devem ser configuradas no servidor para permitir que o servidor envie mensagens rekey aos membros do grupo. Essas opções especificam o tipo de mensagem e os intervalos em que as mensagens são enviadas, conforme explicado nas seções a seguir:

Existem dois tipos de mensagens rekey:

  • Mensagens rekey da Unicast — o servidor do grupo envia uma cópia da mensagem rekey para cada membro do grupo. Após o recebimento da mensagem pronta, os membros devem enviar um reconhecimento (ACK) ao servidor. Se o servidor não receber uma ACK de um membro (incluindo a retransmissão de mensagens rekey), o servidor considera o membro inativo e o remove da lista de membros. O servidor deixa de enviar mensagens prontas para o membro.

    As number-of-retransmission declarações e retransmission-period configuração para comunicações de membros do servidor controlam o reenconsão de mensagens rekey pelo servidor quando nenhuma ACK é recebida de um membro.

  • Mensagens rekey multicast — o servidor do grupo envia uma cópia da mensagem rekey da interface de saída especificada para o endereço de grupo multicast configurado. Os membros não enviam reconhecimento do recebimento de mensagens rekey multicast. A lista de membros registrados não representa necessariamente membros ativos porque os membros podem desistir após o registro inicial. Todos os membros do grupo devem ser configurados para oferecer suporte a mensagens multicast.

    Os protocolos ip multicast devem ser configurados para permitir a entrega de tráfego multicast na rede. Para obter informações detalhadas sobre a configuração de protocolos multicast em dispositivos da Juniper Networks, consulte o Guia de usuário do Multicast Protocols .

O intervalo em que o servidor envia mensagens rekey é calculado com base nos valores das lifetime-seconds declarações e activation-time-delay configuração na hierarquia [edit security group-vpn server group]. O intervalo é calculado como lifetime-seconds minus 4*(activation-time-delay).

O lifetime-seconds KEK está configurado como parte das comunicações de membros do servidor; o padrão é de 3600 segundos. O lifetime-seconds para o TEK está configurado para a proposta IPsec; o padrão é de 3600 segundos. A activation-time-delay configuração é para o grupo no servidor; o padrão é de 15 segundos. Usando os valores padrão para lifetime-seconds e activation-time-delay, o intervalo em que o servidor envia mensagens rekey é 3600 minus 4*15, ou 3540 segundos.

Registro de membros

Se um membro do grupo não receber uma nova chave SA do servidor antes que a chave atual expira, o membro deve se reregistor com o servidor e obter chaves atualizadas com uma troca de GDOI groupkey-pull . Neste caso, o intervalo em que o servidor envia mensagens rekey é calculado da seguinte forma: lifetime-seconds menos 3*(activation-time-delay). Usando os valores padrão para lifetime-seconds e activation-time-delay, o intervalo em que o servidor envia mensagens rekey é de 3600 menos 3*15 ou 3555 segundos.

O recadastramento de membros pode ocorrer pelos seguintes motivos:

  • O membro detecta uma reinicialização de servidor pela ausência de pulsações recebidas do servidor.

  • A mensagem re-chave do servidor do grupo está perdida ou atrasada, e a vida útil da TEK expira.

Ativação chave

Quando um membro recebe uma nova chave do servidor, ele espera um período de tempo antes de usar a chave para criptografia. Esse período de tempo é determinado pela activation-time-delay declaração de configuração e se a chave é recebida por meio de uma mensagem rekey enviada do servidor ou como resultado da reregistência do membro com o servidor.

Se a chave for recebida por uma mensagem re-chave enviada do servidor, o membro aguarda 2*(activation-time-delay) segundos antes de usar a chave. Se a chave for recebida por meio do recadastramento de membros, o membro aguarda o número de segundos especificados pelo activation-time-delay valor.

Um membro retém as duas chaves mais recentes enviadas do servidor para cada SA de grupo instalada no membro. Ambas as chaves podem ser usadas para descriptografia, enquanto a chave mais recente é usada para criptografia. A chave anterior é removida o número de segundos especificado pelo activation-time-delay valor após a ativação da nova chave.

O padrão para a declaração de activation-time-delay configuração é de 15 segundos. Definir esse período de tempo muito pequeno pode resultar na queda de um pacote em um membro remoto do grupo antes que a nova chave seja instalada. Considere a topologia da rede e os atrasos no transporte do sistema quando você altera o activation-time-delay valor. Para transmissões unicast, o atraso no transporte do sistema é proporcional ao número de membros do grupo.

