Internet Key Exchange (IKE) para VPN IPsec
Internet Key Exchange versão 2 (IKEv2) é um protocolo de tunelamento baseado em IPsec que fornece um canal de comunicação VPN seguro entre dispositivos VPN peer e define negociação e autenticação para associações de segurança IPsec (SAs) de forma protegida.
Processamento de pacotes IKE e IPsec
O IKE fornece gerenciamento de túneis para IPsec e autentica entidades finais. A IKE realiza uma troca de chaves de Diffie-Hellman (DH) para gerar um túnel IPsec entre dispositivos de rede. Os túneis IPsec gerados pelo IKE são usados para criptografar, descriptografar e autenticar o tráfego de usuários entre os dispositivos de rede na camada IP.
Processamento de pacotes IKE
Quando um pacote cleartext chega em um dispositivo da Juniper Networks que requer tunelamento, e nenhuma SA de Fase 2 ativa existe para esse túnel, o Junos OS inicia negociações de IKE e derruba o pacote. Os endereços de origem e destino no cabeçalho de pacotes IP são os dos gateways IKE locais e remotos, respectivamente. Na carga de pacotes IP, há um segmento UDP encapsulando um pacote ISAKMP (IKE). O formato para pacotes IKE é o mesmo para a Fase 1 e a Fase 2. Veja Figura 1.
Enquanto isso, o host de origem enviou o pacote descartado novamente. Normalmente, quando o segundo pacote chega, as negociações de IKE estão concluídas, e o Junos OS protege o pacote e todos os pacotes subsequentes na sessão — com O IPsec antes de encaminhá-lo.
O campo Next Payload contém um número que indica um dos seguintes tipos de carga útil:
-
0002 — O SA Negotiation Payload contém uma definição para uma SA Fase 1 ou Fase 2.
-
0004 — A carga útil da proposta pode ser uma proposta de Fase 1 ou Fase 2.
-
0008 — Transform Payload é encapsulado em uma proposta de carga que é encapsulada em uma carga SA.
-
0010 — A carga útil do Key Exchange (KE) contém informações necessárias para a realização de uma troca chave, como um valor público de DH.
-
0020 — Identificação (IDx) Carga útil.
-
Na Fase 1, a IDii indica o ID do iniciador, e o IDir indica o ID do respondente.
-
Na Fase 2, a IDui indica o iniciador do usuário, e a IDur indica o respondente do usuário.
Os IDs são tipos de ID IKE, como FQDN, U-FQDN, endereço IP e ASN.1_DN.
-
-
0040 — Carga útil do certificado (CERT).
-
0080 — Carga útil de solicitação de certificado (CERT_REQ).
-
0100 — Hash (HASH) Payload contém a saída de digestão de uma determinada função hash.
-
0200 — O Payload de assinatura (SIG) contém uma assinatura digital.
-
0400 — Nonce (Nx) Payload contém algumas informações pseudorandom necessárias para a troca.
-
0800 — Notifique a carga.
-
1000 — ISAKMP Delete Payload.
-
2000 — A carga útil de ID (VID) do fornecedor pode ser incluída em qualquer lugar nas negociações da Fase 1. O Junos OS o usa para marcar o suporte para o NAT-T.
Cada carga ISAKMP começa com o mesmo cabeçalho genérico, como mostrado em Figura 2.
Pode haver várias cargas ISAKMP acorrentadas em conjunto, com cada tipo de carga subsequente indicado pelo valor no campo Next Header. Um valor indica 0000 a última carga ISAKMP. Veja Figura 3 um exemplo.
Processamento de pacotes IPsec
Após a conclusão das negociações do IKE e dos dois gateways IKE terem estabelecido as associações de segurança de Fase 1 e Fase 2 (SAs), todos os pacotes subsequentes são encaminhados usando o túnel. Se a SA da Fase 2 especificar o Protocolo de Segurança de Encapsulamento (ESP) no modo túnel, o pacote se parece com o mostrado em Figura 4. O dispositivo adiciona dois cabeçalhos adicionais ao pacote original que o host de iniciação envia.
Como mostrado, Figura 4o pacote que o host de iniciação constrói inclui a carga, o cabeçalho TCP e o cabeçalho IP interno (IP1).
O cabeçalho IP do roteador (IP2), que o Junos OS adiciona, contém o endereço IP do gateway remoto como endereço IP de destino e o endereço IP do roteador local como endereço IP de origem. O Junos OS também adiciona um cabeçalho ESP entre os cabeçalhos IP externos e internos. O cabeçalho ESP contém informações que permitem ao peer remoto processar adequadamente o pacote quando ele o recebe. Isso é mostrado em Figura 5.
O campo Next Header indica o tipo de dados no campo de carga. No modo túnel, esse valor é 4, indicando que um pacote IP está contido dentro da carga. Veja Figura 6.
Introdução ao IKE no Junos OS
O IKE oferece maneiras de trocar chaves por criptografia e autenticação com segurança em um meio sem garantia, como a Internet. O IKE permite que um par de gateways de segurança: Estabeleça dinamicamente um túnel seguro sobre o qual os gateways de segurança podem trocar informações chave e de túnel. Configure túneis ou SAs no nível do usuário, incluindo negociações de atributos de túnel e gerenciamento chave. Esses túneis também podem ser atualizados e encerrados em cima do mesmo canal seguro. A IKE emprega métodos Diffie-Hellman e é opcional em IPsec (as chaves compartilhadas podem ser inseridas manualmente nos endpoints).
O IKEv2 inclui suporte para:
VPNs baseadas em rota.
VPNs de site para site.
Detecção de peer inativo.
Cluster de chassi.
Autenticação de chave pré-compartilhada.
Autenticação baseada em certificados.
SAs infantis. Uma SA infantil IKEv2 é conhecida como uma SA fase 2 no IKEv1. No IKEv2, uma SA infantil não pode existir sem o IKE SA subjacente.
AutoVPN.
VPN de endpoint dinâmico.
O EAP é compatível com o acesso remoto usando o IKEv2.
Seletores de tráfego.
O IKEv2 não oferece suporte aos seguintes recursos:
VPN baseada em políticas.
Monitoramento de VPN.
Protocolo de compressão de payload IP (IPComp).
- Configuração do IKEv2 no Junos OS
- Entendendo a carga de configuração do IKEv2
- Entendendo o provisionamento de células pico
Configuração do IKEv2 no Junos OS
Um peer VPN está configurado como IKEv1 ou IKEv2. Quando um peer é configurado como IKEv2, ele não pode voltar ao IKEv1 se seu peer remoto iniciar a negociação IKEv1. Por padrão, os dispositivos de segurança da Juniper Networks são pares IKEv1.
Use a version v2-only
declaração de configuração no nível [edit security ike gateway gw-name
] de hierarquia para configurar o IKEv2.
A versão IKE é exibida na saída dos comandos operacionais da CLI e show security ipsec security-associations
da show security ike security-associations
CLI.
Os dispositivos da Juniper Networks oferecem suporte a até quatro propostas para negociações da Fase 2, permitindo que você defina o quão restritivos uma gama de parâmetros de túnel você aceitará. O Junos OS fornece conjuntos de propostas de Fase 2 predefinidos, compatíveis e básicos. Você também pode definir propostas personalizadas da Fase 2.
Entendendo a carga de configuração do IKEv2
A carga de configuração é uma opção de Internet Key Exchange versão 2 (IKEv2) oferecida para propagar informações de provisionamento de um respondente a um iniciador. A carga de configuração IKEv2 é suportada apenas com VPNs baseadas em rota.
