Gruppe VPNv2

Grundlegendes zum GDOI-Protokoll für Gruppen-VPNv2

Group VPNv2 basiert auf RFC 6407, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und Gruppenservern zum Einrichten von Sicherheitszuordnungen zwischen Gruppenmitgliedern. GDOI-Nachrichten erstellen, verwalten oder löschen Sicherheitszuordnungen für eine Gruppe von Geräten. Gruppen-VPNv2 wird auf virtuellen vSRX-Firewall-Instanzen und allen Firewalls der SRX-Serie mit Ausnahme von SRX5400-, SRX5600- und SRX5800-Geräten unterstützt.

Das GDOI-Protokoll läuft auf UDP-Port 848. Das Internet Security Association and Key Management Protocol (ISAKMP) definiert zwei Aushandlungsphasen zum Einrichten von Sicherheitszuordnungen für einen IKE-IPsec-Tunnel. Phase 1 ermöglicht es zwei Geräten, eine ISAKMP-SA für andere Sicherheitsprotokolle, wie z. B. GDOI, einzurichten.

Bei Gruppen-VPNv2 wird die ISAKMP-SA-Aushandlung der Phase 1 zwischen einem Gruppenserver und einem Gruppenmitglied durchgeführt. Der Server und das Mitglied müssen dieselbe ISAKMP-Richtlinie verwenden. Beim GDOI-Austausch zwischen dem Server und dem Mitglied werden die Sicherheitszuordnungen eingerichtet, die mit anderen Gruppenmitgliedern gemeinsam genutzt werden. Ein Gruppenmitglied muss IPsec nicht mit anderen Gruppenmitgliedern aushandeln. GDOI-Börsen müssen durch ISAKMP Phase 1 SAs geschützt werden.

Es gibt zwei Arten von GDOI-Austausch:

• Der Austausch ermöglicht es einem Mitglied, SAs und Schlüssel anzufordern, die von der Gruppe gemeinsam genutzt werden, vom Server.groupkey-pull Gruppenmitglieder müssen sich über eine Exchange-Plattform bei einem Gruppenserver registrieren.groupkey-pull

• Bei dem Austausch handelt es sich um eine einzelne Rekey-Nachricht, die es dem Server ermöglicht, Gruppen-Sicherheitszuordnungen und Schlüssel an Mitglieder zu senden, bevor vorhandene Gruppen-Sicherheitszuordnungen ablaufen.groupkey-push Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.

Grundlegendes zu Gruppen-VPNv2-Servern und -Mitgliedern

Gruppen-VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX Virtual Firewall-Instanzen unterstützt. Das Herzstück von Group VPNv2 ist der Group Controller/Key Server (GCKS). Ein Server-Cluster kann verwendet werden, um GCKS-Redundanz bereitzustellen.

Der GCKS- oder Gruppenserver führt die folgenden Aufgaben aus:

• Steuert die Gruppenmitgliedschaft.

• Generiert Verschlüsselungsschlüssel.

• Sendet neue Gruppenzuordnungen und Schlüssel an Mitglieder. Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den vom Gruppenserver bereitgestellten Gruppenzuordnungen und Schlüsseln.

Ein Gruppenserver kann mehrere Gruppen bedienen. Ein einzelnes Sicherheitsgerät kann Mitglied mehrerer Gruppen sein.

Jede Gruppe wird durch einen Gruppenbezeichner dargestellt, bei dem es sich um eine Zahl zwischen 1 und 4.294.967.295 handelt. Der Gruppenserver und die Gruppenmitglieder sind durch den Gruppenbezeichner miteinander verbunden. Es kann nur einen Gruppenbezeichner pro Gruppe geben, und mehrere Gruppen können nicht denselben Gruppenbezeichner verwenden.

Im Folgenden finden Sie eine allgemeine Übersicht über die Aktionen des Gruppen-VPNv2-Servers und der Mitglieder:

1. Der Gruppenserver lauscht am UDP-Port 848 auf Mitglieder, die sich registrieren können.

2. Um sich beim Gruppenserver zu registrieren, richtet das Mitglied zunächst eine IKE-Sicherheitszuordnung mit dem Server ein. Ein Mitgliedsgerät muss über die korrekte IKE Phase 1-Authentifizierung verfügen, um der Gruppe beitreten zu können. Die Authentifizierung mit vorinstallierten Schlüsseln pro Mitglied wird unterstützt.