Um servidor VPNv1 de grupo pode enviar várias chaves de criptografia de tráfego (TEKs) a um membro do grupo VPNv1 em resposta a uma groupkey-pull solicitação. O seguinte descreve como o membro VPNv1 do grupo lida com a TEK existente e os TEKs que recebe do servidor:

  • Se o membro VPNv1 do grupo receber dois ou mais TEKs, ele detém os dois TEKs mais recentes e exclui o TEK existente. Dos dois TEKs detidos, o TEK mais antigo é ativado imediatamente, e o TEK mais novo é ativado após a activation-time-delay configuração no servidor VPNv1 do grupo ter passado (o padrão é de 15 segundos).

  • Se o membro VPNv1 do grupo receber apenas um TEK ou se receber um TEK por meio de uma groupkey-push mensagem do servidor, o TEK existente não será excluído até que a dura vida útil expire. A vida útil não é reduzida para a TEK existente.

O membro VPNv1 do grupo ainda instala um TEK recebido, mesmo que a vida útil da TEK seja menos de duas vezes o activation-time-delay valor.

Entendendo as mensagens de pulsação do VPNv1 do grupo

Quando a comunicação entre membros do servidor é configurada, o servidor VPNv1 do grupo envia mensagens de pulsação aos membros em intervalos especificados (o intervalo padrão é de 300 segundos). O mecanismo de desagregação permite que os membros se reregistram com o servidor se o número especificado de pulsações não for recebido. Por exemplo, os membros não receberão mensagens de pulsação durante uma reinicialização de servidor. Quando o servidor é reiniciado, os membros se reregistram com o servidor.

Os pulsantes são transmitidos por mensagens groupkey-push . O número da sequência é incrementado em cada mensagem de pulsação, que protege os membros contra ataques de resposta. Ao contrário das mensagens rekey, as mensagens não são reconhecidas pelos destinatários e não são retransmitidas pelo servidor.

As mensagens de pulsação contêm as seguintes informações:

  • Estado e configuração atuais das chaves no servidor

  • Tempo relativo, se o antireplay estiver habilitado

Comparando as informações nos piscares de olhos, um membro pode detectar se perdeu as informações do servidor ou as mensagens rekey. O membro reregissores para sincronizar-se com o servidor.

Mensagens de pulsação podem aumentar o congestionamento da rede e causar recadastramentos desnecessários de membros. Assim, a detecção de pulsação pode ser desabilitada no membro, se necessário.

Entendendo o modo de colocação de membros do servidor VPNv1 do grupo

As funções de servidor de grupo e membro do grupo são separadas e não se sobrepõem. As funções de servidor e membro podem coexistir no mesmo dispositivo físico, que é chamado de modo de colocação. No modo colocation, não há alteração em termos de funcionalidade e comportamento do servidor ou de um membro, mas o servidor e o membro precisam ser atribuídos diferentes endereços IP para que os pacotes possam ser entregues corretamente. No modo colocation, só pode haver um endereço IP atribuído ao servidor e um endereço IP atribuído ao membro em todos os grupos.

Visão geral da configuração do VPNv1 do grupo

Este tópico descreve as principais tarefas para configurar o grupo VPNv1.

No servidor do grupo, configure o seguinte:

  1. Negociação da Fase 1 da IKE. Use a [edit security group-vpn server ike] hierarquia para configurar a IKE Phase 1 SA. Veja a configuração da Fase 1 do IKE para o Grupo VPNv2 .
  2. SA IPsec da fase 2. Veja a compreensão da configuração de SA IPsec para VPNv1 do grupo.
  3. Grupo de VPN. Veja a visão geral da configuração do VPNv1 do grupo.

No membro do grupo, configure o seguinte:

  1. Negociação da Fase 1 da IKE. Use a [edit security group-vpn member ike] hierarquia para configurar a IKE Phase 1 SA. Veja como entender a configuração da Fase 1 do IKE para VPNv1 do grupo .

  2. SA IPsec da fase 2. Veja a compreensão da configuração de SA IPsec para VPNv1 do grupo.

  3. Política de escopo que determina quais políticas de grupo estão instaladas no membro. Veja a compreensão das políticas dinâmicas para o VPNv1 do grupo.