RFC 5996, Internet Key Exchange Protocol Versão 2 (IKEv2), define 15 atributos de configuração diferentes que podem ser devolvidos ao iniciador pelo respondente. Tabela 1 descreve os atributos de configuração IKEv2 suportados em firewalls da Série SRX.
Tipo de atributo |
Value |
Descrição |
Comprimento |
---|---|---|---|
INTERNAL_IP4_ADDRESS |
1 |
Especifica um endereço na rede interna. Vários endereços internos podem ser solicitados. O respondente pode enviar até o número de endereços solicitados. |
0 ou 4 octets |
INTERNAL_IP4_NETMASK |
2 |
Especifica o valor de massa líquida da rede interna. Apenas um valor de massa líquida é permitido nas mensagens de solicitação e resposta (por exemplo, 255.255.255.0), e deve ser usado apenas com um atributo INTERNAL_IP4_ADDRESS. |
0 ou 4 octets |
INTERNAL_IP4_DNS |
3 |
Especifica um endereço de um servidor DNS dentro da rede. Vários servidores DNS podem ser solicitados. O respondente pode responder com zero ou mais atributos de servidor DNS. |
0 ou 4 octets |
INTERNAL_IP4_NBNS |
4 |
Especifica um endereço de um servidor de nome NetBIOS (NBNS), por exemplo, um servidor WINS, dentro da rede. Vários servidores NBNS podem ser solicitados. O respondente pode responder com zero ou mais atributos de servidor NBNS. |
0 ou 4 octets |
INTERNAL_IP6_ADDRESS |
8 |
Especifica um endereço na rede interna. Vários endereços internos podem ser solicitados. O respondente pode enviar até o número de endereços solicitados. |
0 ou 17 octets |
INTERNAL_IP6_DNS |
10 |
Especifica um endereço de um servidor DNS dentro da rede. Vários servidores DNS podem ser solicitados. O respondente pode responder com zero ou mais atributos de servidor DNS. |
0 ou 16 octets |
Para que o respondente IKE forneça ao iniciador informações de provisionamento, ele deve obter as informações de uma fonte especificada, como um servidor RADIUS. As informações de provisionamento também podem ser devolvidas de um servidor DHCP por meio de um servidor RADIUS. No servidor RADIUS, as informações do usuário não devem incluir uma senha de autenticação. O perfil do servidor RADIUS está vinculado ao gateway IKE usando a aaa access-profile profile-name
configuração no nível [edit security ike gateway gateway-name
] de hierarquia.
A partir do Junos OS Release 20.3R1, em SRX5000 linha com o SPC3 e o firewall virtual vSRX em execução iked, melhoramos a carga de configuração do IKEv2 para:
-
Suporte para o pool de endereços local IPv4 e IPv6. Você também pode atribuir um endereço IP fixo a um peer.
Durante a criação do IKE, o iniciador solicita um endereço IPv4, endereço IPv6, endereço DNS ou endereço WINS do respondente. Após o respondente autenticar o iniciador com sucesso, ele atribui um endereço IP a partir de um pool de endereços local ou através do servidor RADIUS. Dependendo da configuração, esse endereço IP é atribuído dinamicamente cada vez quando um peer se conecta ou é atribuído como endereço IP fixo. Se o servidor RADIUS responder com um pool emoldurado, o Junos OS atribui um endereço IP ou informações com base na configuração do pool local correspondente. Se você configurar o pool de endereços local e o servidor RADIUS, o endereço IP alocado no servidor RADIUS tem precedência sobre o pool local. Se você configurar o pool local de endereços IP e o servidor RADIUS não retornarem nenhum endereço IP, o pool local atribui o endereço IP à solicitação.
-
Opção adicional,
none
introduzida paraauthentication-order
. Veja a ordem de autenticação (Perfil de acesso). -
As mensagens de início e parada de contabilidade RADIUS informam o estado do túnel ou peer para o servidor RADIUS. Essas mensagens podem ser usadas para rastrear finalidades ou notificações para subsistemas, como um servidor DHCP.
Certifique-se de que a contabilidade de suporte do servidor RADIUS inicie ou interrompe as mensagens. Certifique-se também de que os firewalls da Série SRX e o servidor RADIUS tenham configurações apropriadas para rastrear essas mensagens.
-
A introdução do suporte IPv6 permite túneis de pilha dupla usando a carga de configuração. Durante o processo de login, solicitações de IKE para endereços IPv4 e IPv6. A AAA só permite o login se todos os endereços solicitados tiverem sido alocados com sucesso. A IKE encerra a negociação se o IP solicitado não for alocado.
Em uma VPN baseada em rota, as interfaces de túnel seguro (st0) operam no modo ponto a multiponto ou ponto a ponto. A atribuição de endereços por meio da carga de configuração IKEv2 agora é suportada para modo ponto a ponto ou ponto a ponto. Para interfaces de ponto a multiponto, as interfaces devem ser numeradas e os endereços no tipo de carga de configuração INTERNAL_IP4_ADDRESS atributo devem estar dentro da faixa de sub-rede da interface ponto a multiponto associada.
A partir do Junos OS Release 20.1R1, você pode configurar uma senha comum para solicitações de carga de configuração IKEv2 para uma configuração de gateway IKE. A senha comum na faixa de 1 a 128 caracteres permite que o administrador defina uma senha comum. Essa senha é usada entre o firewall da Série SRX e o servidor RADIUS quando o firewall da Série SRX solicita um endereço IP em nome de um peer IPsec remoto usando a carga de configuração IKEv2. O servidor RADIUS corresponde às credenciais antes de fornecer qualquer informação de IP ao firewall da Série SRX para a solicitação de carga de configuração. Você pode configurar a senha comum usando config-payload-password configured-password
a declaração de configuração no nível deedit security ike gateway gateway-name aaa access-profile access-profile-name
hierarquia.
Tanto o firewall da Série SRX quanto o servidor RADIUS devem ter a mesma senha configurada e o servidor de raio deve ser configurado para usar o Protocolo de Autenticação de Senha (PAP) como o protocolo de autenticação. Sem isso, o estabelecimento de túneis não será bem sucedido.
Figura 7 mostra um fluxo de trabalho típico para uma carga de configuração IKEv2.
O recurso de carga de configuração IKEv2 é suportado tanto para interfaces de túnel seguro de ponto a multiponto (st0) quanto para interfaces ponto a ponto. As interfaces de ponto a multiponto devem ser numeradas, e os endereços fornecidos na carga de configuração devem estar dentro da faixa de sub-rede da interface ponto a multiponto associada.
A partir do Junos OS Release 20.1R1, oferecemos suporte ao recurso de carga de configuração IKEv2 com interfaces ponto a ponto na linha SRX5000 e firewall virtual vSRX em execução iked.
Entendendo o provisionamento de células pico
A carga de configuração do IKEv2 pode ser usada para propagar informações de provisionamento de um respondente IKE, como um firewall da Série SRX, para vários iniciadores, como estações base de células pico LTE em uma rede celular. As células pico são enviadas da fábrica com uma configuração padrão que lhes permite se conectar ao firewall da Série SRX, mas as informações de provisionamento de células pico são armazenadas em um ou mais servidores de provisionamento em uma rede protegida. As células pico recebem informações de provisionamento completas após estabelecer conexões seguras com os servidores de provisionamento.