3. Nach erfolgreicher Authentifizierung und Registrierung ruft das Mitgliedsgerät Gruppen-SAs und Schlüssel für die angegebene Gruppen-ID vom Server mit einem GDOI-Austausch ab.groupkey-pull

4. Der Server fügt das Mitglied der Mitgliedschaft für die Gruppe hinzu.

5. Gruppenmitglieder tauschen Pakete aus, die mit Gruppen-SA-Schlüsseln verschlüsselt sind.

Der Server sendet SA und Schlüsselaktualisierungen an Gruppenmitglieder mit Rekey-Nachrichten (GDOI ).groupkey-push Der Server sendet Rekey-Nachrichten, bevor Sicherheitszuordnungen ablaufen, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Eine vom Server gesendete Rekey-Nachricht erfordert eine Bestätigungsnachricht (ack) von jedem Gruppenmitglied. Wenn der Server keine Bestätigungsnachricht vom Mitglied empfängt, wird die Rekey-Nachricht in der konfigurierten Zeit erneut übertragen (der Standardwert ist 10 Sekunden).retransmission-period Wenn das Mitglied nach der Konfiguration keine Antwort erhält (der Standardwert ist 2 Mal), wird das Mitglied aus den registrierten Mitgliedern des Servers entfernt.number-of-retransmission Die IKE-Sicherheitszuordnung zwischen dem Server und dem Mitglied wird ebenfalls entfernt.

Der Server sendet auch Rekey-Nachrichten, um Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn sich die Gruppenzuordnung geändert hat.

Grundlegendes zu den Einschränkungen von Gruppen-VPNv2

Gruppen-VPNv2-Server funktionieren nur mit Gruppen-VPNv2-Mitgliedern, die RFC 6407, The Group Domain of Interpretation (GDOI), unterstützen.

Gruppen-VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX Virtual Firewall-Instanzen unterstützt. Folgendes wird in dieser Version für Gruppen-VPNv2 nicht unterstützt:

• SNMP.

• Verweigern Sie die Richtlinie vom Cisco GET VPN-Server.

• PKI-Unterstützung für Phase 1 der IKE-Authentifizierung.

• Zusammenstellung von Gruppenserver und -mitglied, wobei Server- und Mitgliedsfunktionen auf demselben physischen Gerät koexistieren.

• Gruppenmitglieder, die als Chassis-Cluster konfiguriert sind.

• J-Web-Schnittstelle zur Konfiguration und Überwachung.

• Multicast-Datenverkehr.

Gruppen-VPNv2 wird in Bereitstellungen, in denen IP-Adressen nicht beibehalten werden können, nicht unterstützt, z. B. im Internet, wo NAT verwendet wird.

Grundlegendes zur Kommunikation zwischen Gruppen-VPNv2-Servern und -Mitgliedern

Gruppen-VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX Virtual Firewall-Instanzen unterstützt. Die Kommunikation zwischen Servermitgliedern ermöglicht es dem Server, GDOI-Nachrichten (Rekey) an Mitglieder zu senden.groupkey-push Wenn die Server-Mitglieder-Kommunikation für die Gruppe nicht konfiguriert ist, können Mitglieder GDOI-Nachrichten senden, um sich beim Server zu registrieren und erneut zu registrieren, aber der Server ist nicht in der Lage, Nachrichten an Mitglieder zu senden .groupkey-pullgroupkey-push

Die Kommunikation zwischen Servermitgliedern und Servermitgliedern wird für die Gruppe mithilfe der configuration-Anweisung in der []-Hierarchie konfiguriert.server-member-communicationedit security group-vpn server Folgende Optionen können definiert werden:

• Authentifizierungsalgorithmus (sha-256 oder sha-384), der zur Authentifizierung des Mitglieds gegenüber dem Server verwendet wird. Es gibt keinen Standardalgorithmus.

• Verschlüsselungsalgorithmus, der für die Kommunikation zwischen dem Server und dem Mitglied verwendet wird. Sie können aes-128-cbc, aes-192-cbc oder aes-256-cbc angeben. Es gibt keinen Standardalgorithmus.

• Unicast-Kommunikationstyp für Rekey-Nachrichten, die an Gruppenmitglieder gesendet werden.

• Lebensdauer des Schlüsselverschlüsselungsschlüssels (Key Encryption Key, KEK). Der Standardwert ist 3600 Sekunden.

• Gibt an, wie oft der Gruppenserver Nachrichten ohne Antwort an ein Gruppenmitglied erneut übermittelt (der Standardwert ist 2 Mal) und der Zeitraum zwischen erneuten Übertragungen (der Standardwert ist 10 Sekunden).groupkey-push

Wenn die Server-Mitglieder-Kommunikation für eine Gruppe nicht konfiguriert ist, zeigt die vom Befehl angezeigte Mitgliederliste Gruppenmitglieder an, die sich beim Server registriert haben; Mitglieder können aktiv sein oder nicht.show security group-vpn server registered-members Wenn die Server-Mitglieder-Kommunikation für eine Gruppe konfiguriert ist, wird die Gruppenmitgliedschaftsliste gelöscht. Für den Unicast-Kommunikationstyp zeigt der Befehl nur aktive Member an.show security group-vpn server registered-members