Para evitar problemas de fragmentação de pacotes, recomendamos que a interface usada pelo membro do grupo para se conectar à rede MPLS seja configurada para um tamanho máximo de unidade de transmissão (MTU) não maior que 1400 bytes. Use a set interface mtu declaração de configuração para definir o tamanho do MTU.

O grupo de VPN está configurado no servidor com a group declaração de configuração na [edit security group-vpn server] hierarquia.

As informações do grupo consistem nas seguintes informações:

  • Identificador de grupo — um valor entre 1 e 65.535 que identifica o grupo de VPN. O mesmo identificador de grupo deve ser configurado no membro do grupo para Autokey IKE.

  • Membros do grupo, conforme configurado com a declaração de ike-gateway configuração. Pode haver várias instâncias dessa declaração de configuração, uma para cada membro do grupo.

  • Endereço IP do servidor (o endereço da interface de loopback é recomendado).

  • Políticas de grupo — políticas que devem ser baixadas aos membros. As políticas de grupo descrevem o tráfego ao qual a SA e as chaves se aplicam. Veja a compreensão das políticas dinâmicas para o VPNv1 do grupo.

  • Comunicação entre membros do servidor — configuração opcional que permite ao servidor enviar mensagens rekey aos membros. Veja a visão geral do Grupo VPNv1.

  • Antireplay — configuração opcional que detecta interceptação e repetição de pacotes. Veja a compreensão do antireplay para o VPNv1 do grupo.

Entendendo a configuração da Fase 1 do IKE para VPNv1 do grupo

Uma SA da Fase 1 do IKE entre o servidor do grupo e um membro do grupo estabelece um canal seguro para negociar SAs IPsec que são compartilhadas por um grupo. Para VPNs IPsec padrão em dispositivos de segurança da Juniper Networks, a configuração de SA da Fase 1 consiste em especificar uma proposta, política e gateway IKE. Para VPNv1 do grupo, a configuração de SA da Fase 1 do IKE é semelhante à configuração para VPNs IPsec padrão, mas é realizada na hierarquia [edit security group-vpn].

Na configuração da proposta de IKE, você define o método de autenticação e os algoritmos de autenticação e criptografia que serão usados para abrir um canal seguro entre os participantes. Na configuração da política de IKE, você define o modo (principal ou agressivo) em que o canal da Fase 1 será negociado, especifica o tipo de troca de chave a ser usada e faz referência à proposta da Fase 1. Na configuração de gateway IKE, você faz referência à política de Fase 1.

Como o VPNv2 do grupo só oferece suporte a algoritmos fortes, a opção sha-256 de algoritmo de autenticação é suportada para membros do Grupo VPNv1 nos dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 e SRX650. Quando os membros do VPNv1 do grupo interoperam com servidores VPNv2 do grupo, essa opção deve ser configurada nos membros do Grupo VPNv1 com o edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 comando. No servidor VPNv2 do grupo, authentication-algorithm sha-256 deve ser configurado para propostas de IKE e authentication-algorithm hmac-sha-256-128 deve ser configurado para propostas IPsec.

Se um gateway IKE em um membro do Grupo VPNv1 estiver configurado com mais de um endereço de gateway, a mensagem de erro "Apenas um endereço remoto pode ser configurado por configuração de gateway IKE" é exibida quando a configuração é comprometida.

A configuração da Fase 1 do IKE no servidor do grupo deve combinar com a configuração da Fase 1 do IKE com os membros do grupo.

Entendendo a configuração de SA IPsec para VPNv1 do grupo

Após o servidor e o membro terem estabelecido um canal seguro e autenticado na negociação da Fase 1, eles passam pela Fase 2. A negociação da Fase 2 estabelece os SAs IPsec que são compartilhados pelos membros do grupo para proteger dados transmitidos entre os membros. Embora a configuração de SA IPsec para VPN de grupo seja semelhante à configuração para VPNs padrão, um membro do grupo não precisa negociar a SA com outros membros do grupo.

A configuração de IPsec da fase 2 para VPNv1 de grupo consiste nas seguintes informações:

  • Uma proposta para que o algoritmo de protocolo de segurança, autenticação e criptografia seja usado para a SA. A proposta de SA IPsec está configurada no servidor do grupo com a proposal declaração de configuração na [edit security group-vpn server ipsec] hierarquia.