O fluxo de trabalho necessário para inicializações e provisionamento de uma célula de pico e apresentá-la ao serviço inclui quatro estágios distintos:
-
Aquisição de endereços iniciais — as células pico da fábrica com as seguintes informações:
-
Configuração do túnel de gateway seguro para o firewall da Série SRX
-
Certificado digital emitido pelo fabricante
-
Nome de domínio totalmente qualificado (FQDN) dos servidores de provisionamento que estão dentro da rede protegida
O pico cell inicializa e adquire um endereço a ser usado para negociação de IKE de um servidor DHCP. Em seguida, um túnel é construído para o gateway seguro no firewall da Série SRX usando este endereço. Um endereço para tráfego de operação, administração e gerenciamento (OAM) também é atribuído pelo servidor DHCP para uso na rede protegida.
-
Provisionamento de células Pico — Usando seu endereço de tráfego OAM atribuído, a célula pico solicita suas informações de provisionamento — tipicamente certificado do operador, licença, software e informações de configuração — de servidores dentro da rede protegida.
Reinicialização — a célula pico reinicia e usa as informações de provisionamento adquiridas para torná-la específica para o modelo de rede e operação do provedor de serviços.
-
Provisionamento de serviço — Quando a célula pico entra em serviço, ela usa um único certificado que contém nome distinto (DN) e valores de nome alternativos sujeitos com um FQDN para construir dois túneis para o gateway seguro no firewall da Série SRX: um para tráfego de OAM e outro para tráfego de dados do Third-Generation Partnership Project (3GPP).
Consulte também
Proposta de IKE
A configuração do IKE define os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares. Você pode configurar uma ou mais propostas de IKE. Cada proposta é uma lista de atributos IKE para proteger a conexão IKE entre o host IKE e seus pares.
Para configurar uma proposta de IKE, inclua a proposal
declaração e especifique um nome no nível de hierarquia:edit security ike
Política de IKE
Uma política de IKE define uma combinação de parâmetros de segurança (propostas de IKE) a serem usados durante a negociação da IKE. Ele define um endereço peer e as propostas necessárias para essa conexão. Dependendo do método de autenticação utilizado, ele define a chave pré-compartilhada para um determinado peer ou o certificado local. Durante a negociação da IKE, a IKE procura uma política de IKE que seja a mesma para ambos os pares. O peer que inicia a negociação envia todas as suas políticas para o peer remoto, e o peer remoto tenta encontrar uma correspondência. Uma correspondência é feita quando ambas as políticas dos dois pares têm uma proposta que contém os mesmos atributos configurados. Se a vida útil não for idêntica, a vida útil mais curta entre as duas políticas (do host e do peer) é usada. A chave pré-compartilhada configurada também deve combinar com o peer.
Primeiro, você configura uma ou mais propostas de IKE; e você associa essas propostas a uma política de IKE.
Para configurar uma política de IKE, inclua a policy
declaração e especifique um nome de política no nível [edit security ike
] de hierarquia:
Rekeying e Reauthentication
Visão geral
Com o IKEv2, rekeying e reauthenticação são processos separados. A reproteção estabelece novas chaves para a associação de segurança IKE (SA) e reinicia os contadores de ID de mensagens, mas não reauthentica os pares. A reauthenticação verifica se os pares de VPN mantêm seu acesso às credenciais de autenticação. A reauthenticação estabelece novas chaves para a SA IKE e as SAs infantis; re-chaves de qualquer SA IKE pendente ou SA infantil não são mais necessários. Após a criação do novo IKE e dos SAs infantis, o antigo IKE e as SAs infantis são excluídos.
A reauthentação do IKEv2 é desativada por padrão. Você permite a reauthenticação configurando um valor de frequência de reauthentação entre 1 e 100. A frequência de reauthenticação é o número de rekeys IKE que ocorre antes que a reauthenticação ocorra. Por exemplo, se a frequência de reauthenticação configurada for 1, a reauthenticação ocorre toda vez que há uma rekey IKE. Se a frequência de reauthenticação configurada for 2, a reauthenticação ocorre em todas as outras chaves de IKE. Se a frequência de reauthenticação configurada for 3, a reauthenticação ocorre em cada terceiro IKE rekey, e assim por diante.
Você configura a frequência de reauthenticação com a reauth-frequency
declaração no nível [edit security ike policy policy-name
] de hierarquia. A reauthenticação é desativada configurando a frequência de reauthenticação a 0 (o padrão). A frequência de reauthenticação não é negociada por pares, e cada peer pode ter seu próprio valor de frequência de reauthenticação.
Recursos suportados
A reauthentação do IKEv2 é suportada com os seguintes recursos:
Iniciadores ou respondentes IKEv2
Detecção de peer morto (DPD)
Roteadores virtuais e interfaces de túnel seguro (st0) em roteadores virtuais
Transversal de tradução de endereços de rede (NAT-T)
Clusters de chassi em modo ativo-ativo e passivo ativo para dispositivos de SRX5400, SRX5600 e SRX5800
Upgrade de software em serviço (ISSU) em dispositivos de SRX5400, SRX5600 e SRX5800
Atualize ou insira uma nova unidade de processamento de serviços (SPU) usando o procedimento de atualização de hardware em serviço (ISHU)
Limitações
Observe as seguintes advertências ao usar a reauthenticação do IKEv2:
Com o NAT-T, um novo IKE SA pode ser criado com portas diferentes da SA IKE anterior. Nesse cenário, o antigo IKE SA pode não ser excluído.
Em um cenário NAT-T, o iniciador por trás do dispositivo NAT pode se tornar o respondente após a reauthenticação. Se a sessão de NAT expirar, o dispositivo NAT pode descartar novos pacotes IKE que podem chegar em uma porta diferente. A manutenção de NAT-T ou DPD deve ser habilitada para manter a sessão de NAT viva. Para o AutoVPN, recomendamos que a frequência de reauthenticação configurada nos spokes seja menor do que a frequência de reauthentação configurada no hub.
Com base na frequência de reauthenticação, uma nova SA IKE pode ser iniciada pelo iniciador ou pelo respondente do IKE SA original. Como a autenticação e a carga de configuração do Extensible Authentication Protocol (EAP) exigem que o IKE SA seja iniciado pela mesma parte que o IKE SA original, a reauthenticação não é suportada com autenticação EAP ou carga de configuração.
Autenticação IKE (autenticação baseada em certificado)
Hierarquia multinível para autenticação de certificados
Autenticação baseada em certificados é um método de autenticação suportado em firewalls da Série SRX durante a negociação do IKE. Em grandes redes, várias autoridades de certificado (CAs) podem emitir certificados de entidade final (EE) em seus respectivos dispositivos finais. É comum ter CAs separados para locais, departamentos ou organizações individuais.
Quando uma hierarquia de nível único para autenticação baseada em certificados é usada, todos os certificados de EE na rede devem ser assinados pelo mesmo CA. Todos os dispositivos de firewall devem ter o mesmo certificado de CA inscrito para validação de certificados de peer. A carga de certificado enviada durante a negociação do IKE contém apenas certificados EE.
Como alternativa, a carga de certificados enviada durante a negociação do IKE pode conter uma cadeia de certificados de EE e CA. Uma cadeia de certificados é a lista de certificados necessários para validar o certificado EE de um peer. A cadeia de certificados inclui o certificado EE e quaisquer certificados de CA que não estejam presentes no peer local.
O administrador de rede precisa garantir que todos os pares que participam de uma negociação de IKE tenham pelo menos uma CA de confiança comum em suas respectivas cadeias de certificados. O CA de confiança comum não precisa ser o CA raiz. O número de certificados na cadeia, incluindo certificados para EEs e o CA mais alto da cadeia, não pode exceder 10.
