IKE e ESP ALG
O Internet Key Exchange (IKE) e o Encapsulating Security Payload (ESP) fazem parte do protocolo de segurança IP (IPsec). O tráfego IKE e ESP é trocado entre os clientes e o servidor. O IKE e o ESP ALG ajudam a resolver os problemas das VPNs IPsec quando a VPN IPsec passa pelo dispositivo do qual o NAT está habilitado.
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Analise a seção de comportamento de ALG de IKE específica da plataforma para obter notas relacionadas à sua plataforma.
Entendendo o IKE e o ESP ALG
Um firewall da Série NFX ou da Série SRX pode ser usado apenas como um dispositivo de tradução de endereços de rede (NAT) quando colocado entre clientes VPN no lado privado do gateway NAT e os gateways de rede privada virtual (VPN) do lado público.
O tráfego de troca de chaves da Internet (IKE) e encapsulamento de payload de segurança (ESP) é trocado entre os clientes e o servidor. No entanto, se os clientes não oferecerem suporte ao NAT-Traversal (NAT-T) e se o dispositivo atribuir o mesmo endereço IP gerado por NAT a dois ou mais clientes, o dispositivo não poderá distinguir e rotear o tráfego de retorno corretamente.
Se o usuário quiser oferecer suporte a clientes compatíveis com NAT-T e não compatíveis com NAT-T, algumas configurações adicionais serão necessárias. Se houver clientes capazes de NAT-T, o usuário deve habilitar a persistência do endereço NAT de origem.
A ALG para IKE e ESP monitora o tráfego de IKE entre o cliente e o servidor e permite apenas uma troca de mensagens IKE Fase 2 entre qualquer par de cliente/servidor, não apenas uma troca entre qualquer cliente e qualquer servidor.
A ALG para tráfego IKE e ESP foi criada e o NAT foi aprimorado para implementar o seguinte:
Para permitir que os dispositivos passem pelo tráfego IKE e ESP com um pool de NAT de origem
Para permitir que o dispositivo seja configurado para devolver o mesmo endereço IP gerado por NAT para o mesmo endereço IP sem NAT ("NAT persistente em endereço"). Como resultado, o dispositivo é capaz de associar o tráfego IKE de saída de um cliente com seu tráfego de retorno do servidor, especialmente quando a sessão do IKE acaba e precisa ser restabelecida.
O tráfego ESP resultante entre o cliente e o servidor também é permitido, especialmente na direção do servidor até o cliente.
O tráfego ESP de retorno corresponde ao seguinte:
O endereço IP do servidor como IP de origem
O endereço IP do cliente como IP de destino
Entendendo a operação de IKE e ESP ALG
O tráfego de gateway de camada de aplicativo (ALG) para Internet Key Exchange (IKE) e encapsulamento de segurança payload (ESP) tem o seguinte comportamento:
Um IKE e o ESP ALG monitoram o tráfego IKE entre o cliente e o servidor, e permite apenas uma troca de mensagens da Fase 2 do IKE entre o cliente e o servidor a qualquer momento.
Para uma mensagem de Fase 2:
Se uma troca de mensagens da Fase 2 entre o cliente e o servidor não acontecer, os portões IKE ALG serão abertos para o tráfego ESP relevante do cliente para o servidor e do servidor para o cliente.
Se ambos os portões IKE ALG não forem abertos com sucesso ou se a troca de mensagens da Fase 2 já tiver ocorrido, a mensagem da Fase 2 será descartada.
Quando o tráfego ESP atinge os portões ALG do IKE, são criadas sessões para capturar tráfego ESP subsequente e realizar o NATing adequado (ou seja, a tradução de endereço IP de origem do cliente para o tráfego do servidor e a tradução de endereço IP de destino do servidor para o tráfego do cliente).
Quando o tráfego ESP não bate em um ou ambos os portões, então os portões naturalmente saem.
Assim que os portões IKE ALG forem colapsados ou cronometrados, outra troca de mensagens da Fase 2 do IKE é permitida.
O tráfego IKE NAT-T na porta flutuante 4500 não é processado em uma ALG IKE. Para oferecer suporte a uma mistura de clientes compatíveis com NAT-T e não capacitados, você precisa habilitar o endereço NAT de origem persistente.
Exemplo: configuração do IKE e do ESP ALG
Este exemplo mostra como configurar o IKE e o ESP ALG para passar pelo tráfego IKE e ESP com um pool de NAT de origem em dispositivos Juniper Networks.
Requisitos
Antes de começar:
Configure o ARP proxy para todos os endereços IP no pool de NAT de origem.
Entenda os conceitos por trás do IKE e do ESP ALG. Veja como entender a operação de IKE e ESP ALG.
Visão geral
Neste exemplo, a ALG para IKE e ESP está configurada para monitorar e permitir que o tráfego IKE e ESP seja trocado entre os clientes e o servidor localizado em lados opostos de um dispositivo da Juniper Networks.
Este exemplo mostra como configurar um pool de NAT de origem e um conjunto de regras, configurar um aplicativo personalizado para oferecer suporte ao IKE e à ESP ALG e associar essa ALG a uma política.
Se você quiser oferecer suporte a uma mistura de clientes capazes de atravessar NAT (NAT-T) e clientes não capazes, você deve permitir a tradução de NAT de origem persistente (para que uma vez que um NAT de origem específico esteja associado a um determinado endereço IP, as traduçãos nat de origem subsequente usam o mesmo endereço IP). Você também deve configurar um aplicativo de travessia IKE NAT personalizado para oferecer suporte ao encapsulamento de IKE e ESP na porta UDP 4500. Essa configuração permite que IKE e ESP passem pelo dispositivo habilitado para NAT.
