Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

VPN IPsec com segurança quântica

Saiba como usar e configurar os mecanismos de recuperação de chave fora de banda no processo IKED para negociar com IKE e SAs IPsec seguros quânticos.

Visão geral da segurança quântica

O canal de comunicação IPsec conta com o protocolo Internet Key Exchange (IKE). O IKE mantém parâmetros de segurança para proteger o tráfego de dados. Os parâmetros de segurança incluem algoritmos de criptografia e autenticação e chaves associadas.

Os protocolos de segurança contam com algoritmos criptográficos assimétricos, como Diffie Hellman (DH) ou Diffie Hellman da Curva Elíptica (ECDH) para estabelecer que as chaves são vulneráveis a ataques.

Para evitar ataques de segurança, o RFC8784 introduz um método fora de banda. O método fora de banda adiciona uma chave secreta no iniciador e no respondente. A chave secreta é a chave pré-compartilhada pós-quântica (PPK).

  • Você pode usar o PPK, além do método de autenticação no IKEv2.

  • O PPK oferece resistência quântica a quaisquer SAs infantis em SAs IPsec negociados iniciais e quaisquer SAs IPsec subsequentes fedidos.

  • Com a chave de PPK e autenticação por pares, o iniciador e o respondente podem detectar uma incompatibilidade de chave.

Visão geral da segurança quântica

O canal de comunicação IPsec conta com o protocolo Internet Key Exchange (IKE). O IKE mantém parâmetros de segurança para proteger o tráfego de dados. Os parâmetros de segurança incluem algoritmos de criptografia e autenticação e chaves associadas.

Os protocolos de segurança contam com algoritmos criptográficos assimétricos, como Diffie Hellman (DH) ou Diffie Hellman da Curva Elíptica (ECDH) para estabelecer que as chaves são vulneráveis a ataques.

Para evitar ataques de segurança, o RFC8784 introduz um método fora de banda. O método fora de banda adiciona uma chave secreta no iniciador e no respondente. A chave secreta é a chave pré-compartilhada pós-quântica (PPK).

  • Você pode usar o PPK, além do método de autenticação no IKEv2.

  • O PPK oferece resistência quântica a quaisquer SAs infantis em SAs IPsec negociados iniciais e quaisquer SAs IPsec subsequentes fedidos.

  • Com a chave de PPK e autenticação por pares, o iniciador e o respondente podem detectar uma incompatibilidade de chave.

Visão geral do Junos Key Manager

Você pode usar o Junos Key Manager (JKM) para configurar as chaves estáticas ou as chaves dinâmicas para proteger o plano de dados e o plano de controle.

O processo JKM funciona como uma loja-chave e um proxy entre o cliente ou o aplicativo de criptografia. O cliente ou aplicativo de criptografia requer uma chave para estabelecer uma sessão de segurança quântica criptografada e autenticada com peer ou aplicativo. O cofre quântico usa o mecanismo de recuperação de chave fora da banda que permite que dois pares tenham a chave. Diferentes mecanismos fora de banda terão diferentes protocolos ou métodos para se comunicar. O JKM oferece uma interface uniforme comum para que os aplicativos de cliente ou cripto se comuniquem.

Mecanismo de recuperação de chave

Dois mecanismos de recuperação de chave fora de banda no processo IKED para negociar com IKE e SAs IPsec seguros quânticos.

  • Chave estática — com perfis chave estáticos, você pode configurar uma ID de chave estática e uma chave correspondente. A mesma ID e chave chave estática é gerada sempre que uma solicitação à JKM é gerada em um perfil chave estático.

  • Gerente de chave quântica — com perfis chave de gerenciamento de chave quântica, você pode acessar os dispositivos de distribuição de chave quântica (QKD) e a Rede Quântica. A Rede Quântica gera e troca chaves quânticas entre pares. Gera uma ID e uma chave chave diferentes todas as vezes solicitadas à JKM em um perfil chave de gerente de chave quântica.

Visão geral do Junos Key Manager

Você pode usar o Junos Key Manager (JKM) para configurar as chaves estáticas ou as chaves dinâmicas para proteger o plano de dados e o plano de controle.

O processo JKM funciona como uma loja-chave e um proxy entre o cliente ou o aplicativo de criptografia. O cliente ou aplicativo de criptografia requer uma chave para estabelecer uma sessão de segurança quântica criptografada e autenticada com peer ou aplicativo. O cofre quântico usa o mecanismo de recuperação de chave fora da banda que permite que dois pares tenham a chave. Diferentes mecanismos fora de banda terão diferentes protocolos ou métodos para se comunicar. O JKM oferece uma interface uniforme comum para que os aplicativos de cliente ou cripto se comuniquem.

Mecanismo de recuperação de chave

Dois mecanismos de recuperação de chave fora de banda no processo IKED para negociar com IKE e SAs IPsec seguros quânticos.

  • Chave estática — com perfis chave estáticos, você pode configurar uma ID de chave estática e uma chave correspondente. A mesma ID e chave chave estática é gerada sempre que uma solicitação à JKM é gerada em um perfil chave estático.

  • Gerente de chave quântica — com perfis chave de gerenciamento de chave quântica, você pode acessar os dispositivos de distribuição de chave quântica (QKD) e a Rede Quântica. A Rede Quântica gera e troca chaves quânticas entre pares. Gera uma ID e uma chave chave diferentes todas as vezes solicitadas à JKM em um perfil chave de gerente de chave quântica.

Use o perfil chave para VPN IPsec com segurança quântica

Com perfis chave estáticos, você pode configurar uma ID de chave estática e uma chave correspondente. Para estabelecer os SAs IPsec com segurança quântica, use o perfil chave estático como perfil de chave pré-compartilhada (PPK) pós-quântica na configuração IPsec-VPN. Usa a mesma chave e a ID chave para re-autenticar a SA IKE existente.

Com perfis de perfil de gerente de chave quântica, para acessar as Redes Quânticas, você precisa de acesso aos dispositivos QKD. A Rede Quântica gera e troca chaves quânticas entre pares. Você pode configurar todos os parâmetros necessários, como O ID SAE local, URL para o dispositivo QKD e assim por diante. Para estabelecer SAs IPsec, use o perfil chave do gerente de chave quântica como perfil de chave pré-compartilhada (PPK) pós-quântica na configuração de VPN IPsec. Usa uma chave diferente e uma ID chave para re-autenticar a SA IKE existente.

Use o perfil chave para VPN IPsec com segurança quântica

Com perfis chave estáticos, você pode configurar uma ID de chave estática e uma chave correspondente. Para estabelecer os SAs IPsec com segurança quântica, use o perfil chave estático como perfil de chave pré-compartilhada (PPK) pós-quântica na configuração IPsec-VPN. Usa a mesma chave e a ID chave para re-autenticar a SA IKE existente.

Com perfis de perfil de gerente de chave quântica, para acessar as Redes Quânticas, você precisa de acesso aos dispositivos QKD. A Rede Quântica gera e troca chaves quânticas entre pares. Você pode configurar todos os parâmetros necessários, como O ID SAE local, URL para o dispositivo QKD e assim por diante. Para estabelecer SAs IPsec, use o perfil chave do gerente de chave quântica como perfil de chave pré-compartilhada (PPK) pós-quântica na configuração de VPN IPsec. Usa uma chave diferente e uma ID chave para re-autenticar a SA IKE existente.

Distribuição de chave quântica

A distribuição de chave quântica (QKD) é um método de distribuição de chave segura que usa o quantum. As redes usam canais quânticos para gerar a mesma chave em ambas as extremidades e monitorar o canal quântico entre os pares. Essas chaves são dinâmicas, protegem o plano de dados e o plano de controle.

Entidade de gerenciamento chave (KME) é o termo que usamos para consultar os dispositivos QKD na camada de gerenciamento ou controle. Os dispositivos QKD se conectam entre si por meio de sua rede quântica ou QKD. Os KMEs se conectam pela rede pública através dos canais seguros para a troca de mensagens de controle. Os aplicativos, Secure Application Entity (SAEs) e dispositivos interagem com KMEs através dos canais seguros de acordo com a especificação ETSI. O HTTPS combina com a autenticação de TLS mútua e permite operações seguras na rede QKD.

Figura 1: Dois dispositivos interagindo com seus dispositivos QKD correspondentes para estabelecer uma sessão quântica seguraDois dispositivos interagindo com seus dispositivos QKD correspondentes para estabelecer uma sessão quântica segura

Figura 1 Nos descreve como os dois dispositivos interagem com seus dispositivos QKD correspondentes para estabelecer uma sessão de segurança quântica

  • A função SAE A é primária. O SAE A atua como o iniciador para estabelecer uma sessão de segurança quântica com SAE B.

  • A função SAE B é secundária. O SAE B atua como o respondente.

  • O SAE A solicita o KME A através da API chave get para gerar e compartilhar uma nova chave quântica com SAE B com O ID SAE alvo.

  • O KME A realiza a operação e responde ao SAE A com o ID chave gerado e o material chave.

  • O KME B recebe o material chave e a chave de ID gerada na rede QKD.

  • O SAE A inicia uma sessão segura com SAE B usando diretamente a mesma chave e ID chave.

  • Uma troca de mensagens estabelece uma sessão segura com o SAE B.

  • O SAE A envia o ID chave em texto simples ou criptografado para a chave quântica correspondente que é usada para proteger a sessão com SAE B.

  • Assim que o SAE B recebe o ID chave, o SAE B entra em contato com o KME B através da chave Get com IDs API para obter a chave quântica correspondente para a ID chave e ID sae alvo ou SAE A.

  • Após o SAE B receber a chave, uma sessão totalmente protegida por quantum estabelece entre SAE A e SAE B.

Distribuição de chave quântica

A distribuição de chave quântica (QKD) é um método de distribuição de chave segura que usa o quantum. As redes usam canais quânticos para gerar a mesma chave em ambas as extremidades e monitorar o canal quântico entre os pares. Essas chaves são dinâmicas, protegem o plano de dados e o plano de controle.

Entidade de gerenciamento chave (KME) é o termo que usamos para consultar os dispositivos QKD na camada de gerenciamento ou controle. Os dispositivos QKD se conectam entre si por meio de sua rede quântica ou QKD. Os KMEs se conectam pela rede pública através dos canais seguros para a troca de mensagens de controle. Os aplicativos, Secure Application Entity (SAEs) e dispositivos interagem com KMEs através dos canais seguros de acordo com a especificação ETSI. O HTTPS combina com a autenticação de TLS mútua e permite operações seguras na rede QKD.

Figura 2: Dois dispositivos interagindo com seus dispositivos QKD correspondentes para estabelecer uma sessão quântica seguraDois dispositivos interagindo com seus dispositivos QKD correspondentes para estabelecer uma sessão quântica segura

Figura 2 Nos descreve como os dois dispositivos interagem com seus dispositivos QKD correspondentes para estabelecer uma sessão de segurança quântica

  • A função SAE A é primária. O SAE A atua como o iniciador para estabelecer uma sessão de segurança quântica com SAE B.

  • A função SAE B é secundária. O SAE B atua como o respondente.