A partir do Junos OS Release 18.1R1, a validação de um peer IKE configurado pode ser feita com um servidor CA ou grupo de servidores CA especificados. Com cadeias de certificados, o CA raiz deve combinar com o grupo de CA confiável ou servidor CA configurado na política de IKE
No exemplo da hierarquia de CA mostrado, Figura 8o Root-CA é o CA de confiança comum para todos os dispositivos da rede. A Root-CA emite certificados de CA para os CAs de engenharia e vendas, identificados como Eng-CA e Sales-CA, respectivamente. A Eng-CA emite certificados de CA para os CAs de desenvolvimento e garantia de qualidade, identificados como Dev-CA e Qa-CA, respectivamente. O Host-A recebe seu certificado EE da Dev-CA, enquanto o Host-B recebe seu certificado EE da Sales-CA.
Cada dispositivo final precisa ser carregado com os certificados ca em sua hierarquia. O Host-A deve ter certificados Root-CA, Eng-CA e Dev-CA; Os certificados de Vendas-CA e Qa-CA não são necessários. O Host-B deve ter certificados Root-CA e Sales-CA. Os certificados podem ser carregados manualmente em um dispositivo ou inscritos usando o Processo simples de inscrição de certificados (SCEP).
Cada dispositivo final deve ser configurado com um perfil de CA para cada CA na cadeia de certificados. A saída a seguir mostra os perfis de CA configurados no Host-A:
admin@host-A# show security pki { ca-profile Root-CA { ca-identity Root-CA; enrollment { url “www.example.net/scep/Root/”; } } ca-profile Eng-CA { ca-identity Eng-CA; enrollment { url “www.example.net/scep/Eng/”; } } ca-profile Dev-CA { ca-identity Dev-CA; enrollment { url “www.example.net/scep/Dev/”; } } }
A saída a seguir mostra os perfis de CA configurados no Host-B:
admin@host-B# show security pki { ca-profile Root-CA { ca-identity Root-CA; enrollment { url “www.example.net/scep/Root/”; } } ca-profile Sales-CA { ca-identity Sales-CA; enrollment { url “www.example.net/scep/Sales/”; } } }
Consulte também
Proteção IKE contra ataques DDoS
A negação de s ervice(DoS) é um dos ataques mais comuns, mas graves, em uma rede VPN IPsec insuspeito. Um ataque DoS oferece uma maneira rápida e fácil de pegar a rede, pois ela não requer muita retenção na infraestrutura de rede. Os invasores Cyberescolhem este método para assumir o controle da rede.
O que acontece em um ataque do DoS?
O invasor tenta inundar e, aos poucos, interromper a rede com muito tráfego, esgotando os recursos da rede e assumindo ainda mais o controle dos recursos do dispositivo, como memória e CPU. Se o invasor tentar controlar usando vários sistemas orquestrados, atacando sincronizadamente um único alvo, ele é chamado de ataques de DoS distribuído (DDoS).
- Vulnerabilidades de DDoS em implementações IKE
- Proteção Aganhat Ataques DDoS
- Maneiras de monitorar ataques DDoS
Vulnerabilidades de DDoS em implementações IKE
Quando o peer remoto (iniciador) envia uma mensagem SA_INIT, o peer local (responder) responde e aloca a memória para a estrutura da mensagem. Chamamos a sessão de sessão de IKE semi-aberta até que a autenticação aconteça com a ajuda da mensagem IKE_AUTH. Após os pares estabelecerem uma associação de segurança IKE (SA), a sessão se tornará uma sessão de IKE totalmente aberta.
Para entender as vulnerabilidades de DDoS IKEv2, vamos analisar algumas das maneiras pelas quais um invasor pode criar um vetor de ataque fácil contra as SAs IKE:
-
Envie um grande número de mensagens de SA_INIT (sem IKE_AUTH mensagens) para as quais o invasor pode criar estruturas de associação de segurança IKE semi-abertas. O ataque faz com que o dispositivo utilize os recursos e se esconda a memória.
-
Envie um grande número de pacotes de IKE_AUTH lixo com o SPI_i e SPI_r corretos no iniciador e no respondente, respectivamente. O dispositivo fica semmemória enquanto tenta descriptografar os pacotes.
-
Envie pacotes de SA_INIT continuamente. O dispositivo fica sem memória enquanto tenta gerar chaves para os pacotes criptografados.
-
Envie um grande número de solicitações rekey por segundo durante as sessões de IKE abertas completas.
-
Envie um grande número de mensagens com identificadores de mensagens (IDs) distintos. O dispositivo Tfaz fila com todas as mensagens IKE recebidas e fica sem memória.
Como proteger as implementações IKE
Fornecemos uma infraestrutura robusta para mitigar e monitorar ataques DDoS para protocolos IKEv1 e IKEv2. Você pode se proteger contra os ataques em implementações de IKE quando seu firewall executa o processo iked (no junos-ike pacote) para o serviço VPN IPsec.
Para obter mais informações sobre a proteção contra DDoS para IKEv2, consulte RFC 8019, Protegendo as implementações do Protocolo de Troca de Chaves da Internet Versão 2 (IKEv2) contra ataques distribuídos de negação de serviço. We fornecem proteção semelhante para o IKEv1 quando seu firewall executa o serviço de VPN IPsec usando o processo iked. Não oferecemos suporte ao mecanismo de quebra-cabeça do cliente que a RFC apresenta.
Proteção Aganhat Ataques DDoS
Você pode habilitar vários mecanismos de defesa contra os ataques DDoS durante o processo de criação da associação de segurança IKE. Esses mecanismos incluem a configuração de limitação de taxa e um período de retenção para os SAs IKE semiaberto e o gerenciamento das taxas de intercâmbio de entrada para as solicitações rekey. Fornecemos as seguintes medidas para garantir a proteção contra ataques DDoS em SAs IKE:
- Medidas de proteção fou SAs IKE semi-abertos:
-
O respondente não permite a configuração de SAS IKE semi-abertos por uma determinada duração. Você pode definir esse limite para que o respondente não configure os SAs até que ele atinja a duração do tempo limite. Para obter mais detalhes, veja session (Security IKE) a opção
timeout
. -
Você pode definir um limite sobre as SAs IKE semi-abertas permitidas no respondente. Quando o número total de SAs IKE semiaberto chega à contagem máxima, o respondente rejeita novas conexões para SAs IKEv1 e IKEv2. Para obter mais detalhes, veja a opção
max-count
.session (Security IKE) -
O respondente aplica valores limiares na contagem de sessões para SAs IKE semiaberto. Quando o número total de SAs IKE semiaberto atingiros valores limiares:
-
No caso dos SAs IKEv2, o respondente invoca o mecanismo de cookies para quaisquer novas conexões.
-
No caso dos SAs IKEv1, o respondente rejeita novas conexões.
Para obter mais detalhes, veja a e
reduce-timeout
send-cookie
asthresholds
opções em session (Security IKE). -
-
O respondente pode descartar sessões duplicadas. Para obter mais detalhes, veja a opção
discard-duplicate
em session (Security IKE). -
Você pode definir intervalos de backoff para fases de falha de autenticação e falha de iniciação. Para obter mais detalhes, veja session (Security IKE) as opções
init-phase-failure
backoff-timeouts
eauth-phase-failure
.
-
-
Para SAs IKE totalmente abertos:
-
Você pode configurar as taxas de solicitação de requisição de entrada máximas para reduzir as solicitações em um cenário dimensionado. Para obter mais detalhes, veja a opção
incoming-exchange-max-rates
.session (Security IKE)
-
-
O respondente pode bloquear uma sessão de IKE recebida dos pares com base no ID ID de IKE por pares. Para obter mais detalhes, veja blocklists (Security IKE).