  • Uma política de grupo que faz referência à proposta. Uma política de grupo especifica o tráfego (protocolo, endereço fonte, porta de origem, endereço de destino e porta de destino) ao qual a SA e as chaves se aplicam. A política do grupo está configurada no servidor com a ipsec-sa declaração de configuração na hierarquiaedit security group-vpn server group .

  • Um IKE autokey que faz referência ao identificador do grupo, ao servidor do grupo (configurado com a declaração de ike-gateway configuração) e à interface usada pelo membro para se conectar ao grupo. O IKE autokey está configurado no membro com a declaração de ipsec vpn configuração na [edit security group-vpn member] hierarquia.

Entendendo as políticas dinâmicas para o VPNv1 do grupo

O servidor do grupo distribui SAs do grupo e as chaves para membros de um grupo especificado. Todos os membros que pertencem ao mesmo grupo podem compartilhar o mesmo conjunto de SAs IPsec. Mas nem todos os SAs configurados para um grupo são instalados em todos os membros do grupo. A SA instalada em um membro específico é determinada pela política associada à SA do grupo e pelas políticas de segurança configuradas no membro.

Em um grupo de VPN, cada SA de grupo e a chave que o servidor empurra para um membro está associada a uma política de grupo. A política do grupo descreve o tráfego no qual a chave deve ser usada, incluindo protocolo, endereço fonte, porta de origem, endereço de destino e porta de destino.

As políticas de grupo idênticas (configuradas com o mesmo endereço de origem, endereço de destino, porta de origem, porta de destino e valores de protocolo) não podem existir para um único grupo. Um erro é devolvido se você tentar confirmar uma configuração que contenha políticas de grupo idênticas para um grupo. Se esse for o caso, você deve excluir uma das políticas de grupo idênticas.

Em um membro do grupo, uma política de escopo deve ser configurada que defina o escopo da política de grupo baixada do servidor. Uma política de grupo distribuída do servidor é comparada com as políticas de escopo configuradas no membro. Para que uma política de grupo seja instalada no membro, as seguintes condições devem ser atendidas:

  • Quaisquer endereços especificados na política do grupo devem estar dentro da gama de endereços especificados na política de escopo.

  • A porta de origem, a porta de destino e o protocolo especificados na política do grupo devem corresponder aos configurados na política de escopo.

Uma política de grupo instalada em um membro é chamada de política dinâmica.

Uma política de escopo pode fazer parte de uma lista ordenada de políticas de segurança para um contexto específico de zona a zona. O Junos OS realiza uma busca por políticas de segurança em pacotes de entrada a partir do topo da lista ordenada.

Dependendo da posição da política de escopo dentro da lista ordenada de políticas de segurança, existem várias possibilidades de busca dinâmica de políticas:

  • Se o pacote de entrada corresponde a uma política de segurança antes que a política de escopo seja considerada, a busca dinâmica de políticas não ocorrerá.

  • Se uma política de entrada corresponder a uma política de escopo, o processo de pesquisa continua para uma política dinâmica correspondente. Se houver uma política dinâmica correspondente, essa ação de política (permissão) é realizada. Se não houver uma política dinâmica correspondente, o processo de pesquisa continua a pesquisar as políticas abaixo da política de escopo.

    Nesta versão, apenas a ação tunnel é permitida para uma política de escopo. Outras ações não são apoiadas.

Você configura uma política de escopo em um membro do grupo usando a policies declaração de configuração na [edit security] hierarquia. Use a ipsec-group-vpn declaração de configuração na regra de túnel de permissão para fazer referência à VPN do grupo; isso permite que os membros do grupo compartilhem uma única SA.

Entendendo o Antireplay para VPNv1 do grupo

Antireplay é um recurso IPsec que pode detectar quando um pacote é interceptado e depois repetido por invasores. O antireplay é habilitado por padrão para VPNs de grupo, mas pode ser desativado para um grupo com a no-anti-replay declaração de configuração.

Quando o antireplay é habilitado, o servidor do grupo sincroniza o tempo entre os membros do grupo. Cada pacote IPsec contém um data-tempo. O membro do grupo verifica se o temporizador do pacote cai dentro do valor configurado anti-replay-time-window (o padrão é de 100 segundos). Um pacote é descartado se o data-tempo exceder o valor.