  • O SAE A solicita o KME A através da API chave get para gerar e compartilhar uma nova chave quântica com SAE B com O ID SAE alvo.

  • O KME A realiza a operação e responde ao SAE A com o ID chave gerado e o material chave.

  • O KME B recebe o material chave e a chave de ID gerada na rede QKD.

  • O SAE A inicia uma sessão segura com SAE B usando diretamente a mesma chave e ID chave.

  • Uma troca de mensagens estabelece uma sessão segura com o SAE B.

  • O SAE A envia o ID chave em texto simples ou criptografado para a chave quântica correspondente que é usada para proteger a sessão com SAE B.

  • Assim que o SAE B recebe o ID chave, o SAE B entra em contato com o KME B através da chave Get com IDs API para obter a chave quântica correspondente para a ID chave e ID sae alvo ou SAE A.

  • Após o SAE B receber a chave, uma sessão totalmente protegida por quantum estabelece entre SAE A e SAE B.

Configure o perfil chave estático para o Junos Key Manager

Este exemplo mostra como configurar o perfil chave estático para o gerenciador chave do Junos. Configure as chaves estáticas em gateways interessados e não precise compartilhar chaves estáticas pela Internet para estabelecer o túnel IPsec.

Requisitos

  1. Requisitos de hardware — Juniper Networks® SRX1500 firewall e modelos de dispositivos de maior número ou firewall virtual vSRX da Juniper Networks® (vSRX3.0).

  2. Requisitos de software — Versão do Junos OS 22.4R1 ou posterior com JUNOS ike e JUNOS Key Manager pacotes.

Visão geral

Com perfis baseados em chave estática, você precisa configurar uma ID de chave estática e uma chave correspondente. Se você usar o perfil chave estático no objeto VPN IPsec, quando a re-autenticação para IKE SA existente a mesma chave e ID chave são usadas.

Configuração

Configure o perfil chave estático para o gerente-chave do Junos.

Verificação

Propósito

Verifique o perfil e as chaves da chave estática.

Ação

Desde o request security key-manager profiles get profile-keys name km_profile_1 modo operacional, entre para ver o perfil e as chaves da chave estática.

Do modo operacional, digite show security key-manager profiles name km_profile_1 detail para visualizar os detalhes estáticos do perfil da chave.

Significado

Ele request security key-manager profiles get profile-keys name km_profile_1 exibe o status, nome de perfil de chave estática, tipo, tamanho da chave, ID da chave e chaves.

Ele show security key-manager profiles name km_profile_1 detail exibe o nome, tipo e status de solicitação de chave estática.

Exemplo: Configure o perfil de chaves estáticas para VPN de site para site

Use este exemplo de configuração para configurar o perfil chave estático. Você pode usar o perfil de chave estática para proteger uma infraestrutura de VPN IPsec de site para local.

Você pode proteger uma infraestrutura de VPN IPsec de site para local configurando o perfil chave estático.

Neste exemplo de configuração, os dispositivos SRX1 e SRX2 usam o perfil chave estático para buscar as chaves QKD na VPN IPsec. As chaves QKD ajudam a enviar tráfego com segurança pela Internet.

Dica:
Tabela 1: Timers estimados

Tempo de leitura

Menos de uma hora

Tempo de configuração

Menos de uma hora

Pré-requisitos de exemplo

Tabela 2: Requisitos

Requisitos de hardware

Juniper Networks® SRX1500 firewall ou modelos de dispositivos de maior número ou firewall virtual vSRX da Juniper Networks® (vSRX3.0)

Requisitos de software

Versão Junos OS 22.4R1 ou posterior.

Antes de começar

Tabela 3: Benefícios, recursos e informações adicionais

Benefícios

  • Identificação de ameaças

    Ao configurar chaves quânticas, você pode estabelecer um canal quântico seguro entre os dispositivos QKD. Isso melhora a identificação de ameaças e protege a rede.

  • Estenda a segurança

    Você pode mesclar as chaves existentes com chaves quânticas e criptografá-las e descriptografá-las em túneis VPN existentes. Isso melhora a segurança da infraestrutura de VPN IPsec.

  • Maior força criptográfica

    A conformidade com o RFC 8784 oferece a você uma maneira fácil de evitar que os invasores façam espionagem na conexão e interceptem as chaves. Isso também garante a interoperabilidade com outros dispositivos que aderem ao padrão.

  • Suporte para a interoperabilidade

    Use qualquer dispositivo QKD que ofereça suporte à API ETSI QKD Rest.

Recursos úteis

  

Saiba mais

Experiência prática

VLABs Sandbox

Saiba mais

RFC 8784 - Mistura de chaves pré-compartilhadas no Protocolo de Troca de Chaves da Internet Versão 2 (IKEv2) para segurança pós-quântica

Visão geral funcional

Tabela 4: Visão geral funcional do gerente de chave estática
IPsec VPN

Implante uma topologia de VPN IPsec onde os dispositivos de firewall da Série SRX são conectados por túneis VPN que enviam tráfego pelo túnel VPN IPsec. Os túneis VPN são configurados posteriormente para usar chaves quânticas, tornando-os túneis VPN com segurança quântica.
Gateway IKE

Estabeleça uma conexão segura, o gateway IKE usa a política de IKE para se limitar ao grupo configurado de CAs (ca-profiles) enquanto valida o certificado.
Propostas
Proposta de IKE

Defina os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares.

O IKE cria os SAs dinâmicos e os negocia para o IPsec.
Proposta de IPsec

Liste protocolos, algoritmos e serviços de segurança a serem negociados com o peer IPsec remoto.
Políticas
Política de IKE

Definir uma combinação de parâmetros de segurança (propostas de IKE) a serem usados durante a negociação da IKE.
Política de IPsec

Contenha regras e políticas de segurança para permitir o tráfego de VPN em grupo entre as zonas especificadas.
Política de segurança

Permite que você selecione o tipo de tráfego de dados para proteger por meio dos SAs IPsec.

  • VPN-OUT — permite o tráfego da zona de confiança até a zona vpn, onde os critérios de correspondência são:

    • endereço-fonte: HOST-1-Net

    • endereço de destino: HOST-2-Net

    • aplicação: qualquer

  • VPN-IN — permite o tráfego da zona de vpn até a zona de confiança, onde estão os critérios de correspondência:

    • endereço-fonte: HOST-2-Net

    • endereço de destino: HOST-1-Net

    • aplicação: qualquer

Perfis

Perfil chave

Definir como os dispositivos de firewall da Série SRX usam o perfil chave estático para buscar as chaves QKD na VPN IPsec para enviar tráfego com segurança pela Internet.

  • Perfil chave — um perfil km_profile_1 de chave estático estático está configurado para aplicativos e serviços para recuperar a id de chave configurada e a chave correspondente.

  • Proposta de IKE — uma proposta IKE_PROP de IKE é configurada com os algoritmos necessários para estabelecer uma SA IKE.

  • Política de IKE — uma política IKE_POL de IKE está configurada para definir os atributos de negociação e autenticação em tempo de execução.

  • Gateway IKE — um gateway IKE_GW IKE está configurado para gerenciar os túneis IPsec entre endpoints. A ppk-profile indica qual perfil chave usar para estabelecer IKE seguro quântico ou SA IPsec.

  • Proposta de IPsec — uma proposta IPSEC_PROP de IPsec é configurada com os algoritmos necessários para estabelecer uma SA IPsec.

  • Política de IPsec — uma política IPSEC_POL de IPsec está configurada para definir os atributos de negociação de IPsec em tempo de execução.

  • VPN IPsec — uma política IPSEC_VPN de VPN IPsec está configurada para definir a gama de sub-redes que precisam ser protegidas.

  • Zona de segurança — três zonas trustde segurança diferentes — untrust e vpn estão configuradas para uma melhor segregação do tráfego esperado em cada uma dessas zonas.

  • Política de segurança — Políticas trust to vpn de segurança e vpn to trust estão configuradas entre as zonas de segurança para filtrar qual tipo de tráfego de dados é protegido pelos SAs IPsec.
Perfil do PPK

Indique qual perfil chave usar para estabelecer SAs de IKE ou IPsec com segurança quântica fazendo referência ao perfil chave no gateway IKE.
Certificados
Certificado de CA Verifique a identidade dos dispositivos e autenticar o link de comunicação entre eles.
Certificado local Gere o PKI e inscreva-o com o certificado ca para verificação.
Certificado KME Certificado de terceiros gerado por fornecedor
Zonas de segurança
confiança

Segmento de rede na zona de host
desconfiança

Segmento de rede na zona de servidor de destino
VPN

Segmento de rede pelo qual os dispositivos SRX1 e SRX2 interagem.

Tarefas primárias de verificação

 Verifique se os SAs IKE e IPsec estabelecidos são seguros em quantum.

Visão geral da topologia

Neste exemplo, o SRX1 inicia a negociação de túneis IPsec com segurança quântica com SRX2 usando chave estática configurada para CLI. O SRX2 responde a essa solicitação verificando a identidade do SRX1 junto com a chave e estabelece uma VPN IPsec com segurança quântica. Uma vez estabelecido o túnel, o tráfego de dados entre o Host1 e o Host2 fica seguro usando o túnel IPsec estabelecido.

Tabela 5: Dispositivos, função e funcionalidade usados nesta configuração

Nome de host

Função

Função
SRX1

Firewall da Série SRX capaz de estabelecer túneis IPsec

Inicia a negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica com SRX2 usando chave estática configurada no SRX1.
SRX2 Firewall da Série SRX capaz de estabelecer túneis IPsec Responde à negociação IKE ou IPsec SA iniciada pelo SRX1 e estabelece túneis IPsec com segurança quântica usando chave estática configurada no SRX2.
Host1 Um host dentro da zona confiável ou lado LAN do SRX1 Inicia o tráfego do lado do cliente em direção ao Host2
Host2 Um host dentro da zona confiável ou lado LAN do SRX2 Responde ao tráfego do lado cliente do Host1

Ilustração de topologia

Figura 3: VPN de site para site VPN de site para site

Configuração passo a passo em dispositivos de firewall da Série SRX

Nota:

Para ver configurações de amostra completas no DUT, veja:

Essa configuração é aplicável apenas para dispositivos SRX1 e SRX2. Você deve fazer as alterações de configuração específicas do dispositivo apropriadas.

  1. Configure as interfaces.

  2. Configure um perfil chave do tipo estático com um key-id e uma chave correspondente.

  3. Configure as zonas de segurança.

Verificação

Esta seção fornece uma lista de comandos de exibição que você pode usar para verificar o recurso neste exemplo.

Tabela 6: Mostrar comandos para verificar

Comando

Tarefa de verificação

mostrar segurança ike detalhes de associações de segurança

Verifique se os SAs de IKE estão estabelecidos.

mostrar detalhes das associações de segurança ipsec de segurança

Verifique se os SAs IPsec estão estabelecidos.

mostrar estatísticas de segurança ipsec

Verifique as estatísticas de criptografia e descriptografia do IPsec.

mostrar detalhes dos perfis dos principais gerentes de segurança

Verifique as principais estatísticas de perfil.

ping 192.168.80.20 fonte 192.168.90.20 contagem 4

Ping de HOST1 para HOST2 ou vice-versa.

