IKE et ESP ALG
Internet Key Exchange (IKE) et ESP (Encapsulating Security Payload) font partie du protocole de sécurité IP (IPsec). Le trafic IKE et ESP est échangé entre les clients et le serveur. L’IKE et l’ESP ALG permettent de résoudre les problèmes liés aux VPN IPsec lorsque le VPN IPsec passe par l’équipement sur lequel le NAT est activé.
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Consultez la section Comportement IKE ALG spécifique à la plate-forme pour obtenir des remarques relatives à votre plate-forme.
Comprendre l’IKE et l’ESP ALG
Un pare-feu NFX Series ou SRX Series peut être utilisé uniquement comme dispositif de traduction d’adresses réseau (NAT) lorsqu’il est placé entre les clients VPN du côté privé de la passerelle NAT et les passerelles de réseau privé virtuel (VPN) du côté public.
Le trafic IKE (Internet Key Exchange) et ESP (Encapsulating Security Payload) est échangé entre les clients et le serveur. Toutefois, si les clients ne prennent pas en charge la traversée NAT (NAT-T) et si l’appareil attribue la même adresse IP générée par NAT à deux clients ou plus, l’appareil ne sera pas en mesure de distinguer et d’acheminer correctement le trafic de retour.
Si l’utilisateur souhaite prendre en charge à la fois des clients compatibles NAT-T et non compatibles NAT-T, des configurations supplémentaires sont nécessaires. S’il existe des clients compatibles NAT-T, l’utilisateur doit activer la persistance de l’adresse NAT source.
L’ALG pour IKE et ESP surveille le trafic IKE entre le client et le serveur et n’autorise qu’un seul échange de messages IKE Phase 2 entre une paire client/serveur donnée, et non un seul échange entre un client et un serveur.
L’ALG pour le trafic IKE et ESP a été créé et NAT a été amélioré pour implémenter les éléments suivants :
Pour permettre aux appareils de transmettre le trafic IKE et ESP avec un pool NAT source
Pour permettre à l’appareil d’être configuré pour renvoyer la même adresse IP générée par NAT pour la même adresse IP sans NAT (« address-persistent NAT »). Par conséquent, l'appareil est capable d'associer le trafic IKE sortant d'un client à son trafic de retour du serveur, en particulier lorsque la session IKE expire et doit être rétablie.
Le trafic ESP résultant entre le client et le serveur est également autorisé, en particulier dans le sens du serveur vers le client.
Le trafic ESP de retour correspond aux éléments suivants :
L’adresse IP du serveur en tant qu’adresse IP source
L’adresse IP du client en tant qu’adresse IP de destination
Comprendre le fonctionnement de l’IKE et de l’ESP ALG
La couche applicative (ALG) pour le trafic IKE (Internet Key Exchange) et ESP (Encapsulating Security Payload) présente le comportement suivant :
Un ALG IKE et ESP surveille le trafic IKE entre le client et le serveur et n’autorise qu’un seul échange de messages IKE Phase 2 entre le client et le serveur à la fois.
Pour un message de phase 2 :
Si un échange de messages de phase 2 entre le client et le serveur ne se produit pas, les portes IKE ALG sont ouvertes pour le trafic ESP concerné du client vers le serveur et du serveur vers le client.
Si les deux portes IKE ALG ne sont pas ouvertes avec succès ou si l’échange de messages de phase 2 a déjà eu lieu, le message de phase 2 est abandonné.
Lorsque le trafic ESP atteint les portes IKE ALG, des sessions sont créées pour capturer le trafic ESP suivant et effectuer le NAT approprié (c’est-à-dire la traduction de l’adresse IP source du trafic client vers le trafic serveur et la traduction de l’adresse IP de destination du trafic serveur vers le trafic client).
Lorsque le trafic ESP n’atteint ni l’une ni l’autre des portes, ni les deux, elles expirent naturellement.
Une fois que les portes IKE ALG sont réduites ou expirées, un autre échange de messages IKE Phase 2 est autorisé.
Le trafic IKE NAT-T sur le port flottant 4500 n’est pas traité dans un ALG IKE. Pour prendre en charge un mélange de clients compatibles NAT-T et non compatibles, vous devez activer l’adresse NAT source persistante.
Exemple : Configuration de l’IKE et de l’ESP ALG
Cet exemple montre comment configurer l’IKE et l’ESP ALG pour qu’ils passent par le trafic IKE et ESP avec un pool NAT source sur les équipements Juniper Networks.
Exigences
Avant de commencer :
Configurez l’ARP du proxy pour toutes les adresses IP du pool NAT source.
Comprendre les concepts qui sous-tendent IKE et ESP ALG. Reportez-vous à la section Présentation du fonctionnement de l’IKE et de l’ESP ALG.
Aperçu
Dans cet exemple, l’ALG pour IKE et ESP est configuré pour surveiller et autoriser l’échange du trafic IKE et ESP entre les clients et le serveur situé de part et d’autre d’un équipement Juniper Networks.
Cet exemple montre comment configurer un pool NAT source et un ensemble de règles, configurer une application personnalisée pour prendre en charge l’ALG IKE et ESP, et associer cet ALG à une stratégie.
Si vous souhaitez prendre en charge un mélange de clients compatibles NAT-traversal (NAT-T) et de clients non compatibles, vous devez activer la traduction NAT source persistante (de sorte qu’une fois qu’un NAT source particulier est associé à une adresse IP donnée, les traductions NAT source suivantes utilisent la même adresse IP). Vous devez également configurer une application de traversée NAT IKE personnalisée pour prendre en charge l’encapsulation d’IKE et d’ESP dans le port UDP 4500. Cette configuration permet à IKE et ESP de passer par l’équipement compatible NAT.
