Configuration des associations de sécurité
Pour utiliser les services IPsec, vous devez créer une association de sécurité (SA) entre les hôtes. Une SA est une connexion simplex qui permet à deux hôtes de communiquer entre eux en toute sécurité à l’aide d’IPsec.
OSPFv2 et OSPFv3 prennent tous deux en charge l’authentification IPsec. Cependant, les SA IPsec en mode dynamique ou tunnel ne sont pas prises en charge pour OSPFv3. Si vous ajoutez des SA dans OSPFv3 en incluant l’instruction ipsec-sa au niveau de la hiérarchie, la validation de votre [edit protocols ospf3 area area-number interface interface-name] configuration échoue. Pour plus d’informations sur l’authentification OSPF et d’autres propriétés OSPF, consultez la bibliothèque des protocoles de routage de Junos OS.
Vous pouvez configurer deux types de SA :
Manuel : ne nécessite aucune négociation ; Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Par conséquent, chaque pair doit avoir les mêmes options configurées pour que la communication ait lieu.
Dynamique : spécifie les propositions à négocier avec l’homologue de tunnel. Les clés sont générées dans le cadre de la négociation et n’ont donc pas besoin d’être spécifiées dans la configuration. L’AS dynamique comprend une ou plusieurs
proposaldéclarations qui hiérarchisent une liste de protocoles et d’algorithmes à négocier avec le pair.
Cette section comprend les rubriques suivantes :
Configuration d’associations de sécurité manuelles
Les AS manuelles ne nécessitent aucune négociation ; Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Par conséquent, chaque pair doit avoir les mêmes options configurées pour que la communication ait lieu. Les SA manuelles sont idéales pour les petits réseaux statiques où la distribution, la maintenance et le suivi des clés ne sont pas difficiles.
Pour configurer une association de sécurité IPsec manuelle, incluez les instructions suivantes au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi auxiliary-spi-value; encryption { algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
Pour configurer des instructions SA manuelles, procédez comme suit :
- Configuration du sens de traitement IPsec
- Configuration du protocole pour une SA IPsec manuelle
- Configuration de l’index des paramètres de sécurité
- Configuration de l’index des paramètres de sécurité auxiliaires
- Configuration de l’authentification pour une SA IPsec manuelle
- Configuration du chiffrement pour une SA IPsec manuelle
Configuration du sens de traitement IPsec
L’instruction direction spécifie le traitement IPsec entrant ou sortant. Si vous souhaitez définir des algorithmes, des clés ou des valeurs SPI (Security Parameter Index) différents pour chaque direction, vous configurez les inbound options et outbound . Si vous souhaitez les mêmes attributs dans les deux sens, utilisez l’option bidirectional .
Pour configurer le sens de traitement IPsec, incluez l’instruction direction au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { ... }
Les deux exemples suivants l’illustrent :
Exemple : Utilisation d’une configuration différente pour les itinéraires entrants et sortants
Définissez différents algorithmes, clés et valeurs d’index de paramètres de sécurité pour chaque direction :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } } direction outbound { protocol esp; spi 24576; encryption { algorithm 3des-cbc; key ascii-text 12345678901234567890abcd; } }Exemple : Utiliser la même configuration pour les itinéraires entrants et sortants
Définissez un ensemble d’algorithmes, de clés et de valeurs d’index de paramètres de sécurité qui soit valide dans les deux sens :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } }
Configuration du protocole pour une SA IPsec manuelle
IPsec utilise deux protocoles pour protéger le trafic IP : l’encapsulation de la charge utile de sécurité (ESP) et de l’en-tête d’authentification (AH). Le protocole AH est utilisé pour l’authentification forte. Une troisième option, bundle, utilise l’authentification AH et le chiffrement ESP ; elle n’utilise pas l’authentification ESP car AH fournit une authentification plus forte des paquets IP.
Pour configurer le protocole IPsec, incluez l’instruction protocol et spécifiez l’option ah, espou bundle au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] protocol (ah | bundle | esp);
Configuration de l’index des paramètres de sécurité
Un SPI est une valeur arbitraire qui identifie de manière unique la SA à utiliser sur l’hôte de réception. L’hôte émetteur utilise le SPI pour identifier et sélectionner la SA à utiliser pour sécuriser chaque paquet. L’hôte récepteur utilise le SPI pour identifier et sélectionner l’algorithme de chiffrement et la clé utilisés pour déchiffrer les paquets.
Chaque SA manuelle doit avoir une combinaison SPI et protocole unique. Utilisez le SPI auxiliaire lorsque vous configurez l’instruction protocol pour utiliser l’option bundle .
Pour configurer le SPI, incluez l’instruction spi et spécifiez une valeur (comprise entre 256 et 16 639) au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] spi spi-value;
Configuration de l’index des paramètres de sécurité auxiliaires
Utilisez le SPI auxiliaire lorsque vous configurez l’instruction protocol pour utiliser l’option bundle .
Chaque SA manuelle doit avoir une combinaison SPI et protocole unique.