-
Para gateways dinâmicos, você pode definir um limite para o número de conexões no nível de configuração do gateway IKE usando a opção
connections-limit
. Para obter mais detalhes, veja gateway (Security IKE).
Para obter mais detalhes sobre como configurar essas opções, veja Configurar proteção contra ataques DDoS IKE.
Não oferecemos suporte:
-
Proteção contra DDoS com serviço VPN IPsec baseado no processo kmd.
-
Proteção contra ataques de codificação de certificados de Hash e URL , pois não oferecemos suporte a esses tipos de codificação.
Maneiras de monitorar ataques DDoS
Fornecemos os seguintes mecanismos para monitorar os ataques DDoS:
-
Use o
show security ike security-associations
comando para listar todas as associaçõesde segurança IKE amadurecidas e não maduras. Para obter mais detalhes, veja mostrar as associações de segurança ike de segurança. -
Use o
show security ike stats
comando para exibir estatísticas globais de IKE do túnel VPN IPsec, como estatísticas em andamento, estabelecidas e expiradas. Para obter mais detalhes, veja as estatísticas de segurança ike. -
Use o
show security ike active-peer
comando para exibir detalhes das negociações bem-sucedidas da IKE com os pares remotos. Para obter mais detalhes, veja mostrar segurança ike active-peer. -
Use o
show security ike peers in-progress
comando para exibir os detalhes dos SAs IKE em andamento, incluindo os SAs IKE semi-abertos. Para obter mais detalhes, veja show security ike peers. Você também pode ver os detalhes dos peers bloqueados, com falha e de backoff usando este comando. -
Use o
clear security ike peers
comando para limpar os pares IKE que são desativados, bloqueados, com falha ou em andamento. Para obter mais detalhes, veja clear security ike peers. -
Para excluir uma associação de segurança IKE existente com colegas que precisa ser bloqueada de novas comunicações, use o
clear security ike security-associations
comando. Para obter mais detalhes, veja as associações de segurança ike de segurança claras. -
As mensagens de system log (syslog) iked IKE_GATEWAY_PEER_BLOCKED, IKE_GATEWAY_PEER_BACKOFF e IKE_GATEWAY_PEER_FAILED fornecem detalhes sobre as negociações bloqueadas, respaldadas e fracassadas do IKE com os pares remotos, respectivamente.
-
Para segurança adicional, o Junos OS oferece serviços aos usuários para proteção contra ataques de sistema baseados em pacotes, como filtragem, contagem de sessões e limitação de taxas. Para obter mais detalhes, veja o comando de firewall show e a declaração de opção de ids no nível [
edit security screen ids-option screen-name
] de hierarquia.
Configure a proteção contra ataques DDoS da IKE
SUMMARY Veja esta seção para entender como configurar a proteção contra ataques DDoS no protocolo IKE.
Pré-requisitos
Antes de configurar a proteção contra os ataques DDoS do IKE, certifique-se de atender aos seguintes pré-requisitos:
-
Firewall da Série SRX que oferece suporte a pacotes
junos-ike
para executar o serviço de VPN IPsec usando o processo iked. -
O firewall da Série SRX que serve como endpoint local (o respondente) é acessível ao peer IKE remoto (o iniciador).
-
Uma política de IKE que pode associar uma lista de bloqueio de IKE.
Ações a seguir estão envolvidas na configuração da proteção contra ataques DDoS IKE:
-
Gerencie os SAs IKE semi-abertos de entrada.
-
Gerencie os SAs IKE totalmente abertos de entrada.
-
Configure vários métodos de bloqueio para bloquear as sessões de IKE de entrada de vários pares e associar um dos blocklists a um peer IKE.
Veja as seguintes tarefas para configurar essas ações.
- Configure a sessão de IKE para SAs semi-abertos de IKE
- Configure a sessão de IKE para SAs IKE abertos completos
- Configure os blocos de sessão do IKE
Configure a sessão de IKE para SAs semi-abertos de IKE
Visão geral
Certifique-se de atender a todos os pré-requisitos discutidos acima.
Nesta seção, você verá como configurar os intervalos, a contagem máxima e os limites para as SAs IKE semi-abertas. As alterações de configuração são aplicáveis às novas sessões, enquanto as sessões existentes continuam a usar os valores padrão quando não configuradas explicitamente antes. O escopo dessas configurações no nível [edit security ike session half-open
] de hierarquia é aplicável a nível global e não por nível peer.
Configuração
-
Definir o parâmetro de vida útil do respondente usando a opção
timeout seconds
:[edit] user@host# set security ike session half-open timeout 150
Durante esse período, o respondente não permite a configuração de SAs IKE semi-abertas até atingir a duração do tempo limite. O iniciador pode continuar a ter duração de 60 segundos, independentemente da configuração do respondente.
-
Definir o parâmetro de contagem máxima de respondentes usando a opção
max-count value
:[edit] user@host# set security ike session half-open max-count 1000
A opção define os números máximos de sessões de IKE semi-abertas no respondente. O valor padrão é de 300, se você não especificar. A
max-count
configuração desativa todos os limites. Nesses casos, você precisa expliclar limites de configuração para executá-los. -
Especifique os diferentes tipos de ações usando a opção
threshold
quando a contagem de sessões do respondente atingir o limite.-
Definir o número mínimo de sessões de IKE semi-abertas para aplicar a ação de cookies usando a opção
send-cookie count
:[edit] user@host# set security ike session half-open threshold send-cookie 500
Isso especifica o limite de limite do qual o respondente solicita aos pares remotos que rejudesçam a iniciação da sessão com um cookie enviado de volta ao peer na resposta inicial. Aqui, quando o limite de contagem de sessões de IKE sem abertura chega a 500, o processo iked emprega um mecanismo de cookies para as novas sessões de IKE.
-
Definir o número mínimo de sessões de IKE semi-abertas para aplicar uma ação de tempo limite reduzida usando a opção
reduced-timeout count timeout seconds
:[edit] user@host# set security ike session half-open threshold reduce-timeout 600 timeout 100
Isso especifica o limite do qual o processo iked reduz a vida útil dos novos SAs IKE semi-abertos. Uma vez que a contagem de sessões de IKE de respondente semi-aberto reduz abaixo do limite, as sessões de IKE com resposta semi-aberta usam o valor de tempo limite padrão novamente.
-
-
Definir a opção
discard-duplicate
para descartar as sessões de IKE semi-abertas duplicadas sem enviar resposta ao iniciador:[edit] user@host# set security ike session half-open discard-duplicate
Para uma solicitação de iniciação de sessão duplicada (SA_INIT) que vem do mesmo peer, com um cookie de iniciação diferente para o qual não há IKE SA enquanto a negociação está em andamento, o respondente descarta o pacote.
-
Você pode definir os intervalos de backoff usando a opção
backoff-timeouts
.Isso dá algum tempo para o peer remoto recuar no caso de uma falha de iniciação de sessão, garantindo que o mesmo peer não possa iniciar uma nova sessão durante esse período. Após o tempo limite de backoff, o peer pode iniciar uma nova sessão. A iniciação da sessão pode falhar em duas fases — a fase de inicialização e a fase de autenticação.