Verifique os SAs de IKE

Propósito

Verifique os SAs de IKE

Ação

Desde o modo operacional, entre no show security ike security-associations detail comando para ver os SAs IKE.

Significado

Os Role: Initiator, State: UPcampos e IPSec security associations: 4 createdPPK-profile: km_profile_1 Optional: NoFlags: IKE SA is created os campos mostram que os SAs IKE foram criados com sucesso.

Verifique os SAs IPsec

Propósito

Verifique os SAs IPsec

Ação

Do modo operacional, entre no show security ipsec security-associations detail comando para ver os SAs IPsec.

Significado

Os Version: IKEv2 Quantum Secured: Yes campos e os campos tunnel-establishment: establish-tunnels-immediately IKE SA Index: 1 mostram que os SAs IPsec foram criados com sucesso.

A saída de amostra confirma os SAs IPsec.

Verifique as estatísticas do IPsec

Propósito

Verifique as estatísticas do IPsec.

Ação

Do modo operacional, entre no show security ipsec statistics comando para ver as estatísticas do IPsec.

Significado

Os ESP Statistics campos e os campos AH Statistics mostram as estatísticas do IPsec.

Verificar o perfil do gerente-chave

Propósito

Verifique o perfil do gerente chave.

Ação

Do modo operacional, digite os show security key-manager profiles detalhes para visualizar o perfil do gerente chave.

Significado

Os Name: km_profile_1 campos e os campos Type: Static mostram o perfil chave do gerente.

Ping do HOST 1 para HOST 2

Propósito

Verifique a conectividade do HOST 1 ao HOST 2.

Ação

A partir do modo operacional, entre na contagem de ping 192.168.80.20 fonte 192.168.90.20 4 para visualizar a conectividade do HOST 1 ao HOST 2.

Significado

A PING 192.168.80.20 (192.168.80.20): 56 data bytes confirmação da conectividade do HOST 1 ao HOST 2.

Apêndice 1: Definir comandos em todos os dispositivos

Definir saída de comando em todos os dispositivos.

Definir comandos no SRX1
Definir comandos no SRX2

Apêndice 2: Mostrar saída de configuração no DUT

SRX1

A partir do modo de configuração, confirme sua configuração entrando nos show security ike proposal IKE_PROPshow security ipsec proposal IPSEC_PROPshow interfacesshow security zonesshow security key-managershow security key-manager profilesshow security ike policy IKE_POLshow security ike gateway IKE_GWshow security policiesshow security ipsec policy IPSEC_POLcomandos e show security ipsec vpn IPSEC_VPN comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

SRX2

A partir do modo de configuração, confirme sua configuração entrando nos show security ike proposal IKE_PROPshow security ipsec proposal IPSEC_PROPshow interfacesshow security zonesshow security key-managershow security key-manager profilesshow security ike policy IKE_POLshow security ike gateway IKE_GWshow security policiesshow security ipsec policy IPSEC_POLcomandos e show security ipsec vpn IPSEC_VPN comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Exemplo: Configure a topologia IPsec AutoVPN com segurança quântica usando o perfil chave do gerente de chave quântica

Use este exemplo de configuração para proteger uma infraestrutura IPsec AutoVPN configurando o perfil chave do gerente de chave quântica.

O Hub, Spoke 1 e Spoke 2 usam perfis chave de gerenciamento de chave quântica para se comunicarem com KME Hub, KME Spoke 1 e KME Spoke 2 para buscar as chaves QKD e estabelecer túneis de VPN IPsec.

Dica:
Tabela 7: Timers estimados

Tempo de leitura

Menos de uma hora.

Tempo de configuração

Menos de uma hora.

Pré-requisitos de exemplo

Tabela 8: Requisitos de hardware e software

Requisitos de hardware

  • Juniper Networks® SRX1500 firewall ou modelos de dispositivos de maior número ou firewall virtual vSRX da Juniper Networks® (vSRX3.0)

  • Dispositivos de entidade de gerenciamento de chave (KME) ou de distribuição de chave quântica (QKD) de terceiros. Os parâmetros KME são conforme a especificação ETSI GS QKD 014 .

Requisitos de software

Versão Junos OS 22.4R1 ou posterior.

Antes de começar

Tabela 9: Benefícios, recursos e informações adicionais

Benefícios

  • Identificação de ameaças

    Estabeleça um canal quântico seguro entre os dispositivos QKD que garante a identificação de ameaças com a ajuda de chaves quânticas.

  • Estenda a segurança

    Mescla as chaves existentes com chaves quânticas e as criptografa e as descriptografa em túneis VPN existentes, estendendo assim a segurança da infraestrutura de VPN IPsec.

  • Conformidade com o RFC 8784

    Estenda o já padronizado procedimento RFC 8784.

  • Suporte para a interoperabilidade

    Use qualquer dispositivo QKD que ofereça suporte à API ETSI QKD Rest.

Recursos úteis

  

Saiba mais

Experiência prática

Sandbox vLab: VPN IPsec — Baseada em políticas

Saiba mais

Visão geral funcional

Tabela 10 fornece um resumo rápido dos componentes de configuração implantados neste exemplo.

Tabela 10: Visão geral funcional do gerente de chave quântica
IPsec VPN

Implante uma topologia de VPN IPsec hub-and-spoke onde os spokes são conectados por túneis VPN que enviam tráfego pelo hub. Esses túneis VPN são configurados posteriormente para usar chaves quânticas, tornando-os túneis VPN com segurança quântica.
Gateway IKE

Estabeleça uma conexão segura, o gateway IKE usa a política de IKE para se limitar ao grupo configurado de CAs (ca-profiles) enquanto valida o certificado.
Propostas
Proposta de IKE

Defina os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares.

O IKE cria os SAs dinâmicos e os negocia para o IPsec.
Proposta de IPsec

Liste protocolos, algoritmos e serviços de segurança a serem negociados com o peer IPsec remoto.
Políticas
Política de IKE

Definir uma combinação de parâmetros de segurança (propostas de IKE) a serem usados durante a negociação da IKE.
Política de IPsec

Contenha regras e políticas de segurança para permitir o tráfego de VPN em grupo entre as zonas especificadas.
Política de segurança

Permite que você selecione o tipo de tráfego de dados para proteger por meio dos SAs IPsec.

  • VPN-OUT — permite o tráfego da zona de confiança até a zona vpn, onde os critérios de correspondência são:

    • endereço-fonte: HOST-1-Net

    • endereço de destino: HOST-2-Net

    • aplicação: qualquer

  • VPN-IN — permite o tráfego da zona de vpn até a zona de confiança, onde estão os critérios de correspondência:

    • endereço-fonte: HOST-2-Net

    • endereço de destino: HOST-1-Net

    • aplicação: qualquer

Perfis
Perfil chave

Definir como os dispositivos SRX se comunicam com os dispositivos KME para recuperar as chaves QKD do servidor KME externo. Os principais perfis estão configurados no hub (HUB_KM_PROFILE_1) e spokes (SPOKE_1_KM_PROFILE_1 e SPOKE_2_KM_PROFILE_1) separadamente.

Configure SPOKE-1 e para aplicativos e SPOKE-2 serviços para recuperar chaves QKD do servidor externo.

  • Perfil chave — Configure os seguintes perfis chave de gerente de chave quântica no Hub.

    • HUB_KM_PROFILE_1

    • SPOKE_1_KM_PROFILE_1

    • SPOKE_2_KM_PROFILE_1

  • Configure SPOKE-1 e SPOKE-2 com os algoritmos necessários para estabelecer um IKE SAs.

    Proposta de IKE — Configure as seguintes propostas de IKE no Hub.

    • HUB_IKE_PROP

    • SPOKE_1_IKE_PROP

    • SPOKE_2_IKE_PROP

  • Configure e SPOKE-2 configure SPOKE-1 os atributos de negociação e autenticação em tempo de execução.

    Política de IKE — Configure as seguintes políticas de IKE no Hub.

    • HUB_IKE_POL

    • SPOKE_1_IKE_POL

    • SPOKE_3_IKE_POL

  • Configure SPOKE-1 e SPOKE-2 defina os endpoints entre os túneis IPsec.

    Gateway IKE — Configure os seguintes gateways IKE no Hub.

    A ppk-profile indica qual perfil chave usar para estabelecer IKE com segurança quântica ou SA IPsec.

    • HUB_IKE_GW

    • SPOKE_1_IKE_GW

    • SPOKE_2_IKE_GW

  • Configure SPOKE-1 e SPOKE-2 com os algoritmos necessários para estabelecer uma SA IPsec.

    Proposta de IPsec — Configure as seguintes propostas de IPsec no Hub.

    • HUB_IPSEC_PROP

    • SPOKE_1_IPSEC_PROP

    • SPOKE_2_IPSEC_PROP

  • Configure SPOKE-1 e SPOKE-2 defina os atributos de negociação de IPsec em tempo de execução.

    Política de IPsec — Configure as seguintes políticas de IPsec no Hub.

    • HUB_IPSEC_POL

    • SPOKE_1_IPSEC_POL

    • SPOKE_2_IPSEC_POL

  • Configure SPOKE-1 e SPOKE-2 defina a gama de sub-redes que precisam ser protegidas.

    VPN IPsec — Configure as seguintes VPNs IPsec no Hub.

    • HUB_IPSEC_VPN

    • SPOKE_1_IPSEC_VPN

    • SPOKE_2_IPSEC_VPN

  • Zona de segurança — configure três zonas de segurança diferentes para segregar o tráfego.

    • trust

    • untrust

    • vpn

  • Política de segurança — Configure as políticas trust to vpn de segurança e vpn to trust selecione o tipo de tráfego de dados que é protegido por meio dos SAs IPsec.
Perfil do PPK

Indique qual perfil chave usar para estabelecer SAs de IKE ou IPsec com segurança quântica fazendo referência ao perfil chave no gateway IKE.
Certificados
Certificado de CA Verifique a identidade dos dispositivos e autenticar o link de comunicação entre eles.
Certificado local Gere o PKI e inscreva-o com o certificado ca para verificação.
Certificado KME Certificado de terceiros gerado pelo fornecedor.
Zonas de segurança
confiança

Segmento de rede na zona de host.
desconfiança

Segmento de rede na zona de servidor de destino.
VPN

Segmento de rede por meio do qual o hub e os spokes interagem.

Tarefas primárias de verificação

Verifique se os SAs IKE e IPsec estabelecidos são seguros em quantum.

Visão geral da topologia

Neste exemplo, protegemos os túneis de VPN IPsec hub-and-spoke usando chaves quânticas geradas por dispositivos KME de terceiros. Os dispositivos KME (KME-Hub, KME-Spoke 1 e KME-Spoke 2) estão conectados entre si por meio de um canal quântico altamente seguro e capaz de identificar ameaças. Usando este canal, os dispositivos Hub e Spoke recuperam chaves quânticas de seu dispositivo KME correspondente e as fundem com as chaves existentes para tornar os túneis VPN quânticos seguros.