Exemplo: Configuração do servidor e membros do VPNv1 do grupo

Este exemplo mostra como configurar o grupo VPNv1 para estender a arquitetura IPsec para oferecer suporte a SAs que são compartilhadas por um grupo de dispositivos de segurança. O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650.

Requisitos

Antes de começar:

Visão geral

Em Figura 2, uma VPN em grupo consiste em dois dispositivos de membro (membro1 e membro2) e um servidor de grupo (o endereço IP da interface de loopback no servidor é 20.0.0.1). O identificador do grupo é 1.

Figura 2: Exemplo de configuração de membros do servidorExemplo de configuração de membros do servidor

Os SAs VPN do grupo Fase 2 devem ser protegidos por uma SA de Fase 1. Portanto, a configuração de VPN do grupo deve incluir a configuração das negociações da Fase 1 do IKE no servidor do grupo e nos membros do grupo. Além disso, o mesmo identificador de grupo deve ser configurado tanto no servidor do grupo quanto nos membros do grupo.

As políticas de grupo estão configuradas no servidor do grupo. Todas as políticas de grupo configuradas para um grupo são baixadas para membros do grupo. As políticas de escopo configuradas em um membro do grupo determinam quais políticas de grupo estão realmente instaladas no membro. Neste exemplo, as seguintes políticas de grupo estão configuradas no servidor do grupo para download a todos os membros do grupo:

  • p1 — permite todo o tráfego de 10.1.0.0/16 a 10.2.0.0./16

  • p2 — permite todo o tráfego de 10.2.0.0./16 a 10.1.0.0/16

  • p3 — permite tráfego multicast a partir de 10.1.1.1/32

O dispositivo member1 é configurado com políticas de escopo que permitem todo o tráfego unicast de e para a sub-rede 10.0.0.0/8. Não há nenhuma política de escopo configurada no membro1 para permitir o tráfego multicast; portanto, a política de SA p3 não está instalada no membro1.

O dispositivo de membro2 está configurado com políticas de escopo que reduzem o tráfego de 10.1.0.0/16 da zona de confiança para a zona não confiável e para 10.1.0.0/16 da zona não confiável para a zona de confiança. Portanto, a política de SA p2 não está instalada no membro2.

Configuração

Configuração do servidor do grupo

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o servidor do grupo:

  1. Configure o endereço de loopback no dispositivo.

  2. Configure o IKE Phase 1 SA (essa configuração deve combinar com a SA da Fase 1 configurada nos membros do grupo).

  3. Defina a política de IKE e defina os gateways remotos.

  4. Configure a troca de SA da Fase 2.

  5. Configure o identificador de grupo e o gateway IKE.

  6. Configure as comunicações de servidor para membro.

  7. Configure as políticas do grupo a serem baixadas para membros do grupo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security group-vpn server comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configurando o membro1

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o membro1:

  1. Configure a Fase 1 SA (essa configuração deve combinar com a SA da Fase 1 configurada no servidor do grupo).

  2. Defina a política de IKE e defina os gateways remotos.

  3. Configure o identificador de grupo, o gateway IKE e a interface para o membro1.

    Para evitar problemas de fragmentação de pacotes, recomendamos que a interface usada pelos membros do grupo para se conectar à rede MPLS seja configurada para um tamanho de MTU não maior que 1400 bytes. Use a set interface mtu declaração de configuração para definir o tamanho do MTU.

  4. Crie livros de endereços e conecte zonas a eles.

  5. Configure uma política de escopo da zona de confiança para a zona não confiável que permite o tráfego unicast de e para a sub-rede 10.0.0.0/8.

  6. Configure uma política de escopo da zona não confiável para a zona de confiança que permite o tráfego unicast de e para a sub-rede 10.0.0.0/8.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security group-vpn member comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do membro2

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar o membro2:

  1. Configure a Fase 1 SA (essa configuração deve combinar com a SA da Fase 1 configurada no servidor do grupo).

  2. Defina a política de IKE e defina o gateway remoto.

  3. Configure o identificador de grupo, o gateway IKE e a interface para o membro2.

    Para evitar problemas de fragmentação de pacotes, recomendamos que a interface usada pelos membros do grupo para se conectar à rede MPLS seja configurada para um tamanho de MTU não maior que 1400 bytes. Use a set interface mtu declaração de configuração para definir o tamanho do MTU.

  4. Crie uma lista de endereços e conecte-a à zona de confiança.

  5. Crie outro catálogo de endereços e conecte-o à zona não confiável.

  6. Configure uma política de escopo da zona de confiança para a zona não confiável que bloqueia o tráfego de 10.1.0.0/16.

