Configuração de uma política de IPsec
Configurando a política de IPsec para um PIC ES
Uma política de IPsec define uma combinação de parâmetros de segurança (propostas IPsec) usados durante a negociação do IPsec. Ele define o sigilo perfeito para o encaminhamento (PFS) e as propostas necessárias para a conexão. Durante a negociação do IPsec, o IPsec procura uma proposta de IPsec que seja a mesma para ambos os pares. O peer que inicia a negociação envia todas as suas políticas para o peer remoto, e o peer remoto tenta encontrar uma correspondência.
Uma correspondência é feita quando ambas as políticas dos dois pares têm uma proposta que contém os mesmos atributos configurados. Se a vida útil não for idêntica, a vida útil mais curta entre as duas políticas (do host e do peer) é usada.
Você pode criar várias propostas de IPsec priorizadas em cada peer para garantir que pelo menos uma proposta corresponda à proposta de um peer remoto.
Primeiro, você configura uma ou mais propostas de IPsec; e você associa essas propostas a uma política de IPsec. Você pode priorizar as propostas da lista listando-as na ordem em que a política IPsec as usa (primeiro a durar).
Para configurar uma política de IPsec, inclua a policy declaração no nível de [edit security ipsec] hierarquia, especificando o nome da política e uma ou mais propostas que você deseja associar a esta política:
[edit security ipsec] policy ipsec-policy-name { proposals [ proposal-names ]; }
Configuração do sigilo perfeito para o futuro
O PFS oferece segurança adicional por meio de uma troca de chave Diffie-Hellman de valor secreto compartilhado. Com o PFS, se uma chave for comprometida, as chaves anteriores e subsequentes estarão seguras porque elas não são derivadas das chaves anteriores. Esta declaração é opcional.
Para configurar o PFS, inclua a perfect-forward-secrecy declaração e especifique um grupo Diffie-Hellman no nível hierárquicos [edit security ipsec policy ipsec-policy-name] :
[edit security ipsec policy ipsec-policy-name] perfect-forward-secrecy { keys (group1 | group2); }
A chave pode ser um dos seguintes:
group1— Especifique que a IKE use o grupo principal modulus Diffie-Hellman de 768 bits ao realizar a nova troca Diffie-Hellman.group2— Especifique que a IKE use o grupo principal de modulus Diffie-Hellman de 1024 bits ao realizar a nova troca Diffie-Hellman.
group2 oferece mais segurança do que group1, mas requer mais tempo de processamento.
Exemplo: configuração de uma política IPsec
O exemplo a seguir mostra como configurar uma política IPsec:
[edit security ipsec]
proposal dynamic-1 {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
proposal dynamic-2 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
policy dynamic-policy-1 {
perfect-forward-secrecy {
keys group1;
}
proposals [ dynamic-1 dynamic-2 ];
}
security-association dynamic-sa1 {
dynamic {
replay-window-size 64;
ipsec-policy dynamic-policy-1;
}
}
As atualizações da proposta de IPsec atual e da configuração de políticas não são aplicadas à SA IPsec atual; as atualizações são aplicadas a novos SAs IPsec.
Se você quiser que as novas atualizações surtiram efeito imediato, você deve limpar as associações de segurança IPsec existentes para que elas sejam restabelecidas com a configuração alterada. Para obter informações sobre como limpar a associação de segurança IPsec atual, consulte o CLI Explorer.