Tabela 11: Componentes de topologia de gerente de chave quântica

Componentes de topologia

Função

Função
Hub Firewall da Série SRX capaz de estabelecer túneis IPsec Responde à negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica usando a chave QKD do dispositivo SPOKE-1SPOKE-2QKD KME-HUB e .
SPOKE-1 Firewall da Série SRX capaz de estabelecer túneis IPsec Inicia a negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica com hub usando chave QKD do KME-SPOKE-1 dispositivo QKD.
SPOKE-2 Firewall da Série SRX capaz de estabelecer túneis IPsec Inicia a negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica com hub usando chave QKD do KME-SPOKE-2 dispositivo QKD.
HOST-1 O host dentro da zona confiável ou do lado LAN é SPOKE 1Host 1 protegido por SPOKE 1. Inicia o tráfego do lado do cliente em direção HOST-3
HOST-2 O host dentro da zona confiável ou do lado LAN é SPOKE 2Host 2 protegido por SPOKE 2. Inicia o tráfego do lado do cliente em direção HOST-3
HOST- 3 Hospedar dentro da zona confiável ou do lado LAN do hub. Host 3 é protegido por Hub. Responde ao tráfego do lado do cliente de HOST-1 e HOST-2
KME-HUB Dispositivo QKD de terceiros Fornece chaves QKD em resposta às principais solicitações da HUB
KME-SPOKE-1 Dispositivo QKD de terceiros Fornece chaves QKD em resposta às principais solicitações da SPOKE-1
KME-SPOKE-2 Dispositivo QKD de terceiros Fornece chaves QKD em resposta às principais solicitações da SPOKE-2

Ilustração de topologia

Figura 4: Gerente de chave quântica com AutoVPNGerente de chave quântica com AutoVPN

Configuração passo a passo no hub

Nota:

Para obter configurações de amostra completas nos dispositivos hub e spoke, veja:

  1. Configure as interfaces de hub.

  2. Configure o hub-spoke da VPN IPsec. Isso inclui a configuração das zonas de segurança, políticas de segurança e certificados relevantes para autenticar identidades de dispositivos e seus links de comunicação.

    Configure o hub para obter o certificado ca do servidor CA ou carregue um certificado de CA disponível localmente no dispositivo.

    Nota:

    Os certificados KME precisam ser configurados conforme instruções de um fornecedor terceirizado.

    Configure a proposta e a política de IPsec. Configure a política, a proposta e o gateway IKE para a VPN IPsec.

  3. Configure o perfil chave do gerente de chave quântica para recuperar chaves quânticas do dispositivo KME-Hub correspondente.

  4. Vincule o perfil chave do gerente de chave quântica como o perfil ppk de gateway IKE para tornar os túneis vpn quânticos seguros.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração passo a passo em dispositivos spoke

Nota:

Para obter configurações de amostra completas nos dispositivos, veja:

Essa configuração é aplicável para dispositivos Spoke 1 e Spoke 2, você deve fazer as alterações de configuração específicas do dispositivo apropriadas.

  1. Configure as interfaces de spoke.

  2. Configure o hub-spoke da VPN IPsec. Isso inclui a configuração das zonas de segurança, políticas de segurança e certificados relevantes para autenticar identidades de dispositivos e seus links de comunicação.

    Configure o hub para obter o certificado ca do servidor CA ou carregue um certificado de CA disponível localmente no dispositivo.

    Nota:

    Os certificados KME precisam ser configurados conforme instruções de um fornecedor terceirizado.

    Configure a proposta e a política de IPsec. Configure a política, a proposta e o gateway IKE para a VPN IPsec.

  3. Configure o perfil chave do gerenciador de chaves quânticas para recuperar chaves quânticas do dispositivo spoke correspondente.

  4. Vincule o perfil chave do gerente de chave quântica como o perfil ppk de gateway IKE para tornar os túneis vpn quânticos seguros.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Esta seção fornece uma lista de comandos de exibição que você pode usar para verificar o recurso neste exemplo.

Tabela 12: Tarefas de verificação
Comando Tarefa de verificação

mostrar segurança ike detalhes de associações de segurança

 Verifique os SAs de IKE.

mostrar detalhes das associações de segurança ipsec de segurança

 Verifique os SAs IPsec.

mostrar estatísticas de segurança ipsec

 Verifique as estatísticas de criptografia e descriptografia do IPsec.

mostrar detalhes dos perfis dos principais gerentes de segurança

 Verifique as principais estatísticas de perfil.

ping 192.168.90.20 fonte 192.168.80.20 contagem 4

 Ping do Host 1 para Host 3.

ping 192.168.90.20 fonte 192.168.70.20 contagem 4

 Ping do Host 2 para Host 3.

Verifique os SAs de IKE

Propósito

Verifique os SAs de IKE.

Ação

Desde o modo operacional, entre no show security ike security-associations detail comando para ver os SAs IKE.

Significado

A saída de amostra confirma os SAs IKE.

Verifique os SAs IPsec

Propósito

Verifique os SAs IPsec.

Ação

Do modo operacional, entre no show security ipsec security-associations detail comando para ver os SAs IPsec.

Significado

A saída de amostra confirma os SAs IPsec.

Verifique as estatísticas do IPsec

Propósito

Verifique as estatísticas do IPsec.

Ação

Do modo operacional, entre no show security ipsec statistics comando para ver as estatísticas do IPsec.

Significado

A saída de amostra confirma as estatísticas do IPsec.

Verificar o perfil do gerente-chave

Propósito

Verifique o perfil do gerente chave.

Ação

A partir do modo operacional, entre no show security key-manager profiles detail comando e verifique o Success campo na opção Request stats .

Significado

A saída de amostra confirma o perfil de gerente de chave quântica.

Ping do Host 1 para Host 3

Propósito

Verifique a conectividade do Host 1 ao Host 3.

Ação

Do modo operacional, entre no ping 192.168.90.20 source 192.168.80.20 count 5 comando para visualizar a conectividade do Host 1 ao Host 3.

Significado

A saída de amostra confirma a conectividade do Host 1 ao Host 3.

Ping do Host 2 para Host 3

Propósito

Verifique a conectividade do Host 2 ao Host 3.

Ação

Do modo operacional, entre no ping 192.168.90.20 source 192.168.80.20 count 5 comando para visualizar a conectividade do Host 2 ao Host 3.

Significado

A saída de amostra confirma a conectividade do Host 2 ao Host 3.

Apêndice 1: Definir comandos em todos os dispositivos

Definir saída de comando em todos os dispositivos.

Definir comandos no hub
Definir comandos no Spoke 1
Definir comandos no Spoke 2

Apêndice 2: Mostrar saída de configuração no DUT

Mostre a saída de comando no DUT.

Hub

A partir do modo de configuração, confirme sua configuração entrando noshow security pki ca-profile Root-CA, , show security ike proposal HUB_IKE_PROPshow security key-manager, show security ike policy HUB_IKE_POL, show security ike gateway HUB_IKE_GW, show security ipsec proposal HUB_IPSEC_PROP, show security ipsec policy HUB_IPSEC_POL, show security ipsec vpn HUB_IPSEC_VPN, show security zones security-zone untrust, show security zones security-zone truste show security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trustshow interfaces comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Spoke 1

A partir do modo de configuração, confirme sua configuração entrando noshow security pki ca-profile Root-CA, , show security ike proposal SPOKE_1_IKE_PROPshow security key-manager profiles SPOKE_1_KM_PROFILE_1, show security ike policy SPOKE_1_IKE_POL, show security ike gateway SPOKE_1_IKE_GW, show security ipsec proposal SPOKE_1_IPSEC_PROP, show security ipsec policy SPOKE_1_IPSEC_POL, show security ipsec vpn SPOKE_1_IPSEC_VPN, show interfaces, show security zones security-zone untruste show security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trust comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Spoke 2

A partir do modo de configuração, confirme sua configuração entrando noshow security pki ca-profile Root-CA, , show security ike proposal SPOKE_1_IKE_PROPshow security key-manager profiles SPOKE_1_KM_PROFILE_1, show security ike policy SPOKE_1_IKE_POL, show security ike gateway SPOKE_1_IKE_GW, show security ipsec proposal SPOKE_1_IPSEC_PROP, show security ipsec policy SPOKE_1_IPSEC_POL, show security ipsec vpn SPOKE_1_IPSEC_VPN, show interfaces, show security zones security-zone untruste show security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trust comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Exemplo: Configure o perfil de chaves estáticas para AutoVPN

Use este exemplo de configuração para proteger uma infraestrutura IPsec AutoVPN configurando o perfil chave estático.

Você pode proteger uma infraestrutura IPsec AutoVPN configurando o perfil chave estático.

Neste exemplo de configuração, o Hub, Spoke 1 e Spoke 2 usam perfis-chave estáticos para buscar as chaves QKD na VPN IPsec. As chaves QKD ajudam a enviar tráfego com segurança pela Internet.

Dica:
Tabela 13: Timers estimados

Tempo de leitura

Menos de uma hora

Tempo de configuração

Menos de uma hora

Pré-requisitos de exemplo

Tabela 14: Requisitos

Requisitos de hardware

  • Juniper Networks® SRX1500 firewall ou modelos de dispositivos de maior número ou firewall virtual vSRX da Juniper Networks® (vSRX3.0)

  • Dispositivos de entidade de gerenciamento de chave (KME) ou de distribuição de chave quântica (QKD) de terceiros. Os parâmetros KME são conforme a especificação ETSI GS QKD 014 .

Requisitos de software

Versão Junos OS 22.4R1 ou posterior.

Antes de começar

Tabela 15: Benefícios, recursos e informações adicionais

Benefícios

  • Identificação de ameaças

    Ao configurar chaves quânticas, você pode estabelecer um canal quântico seguro entre os dispositivos QKD. Isso melhora a identificação de ameaças e protege a rede.

  • Estenda a segurança

    Você pode mesclar as chaves existentes com chaves quânticas e criptografá-las e descriptografá-las em túneis VPN existentes. Isso melhora a segurança da infraestrutura de VPN IPsec.

  • Maior força criptográfica

    A conformidade com o RFC 8784 oferece a você uma maneira fácil de evitar que os invasores façam espionagem na conexão e interceptem as chaves. Isso também garante a interoperabilidade com outros dispositivos que aderem ao padrão.

  • Suporte para a interoperabilidade

    Use qualquer dispositivo QKD que ofereça suporte à API ETSI QKD Rest.

Recursos úteis

  

Saiba mais

Experiência prática

VLABs Sandbox

Saiba mais

RFC 8784 - Mistura de chaves pré-compartilhadas no Protocolo de Troca de Chaves da Internet Versão 2 (IKEv2) para segurança pós-quântica

Obtenha o endereço da autoridade de certificado (CA) e as informações que eles exigem (como a senha do desafio) e então você envia solicitações de certificados locais. Veja a compreensão das solicitações de certificados locais.

Inscreva os certificados digitais em cada dispositivo. Veja exemplo: Carregamento manual de CA e certificados locais.