Grundlegendes zu den wichtigsten Vorgängen von Gruppen-VPNv2

Dieses Thema enthält die folgenden Abschnitte:

• Gruppenschlüssel
• Nachrichten erneut eingeben
• Mitglieder-Registrierung

Auf Gruppenservern konfigurierte Gruppenrichtlinien

In einer VPN-Gruppe sind jede Gruppenzuordnung und jeder Schlüssel, die der Server per Push an ein Mitglied überträgt, einer Gruppenrichtlinie zugeordnet. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quellport, Zieladresse und Zielport. Auf dem Server wird die Gruppenrichtlinie mit den Optionen auf der Hierarchieebene [] konfiguriert.match-policy policy-nameedit security group-vpn server group name ipsec-sa name

Identische Gruppenrichtlinien (konfiguriert mit denselben Quelladressen-, Ziel-, Quell-, Zielport- und Protokollwerten) können nicht für eine einzelne Gruppe vorhanden sein. Ein Fehler wird zurückgegeben, wenn Sie versuchen, einen Commit für eine Konfiguration auszuführen, die identische Gruppenrichtlinien für eine Gruppe enthält. In diesem Fall müssen Sie eine der identischen Gruppenrichtlinien löschen, bevor Sie die Konfiguration bestätigen können.

IPsec-Richtlinien, die für Gruppenmitglieder konfiguriert sind

Für das Gruppenmitglied besteht eine IPsec-Richtlinie aus den folgenden Informationen:

• Eingehende Zone () für Gruppendatenverkehr.from-zone

• Ausgangszone () für Gruppenverkehr.to-zone

• Der Name der Gruppe, für die die IPsec-Richtlinie gilt. Nur auf einen Gruppen-VPNv2-Namen kann von einem bestimmten Von-Zone/Bis-Zonen-Paar verwiesen werden.

Die Schnittstelle, die vom Gruppenmitglied zum Herstellen einer Verbindung mit dem Gruppen-VPNv2 verwendet wird, muss zur ausgehenden Zone gehören. Diese Schnittstelle wird mit der Anweisung auf der Hierarchieebene [] angegeben.group-vpn-external-interfaceedit security group-vpn member ipsec vpn vpn-name

Für das Gruppenmitglied wird die IPsec-Richtlinie auf der Hierarchieebene [] konfiguriert.edit security ipsec-policy Datenverkehr, der der IPsec-Richtlinie entspricht, wird außerdem anhand von Ausschluss- und Fail-Open-Regeln überprüft, die für die Gruppe konfiguriert sind.

Fail-Close (Fail-Schließen)

Standardmäßig wird Datenverkehr, der nicht den vom Gruppenserver empfangenen Ausschluss- oder Failopen-Regeln oder Gruppenrichtlinien entspricht, blockiert. Dies wird als Fail-Close bezeichnet.

Ausschluss- und Fail-Open-Regeln

Für Gruppenmitglieder können die folgenden Regeltypen für jede Gruppe konfiguriert werden:

• Datenverkehr, der von der VPN-Verschlüsselung ausgeschlossen ist. Beispiele für diese Art von Datenverkehr können BGP- oder OSPF-Routingprotokolle sein. Um Datenverkehr aus einer Gruppe auszuschließen, verwenden Sie die Konfiguration .set security group-vpn member ipsec vpn vpn-name exclude rule Es können maximal 10 Ausschlussregeln konfiguriert werden.

• Datenverkehr, der für den Betrieb des Kunden kritisch ist und im Klartext (unverschlüsselt) gesendet werden muss, wenn das Gruppenmitglied keinen gültigen Datenverkehrsverschlüsselungsschlüssel (TEK) für die IPsec-Sicherheitszuordnung erhalten hat. Fail-Open-Regeln lassen diesen Datenverkehrsfluss zu, während der gesamte andere Datenverkehr blockiert wird. Aktivieren Sie das Fail-Open mit der Konfiguration.set security group-vpn member ipsec vpn vpn-name fail-open rule Es können maximal 10 Fail-Open-Regeln konfiguriert werden.

Prioritäten von IPsec-Richtlinien und -Regeln

IPsec-Richtlinien und -Regeln haben die folgenden Prioritäten für das Gruppenmitglied:

1. Schließen Sie Regeln aus, die definieren, dass Datenverkehr von der VPN-Verschlüsselung ausgeschlossen werden soll.

2. Gruppenrichtlinien, die vom Gruppenserver heruntergeladen werden.

3. Fail-Open-Regeln, die Datenverkehr definieren, der im Klartext gesendet wird, wenn kein gültiger TEK für die SA vorhanden ist.

4. Fail-Close-Richtlinie, die den Datenverkehr blockiert. Dies ist die Standardeinstellung, wenn der Datenverkehr nicht mit Ausschluss- oder Failopen-Regeln oder Gruppenrichtlinien übereinstimmt.