  7. Configure uma política de escopo da zona não confiável para a zona de confiança que bloqueia o tráfego até 10.1.0.0/16.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security group-vpn member comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute esta tarefa:

Verificação de políticas dinâmicas para o membro1

Propósito

Veja as políticas dinâmicas instaladas no membro1.

Ação

Após o servidor do grupo baixar as chaves do membro1, insira o comando do show security dynamic-policies modo operacional.

Significado

A política multicast p3 do servidor não está instalada no membro1 porque não há nenhuma política de escopo configurada no membro1 que permita o tráfego multicast.

Verificação de políticas dinâmicas para o membro2

Propósito

Veja as políticas dinâmicas instaladas no membro 2.

Ação

Após o servidor do grupo baixar as chaves do membro2, insira o show security dynamic-policies comando do modo operacional.

Significado

A política p2 (para tráfego de 10.1.0.0/16 a 10.2.0.0/16) do servidor não está instalada no membro2, porque corresponde à política de segurança deny2 configurada no membro2.

Exemplo: Configuração da comunicação de membros do servidor VPNv1 do grupo para mensagens rekey da Unicast

Este exemplo mostra como permitir que o servidor envie mensagens de rekey unicast aos membros do grupo para garantir que as chaves válidas estejam disponíveis para criptografar o tráfego entre membros do grupo. O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650.

Requisitos

Antes de começar:

  • Configure o servidor e os membros do grupo para a negociação da Fase 1 do IKE.

  • Configure o servidor do grupo e os membros para a Fase 2 IPsec SA.

  • Configure o grupo g1 no servidor do grupo.

Visão geral

Neste exemplo, você especifica os seguintes parâmetros de comunicação entre membros do servidor para grupo g1:

  • O servidor envia mensagens rekey unicast para membros do grupo.

  • O 3des-cbc é usado para criptografar o tráfego entre o servidor e os membros.

  • sha1 é usado para autenticação de membros.

Os valores padrão são usados para pulsações de servidor, vida útil kek e retransmissões.

Configuração

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar a comunicação entre membros do servidor:

  1. Definir o tipo de comunicação.

  2. Definir o algoritmo de criptografia.

  3. Definir a autenticação do membro.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show security group-vpn server group g1 server-member-communication comando.

Exemplo: Configuração da comunicação de membros do servidor VPNv1 do grupo para mensagens rekey multicast

Este exemplo mostra como permitir que o servidor envie mensagens rekey multicast aos membros do grupo para garantir que as chaves válidas estejam disponíveis para criptografar o tráfego entre membros do grupo. O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650.

Requisitos

Antes de começar:

Visão geral

Neste exemplo, você especifica a seguinte comunicação entre membros do servidor para grupo g1:

  • O servidor envia mensagens rekey multicast aos membros do grupo por meio do endereço multicast 226.1.1.1 e interface ge-0/0/1.0.

  • O 3des-cbc é usado para criptografar o tráfego entre o servidor e os membros.

  • sha1 é usado para autenticação de membros.

Os valores padrão são usados para pulsações de servidor, vida útil kek e retransmissões.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar a configuração da comunicação entre membros do servidor para mensagens rekey multicast:

  1. Definir o tipo de comunicação.

  2. Definir o grupo multicast.

  3. Definir a interface para mensagens multicast de saída.

  4. Definir o algoritmo de criptografia.

  5. Definir a autenticação do membro.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security group-vpn server group g1 server-member-communication comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação da comunicação entre membros do servidor para mensagens rekey multicast

Propósito

Verifique se os parâmetros de comunicação de membros do servidor para mensagens rekey multicast estão configurados corretamente para garantir que as chaves válidas estejam disponíveis para criptografar o tráfego entre membros do grupo.

Ação

A partir do modo operacional, entre no show security group-vpn server group g1 server-member-communication comando.

Exemplo: Configuração do VPNv1 do grupo com a colocação de membros do servidor

Este exemplo mostra como configurar um dispositivo para o modo colocation, que permite que as funções de servidor e membro coexistam no mesmo dispositivo físico. O VPNv1 do grupo tem suporte para dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 e SRX650.