Topologie
Configuration
- Configuration d’un pool de sources NAT et d’un ensemble de règles
- Configuration d’une application personnalisée et association de celle-ci à une stratégie
- Configuration de la prise en charge d’IKE et d’ESP ALG pour les clients compatibles NAT-T et non compatibles
Configuration d’un pool de sources NAT et d’un ensemble de règles
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer un pool NAT source :
Créez un pool source NAT.
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
Configurez les entrées du carnet d’adresses des zones de sécurité.
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
Créez un ensemble de règles de source NAT.
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show security nat
source {
pool pool1 {
address {
10.10.10.1/32 to 10.10.10.10/32;
}
}
rule-set rs1 {
from zone green;
to zone red;
rule r1 {
match {
source-address 1.1.1.0/24;
destination-address 2.2.2.0/24;
}
then {
source-nat {
pool {
pool1;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration d’une application personnalisée et association de celle-ci à une stratégie
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer une application personnalisée et l’associer à une stratégie :
Configurez une application personnalisée.
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
Associez l’application personnalisée à une stratégie.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show applications commandes and show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show applications
application custom-ike-alg {
application-protocol ike-esp-nat;
protocol udp;
source-port 500;
destination-port 500;
}
[edit]
user@host# show security zones
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone green {
address-book {
address sa1 1.1.1.0/24;
}
}
security-zone red {
address-book {
address da1 2.2.2.0/24;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Configuration de la prise en charge d’IKE et d’ESP ALG pour les clients compatibles NAT-T et non compatibles
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer la prise en charge d’IKE et d’ESP ALG pour les clients compatibles NAT-T et non compatibles :
Activez globalement la traduction NAT source persistante.
[edit] user@host# set security nat source address-persistent
Configurez l’application IKE NAT-T.
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
Associez l’application NAT-T à l’aide d’une stratégie.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
address-persistent;
}
[edit]
user@host# show security policies
from-zone green to-zone red {
policy pol1 {
match {
source-address sa1;
destination-address da1;
application [ custom-ike-alg custom-ike-natt ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification des applications personnalisées IKE et ESP ALG
- Vérification des politiques de sécurité d’ALG
Vérification des applications personnalisées IKE et ESP ALG
But
Vérifiez que les applications personnalisées pour prendre en charge IKE et ESP ALG sont activées.
Action
À partir du mode opérationnel, entrez la show security alg status commande.
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
Signification
La sortie affiche l’état de l’ALG comme suit :
Enabled (Activé) : indique que l’ALG est activé.
Disabled (Désactivé) : indique que l’ALG est désactivé.
Vérification des politiques de sécurité d’ALG
But
Vérifiez que l’IKE ALG personnalisé de l’application et l’IKE NATT personnalisé de l’application sont définis.
Action
À partir du mode opérationnel, entrez la show security policies commande.
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
Signification
L’exemple de sortie montre que les applications IKE ALG et IKE NATT personnalisées sont définies.
Exemple : activation de l’IKE et de l’ESP ALG et définition des délais d’expiration
Cet exemple montre comment activer l’IKE et l’ALG ESP et définir les valeurs de délai d’expiration pour laisser le temps à l’ALG de traiter les informations d’état ALG, les portes ESP et les sessions ESP.
Exigences
Comprendre les concepts qui sous-tendent l’ALG pour IKE et ESP. Reportez-vous à la section Présentation du fonctionnement de l’IKE et de l’ESP ALG.
Aperçu
L’IKE et l’ESP ALG traitent tout le trafic spécifié dans les stratégies auxquelles l’ALG est rattaché. Dans cet exemple, vous configurez l’instruction set security alg ike-esp-nat enable de manière à ce que le comportement de relais IPsec par défaut actuel soit désactivé pour tout le trafic relais IPsec, quelle que soit la stratégie.
Vous définissez ensuite les valeurs de délai d’expiration pour laisser le temps à l’IKE et à l’ALG ESP de traiter les informations d’état ALG, les portes ESP et les sessions ESP. Dans cet exemple, vous définissez le délai d’expiration des informations d’état ALG. La plage de délai d’attente est comprise entre 180 et 86400 secondes. Le délai d’expiration par défaut est de 14400 secondes. Vous définissez ensuite le délai d’expiration des portes ESP créées après la fin d’un échange IKE Phase 2. La plage de délai d’attente est comprise entre 2 et 30 secondes. Le délai d’attente par défaut est de 5 secondes. Enfin, vous définissez le délai d’inactivité des sessions ESP créées à partir des portes IPsec. Si aucun trafic n’atteint la session, celle-ci est vieillie après cette période. La plage de délai d’attente est comprise entre 60 et 2400 secondes. Le délai d’attente par défaut est de 1800 secondes.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour activer l’IKE et l’ESP ALG et définir les valeurs de délai d’attente :
Activez l’IKE et l’ESP ALG.
[edit] user@host# set security alg ike-esp-nat enable
Définissez le délai d’expiration des informations d’état ALG.
[edit security alg ike-esp-nat] user@host# set state-timeout 360
Définissez le délai d’expiration des portes ESP créées après la fin d’un échange IKE Phase 2.
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
Définissez le délai d’inactivité pour les sessions ESP créées à partir des portes IPsec.
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security alg commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security alg
ike-esp-nat {
enable;
state-timeout 360;
esp-gate-timeout 20;
esp-session-timeout 2400;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de l’ALG pour IKE et ESP et des paramètres de délai d’expiration
But
Vérifiez que l’ALG pour IKE et ESP est activé et que les paramètres de délai d’expiration de cette fonctionnalité sont corrects.
Action
À partir du mode opérationnel, entrez la show security alg ike-esp-nat commande.
Comportement de l’IKE ALG spécifique à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme :
| Plateforme |
Différence |
|---|---|
| SRX Series |
|