-
Para definir o tempo limite de backoff quando houver uma falha durante a fase de IKE_AUTH usando a opção
backoff-timeouts auth-phase-failure value
:[edit] user@host# set security ike session half-open backoff-timeouts auth-phase-failure 150
Quando você configura
auth-phase-failure
, qualquer peer remoto que esteja bloqueado, faça o backsoff mesmo quando você não configura o backoff como uma ação para a regra de blocklist alvo. O tempo limite para o backoff é o configurado paraauth-phase-failure
. Neste exemplo, o dispositivo inicia uma nova sessão após 150 segundos. Para substituir esse tempo limite de backoff para uma regra específica, você pode configurar explicitamente a açãobackoff
para o blocklistrule
mencionando o tempo limite na [edit security ike blocklists blocklist1 rule rule-name then backoff timeout-value] hierarchy level
. -
Para definir o tempo limite de backoff quando houver uma falha durante a fase de SA_INIT usando a opção
backoff-timeouts init-phase-failure value
:[edit] user@host# set security ike session half-open backoff-timeouts init-phase-failure 160
Neste exemplo, o dispositivo inicia uma nova sessão após 160 segundos.
-
Definir o parâmetro de vida útil do respondente usando a opção
timeout seconds
:[edit] user@host# set security ike session half-open timeout 150
Durante esse período, o respondente não permite a configuração de SAs IKE semi-abertas até atingir a duração do tempo limite. O iniciador pode continuar a ter duração de 60 segundos, independentemente da configuração do respondente.
-
Configure a sessão de IKE para SAs IKE abertos completos
Visão geral
Certifique-se de atender a todos os pré-requisitos discutidos acima.
Nesta seção, você verá como configurar várias taxas de solicitação de entrada para as SAs IKE abertas completas usando a opção incoming-exchange-max-rates
no nível [edit security ike session full-open
] de hierarquia.
Configuração
Configure a opção incoming-exchange-max-rates
de definir as taxas máximas para várias trocas iniciadas pelo peer remoto depois de estabelecer uma SA IKE. Você pode configurar três tipos de taxas de troca — rekey IKE, rekey IPsec e keepalive (também conhecido como Dead Peer Detection).
-
Para definir a taxa máxima de iKE iniciada por peer de entrada usando a opção
incoming-exchange-max-rates ike-rekey value
:[edit] user@host# set security ike session full-open incoming-exchange-max-rates ike-rekey 200/60
A opção é aplicável à rekey IKEv2 por peer com um peer existente onde uma SA IKE já está presente.
-
Para definir a taxa máxima de IPsec SA iniciada por peer de entrada usando a opção
incoming-exchange-max-rates ipsec-rekey value
:[edit] user@host# set security ike session full-open incoming-exchange-max-rates ipsec-rekey 100/60
O limite é aplicável por túnel.
-
Definir a taxa máxima keepalive iniciada por peer de entrada usando a opção
incoming-exchange-max-rates keepalive value
:[edit] user@host# set security ike session full-open incoming-exchange-max-rates keepalive 60/60
O limite é aplicável por peer.
Configure os blocos de sessão do IKE
Visão geral
Certifique-se de atender a todos os pré-requisitos discutidos acima.
Para bloquear uma sessão de IKE recebida de peers com base no ID IKE por pares, você precisa configurar um ou mais blocklists. Cada lista de bloqueio contém uma ou mais regras. Cada regra tem critérios de correspondência e uma ação.
Considere os seguintes critérios ao configurar os blocklists:
-
As regras da lista de bloqueio são aplicáveis às novas SAs IKE que estão sendo negociadas e não afetam as SAs IKE existentes. Na fase de autenticação por pares, o dispositivo aplica as regras da lista de bloqueio.
-
A ordem de aplicação das regras depende da sequência em que essas regras estão listadas.
-
Configure os critérios de correspondência com base na função (iniciador ou respondente), um tipo de ID (endereço IPv4 ou IPv6, nome de host, nome distinto, ID de e-mail ou um ID chave) e um padrão de ID que é uma expressão regular para combinar com o ID IKE.
-
Você pode configurar cada regra com um tipo de ID. Isso permite que você configure diferentes IDs IKE para diferentes regras dentro da mesma lista de bloqueio.
-
Configure uma ação para descartar ou rejeitar a conexão entre pares. Com base na correspondência, o dispositivo aplica uma ação. Opcionalmente, você pode definir o timer de backoff com essas ações.
-
Consulte a lista de bloqueio na política de IKE associada ao gateway IKE.
-
Cada gateway IKE oferece suporte a apenas um tipo de ID remoto de IKE. Se você anexar uma lista de bloqueio a um gateway e configurá-la com regras que contenham diferentes IDs IKE, o gateway será aplicado e corresponderá apenas às regras cujo tipo de IKE ID é o mesmo que o configurado para o gateway IKE.
-
As métricas de taxa de configuração de túnel com listas de bloqueio anexadas aos gateways IKE baseiam-se no número de regras configuradas nas listas de bloqueio.
Nesta seção, você verá como configurar os blocklists e associar a lista de bloqueio a uma política de IKE.
Configuração
-
Para criar uma lista de bloqueio com várias regras:
-
Crie uma lista de bloqueios.
[edit] user@host# set security ike blocklists blocklist1 description block_from_remote
-
Crie uma ou mais regras.
[edit] user@host# set security ike blocklists blocklist1 rule rule1 description rule_1 user@host# set security ike blocklists blocklist1 rule rule2 description rule_2
Você pode criar vários desses blocklists e suas regras.
-
-
Para configurar os critérios de correspondência e especificar a ação:
-
Configure os critérios de correspondência para a rule1 lista blocklist1de bloqueio.
[edit] user@host# set security ike blocklists blocklist1 rule rule1 match role initiator user@host# set security ike blocklists blocklist1 rule rule1 match id-type hostname user@host# set security ike blocklists blocklist1 rule rule1 match id-pattern "peer.*\.example\.net" user@host# set security ike blocklists blocklist1 rule rule2 match role initiator user@host# set security ike blocklists blocklist1 rule rule2 match id-type user-at-hostname user@host# set security ike blocklists blocklist1 rule rule2 match id-pattern "hr.example.com"
Para configurar blocklists usando um grupo de IDs IKE ou IDs IKE parciais, use o
id-pattern value
com um sufixo ou prefixo. Por exemplo, você pode usar o valor *.example.com, quando precisar combinar hr.example.com, finance.example.com admin.example.com. Na regra rule1, o dispositivo procura o nome de host que corresponda ao padrão peer.*\.example\.net. Aqui peer.example.net, peer.1.example.net e peer.uplink.example.net estão algumas partidas em potencial. Na regra rule2, o dispositivo procura o endereço de e-mail que corresponda ao padrão hr.example.com. Da mesma forma, você pode configurar outros critérios de correspondência para as outras regras com base em diferentesid-type
ouid-pattern
. Esses padrões usam a expressão padrão regular. -
Especifique a ação para combinar:
[edit] user@host# set security ike blocklists blocklist1 rule rule1 then reject user@host# set security ike blocklists blocklist1 rule rule1 then backoff 60 user@host# set security ike blocklists blocklist1 rule rule2 then discard user@host# set security ike blocklists blocklist1 rule rule2 then backoff 100
-
-
Associar uma lista de bloqueio a um peer IKE:
-
Configure a lista de blocklist1 bloqueios na política ike_policy1de IKE.
[edit] user@host# set security ike policy ike_policy1 blocklist blocklist1
-
Exemplo: Configuração de um dispositivo para validação da cadeia de certificados peer
Este exemplo mostra como configurar um dispositivo para cadeias de certificados usados para validar dispositivos peer durante a negociação da IKE.
- Requisitos
- Visão geral
- Configuração
- Verificação
- Falha de SA IKE e IPsec para um certificado revogado
Requisitos
Antes de começar, obtenha o endereço da autoridade do certificado (CA) e as informações que eles exigem (como a senha do desafio) quando você enviar solicitações de certificados locais.
Visão geral
Este exemplo mostra como configurar um dispositivo local para cadeias de certificados, inscrever CA e certificados locais, verificar a validade dos certificados inscritos e verificar o status de revogação do dispositivo peer.