Topologia
Configuração
- Configuração de um grupo de fontes de NAT e conjunto de regras
- Configurando um aplicativo personalizado e associando-o a uma política
- Configuração do suporte de IKE e ESP ALG para clientes com capacidade e sem capacidade de NAT-T
Configuração de um grupo de fontes de NAT e conjunto de regras
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar um pool de NAT de origem:
Crie um pool de fontes de NAT.
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
Configure as entradas do livro de endereços da zona de segurança.
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
Crie um conjunto de regras de origem de NAT.
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
user@host# show security nat
source {
pool pool1 {
address {
10.10.10.1/32 to 10.10.10.10/32;
}
}
rule-set rs1 {
from zone green;
to zone red;
rule r1 {
match {
source-address 1.1.1.0/24;
destination-address 2.2.2.0/24;
}
then {
source-nat {
pool {
pool1;
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configurando um aplicativo personalizado e associando-o a uma política
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Configurar um aplicativo personalizado e associá-lo a uma política:
Configure um aplicativo personalizado.
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
Associe o aplicativo personalizado a uma política.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show applications comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show applications
application custom-ike-alg {
application-protocol ike-esp-nat;
protocol udp;
source-port 500;
destination-port 500;
}
[edit]
user@host# show security zones
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone green {
address-book {
address sa1 1.1.1.0/24;
}
}
security-zone red {
address-book {
address da1 2.2.2.0/24;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração do suporte de IKE e ESP ALG para clientes com capacidade e sem capacidade de NAT-T
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o suporte de IKE e ESP ALG para clientes com capacidade de NAT-T e não capazes:
Habilitar globalmente a tradução de NAT de origem persistente.
[edit] user@host# set security nat source address-persistent
Configure o aplicativo IKE NAT-T.
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
Associe o aplicativo NAT-T usando uma política.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
address-persistent;
}
[edit]
user@host# show security policies
from-zone green to-zone red {
policy pol1 {
match {
source-address sa1;
destination-address da1;
application [ custom-ike-alg custom-ike-natt ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação de aplicativos personalizados de IKE e ESP ALG
- Verificando as polícias de segurança da ALG
Verificação de aplicativos personalizados de IKE e ESP ALG
Propósito
Verifique se os aplicativos personalizados para dar suporte ao IKE e ao ESP ALG estão habilitados.
Ação
A partir do modo operacional, entre no show security alg status comando.
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
Significado
A saída mostra o status da ALG da seguinte forma:
Habilitado — mostra que a ALG está habilitada.
Desativado — mostra que a ALG está desabilitada.
Verificando as polícias de segurança da ALG
Propósito
Verifique se o IKE ALG personalizado do aplicativo e o IKE NATT personalizado do aplicativo estão definidos.
Ação
A partir do modo operacional, entre no show security policies comando.
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
Significado
A saída de amostra mostra que os aplicativos IKE ALG personalizados e IKE NATT personalizados estão definidos.
Exemplo: habilitar o IKE, o ESP ALG e os intervalos de configuração
Este exemplo mostra como habilitar o IKE e o ESP ALG e definir os valores de tempo limite para permitir que a ALG processe informações de estado, portões ESP e sessões ESP da ALG.
Requisitos
Entenda os conceitos por trás da ALG para IKE e ESP. Veja como entender a operação de IKE e ESP ALG.
Visão geral
O IKE e o ESP ALG processam todo o tráfego especificado em qualquer política à qual a ALG está anexada. Neste exemplo, você configura a set security alg ike-esp-nat enable declaração para que o comportamento de passagem de IPsec padrão atual seja desativado para todo o tráfego de passagem IPsec, independentemente da política.
Em seguida, você define os valores de tempo limite para permitir que o IKE e o ESP ALG processem informações de estado de ALG, portões ESP e sessões ESP. Neste exemplo, você define o tempo limite de informações de estado da ALG. O intervalo de tempo limite é de 180 a 86400 segundos. O tempo limite padrão é de 14400 segundos. Em seguida, você define o tempo limite dos portões ESP criados após a conclusão de uma troca de Fase 2 do IKE. O intervalo de tempo limite é de 2 a 30 segundos. O tempo limite padrão é de 5 segundos. Por fim, você define o tempo limite ocioso das sessões ESP criadas a partir dos portões IPsec. Se nenhum tráfego chegar à sessão, ele fica sem tráfego após esse período. O intervalo de tempo limite é de 60 a 2400 segundos. O tempo limite padrão é de 1800 segundos.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para habilitar o IKE e o ESP ALG e definir os valores de tempo limite:
Habilite o IKE e o ESP ALG.
[edit] user@host# set security alg ike-esp-nat enable
Definir o tempo limite para as informações de estado da ALG.
[edit security alg ike-esp-nat] user@host# set state-timeout 360
Defina o tempo limite para os portões ESP criados após a conclusão de uma troca de Fase 2 do IKE.
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
Definir o tempo limite ocioso para as sessões ESP criadas a partir dos portões IPsec.
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security alg comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security alg
ike-esp-nat {
enable;
state-timeout 360;
esp-gate-timeout 20;
esp-session-timeout 2400;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Comportamento de ALG de IKE específico da plataforma
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para sua plataforma:
| Plataforma |
Diferença |
|---|---|
| Série SRX |
|