Visão geral funcional

Tabela 16: Visão geral funcional do gerente de chave estática
IPsec VPN

Implanta uma topologia de VPN IPsec hub-and-spoke onde os spokes são conectados por túneis VPN que enviam tráfego pelo hub. Esses túneis VPN são configurados posteriormente para usar chaves quânticas, tornando-os túneis VPN com segurança quântica.
Gateway IKE

Estabelece uma conexão segura, o gateway IKE usa a política de IKE para se limitar ao grupo configurado de CAs (ca-profiles) enquanto valida o certificado.
Propostas
Proposta de IKE

Define os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares.

O IKE cria os SAs dinâmicos e os negocia para o IPsec.
Proposta de IPsec

Lista protocolos, algoritmos e serviços de segurança a serem negociados com o peer IPsec remoto.
Políticas
Política de IKE

Define uma combinação de parâmetros de segurança (propostas de IKE) a serem usados durante a negociação da IKE.
Política de IPsec

Contém regras e políticas de segurança para permitir o tráfego de VPN em grupo entre as zonas especificadas.
Política de segurança

Permite que você selecione o tipo de tráfego de dados para proteger por meio dos SAs IPsec.

  • VPN-OUT — permite o tráfego da zona de confiança até a zona vpn, onde os critérios de correspondência são:

    • endereço-fonte: HOST-1-Net

    • endereço de destino: HOST-2-Net

    • aplicação: qualquer

  • VPN-IN — permite o tráfego da zona de vpn até a zona de confiança, onde os critérios de correspondência são:

    • endereço-fonte: HOST-2-Net

    • endereço de destino: HOST-1-Net

    • aplicação: qualquer

Perfis

Perfil chave

Definir como os dispositivos de firewall da Série SRX se comunicam com os dispositivos KME para recuperar chaves QKD do servidor KME externo. Os principais perfis estão configurados no hub (HUB_KM_PROFILE_1) e spokes (SPOKE_1_KM_PROFILE_1 e SPOKE_2_KM_PROFILE_1) separadamente.

  • Perfil chave — perfis de chave estáticos HUB_KM_PROFILE_1e SPOKE_2_KM_PROFILE_1SPOKE_1_KM_PROFILE_1 estão configurados no HUB, SPOKE-1 e SPOKE-2, respectivamente, para aplicativos/serviços recuperarem uma id de chave configurada para CLI e uma chave correspondente.

  • Proposta de IKE — propostas HUB_IKE_PROPde IKE e SPOKE_1_IKE_PROPSPOKE_2_IKE_PROP estão configuradas no HUB, SPOKE-1 e SPOKE-2, respectivamente, com os algoritmos necessários para estabelecer uma associação de segurança IKE.

  • Política de IKE — políticas HUB_IKE_POLde IKE e SPOKE_1_IKE_POLSPOKE_3_IKE_POL estão configuradas no HUB, SPOKE-1 e SPOKE-2, respectivamente, para definir os atributos de negociação/autenticação em tempo de execução.

  • Gateway IKE — gateways HUB_IKE_GWIKE e SPOKE_1_IKE_GWSPOKE_2_IKE_GW estão configurados no HUB, SPOKE-1 e SPOKE-2, respectivamente, para definir os endpoints entre os quais os túneis IPsec precisam ser estabelecidos, fazer referência à política de IKE configurada, à versão do IKE que precisa ser usada e a um perfil ppk para significar qual perfil chave precisa ser usado para estabelecer associações de segurança IKE/IPsec seguras.

  • Proposta de IPsec — propostas HUB_IPSEC_PROPde IPSEC , SPOKE_1_IPSEC_PROP e SPOKE_2_IPSEC_PROP estão configuradas no HUB, SPOKE-1 e SPOKE-2, respectivamente, com os algoritmos necessários para estabelecer uma associação de segurança IPSEC.

  • Política de IPsec — políticas HUB_IPSEC_POLde IPSEC e SPOKE_1_IPSEC_POLSPOKE_2_IPSEC_POL estão configuradas no HUB, SPOKE-1 e SPOKE-2, respectivamente, para definir os atributos de negociação de IPsec em tempo de execução.

  • VPN IPsec — VPNs HUB_IPSEC_VPNIPSEC e SPOKE_1_IPSEC_VPNSPOKE_2_IPSEC_VPN estão configuradas no HUB, SPOKE-1 e SPOKE-2, respectivamente, para definir a gama de sub-redes que precisam ser protegidas, fazer referência à política ipsec configurada e ao gateway ike.

  • Zona de segurança — 3 zonas trustde segurança diferentes — untrust e vpn estão configuradas para uma melhor segregação do tráfego esperado em cada uma dessas zonas.

  • Política de segurança — Políticas trust to vpn de segurança e vpn to trust estão configuradas entre as zonas de segurança para filtrar qual tipo de tráfego de dados é protegido por meio das associações de segurança IPsec.
Perfil do PPK

Indica qual perfil chave usar para estabelecer SAs IKE ou IPsec com segurança quântica fazendo referência ao perfil chave no gateway IKE.
Certificados
Certificado de CA Verifica a identidade dos dispositivos e autentica o link de comunicação entre eles.
Certificado local Gera PKI e o inscreve no certificado CA para verificação.
Certificado KME Certificado de terceiros gerado pelo fornecedor.
Zonas de segurança
confiança

Segmento de rede na zona de host.
desconfiança

Segmento de rede na zona de servidor de destino.
VPN

Segmento de rede por meio do qual o hub-and-spoke interage.

Tarefas primárias de verificação

 Verifique se os SAs IKE e IPsec estabelecidos são seguros em quantum.

Visão geral da topologia

Neste exemplo, o SPOKE 1 e o SPOKE 2 iniciam a negociação de túneis IPsec com segurança quântica com o Hub usando a chave estática configurada por CLI. O Hub responde às solicitações verificando a identidade do Spoke 1 e Spoke 2 juntamente com suas respectivas chaves e estabelece uma VPN IPsec com segurança quântica com ambos os spokes. Assim que os túneis forem estabelecidos, o tráfego de dados entre o Host 1 e o Host 3 e entre o Host 2 e o Host 3 ficam seguros usando os túneis IPsec estabelecidos.

Tabela 17: Dispositivos, função e funcionalidade usados nesta configuração

Nome de host

Função

Função
Hub Firewall da Série SRX capaz de estabelecer túneis IPsec Responde à negociação de IKE ou IPsec SA iniciada pelo SPOKE 1 e SPOKE 2 e estabelece túneis de IPsec com segurança quântica usando chave estática configurada no dispositivo Hub.
Spoke 1 Firewall da Série SRX capaz de estabelecer túneis IPsec Inicia a negociação de IKE/IPsec SA e estabelece túneis de IPsec com segurança quântica com o Hub usando chave estática configurada no Spoke 1.
Spoke 2 Firewall da Série SRX capaz de estabelecer túneis IPsec Inicia a negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica com o Hub usando chave estática configurada no Spoke 2.
Host 1 Host dentro da zona confiável ou lado LAN do Spoke 1 Inicia o tráfego do lado do cliente em direção ao Host 3.
Host 2 Host dentro da zona confiável ou lado LAN do Spoke 2 Inicia o tráfego do lado do cliente em direção ao Host 3.
Host 3 Host dentro da zona confiável ou lado LAN do HUB Responde ao tráfego do lado cliente do Host 1 e Host 2.

Ilustração de topologia

Figura 5: Chave estática com Auto VPN Chave estática com Auto VPN

Configuração passo a passo no hub

Nota:

Para ver configurações de amostra completas no DUT, veja:

Essa configuração é aplicável apenas para os dispositivos Hub. Você deve fazer as alterações de configuração específicas do dispositivo apropriadas.

  1. Configure as interfaces de hub.

  2. Configure o perfil da CA e o certificado ca.

  3. A partir do modo operacional, vincule o certificado ca ao perfil ca.

  4. Configure o perfil de gerente de chave estática.

  5. Configure o hub-spoke na VPN IPsec. Isso inclui a configuração das zonas de segurança, políticas de segurança e certificados relevantes para autenticar identidades de dispositivos e seus links de comunicação.

Configuração passo a passo em dispositivos spoke

Nota:

Para ver configurações de amostra completas no DUT, veja:

Essa configuração é aplicável para dispositivos Spoke 1 e Spoke 2. Para outros dispositivos, você deve fazer alterações de configuração específicas do dispositivo apropriadas.

  1. Configure as interfaces de spoke.

  2. Configure o hub-spoke na VPN IPsec. Isso inclui a configuração das zonas de segurança, políticas de segurança e certificados relevantes para autenticar identidades de dispositivos e seus links de comunicação.

  3. Configure o perfil de gerente de chave estática.

Verificação

Esta seção fornece uma lista de comandos de exibição que você pode usar para verificar o recurso neste exemplo.

Comando Tarefa de verificação

mostrar segurança ike detalhes de associações de segurança

Verifique se os SAs de IKE estão estabelecidos.

mostrar detalhes das associações de segurança ipsec de segurança

PropósitoVerifique se os SAs IPsec estão estabelecidos.

mostrar estatísticas de segurança ipsec

PropósitoVerifique as estatísticas de criptografia e descriptografia do IPsec.

mostrar detalhes dos perfis dos principais gerentes de segurança

Verifique as principais estatísticas de perfil.

ping 192.168.90.20 fonte 192.168.80.20 contagem 4

Ping do Host 1 para Host 3 ou vice-versa.

Verifique os SAs de IKE

Propósito

Verifique os SAs de IKE.

Ação

Desde o modo operacional, entre no show security ike security-associations detail comando para ver os SAs IKE.

Significado

Os Role: Responder, State: UPcampos e IPSec security associations: 2 created, 0 deletedPPK-profile: HUB_KM_PROFILE_1Flags: IKE SA is created os campos mostram que os SAs IKE foram criados com sucesso.

Verifique os SAs IPsec

Propósito

Verifique os SAs IPsec.

Ação

Do modo operacional, entre no show security ipsec security-associations detail comando para ver os SAs IPsec.

Significado

Os Quantum Secured: Yescampos e Policy-name: HUB_IPSEC_POLPassive mode tunneling: DisabledIPsec SA negotiation succeeds (1 times) os campos mostram que os SAs IPsec são criados com sucesso.

Verifique as estatísticas do IPsec

Propósito

Verifique as estatísticas do IPsec.

Ação

Do modo operacional, entre no show security ipsec statistics comando para ver as estatísticas do IPsec.

Significado

Os ESP Statistics campos e os campos AH Statistics mostram as estatísticas do IPsec.

Verificar o perfil do gerente-chave

Propósito

Verifique o perfil do gerente chave.

Ação

Do modo operacional, insira o show security key-manager profiles detail comando para visualizar o perfil do gerente chave.

Significado

Os Name: HUB_KM_PROFILE_1 campos e os campos Type: Static mostram o perfil do gerente-chave

Ping do Host 1 para Host 3 ou vice-versa

Propósito

Verifique a conectividade do Host 1 ao Host 3.

Ação

Do modo operacional, entre no ping 192.168.90.20 source 192.168.80.20 count 4 comando para visualizar a conectividade do Host 1 ao Host 3.

Significado

A PING 192.168.80.20 (192.168.80.20): 56 data bytes confirmação da conectividade do HOST 1 ao HOST 3.

