Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNs IPsec baseadas em políticas

Uma VPN baseada em política é uma configuração na qual um túnel vpn IPsec criado entre dois pontos final é especificado na própria política com uma ação política para o tráfego de trânsito que atende aos critérios de combinação da política.

Entender VPNs IPsec baseadas em políticas

Para VPNs IPsec baseadas em políticas, uma política de segurança especifica como sua ação o túnel VPN a ser usado para tráfego de trânsito que atende aos critérios de combinação da política. Uma VPN está configurada independentemente de uma declaração de política. A instrução de política refere-se ao nome da VPN para especificar o tráfego que pode ter acesso ao túnel. Para VPNs baseadas em política, cada política cria uma associação de segurança IPsec (SA) individual com o peer remoto, cada uma das quais conta como um túnel de VPN individual. Por exemplo, se uma política contiver um endereço de origem de grupo e um endereço de destino de grupo, sempre que um dos usuários do conjunto de endereços tenta se comunicar com qualquer um dos hosts especificados como o endereço de destino, um novo túnel é negociado e estabelecido. Como cada túnel requer seu próprio processo de negociação e um par separado de SAs, o uso de VPNs IPsec baseadas em políticas pode ser mais intensiva em recursos do que VPNs baseadas em roteamento.

Exemplos de onde VPNs baseadas em políticas podem ser usadas:

  • Você está implementando uma VPN dial-up.

  • VPNs baseadas em políticas permitem que você direcionar o tráfego com base em políticas de firewall.

Recomendamos que você use VPN baseada em roteamento quando quiser configurar uma VPN entre vários locais remotos. AS VPNs baseadas em rota podem fornecer os mesmos recursos das VPNs baseadas em políticas.

Exemplo: Configuração de uma VPN baseada em políticas

Este exemplo mostra como configurar uma VPN IPsec baseada em políticas para permitir que os dados sejam transferidos com segurança entre dois sites.

Requisitos

Este exemplo usa o seguinte hardware:

  • Qualquer dispositivo da Série SRX

    • Atualizado e revalidado usando vSRX no Junos OS Release 20.4R1.
Nota:

Você está interessado em ter uma experiência prática com os tópicos e as operações abordados neste guia? Visite a demonstração baseada em políticas do IPsec nos Juniper Networks Virtual Labs e reserve sua sandbox gratuita hoje mesmo! Você encontra a sandbox baseada em políticas de VPN IPsec na categoria Segurança.

Antes de começar, leia Visão geral do IPsec .

Visão geral

Neste exemplo, você configura uma VPN baseada em políticas no SRX1 e no SRX2. Host1 e Host2 usam a VPN para enviar tráfego com segurança pela Internet entre ambos os hosts.

Figura 1 mostra um exemplo de topologia de VPN baseada em políticas.

Figura 1: Topologia de VPN baseada em políticas Topologia de VPN baseada em políticas

IKE de túnel IPsec ocorre em duas fases. Na Fase 1, os participantes estabelecem um canal seguro no qual negociarão a associação de segurança IPsec (SA). Na Fase 2, os participantes negociam a IPsec SA para autenticar o tráfego que passará pelo túnel. Assim como existem duas fases para a negociação do túnel, existem duas fases para a configuração do túnel.

Neste exemplo, você configura interfaces, uma rota padrão IPv4 e zonas de segurança. Depois, você configura IKE Fase 1, IPsec Fase 2, política de segurança e parâmetros TCP-MSS. Veja Tabela 1Tabela 5 através .

Tabela 1: Informações de interface, roteamento estático e zona de segurança para SRX1

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

Zonas de segurança

Confiar

  • A interface ge-0/0/0.0 está ligada a essa zona.

 

inverdade

  • A interface ge-0/0/1.0 está ligada a essa zona.

Rotas estáticas

0.0.0.0/0

  • O próximo salto é 172.16.13.2.

Tabela 2: IKE de configuração fase 1

Recursos

Nome

Parâmetros de configuração

Proposta

Padrão

  • Método de autenticação: chaves pré-compartilhadas

Política

IKE-POL

  • Modo: Principal

  • Referência da proposta: Padrão

  • IKE de autenticação de políticas da Fase 1: texto ascii pré-compartilhado

Gateway

IKE-GW

  • IKE de política: IKE-POL

  • Interface externa: ge-0/0/1

  • Endereço de gateway: 172.16.23.1

Tabela 3: Parâmetros de configuração da Fase 2 do IPsec

Recursos

Nome

Parâmetros de configuração

Proposta

Padrão

  • Usando a configuração padrão

Política

IPSEC-POL

  • Referência da proposta: Padrão

VPN

VPN-to-Host2

  • IKE gateway: IKE-GW

  • Referência à política do IPsec: IPSEC-POL

  • estabelecer túneis imediatamente
Tabela 4: Parâmetros de configuração de política de segurança

Propósito

Nome

Parâmetros de configuração

Essa política de segurança permite o tráfego da zona de confiança até a zona não confiável.