Topologia
Este exemplo mostra a configuração e os comandos operacionais no Host-A, conforme mostrado em Figura 9. Um perfil ca dinâmico é criado automaticamente no Host-A para permitir que o Host-A baixe o CRL da Sales-CA e verifique o status de revogação do certificado do Host-B.
A configuração de VPN IPsec para a negociação da Fase 1 e Fase 2 é mostrada para Host-A neste exemplo. O dispositivo peer (Host-B) deve ser configurado corretamente para que as opções de Fase 1 e Fase 2 sejam negociadas com sucesso e as associações de segurança (SAs) sejam estabelecidas. Veja a configuração de IDs IKE remotos para VPNs de site para local , por exemplo, da configuração de dispositivos peer para VPNs.
Configuração
Para configurar um dispositivo para cadeias de certificados:
Configure perfis de CA
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security pki ca-profile Root-CA ca-identity CA-Root set security pki ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ set security pki ca-profile Root-CA revocation-check crl set security pki ca-profile Eng-CA ca-identity Eng-CA set security pki ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ set security pki ca-profile Eng-CA revocation-check crl set security pki ca-profile Dev-CA ca-identity Dev-CA set security pki ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ set security pki ca-profile Dev-CA revocation-check crl
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar perfis de CA:
Crie o perfil ca para Root-CA.
[edit security pki] user@host# set ca-profile Root-CA ca-identity CA-Root user@host# set ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ user@host# set ca-profile Root-CA revocation-check crl
Crie o perfil ca para a Eng-CA.
[edit security pki] user@host# set ca-profile Eng-CA ca-identity Eng-CA user@host# set ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ user@host# set ca-profile Eng-CA revocation-check crl
Crie o perfil ca para Dev-CA.
[edit security pki] user@host# set ca-profile Dev-CA ca-identity Dev-CA user@host# set ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ user@host# set ca-profile Dev-CA revocation-check crl
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security pki
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security pki ca-profile Root-CA { ca-identity Root-CA; enrollment { url "http:/;/198.51.100.230:8080/scep/Root/"; } revocation-check { crl ; } } ca-profile Eng-CA { ca-identity Eng-CA; enrollment { url "http:/;/198.51.100.230:8080/scep/Eng/"; } revocation-check { crl ; } } ca-profile Dev-CA { ca-identity Dev-CA; enrollment { url "http:/;/198.51.100.230:8080/scep/Dev/"; } revocation-check { crl ; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Certificados de inscrição
Procedimento passo a passo
Para inscrever certificados:
Inscreva-se os certificados de CA.
user@host> request security pki ca-certificate enroll ca-profile Root-CA
user@host> request security pki ca-certificate enroll ca-profile Eng-CA
user@host> request security pki ca-certificate enroll ca-profile Dev-CA
Digite yes os prompts para carregar o certificado ca.
Verifique se os certificados de CA estão inscritos no dispositivo.
user@host> show security pki ca-certificate ca-profile Root-CA Certificate identifier: Root-CA Issued to: Root-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-14-2012 22:19 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)
user@host> show security pki ca-certificate ca-profile Eng-CA Certificate identifier: Eng-CA Issued to: Eng-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-15-2012 01:02 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)
user@host> show security pki ca-certificate ca-profile Dev-CA Certificate identifier: Dev-CA Issued to: Dev-CA, Issued by: C = us, O = example, CN = Eng-CA Validity: Not before: 08-15-2012 17:41 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)
Verifique a validade dos certificados de CA inscritos.
user@host> request security pki ca-certificate verify ca-profile Root-CA CA certificate Root-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Eng-CA CA certificate Eng-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Dev-CA CA certificate Dev-CA verified successfully
Gere um par chave.
user@host> request security pki generate-key-pair certificate-id Host-A type rsa size 1024
Inscreva-se no certificado local.
user@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA challenge-password example domain-name host-a.example.net email host-a@example.net subject DC=example,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
Verifique se o certificado local está inscrito no dispositivo.
user@host> show security pki local-certificate Issued to: Host-A, Issued by: C = us, O = example, CN = Dev-CA Validity: Not before: 09-17-2012 22:22 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(1024 bits)
Verifique a validade do certificado local inscrito.
user@host> request security pki local-certificate verify certificate-id Host-A Local certificate Host-A verification success
Verifique o download do CRL para ver os perfis de CA configurados.
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02
Configure as opções de VPN IPsec
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security ike proposal ike_cert_prop_01 authentication-method rsa-signatures set security ike proposal ike_cert_prop_01 dh-group group5 set security ike proposal ike_cert_prop_01 authentication-algorithm sha1 set security ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc set security ike policy ike_cert_pol_01 mode main set security ike policy ike_cert_pol_01 proposals ike_cert_prop_01 set security ike policy ike_cert_pol_01 certificate local-certificate Host-A set security ike gateway ike_cert_gw_01 ike-policy ike_cert_pol_01 set security ike gateway ike_cert_gw_01 address 192.0.2.51 set security ike gateway ike_cert_gw_01 external-interface ge-0/0/1.0 set security ike gateway ike_cert_gw_01 local-identity 192.0.2.31 set security ipsec proposal ipsec_prop_01 protocol esp set security ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc set security ipsec proposal ipsec_prop_01 lifetime-seconds 300 set security ipsec policy ipsec_pol_01 proposals ipsec_prop_01 set security ipsec vpn ipsec_cert_vpn_01 bind-interface st0.1 set security ipsec vpn ipsec_cert_vpn_01 ike gateway ike_cert_gw_01 set security ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar opções de VPN IPsec:
Configure as opções de Fase 1.
[edit security ike proposal ike_cert_prop_01] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ike_cert_pol_01] user@host# set mode main user@host# set proposals ike_cert_prop_01 user@host# set certificate local-certificate Host-A [edit security ike gateway ike_cert_gw_01] user@host# set ike-policy ike_cert_pol_01 user@host# set address 192.0.2.51 user@host# set external-interface ge-0/0/1.0 user@host# set local-identity 192.0.2.31
Configure as opções de Fase 2.
[edit security ipsec proposal ipsec_prop_01] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy ipsec_pol_01] user@host# set proposals ipsec_prop_01 [edit security ipsec vpn ipsec_cert_vpn_01] user@host# set bind-interface st0.1 user@host# set ike gateway ike_cert_gw_01 user@host# set ike ipsec-policy ipsec_pol_01
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security ike
comandos e show security ipsec
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security ike proposal ike_cert_prop_01 { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy ike_cert_pol_01 { mode main; proposals ike_cert_prop_01; certificate { local-certificate Host-A; } } gateway ike_cert_gw_01 { ike-policy ike_cert_pol_01; address 192.0.2.51; external-interface ge-0/0/1.0; } [edit] user@host# show security ipsec proposal ipsec_prop_01 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 300; } policy ipsec_pol_01 { proposals ipsec_prop_01; } vpn ipsec_cert_vpn_01 { bind-interface st0.1; ike { gateway ike_cert_gw_01; ipsec-policy ipsec_pol_01; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Se a validação do certificado for bem-sucedida durante a negociação do IKE entre dispositivos peer, ambas as associações de segurança IKE e IPsec (SAs) serão estabelecidas.
O IKE SA está funcionando se o certificado for válido. O IKE SA está desativado e o IPSEC SA é formado se o certificado for revogado, somente se a verificação de revogação estiver configurada no dispositivo peer
Verificação do status da Fase 1 do IKE
Propósito
Verifique o status da Fase 1 do IKE.