Ping do Host 2 para Host 3 ou vice-versa

Propósito

Verifique a conectividade do Host 2 ao Host 3.

Ação

Do modo operacional, entre no ping 192.168.90.20 source 192.168.80.20 count 4 ponto de vista da conectividade do Host 2 ao Host 3.

Significado

A PING 192.168.80.20 (192.168.80.20): 56 data bytes confirmação da conectividade do HOST 2 ao HOST 3.

Apêndice 1: Definir comandos em todos os dispositivos

Definir saída de comando em todos os dispositivos.

Definir comandos no hub
Definir comandos no Spoke 1
Definir comandos no Spoke 2

Apêndice 2: Mostrar saída de configuração no DUT

Hub

A partir do modo de configuração, confirme sua configuração inserindo os show security zonesshow security ike gateway HUB_IKE_GWshow security ike policy HUB_IKE_POLshow security ike proposal HUB_IKE_PROPshow security ipsec policy HUB_IPSEC_POLshow security ipsec vpn HUB_IPSEC_VPNshow security ipsec proposal HUB_IPSEC_PROPshow interfacescomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Spoke 1

A partir do modo de configuração, confirme sua configuração inserindo os show security ipsec vpn SPOKE_1_IPSEC_VPNshow security zonesshow security ike proposal SPOKE_1_IKE_PROPshow security ike policy SPOKE_1_IKE_POLshow security ike gateway SPOKE_1_IKE_GWshow security key-manager profiles SPOKE_1_KM_PROFILE_1show security pki ca-profile Root-CAshow security ipsec policy SPOKE_1_IPSEC_POLshow interfacesshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security policiescomandos e show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Spoke 2

A partir do modo de configuração, confirme sua configuração inserindo os show security pkishow security ike proposal SPOKE_2_IKE_PROPshow security ike gateway SPOKE_2_IKE_GWshow security ike policy SPOKE_2_IKE_POLshow security key-managershow security ipsec vpn SPOKE_2_IPSEC_VPNshow interfacesshow security ipsec proposal SPOKE_2_IPSEC_PROPshow security zonescomandos e show security policies comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configure o perfil chave do gerente de chaves quânticas para o Junos Key Manager

Este exemplo mostra como configurar o perfil de chave quântica para o gerenciador-chave do Junos. Configure o perfil chave do gerenciador de chaves quânticas para gerar e enviar as chaves geradas para estabelecer um túnel VPN IPsec com segurança quântica.

Requisitos

  1. Requisitos de hardware — Juniper Networks® SRX1500 firewall e modelos de dispositivos de maior número ou firewall virtual vSRX da Juniper Networks® (vSRX3.0).

  2. Requisitos de software — Versão do Junos OS 22.4R1 ou posterior com JUNOS ike e JUNOS Key Manager pacotes.

  3. Use qualquer dispositivo QKD com suporte a ETSI Quantum Key Distribution (QKD) padrão rest API para comunicação.

  4. Carregue os certificados locais no dispositivo. Recomendamos que você fornecesse o caminho completo para o certificado.

Visão geral

Os dispositivos de firewall da Série SRX usam a VPN IPsec para enviar tráfego com segurança pela Internet. Configure o perfil chave do gerenciador de chaves quânticas na VPN IPsec para re-autenticar a SA IKE existente e uma nova chave e chave.

O perfil chave do gerente de chave quântica usa um método de distribuição de chave segura baseado em QKD para gerar e distribuir chaves que são seguras quânticas. Essas chaves são dinâmicas.

Configuração

  1. Configure o certificado ca.

  2. Carregue o certificado ca.

  3. Inscreva-se no certificado ca.

  4. Configure o perfil de gerente de chave quântica.

Verificação

Propósito

Verifique o perfil e as chaves da chave do gerente de chave quântica.

Ação

A partir do modo operacional, digite show security pki ca-certificate ca-profile Root-CA para visualizar o perfil da CA e os certificados de CA.

A partir do modo operacional, insira a show security pki local-certificate certificate-id SAE_A_CERT visualização dos certificados locais de PKI.

Desde o modo operacional, digite o perfil e as chaves do request security key-manager profiles get profile-keys name km_profile_1 peer-sae-id SAE_B gerenciador de chaves do dispositivo peer.

A partir do modo operacional, digite para visualizar os show security key-manager profiles name KM_PROFILE_1 detail principais detalhes do perfil do gerente.

Significado

O show security pki ca-certificate ca-profile Root-CA display exibe nome do perfil PKI CA, identificador de certificados, validade, algoritmo de chave pública e assim por diante.

Ele show security pki local-certificate certificate-id SAE_A_CERT exibe o nome do perfil local da CA, identificador de certificados, validade, algoritmo de chave pública e assim por diante.

O request security key-manager profiles get profile-keys name km_profile_1 peer-sae-id SAE_B dispositivo exibe o perfil e as chaves do gerenciador de chaves do dispositivo peer.

Ele show security key-manager profiles name KM_PROFILE_1 detail exibe o nome do perfil do gerenciador de chave de segurança, URL, solicitações e assim por diante.

Exemplo: Configure o perfil chave do gerente de chave quântica para VPN IPsec de site para site

Use este exemplo de configuração para proteger uma infraestrutura de VPN de site para local IPsec configurando o perfil chave do gerente de chave quântica.

Você pode proteger uma infraestrutura de VPN de site para local IPsec configurando o perfil chave de gerenciamento de chave quântica.

Neste exemplo de configuração, os dispositivos SRX1 e SRX2 usam o perfil de gerente de chave quântica para buscar as chaves QKD na VPN IPsec. As chaves QKD ajudam a enviar tráfego com segurança pela Internet.

Dica:
Tabela 18: Timers estimados

Tempo de leitura

Menos de uma hora

Tempo de configuração

Menos de uma hora

Pré-requisitos de exemplo

Tabela 19: Requisitos de hardware e software

Requisitos de hardware

Juniper Networks® SRX1500 firewall ou modelos de dispositivos de maior número ou firewall virtual vSRX da Juniper Networks® (vSRX3.0)

Requisitos de software

Versão Junos OS 22.4R1 ou posterior.

Antes de começar

Tabela 20: Benefícios, recursos e informações adicionais

Benefícios

  • Identificação de ameaças

    Ao configurar chaves quânticas, você pode estabelecer um canal quântico seguro entre os dispositivos QKD. Isso melhora a identificação de ameaças e protege a rede.

  • Segurança estendida

    Você pode mesclar as chaves existentes com chaves quânticas e criptografá-las e descriptografá-las em túneis VPN existentes. Isso melhora a segurança da infraestrutura de VPN IPsec.

  • Maior força criptográfica

    A conformidade com o RFC 8784 oferece a você uma maneira fácil de evitar que os invasores façam espionagem na conexão e interceptem as chaves. Isso também garante a interoperabilidade com outros dispositivos que aderem ao padrão.

  • Suporte para a interoperabilidade

    Você pode usar qualquer dispositivo QKD que ofereça suporte a API ETSI QKD Rest.

Recursos úteis

  

Saiba mais

Experiência prática

VLABs Sandbox

Saiba mais

RFC 8784 - Mistura de chaves pré-compartilhadas no Protocolo de Troca de Chaves da Internet Versão 2 (IKEv2) para segurança pós-quântica

ETSI QKD Rest API

Visão geral funcional

Tabela 21: Visão geral funcional do perfil-chave do gerente de chave quântica
IPsec VPN

Implanta uma topologia de VPN IPsec hub-and-spoke onde os spokes são conectados por túneis VPN que enviam tráfego pelo hub. Esses túneis VPN são configurados posteriormente para usar chaves quânticas, tornando-os túneis VPN com segurança quântica.
Gateway IKE

Estabelece uma conexão segura. O gateway IKE usa a política IKE para se limitar aos perfis configurados de autoridade de certificado (CA) enquanto valida o certificado.
Propostas
Proposta de IKE

Define os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares.

O IKE cria as associações de segurança dinâmica (SAs) e as negocia com o IPsec.
Proposta de IPsec

Lista protocolos, algoritmos e serviços de segurança a serem negociados com o peer IPsec remoto.
Políticas
Política de IKE

Define uma combinação de parâmetros de segurança (propostas de IKE) a serem usados durante a negociação da IKE.
Política de IPsec

Contém regras e políticas de segurança para permitir o tráfego de VPN em grupo entre as zonas especificadas.
Política de segurança

Permite que você selecione o tipo de tráfego de dados para proteger por meio dos SAs IPsec.

  • VPN-OUT — permite o tráfego da zona de confiança até a zona vpn, onde os critérios de correspondência são:

    • endereço-fonte: HOST-1-Net

    • endereço de destino: HOST-2-Net

    • aplicação: qualquer

  • VPN-IN — permite o tráfego da zona de vpn até a zona de confiança, onde os critérios de correspondência são:

    • endereço-fonte: HOST-2-Net

    • endereço de destino: HOST-1-Net

    • aplicação: qualquer

Perfis

Perfil chave

Define como os dispositivos de firewall da Série SRX se comunicam com os dispositivos KME para recuperar as chaves QKD do servidor KME externo. Os principais perfis estão configurados no hub (HUB_KM_PROFILE_1) e spokes (SPOKE_1_KM_PROFILE_1 e SPOKE_2_KM_PROFILE_1) separadamente.

  • Perfil chave — um perfil km_profile_1 de gerente de chave quântica está configurado para aplicativos e serviços para recuperar chaves QKD de um servidor externo.

  • Proposta de IKE — uma proposta IKE_PROP de IKE é configurada com os algoritmos necessários para estabelecer uma SA IKE.

  • Política de IKE — uma política IKE_POL de IKE está configurada para definir os atributos de negociação e autenticação em tempo de execução.

  • Gateway IKE — um gateway IKE_GW IKE está configurado para gerenciar os túneis IPsec entre endpoints. A ppk-profile indica qual perfil chave usar para estabelecer IKE seguro quântico ou SA IPsec.

  • Proposta de IPsec — uma proposta IPSEC_PROP de IPsec é configurada com os algoritmos necessários para estabelecer uma SA IPsec.

  • Política de IPsec — uma política IPSEC_POL de IPsec está configurada para definir os atributos de negociação de IPsec em tempo de execução.

  • VPN IPsec — uma política IPSEC_VPN de VPN IPsec está configurada para definir a gama de sub-redes que precisam ser protegidas.

  • Zona de segurança — três zonas trustde segurança diferentes — untrust e vpn estão configuradas para uma melhor segregação do tráfego esperado em cada uma dessas zonas.

  • Política de segurança — Políticas trust to vpn de segurança e vpn to trust estão configuradas entre as zonas de segurança para filtrar qual tipo de tráfego de dados é protegido pelos SAs IPsec.
Perfil do PPK

Indica qual perfil chave usar para estabelecer SAs IKE ou IPsec com segurança quântica fazendo referência ao perfil chave no gateway IKE.
Certificados
Certificado de CA Verifica a identidade dos dispositivos e autentica o link de comunicação.
Certificado local Gera PKI e o inscreve no certificado CA para verificação.
Certificado KME Certificado de terceiros gerado pelo fornecedor.
Zonas de segurança
confiança

Segmento de rede na zona de host.
desconfiança

Segmento de rede na zona de servidor de destino.
VPN

Segmento de rede por meio do qual o hub e os spokes interagem.