VPN-OUT

  • Critérios de combinação:

    • Host1-Net de endereço de origem

    • Host2-Net de endereço de destino

    • aplicação de qualquer

  • Ação de permissão: túnel ipsec-vpn VPN para host2

Essa política de segurança permite o tráfego da zona não confiável até a zona de confiança.

VPN-IN

  • Critérios de combinação:

    • Host2-Net de endereço de origem

    • host1-Net de endereço de destino

    • aplicação de qualquer

  • Ação de permissão: túnel ipsec-vpn VPN para host2

Essa política de segurança permite que todo o tráfego da zona de confiança seja para a zona mais confiável.

Você deve colocar a política de VPN-OUT antes da política de segurança de licença padrão. O Junos OS realiza uma olhada na política de segurança começando no topo da lista. Caso a política de permissão padrão venha antes da política de VPN-OUT, todo o tráfego da zona de confiança corresponde à política de permissão padrão e é permitido. Assim, nenhum tráfego será igual à política de VPN-OUT.

licença padrão

  • Critérios de combinação:

    • endereço de origem qualquer

    • destino de origem qualquer

    • aplicação de qualquer

  • Ação: Permitir

Tabela 5: Parâmetros de configuração TCP-MSS

Propósito

Parâmetros de configuração

O TCP-MSS é negociado como parte do aperto de mão de três vias TCP e limita o tamanho máximo de um segmento TCP para se ajustar melhor aos limites de unidade de transmissão máxima (MTU) em uma rede. Isso é especialmente importante para o tráfego de VPN, pois a sobrecarga de encapsulamento IPsec, juntamente com a sobrecarga de IP e do quadro, pode fazer com que o pacote de Payload de segurança (ESP) do encapsulamento resultante exceda a MTU da interface física, causando fragmentação. A fragmentação resulta no uso ampliado da largura de banda e dos recursos do dispositivo.

Recomendamos um valor de 1350 como ponto de partida para a maioria das redes baseadas em Ethernet com uma MTU de 1.500 ou mais. Você pode precisar experimentar com diferentes valores de TCP-MSS para obter o desempenho ideal. Por exemplo, você pode precisar alterar o valor se algum dispositivo no caminho tiver uma MTU inferior ou se houver sobrecarga adicional, como o PPP ou o Frame Relay.

Valor do MSS: 1350

Configuração

Configurando informações básicas de rede e zona de segurança

Configuração rápida CLI

Para configurar rapidamente este exemplo para SRX1, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copie e colar os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do Usuário da CLI.

Para configurar informações de interface, rota estática e zona de segurança:

  1. Configure as interfaces.

  2. Configure as rotas estáticas.

  3. Atribua a interface voltada para a Internet à zona de segurança não segura.

  4. Especifique os serviços de sistema permitidos para a zona de segurança falsa.

  5. Atribua a interface voltada ao Host1 à zona de segurança de confiança.

  6. Especifique os serviços de sistema permitidos para a zona de segurança de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração show interfaces inserindo os show routing-options comandos , e . show security zones Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Configuração de IKE

Configuração rápida CLI

Para configurar rapidamente este exemplo para SRX1, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copie e colar os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do Usuário da CLI.

Para configurar IKE:

  1. Crie a IKE da empresa.

  2. Defina o IKE de autenticação de propostas.

  3. Crie a IKE de segurança.

  4. De definir o IKE de política.

  5. Especifique uma referência à IKE proposta.

  6. Defina o IKE de autenticação de políticas.

  7. Crie o gateway IKE e defina sua interface externa.

  8. Defina o IKE gateway de acesso.

  9. Defina a IKE de política.

Resultados

A partir do modo de configuração, confirme sua configuração ao entrar no show security ike comando. Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Configuração do IPsec

Configuração rápida CLI

Para configurar rapidamente este exemplo para SRX1, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copie e colar os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do Usuário da CLI.

Para configurar o IPsec:

  1. Crie a proposta do IPsec.

  2. Crie a política IPsec.

  3. Especifique a referência da proposta do IPsec.

  4. Especifique o IKE gateway.

  5. Especifique a política IPsec.

  6. Configure o túnel para estabelecer imediatamente.

Resultados

A partir do modo de configuração, confirme sua configuração ao entrar no show security ipsec comando. Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Configuração de políticas de segurança

Configuração rápida CLI

Para configurar rapidamente este exemplo para SRX1, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copie e colar os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do Usuário da CLI.

Para configurar políticas de segurança:

  1. Crie entradas de livro de endereços para as redes que serão usadas nas políticas de segurança.

  2. Crie a política de segurança para combinar com o tráfego do Host1 na zona de confiança e o Host2 na zona de confiança.

  3. Crie a política de segurança para permitir que todos os outros tráfegos até a Internet a partir da zona de confiança até a zona mais confiável.