Ação
Insira o comando do show security ike security-associations modo operacional.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2090205 DOWN 285feacb50824495 59fca3f72b64da10 Main 192.0.2.51
Verificando o status da Fase 2 do IPsec
Propósito
Verifique o status da Fase 2 do IPsec.
Ação
Insira o comando do show security ipsec security-associations modo operacional.
user@host> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:3des/sha1 a4756de9 207/ unlim - root 500 192.0.2.51 >131073 ESP:3des/sha1 353bacd3 207/ unlim - root 500 192.0.2.51
Falha de SA IKE e IPsec para um certificado revogado
Verificação de certificados revogados
Problema
Se a validação do certificado falhar durante a negociação do IKE entre dispositivos peer, verifique se o certificado do peer não foi revogado. Um perfil ca dinâmico permite que o dispositivo local baixe o CRL do CA do peer e verifique o status de revogação do certificado do peer. Para habilitar perfis dinâmicos de CA, a opção revocation-check crl
deve ser configurada em um perfil ca-mãe.
Solução
Para verificar o status de revogação do certificado de um peer:
Identifique o perfil dinâmico de CA que mostrará o CRL para o dispositivo peer entrando no comando do show security pki crl modo operacional.
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02 CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sales-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02
O perfil
dynamic-001
ca é criado automaticamente no Host-A para que o Host-A possa baixar o CRL do CA do Host-B (Sales-CA) e verificar o status de revogação do certificado do peer.Exibir informações de CRL para o perfil ca dinâmico entrando no comando do show security pki crl ca-profile dynamic-001 detail modo operacional.
Enter
user@host> show security pki crl ca-profile dynamic-001 detail CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sub11 Effective date: 09-19-2012 17:29 Next update: 09-20-2012 01:49 Revocation List: Serial number Revocation date 10647C84 09-19-2012 17:29 UTC
O certificado de Host B (número de série 10647084) foi revogado.
Fragmentação do IKEv2
Fragmentação de mensagens
A fragmentação de mensagens IKEv2, conforme descrito no RFC 7383, fragmentação de mensagens do Protocolo de Troca de Chaves da Internet Versão 2 (IKEv2), permite que o IKEv2 opere em ambientes onde fragmentos de IP podem ser bloqueados e os pares não seriam capazes de estabelecer uma associação de segurança IPsec (SA). A fragmentação do IKEv2 divide uma grande mensagem IKEv2 em um conjunto de menores para que não haja fragmentação no nível de IP. A fragmentação ocorre antes que a mensagem original seja criptografada e autenticada, de modo que cada fragmento seja criptografado e autenticado separadamente. No receptor, os fragmentos são coletados, verificados, descriptografados e mesclados na mensagem original.
Para que a fragmentação do IKEv2 ocorra, ambos os pares de VPN devem indicar o suporte à fragmentação, incluindo a carga de notificação IKEV2_FRAGMENTATION_SUPPORTED na troca de IKE_SA_INIT. Se ambos os pares indicarem suporte à fragmentação, cabe ao iniciador da troca de mensagens determinar se a fragmentação do IKEv2 é usada ou não.
Em firewalls da Série SRX, um máximo de 32 fragmentos são permitidos por mensagem IKEv2. Se o número de fragmentos de mensagem IKEv2 a serem enviados ou recebidos exceder 32, os fragmentos serão descartados e o túnel não estiver estabelecido. A retransmissão de fragmentos de mensagens individuais não é suportada
Configuração
Nos firewalls da Série SRX, a fragmentação do IKEv2 é habilitada por padrão para mensagens IPv4 e IPv6. Para desativar a fragmentação do IKEv2, use a disable
declaração no nível [edit security ike gateway gateway-name fragmentation
] de hierarquia. Você também pode usar a size
declaração para configurar o tamanho do pacote em que as mensagens são fragmentadas; o tamanho do pacote varia de 500 a 1300 bytes. Se size
não estiver configurado, o tamanho padrão do pacote é de 576 bytes para tráfego IPv4 e 1280 bytes para tráfego IPv6. Um pacote IKEv2 que é maior do que o tamanho do pacote configurado é fragmentado.
Depois que a fragmentação do IKEv2 é desativada ou habilitada ou o tamanho do fragmento de pacote é alterado, os túneis VPN hospedados no gateway IKE são desativados e os SAs IPsec são desativados.
Advertências
Os recursos a seguir não são suportados com a fragmentação do IKEv2:
Caminho MTU Discovery.
SNMP.
Consulte também
Política de IKE com um CA confiável
Este exemplo mostra como vincular um servidor CA confiável a uma política de IKE do peer.
Antes de começar, você deve ter uma lista de todos os CAs confiáveis que deseja associar à política de IKE dos peer.
Você pode associar uma política de IKE a um único perfil de CA confiável ou a um grupo de CA confiável. Para estabelecer uma conexão segura, o gateway IKE usa a política de IKE para se limitar ao grupo configurado de CAs (ca-profiles) enquanto valida o certificado. Um certificado emitido por qualquer fonte que não seja o CA confiável ou grupo de CA confiável não é validado. Se houver uma solicitação de validação de certificado vinda de uma política de IKE, então o perfil ca associado da política de IKE validará o certificado. Se uma política de IKE não estiver associada a nenhum CA, então, por padrão, o certificado será validado por qualquer um dos perfis de CA configurados.
Neste exemplo, um perfil de CA nomeado root-ca
é criado e um root-ca-identity
está associado ao perfil.
Você pode configurar um máximo de 20 perfis de CA que deseja adicionar a um grupo de CA confiável. Você não pode confirmar sua configuração se configurar mais de 20 perfis de CA em um grupo de CA confiável.
Para visualizar os perfis de CA e os grupos de CA confiáveis configurados em seu dispositivo, execute show security pki
o comando.
user@host# show security ike proposal ike_prop { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; } policy ike_policy { proposals ike_prop; certificate { local-certificate SPOKE; trusted-ca ca-profile root-ca; } }
O show security ike
comando exibe o grupo de perfil de CA sob a política de IKE nomeada ike_policy
e o certificado associado à política de IKE.
Consulte também
Configurando o responder de túnel estabelecido apenas no IKE
Este tópico mostra como configurar o respondente somente para túneis estabelecidos no Internet Key Exchange (IKE). Inicie os túneis a partir do peer remoto e envie o tráfego por todos os túneis. Especifica quando o IKE é ativado.
A partir do Junos OS Release 19.1R1, na linha SRX5000, a opção de túneis estabelecidos oferece suporte e responder-only
responder-only-no-rekey
valores sob o [edit security ipsec vpn vpn-name]
nível de hierarquia.
As responder-only
opções e responder-only-no-rekey
as opções são suportadas na linha SRX5000 com uma placa SPC3 somente se a junos-ike-package
instalação for. Essas opções são suportadas apenas em uma VPN de site para site. Essas opções não são suportadas em Auto VPN.
A e responder-only-no-rekey
as responder-only
opções não estabelecem nenhum túnel VPN do dispositivo, de modo que o túnel VPN é iniciado a partir do peer remoto. Quando você configura responder-only
, um túnel estabelecido rekeys IKE e IPsec com base nos valores de vida IKE e IPsec configurados. Quando você configura responder-only-no-rekey
, um túnel estabelecido não faz a relquisão do dispositivo e conta com o peer remoto para iniciar a rekey. Se o peer remoto não iniciar o rekey, o rompimento do túnel ocorre após a expiração da duração da vida útil.
Antes de começar:
Entenda como estabelecer um túnel IPsec autokey IKE. Leia Visão geral do IPsec.
Para configurar o respondente de túnel estabelecido apenas no IKE:
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.