Tarefas primárias de verificação

 Verifique se os SAs IKE e IPsec estabelecidos são seguros em quantum.

Visão geral da topologia

Neste exemplo, protegemos os túneis de VPN SRX1 e SRX2 IPsec usando chaves quânticas geradas por dispositivos KME de terceiros. Os dispositivos KME (KME-A e KME-B) estão conectados entre si por meio de um canal quântico altamente seguro e capaz de identificar ameaças. Usando este canal, os dispositivos SRX1 e SRX2 recuperam chaves quânticas de seu dispositivo KME correspondente e as fundem com as chaves existentes para tornar os túneis VPN quânticos seguros.

Tabela 22: Dispositivos, função e funcionalidade usados nesta configuração

Nome de host

Função

Função
SRX1 Dispositivo de firewall da Série SRX capaz de estabelecer túneis IPsec Inicia a negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica com SRX2 usando chave QKD rebuscada do dispositivo QKD KME-A.
SRX2 Dispositivo de firewall da Série SRX capaz de estabelecer túneis IPsec Responde à negociação de IKE ou IPsec SA e estabelece túneis IPsec com segurança quântica usando chave QKD do dispositivo QKD KME-B.
HOST1 Host dentro da zona confiável ou lado LAN do SRX1 Inicia o tráfego lateral do cliente em direção ao HOST 2
HOST2 Host dentro da zona confiável ou lado LAN do SRX2 Responde ao tráfego do lado cliente do HOST 1.
KME-A Dispositivo QKD de fornecedor terceirizado Fornece chaves QKD em resposta às principais solicitações do SRX1.
KME-B Dispositivo QKD de fornecedor terceirizado Fornece chaves QKD em resposta às principais solicitações do SRX2.

Ilustração de topologia

Figura 6: VPN de site para site VPN de site para site

Configuração passo a passo em dispositivos de firewall da Série SRX

Nota:

Para ver configurações de amostra completas no DUT, veja:

Essa configuração é aplicável aos dispositivos SRX1 e SRX2. Para outros dispositivos, você deve fazer as alterações de configuração específicas do dispositivo apropriadas.

  1. Configure as interfaces.

  2. Configure um perfil chave do tipo quantum-key-manager com os parâmetros necessários ou recomendados.

    Defina o certificado ca, configure a URL do servidor KME, configure o SAE-ID a ser usado até o final local, configure o certificado correspondente para o SAE-ID local e configure o certificado CA previamente definido.

  3. Configure a VPN IPsec de site para site. Isso inclui a configuração das zonas de segurança, políticas de segurança e certificados relevantes para autenticar identidades de dispositivos e seus links de comunicação.

Verificação

Esta seção fornece uma lista de comandos de exibição que você pode usar para verificar o recurso neste exemplo.

Comando Tarefa de verificação

mostrar segurança ike detalhes de associações de segurança

PropósitoVerifique se os SAs de IKE estão estabelecidos.

mostrar detalhes das associações de segurança ipsec de segurança

Verifique se os SAs IPsec estão estabelecidos.

mostrar estatísticas de segurança ipsec

 Verifique as estatísticas de criptografia e descriptografia do IPsec.

mostrar detalhes dos perfis dos principais gerentes de segurança

 Verifique as principais estatísticas de perfil.

ping 192.168.80.20 fonte 192.168.90.20 contagem 5

 Ping do HOST 1 para HOST 2 ou vice-versa.

Verifique os SAs de IKE

Propósito

Verifique os SAs de IKE.

Ação

Desde o modo operacional, entre no show security ike security-associations detail comando para ver os SAs IKE.

Significado

Os Role: Initiator, State: UPcampos e IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1PPK-profile: km_profile_1Flags: IKE SA is created os campos mostram que os SAs IKE foram criados com sucesso.

Verifique os SAs IPsec

Propósito

Verifique os SAs IPsec.

Ação

Do modo operacional, entre no show security ipsec security-associations detail comando para ver os SAs IPsec.

Significado

Os Quantum Secured: Yescampos e IPsec SA negotiation succeeds (1 times)Policy-name: IPSEC_POLtunnel-establishment: establish-tunnels-immediately IKE SA Index: 21 os campos mostram que os SAs IPsec são criados com sucesso.

Verifique as estatísticas do IPsec

Propósito

Verifique as estatísticas do IPsec.

Ação

Do modo operacional, entre no show security ipsec statistics comando para ver as estatísticas do IPsec.

Significado

Os ESP Statistics campos e os campos AH Statistics mostram as estatísticas do IPsec.

Verificar o perfil do gerente-chave

Propósito

Verifique o perfil do gerente chave.

Ação

Do modo operacional, insira o show security key-manager profiles detail comando para visualizar o perfil do gerente chave.

Significado

Os Name: km_profile_1 campos e os campos Quantum-key-manager mostram o perfil chave do gerente.

Ping do HOST 1 para HOST 2 ou vice-versa

Propósito

Verifique a conectividade do HOST 1 ao HOST 2.

Ação

Do modo operacional, entre na ping 192.168.80.20 source 192.168.90.20 contagem 5 para visualizar a conectividade do HOST 1 ao HOST 2.

Significado

A PING 192.168.80.20 (192.168.80.20): 56 data bytes count 5 confirmação da conectividade do HOST 1 ao HOST 2.

Apêndice 1: Definir comandos em todos os dispositivos

Definir saída de comando em todos os dispositivos.

Definir comandos no SRX1
Definir comandos no SRX2

Apêndice 2: Mostrar saída de configuração no DUT

Mostre a saída de comando no DUT.

SRX1

SRX 2

Exemplo: Configure a topologia IPsec AutoVPN com segurança quântica usando o perfil chave do gerente de chave quântica

Use este exemplo de configuração para proteger uma infraestrutura IPsec AutoVPN configurando o perfil chave do gerente de chave quântica.

O Hub, Spoke 1 e Spoke 2 usam perfis chave de gerenciamento de chave quântica para se comunicarem com KME Hub, KME Spoke 1 e KME Spoke 2 para buscar as chaves QKD e estabelecer túneis de VPN IPsec.

Dica:
Tabela 23: Timers estimados

Tempo de leitura

Menos de uma hora.

Tempo de configuração

Menos de uma hora.

Pré-requisitos de exemplo

Tabela 24: Requisitos de hardware e software

Requisitos de hardware

  • Juniper Networks® SRX1500 firewall ou modelos de dispositivos de maior número ou firewall virtual vSRX da Juniper Networks® (vSRX3.0)

  • Dispositivos de entidade de gerenciamento de chave (KME) ou de distribuição de chave quântica (QKD) de terceiros. Os parâmetros KME são conforme a especificação ETSI GS QKD 014 .

Requisitos de software

Versão Junos OS 22.4R1 ou posterior.

Antes de começar

Tabela 25: Benefícios, recursos e informações adicionais

Benefícios

  • Identificação de ameaças

    Estabeleça um canal quântico seguro entre os dispositivos QKD que garante a identificação de ameaças com a ajuda de chaves quânticas.

  • Estenda a segurança

    Mescla as chaves existentes com chaves quânticas e as criptografa e as descriptografa em túneis VPN existentes, estendendo assim a segurança da infraestrutura de VPN IPsec.

  • Conformidade com o RFC 8784

    Estenda o já padronizado procedimento RFC 8784.

  • Suporte para a interoperabilidade

    Use qualquer dispositivo QKD que ofereça suporte à API ETSI QKD Rest.

Recursos úteis

  

Saiba mais

Experiência prática

Sandbox vLab: VPN IPsec — Baseada em políticas

Saiba mais

Visão geral funcional

Tabela 10 fornece um resumo rápido dos componentes de configuração implantados neste exemplo.

Tabela 26: Visão geral funcional do gerente de chave quântica
IPsec VPN

Implante uma topologia de VPN IPsec hub-and-spoke onde os spokes são conectados por túneis VPN que enviam tráfego pelo hub. Esses túneis VPN são configurados posteriormente para usar chaves quânticas, tornando-os túneis VPN com segurança quântica.
Gateway IKE

Estabeleça uma conexão segura, o gateway IKE usa a política de IKE para se limitar ao grupo configurado de CAs (ca-profiles) enquanto valida o certificado.
Propostas
Proposta de IKE

Defina os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares.

O IKE cria os SAs dinâmicos e os negocia para o IPsec.
Proposta de IPsec

Liste protocolos, algoritmos e serviços de segurança a serem negociados com o peer IPsec remoto.
Políticas
Política de IKE

Definir uma combinação de parâmetros de segurança (propostas de IKE) a serem usados durante a negociação da IKE.
Política de IPsec

Contenha regras e políticas de segurança para permitir o tráfego de VPN em grupo entre as zonas especificadas.
Política de segurança

Permite que você selecione o tipo de tráfego de dados para proteger por meio dos SAs IPsec.

  • VPN-OUT — permite o tráfego da zona de confiança até a zona vpn, onde os critérios de correspondência são:

    • endereço-fonte: HOST-1-Net

    • endereço de destino: HOST-2-Net

    • aplicação: qualquer

  • VPN-IN — permite o tráfego da zona de vpn até a zona de confiança, onde estão os critérios de correspondência:

    • endereço-fonte: HOST-2-Net

    • endereço de destino: HOST-1-Net

    • aplicação: qualquer

Perfis
Perfil chave

Definir como os dispositivos SRX se comunicam com os dispositivos KME para recuperar as chaves QKD do servidor KME externo. Os principais perfis estão configurados no hub (HUB_KM_PROFILE_1) e spokes (SPOKE_1_KM_PROFILE_1 e SPOKE_2_KM_PROFILE_1) separadamente.

Configure SPOKE-1 e para aplicativos e SPOKE-2 serviços para recuperar chaves QKD do servidor externo.

  • Perfil chave — Configure os seguintes perfis chave de gerente de chave quântica no Hub.

    • HUB_KM_PROFILE_1

    • SPOKE_1_KM_PROFILE_1

    • SPOKE_2_KM_PROFILE_1

  • Configure SPOKE-1 e SPOKE-2 com os algoritmos necessários para estabelecer um IKE SAs.

    Proposta de IKE — Configure as seguintes propostas de IKE no Hub.

    • HUB_IKE_PROP

    • SPOKE_1_IKE_PROP

    • SPOKE_2_IKE_PROP

  • Configure e SPOKE-2 configure SPOKE-1 os atributos de negociação e autenticação em tempo de execução.

    Política de IKE — Configure as seguintes políticas de IKE no Hub.

    • HUB_IKE_POL

    • SPOKE_1_IKE_POL

    • SPOKE_3_IKE_POL

  • Configure SPOKE-1 e SPOKE-2 defina os endpoints entre os túneis IPsec.

    Gateway IKE — Configure os seguintes gateways IKE no Hub.

    A ppk-profile indica qual perfil chave usar para estabelecer IKE com segurança quântica ou SA IPsec.

