Configuración de una directiva IPsec
Configuración de la directiva IPsec para una PIC de ES
Una política IPsec define una combinación de parámetros de seguridad (propuestas IPsec) que se usan durante la negociación de IPsec. Define Perfect Forward Secrecy (PFS) y las propuestas necesarias para la conexión. Durante la negociación de IPsec, IPsec busca una propuesta de IPsec que sea la misma en ambos pares. El par que inicia la negociación envía todas sus directivas al par remoto y el par remoto intenta encontrar una coincidencia.
Se realiza una coincidencia cuando ambas directivas de los dos pares tienen una propuesta que contiene los mismos atributos configurados. Si las duraciones no son idénticas, se utiliza la vida útil más corta entre las dos políticas (del host y del par).
Puede crear varias propuestas IPsec priorizadas en cada par para asegurarse de que al menos una propuesta coincida con la propuesta de un par remoto.
En primer lugar, configure una o varias propuestas IPsec; y, a continuación, asociar estas propuestas a una directiva IPsec. Puede priorizar las propuestas de la lista enumerándolas en el orden en que la política IPsec las usa (del primero al último).
Para configurar una directiva IPsec, incluya la policy instrucción en el nivel de [edit security ipsec] jerarquía, especificando el nombre de la directiva y una o varias propuestas que desee asociar a esta directiva:
[edit security ipsec] policy ipsec-policy-name { proposals [ proposal-names ]; }
Configuración de la confidencialidad directa perfecta
PFS proporciona seguridad adicional mediante un valor secreto compartido de intercambio de claves Diffie-Hellman . Con PFS, si una clave se ve comprometida, las claves anteriores y posteriores son seguras porque no se derivan de claves anteriores. Esta instrucción es opcional.
Para configurar PFS, incluya la perfect-forward-secrecy instrucción y especifique un grupo Diffie-Hellman en el nivel jerárquico [edit security ipsec policy ipsec-policy-name] :
[edit security ipsec policy ipsec-policy-name] perfect-forward-secrecy { keys (group1 | group2); }
La clave puede ser una de las siguientes:
group1: especifique que IKE utilice el grupo de módulo principal Diffie-Hellman de 768 bits al realizar el nuevo intercambio Diffie-Hellman.group2: especifique que IKE utilice el grupo de módulo primo Diffie-Hellman de 1024 bits al realizar el nuevo intercambio Diffie-Hellman.
group2 Proporciona más seguridad que group1, pero requiere más tiempo de procesamiento.
Ejemplo: configuración de una directiva IPsec
En el ejemplo siguiente se muestra cómo configurar una directiva IPsec:
[edit security ipsec]
proposal dynamic-1 {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
proposal dynamic-2 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
policy dynamic-policy-1 {
perfect-forward-secrecy {
keys group1;
}
proposals [ dynamic-1 dynamic-2 ];
}
security-association dynamic-sa1 {
dynamic {
replay-window-size 64;
ipsec-policy dynamic-policy-1;
}
}
Las actualizaciones de la propuesta de IPsec actual y la configuración de la política no se aplican a la SA IPsec actual; las actualizaciones se aplican a las nuevas SA IPsec.
Si desea que las nuevas actualizaciones surtan efecto inmediato, debe borrar las asociaciones de seguridad IPsec existentes para que se restablezcan con la configuración cambiada. Para obtener información acerca de cómo borrar la asociación de seguridad IPsec actual, consulte el Explorador de CLI.