  4. Crie uma política de segurança para permitir o tráfego do Host2 na zona de confiança para Host1 na zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração ao entrar no show security policies comando. Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Configuração do TCP-MSS

Configuração rápida CLI

Para configurar rapidamente este exemplo para SRX1, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copie e colar os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

Para configurar informações do TCP-MSS:

  1. Configure as informações do TCP-MSS.

Resultados

A partir do modo de configuração, confirme sua configuração ao entrar no show security flow comando. Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do SRX2

Configuração rápida CLI

Para referência, a configuração para SRX2 é fornecida.

Para configurar rapidamente esta seção do exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copie e congreda os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Verificação

Para confirmar se a configuração está funcionando corretamente, realize essas tarefas:

Verificar o status de IKE de dados

Propósito

Verificar o status IKE dados.

Ação

Do modo operacional, insira o show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations index index_number detail comando.

Significado

O show security ike security-associations comando lista todas as IKE de segurança (SAs) da Fase 1. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração.

Caso os SAs sejam indicados, revise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada IKE SA, que você pode usar no comando para obter mais informações show security ike security-associations index detail sobre a SA.

  • Endereço remoto — Verificar se o endereço IP remoto está correto.

  • Estado

    • UP — A fase 1-SA foi estabelecida.

    • DOWN — Houve um problema ao estabelecer a Fase 1 SA.

  • Modo — verificar se o modo correto está sendo usado.

Verificar se as seguintes opções estão corretas na sua configuração:

  • Interfaces externas (a interface deve ser a que recebe IKE pacotes)

  • IKE de política

  • Informações-chave pré-compartilhadas

  • Parâmetros da proposta de fase 1 (devem ser correspondentes a ambos os pontos)

O show security ike security-associations index 1859361 detail comando lista informações adicionais sobre a associação de segurança com um número de índice de 1859361:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações de função do iniciador e do responsável

    A solução de problemas é melhor executada no ponto usando a função de socorrista.

  • Número de SAs IPsec criados

  • Número de negociações da Fase 2 em andamento

Verificação do status da Fase 2 do IPsec

Propósito

Verificar o status IPsec Phase 2.

Ação

Do modo operacional, insira o show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations index index_number detail comando.

Significado

A saída do comando show security ipsec security-associations lista as seguintes informações:

  • O número de ID é 2. Use esse valor com o show security ipsec security-associations index comando para obter mais informações sobre esta S.A. específica.

  • Existe um par IPsec SA usando a porta 500, o que indica que nenhuma NAT atravessada é implementada. (NAT atravessada usa a porta 4500 ou outra porta de alto número aleatório.)

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou lifesize em KB) são mostrados para ambas as direções. O valor 921/não-lim indica que a vida útil da Fase 2 expira em 921 segundos, e que nenhum lifesize foi especificado, o que indica que ela é ilimitada. A vida útil da fase 2 pode diferir da vida útil da Fase 1, pois a Fase 2 não depende da Fase 1 após o uso da VPN.

  • O monitoramento de VPN não está habilitado para esta SA, como indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver ativado, U (up) ou D (down) será listado.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

A saída do comando show security ipsec security-associations index 2 detail lista as seguintes informações:

  • A identidade local e a identidade remota com fazem parte da ID de proxy para a SA.

    Uma incompatibilidade de ID de proxy é um dos motivos mais comuns para uma falha na Fase 2. Para VPNs baseadas em políticas, a ID de proxy é derivada da política de segurança. O endereço local e o endereço remoto são obtidos das entradas do livro de endereços, e o serviço é derivado do aplicativo configurado para a política. Se a Fase 2 falhar por causa de uma incompatibilidade de ID de proxy, você pode usar a política para confirmar quais entradas do livro de endereços estão configuradas. Verificar se os endereços estão de acordo com as informações enviadas. Marque o serviço para garantir que as portas se igualem às informações enviadas.

Teste o fluxo de tráfego na VPN

Propósito

Verificar o fluxo de tráfego na VPN.

Ação

Use o ping comando do dispositivo Host1 para testar o fluxo de tráfego no Host2.

Significado

Se o comando falhar do Host1, pode haver um problema com o roteamento, as políticas de segurança, o host final ou a criptografia e a descriptografia de ping pacotes ESP.

Revisão de estatísticas e erros de uma associação de segurança do IPsec

Propósito

Revise os contadores de esp e os contadores de autenticação e erros de uma associação de segurança IPsec.

Ação

Do modo operacional, insira o comando, usando o número de índice da VPN para o qual deseja show security ipsec statistics index index_number ver estatísticas.

Você também pode usar o comando para analisar estatísticas e show security ipsec statistics erros para todos os SAs.

Para limpar todas as estatísticas do IPsec, use o clear security ipsec statistics comando.

Significado

Se você vir problemas de perda de pacotes em uma VPN, você pode executar o comando várias vezes para confirmar se os contadores de pacotes criptografados e show security ipsec statistics descriptografados estão aumentando. Você também deve verificar se os outros contadores de erro estão aumentando.