Requisitos

Antes de começar:

Visão geral

Quando o modo colocation é configurado, as funções de servidor de grupo e membro de grupo podem coexistir no mesmo dispositivo. No modo colocation, o servidor e o membro devem ter endereços IP diferentes para que os pacotes sejam entregues corretamente.

In, uma VPN em Figura 3grupo (identificador de grupo é 1) consiste em dois membros (membro1 e membro2) e um servidor de grupo (o endereço IP da interface de loopback é 20.0.0.1). Observe que o membro1 coexiste no mesmo dispositivo que o servidor do grupo. Neste exemplo, a interface que o membro1 usa para se conectar à rede MPLS (ge-0/1/0) recebe o endereço IP 10.1.0.1/32.

Figura 3: Exemplo de colocação de membros de servidorExemplo de colocação de membros de servidor

As instruções de configuração neste tópico descrevem como configurar o dispositivo de servidor-membro1 do grupo para o modo de colocação. Para configurar o membro2, veja Exemplo: Configuração do servidor e membros do VPNv1 do grupo.

Para evitar problemas de fragmentação de pacotes, recomendamos que a interface usada pelo membro do grupo para se conectar à rede MPLS seja configurada para um tamanho de MTU não maior que 1400 bytes. Use a set interface mtu declaração de configuração para definir o tamanho do MTU.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

Para configurar a VPN do grupo com a colocação de membros do servidor:

  1. Configure o endereço de loopback no dispositivo.

  2. Configure a interface que o membro1 usa para se conectar à rede MPLS.

  3. Configure a colocação de VPN em grupo no dispositivo.

  4. Configure a SA da Fase 1 do IKE para o servidor (esta configuração deve combinar com a Fase 1 SA configurada em membros do grupo).

  5. Defina a política de IKE e defina os gateways remotos.

  6. Configure a troca de SA da Fase 2 para o servidor.

  7. Configure o identificador do grupo, o gateway IKE, o tempo de antireplay e o endereço do servidor no servidor.

  8. Configure o servidor para as comunicações dos membros.

  9. Configure as políticas do grupo a serem baixadas para membros do grupo.

  10. Configure a Fase 1 SA para membro1 (esta configuração deve combinar com a Sa da Fase 1 configurada para o servidor do grupo).

  11. Defina a política e defina o gateway remoto para membro1.

  12. Configure o identificador de grupo, o gateway IKE e a interface para o membro1.

  13. Crie livros de endereços e conecte-os a zonas.

  14. Configure uma política de escopo da zona de confiança para a zona não confiável que permite o tráfego unicast de e para a sub-rede 10.0.0.0/8.

  15. Configure uma política de escopo da zona não confiável para a zona de confiança que permite o tráfego unicast de e para a sub-rede 10.0.0.0/8.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security group-vpn comando e show security policies entrando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Na lista de políticas de segurança configuradas, certifique-se de que as políticas de escopo estejam listadas antes das políticas padrão.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação do registro de membros de VPN do grupo

Propósito

Verifique se os membros da VPN do grupo estão registrados corretamente.

Ação

A partir do modo operacional, entre no show security group-vpn registered-members comando.

Verificação das associações de segurança de servidores VPN do grupo para IKE

Propósito

Verifique os SAs do servidor VPN do grupo para IKE.

Ação

A partir do modo operacional, entre no show security group-vpn server ike security-associations comando.

Verificação das associações de segurança de servidores VPN do grupo para IPsec

Propósito

Verifique os SAs do servidor VPN do grupo para IPsec.

Ação

A partir do modo operacional, entre no show security group-vpn server ipsec security-associations comando.

Verificação das associações de segurança de membros de VPN do grupo para IKE

Propósito

Verifique os SAs dos membros vpn do grupo para IKE.

Ação

A partir do modo operacional, entre no show security group-vpn member ike security-associations comando.

Verificação das associações de segurança de membros de VPN do grupo para IPsec

Propósito

Verifique os SAs dos membros vpn do grupo para IPsec.

Ação

A partir do modo operacional, entre no show security group-vpn member ipsec security-associations comando.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
12.3X48-D30
Começando pelo Junos OS Release 12.3X48-D30, os membros do Grupo VPNv1 podem interoperar com servidores VPNv2 do grupo.
12.3X48-D30
Começando pelo Junos OS Release 12.3X48-D30, membros do Grupo VPNv1 nos dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 e SRX650 podem interoperar com servidores do Grupo VPNv2.