    • HUB_IKE_GW

    • SPOKE_1_IKE_GW

    • SPOKE_2_IKE_GW

  • Configure SPOKE-1 e SPOKE-2 com os algoritmos necessários para estabelecer uma SA IPsec.

    Proposta de IPsec — Configure as seguintes propostas de IPsec no Hub.

    • HUB_IPSEC_PROP

    • SPOKE_1_IPSEC_PROP

    • SPOKE_2_IPSEC_PROP

  • Configure SPOKE-1 e SPOKE-2 defina os atributos de negociação de IPsec em tempo de execução.

    Política de IPsec — Configure as seguintes políticas de IPsec no Hub.

    • HUB_IPSEC_POL

    • SPOKE_1_IPSEC_POL

    • SPOKE_2_IPSEC_POL

  • Configure SPOKE-1 e SPOKE-2 defina a gama de sub-redes que precisam ser protegidas.

    VPN IPsec — Configure as seguintes VPNs IPsec no Hub.

    • HUB_IPSEC_VPN

    • SPOKE_1_IPSEC_VPN

    • SPOKE_2_IPSEC_VPN

  • Zona de segurança — configure três zonas de segurança diferentes para segregar o tráfego.

    • trust

    • untrust

    • vpn

  • Política de segurança — Configure as políticas trust to vpn de segurança e vpn to trust selecione o tipo de tráfego de dados que é protegido por meio dos SAs IPsec.
Perfil do PPK

Indique qual perfil chave usar para estabelecer SAs de IKE ou IPsec com segurança quântica fazendo referência ao perfil chave no gateway IKE.
Certificados
Certificado de CA Verifique a identidade dos dispositivos e autenticar o link de comunicação entre eles.
Certificado local Gere o PKI e inscreva-o com o certificado ca para verificação.
Certificado KME Certificado de terceiros gerado pelo fornecedor.
Zonas de segurança
confiança

Segmento de rede na zona de host.
desconfiança

Segmento de rede na zona de servidor de destino.
VPN

Segmento de rede por meio do qual o hub e os spokes interagem.

Tarefas primárias de verificação

Verifique se os SAs IKE e IPsec estabelecidos são seguros em quantum.

Visão geral da topologia

Neste exemplo, protegemos os túneis de VPN IPsec hub-and-spoke usando chaves quânticas geradas por dispositivos KME de terceiros. Os dispositivos KME (KME-Hub, KME-Spoke 1 e KME-Spoke 2) estão conectados entre si por meio de um canal quântico altamente seguro e capaz de identificar ameaças. Usando este canal, os dispositivos Hub e Spoke recuperam chaves quânticas de seu dispositivo KME correspondente e as fundem com as chaves existentes para tornar os túneis VPN quânticos seguros.

Tabela 27: Componentes de topologia de gerente de chave quântica

Componentes de topologia

Função

Função
Hub Firewall da Série SRX capaz de estabelecer túneis IPsec Responde à negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica usando a chave QKD do dispositivo SPOKE-1SPOKE-2QKD KME-HUB e .
SPOKE-1 Firewall da Série SRX capaz de estabelecer túneis IPsec Inicia a negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica com hub usando chave QKD do KME-SPOKE-1 dispositivo QKD.
SPOKE-2 Firewall da Série SRX capaz de estabelecer túneis IPsec Inicia a negociação de IKE ou IPsec SA e estabelece túneis de IPsec com segurança quântica com hub usando chave QKD do KME-SPOKE-2 dispositivo QKD.
HOST-1 O host dentro da zona confiável ou do lado LAN é SPOKE 1Host 1 protegido por SPOKE 1. Inicia o tráfego do lado do cliente em direção HOST-3
HOST-2 O host dentro da zona confiável ou do lado LAN é SPOKE 2Host 2 protegido por SPOKE 2. Inicia o tráfego do lado do cliente em direção HOST-3
HOST- 3 Hospedar dentro da zona confiável ou do lado LAN do hub. Host 3 é protegido por Hub. Responde ao tráfego do lado do cliente de HOST-1 e HOST-2
KME-HUB Dispositivo QKD de terceiros Fornece chaves QKD em resposta às principais solicitações da HUB
KME-SPOKE-1 Dispositivo QKD de terceiros Fornece chaves QKD em resposta às principais solicitações da SPOKE-1
KME-SPOKE-2 Dispositivo QKD de terceiros Fornece chaves QKD em resposta às principais solicitações da SPOKE-2

Ilustração de topologia

Figura 7: Gerente de chave quântica com AutoVPNGerente de chave quântica com AutoVPN

Configuração passo a passo no hub

Nota:

Para obter configurações de amostra completas nos dispositivos hub e spoke, veja:

  1. Configure as interfaces de hub.

  2. Configure o hub-spoke da VPN IPsec. Isso inclui a configuração das zonas de segurança, políticas de segurança e certificados relevantes para autenticar identidades de dispositivos e seus links de comunicação.

    Configure o hub para obter o certificado ca do servidor CA ou carregue um certificado de CA disponível localmente no dispositivo.

    Nota:

    Os certificados KME precisam ser configurados conforme instruções de um fornecedor terceirizado.

    Configure a proposta e a política de IPsec. Configure a política, a proposta e o gateway IKE para a VPN IPsec.

  3. Configure o perfil chave do gerente de chave quântica para recuperar chaves quânticas do dispositivo KME-Hub correspondente.

  4. Vincule o perfil chave do gerente de chave quântica como o perfil ppk de gateway IKE para tornar os túneis vpn quânticos seguros.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração passo a passo em dispositivos spoke

Nota:

Para obter configurações de amostra completas nos dispositivos, veja:

Essa configuração é aplicável para dispositivos Spoke 1 e Spoke 2, você deve fazer as alterações de configuração específicas do dispositivo apropriadas.

  1. Configure as interfaces de spoke.

  2. Configure o hub-spoke da VPN IPsec. Isso inclui a configuração das zonas de segurança, políticas de segurança e certificados relevantes para autenticar identidades de dispositivos e seus links de comunicação.

    Configure o hub para obter o certificado ca do servidor CA ou carregue um certificado de CA disponível localmente no dispositivo.

    Nota:

    Os certificados KME precisam ser configurados conforme instruções de um fornecedor terceirizado.

    Configure a proposta e a política de IPsec. Configure a política, a proposta e o gateway IKE para a VPN IPsec.

  3. Configure o perfil chave do gerenciador de chaves quânticas para recuperar chaves quânticas do dispositivo spoke correspondente.

  4. Vincule o perfil chave do gerente de chave quântica como o perfil ppk de gateway IKE para tornar os túneis vpn quânticos seguros.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Esta seção fornece uma lista de comandos de exibição que você pode usar para verificar o recurso neste exemplo.

Tabela 28: Tarefas de verificação
Comando Tarefa de verificação

mostrar segurança ike detalhes de associações de segurança

 Verifique os SAs de IKE.

mostrar detalhes das associações de segurança ipsec de segurança

 Verifique os SAs IPsec.

mostrar estatísticas de segurança ipsec

 Verifique as estatísticas de criptografia e descriptografia do IPsec.

mostrar detalhes dos perfis dos principais gerentes de segurança

 Verifique as principais estatísticas de perfil.

ping 192.168.90.20 fonte 192.168.80.20 contagem 4

 Ping do Host 1 para Host 3.

ping 192.168.90.20 fonte 192.168.70.20 contagem 4

 Ping do Host 2 para Host 3.

Verifique os SAs de IKE

Propósito

Verifique os SAs de IKE.

Ação

Desde o modo operacional, entre no show security ike security-associations detail comando para ver os SAs IKE.

Significado

A saída de amostra confirma os SAs IKE.

Verifique os SAs IPsec

Propósito

Verifique os SAs IPsec.

Ação

Do modo operacional, entre no show security ipsec security-associations detail comando para ver os SAs IPsec.

Significado

A saída de amostra confirma os SAs IPsec.

Verifique as estatísticas do IPsec

Propósito

Verifique as estatísticas do IPsec.

Ação

Do modo operacional, entre no show security ipsec statistics comando para ver as estatísticas do IPsec.

Significado

A saída de amostra confirma as estatísticas do IPsec.

Verificar o perfil do gerente-chave

Propósito

Verifique o perfil do gerente chave.

Ação

A partir do modo operacional, entre no show security key-manager profiles detail comando e verifique o Success campo na opção Request stats .

Significado

A saída de amostra confirma o perfil de gerente de chave quântica.

Ping do Host 1 para Host 3

Propósito

Verifique a conectividade do Host 1 ao Host 3.

Ação

Do modo operacional, entre no ping 192.168.90.20 source 192.168.80.20 count 5 comando para visualizar a conectividade do Host 1 ao Host 3.

Significado

A saída de amostra confirma a conectividade do Host 1 ao Host 3.

Ping do Host 2 para Host 3

Propósito

Verifique a conectividade do Host 2 ao Host 3.

Ação

Do modo operacional, entre no ping 192.168.90.20 source 192.168.80.20 count 5 comando para visualizar a conectividade do Host 2 ao Host 3.

Significado

A saída de amostra confirma a conectividade do Host 2 ao Host 3.

Apêndice 1: Definir comandos em todos os dispositivos

Definir saída de comando em todos os dispositivos.

Definir comandos no hub
Definir comandos no Spoke 1
Definir comandos no Spoke 2

Apêndice 2: Mostrar saída de configuração no DUT

Mostre a saída de comando no DUT.

Hub

A partir do modo de configuração, confirme sua configuração entrando noshow security pki ca-profile Root-CA, , show security ike proposal HUB_IKE_PROPshow security key-manager, show security ike policy HUB_IKE_POL, show security ike gateway HUB_IKE_GW, show security ipsec proposal HUB_IPSEC_PROP, show security ipsec policy HUB_IPSEC_POL, show security ipsec vpn HUB_IPSEC_VPN, show security zones security-zone untrust, show security zones security-zone truste show security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trustshow interfaces comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Spoke 1

A partir do modo de configuração, confirme sua configuração entrando noshow security pki ca-profile Root-CA, , show security ike proposal SPOKE_1_IKE_PROPshow security key-manager profiles SPOKE_1_KM_PROFILE_1, show security ike policy SPOKE_1_IKE_POL, show security ike gateway SPOKE_1_IKE_GW, show security ipsec proposal SPOKE_1_IPSEC_PROP, show security ipsec policy SPOKE_1_IPSEC_POL, show security ipsec vpn SPOKE_1_IPSEC_VPN, show interfaces, show security zones security-zone untruste show security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trust comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Spoke 2

A partir do modo de configuração, confirme sua configuração entrando noshow security pki ca-profile Root-CA, , show security ike proposal SPOKE_1_IKE_PROPshow security key-manager profiles SPOKE_1_KM_PROFILE_1, show security ike policy SPOKE_1_IKE_POL, show security ike gateway SPOKE_1_IKE_GW, show security ipsec proposal SPOKE_1_IPSEC_PROP, show security ipsec policy SPOKE_1_IPSEC_POL, show security ipsec vpn SPOKE_1_IPSEC_VPN, show interfaces, show security zones security-zone untruste show security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trust comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.