Pour configurer le SPI auxiliaire, incluez l’instruction auxiliary-spi et spécifiez une valeur (de 256 à 16 639) au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] auxiliary-spi auxiliary-spi-value;
Configuration de l’authentification pour une SA IPsec manuelle
Pour configurer un algorithme d’authentification, incluez l’instruction authentication et spécifiez un algorithme d’authentification et une clé au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] authentication { algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128) key (ascii-text key | hexadecimal key); }
L’algorithme peut être l’un des suivants :
hmac-md5-96: algorithme de hachage qui authentifie les données de paquets. Il produit une valeur d’authentificateur de 128 bits et un résumé de 96 bits.hmac-sha1-96: algorithme de hachage qui authentifie les données de paquets. Il produit une valeur d’authentificateur de 160 bits et un résumé de 96 bits.hmac-sha-256-128: algorithme de hachage qui authentifie les données de paquets. Il produit une valeur d’authentificateur de 256 bits condensé de 256 bits, tronqué à 128 bits.
La clé peut être l’une des suivantes :
ascii-text: clé de texte ASCII. Avec l’optionhmac-md5-96, la clé contient 16 caractères ASCII. Avec l’optionhmac-sha1-96, la clé contient 20 caractères ASCII.hexadecimal: clé hexadécimale. Avec l’optionhmac-md5-96, la clé contient 32 caractères hexadécimaux. Avec l’optionhmac-sha1-96, la clé contient 40 caractères hexadécimaux.
Configuration du chiffrement pour une SA IPsec manuelle
Pour configurer le chiffrement IPsec, incluez l’instruction encryption et spécifiez un algorithme et une clé au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); }
L’algorithme peut être l’un des suivants :
des-cbc- Algorithme de cryptage qui a une taille de bloc de 8 octets ; Sa taille de clé est de 64 bits.3des-cbc- Algorithme de cryptage d’une taille de bloc de 24 octets ; Sa taille de clé est de 192 bits.aes-128-cbc: algorithme de chiffrement AES (Advanced Encryption Standard) de 128 bits.aes-192-cbc: algorithme de chiffrement AES (Advanced Encryption Standard) de 192 bits.aes-256-cbc: algorithme de chiffrement AES (Advanced Encryption Standard) 256 bits.
Pour obtenir la liste des clés faibles et semi-faibles de l’algorithme de chiffrement DES (Data Encryption Standard), reportez-vous à la section RFC 2409, The Internet Key Exchange (IKE). Les algorithmes de chiffrement AES utilisent une implémentation logicielle qui a un débit beaucoup plus faible, donc DES reste l’option recommandée. Pour obtenir des informations de référence sur le chiffrement AES, consultez RFC 3602, L’algorithme de chiffrement AES-CBC et son utilisation avec IPsec.
Pour 3des-cbc, les 8 premiers octets doivent différer des 8 octets suivants, et les 8 octets suivants doivent être les mêmes que les 8 octets troisièmes.
Si vous configurez une proposition d’authentification mais que vous n’incluez pas l’instruction encryption , le résultat est un chiffrement NULL. Certaines applications attendent ce résultat. Si vous ne configurez aucune valeur d’authentification ou de chiffrement spécifique, Junos OS utilise les valeurs par défaut pour sha1 l’authentification et 3des-cbc pour le chiffrement.
La clé peut être l’une des suivantes :
ascii-text: clé de texte ASCII. Avec l’optiondes-cbc, la clé contient 8 caractères ASCII. Avec l’option3des-cbc, la clé contient 24 caractères ASCII.hexadecimal: clé hexadécimale. Avec l’optiondes-cbc, la clé contient 16 caractères hexadécimaux. Avec l’option3des-cbc, la clé contient 48 caractères hexadécimaux.Remarque :Vous ne pouvez pas configurer le chiffrement lorsque vous utilisez le protocole AH.
Configuration d’associations de sécurité dynamique
Vous configurez des SA dynamiques avec un ensemble de propositions qui sont négociées par les passerelles de sécurité. Les clés sont générées dans le cadre de la négociation et n’ont donc pas besoin d’être spécifiées dans la configuration. La SA dynamique comprend une ou plusieurs propositions, qui vous permettent de hiérarchiser une liste de protocoles et d’algorithmes à négocier avec le pair.
Pour activer un SA dynamique, procédez comme suit :
Configurez Internet Key Exchange (IKE) propositions et IKE stratégies associées à ces propositions.
Configurez des propositions IPsec et une stratégie IPsec associée à ces propositions.
Associez une SA à une stratégie IPsec en configurant l’instruction
dynamic.
Pour configurer une SA dynamique, incluez l’instruction dynamic et spécifiez un nom de stratégie IPsec au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie. L’instruction ike-policy est facultative, sauf si vous utilisez la méthode d’authentification par clé prépartagée.
[edit services ipsec-vpn rule rule-name term term-name then] dynamic { ike-policy policy-name; ipsec-policy policy-name; }
Si vous souhaitez établir une SA dynamique, les attributs d’au moins une proposition IPsec et IKE configurée doivent correspondre à ceux de son homologue.
Effacement des associations de sécurité
Vous pouvez configurer le logiciel du routeur pour qu’il efface automatiquement les SA IKE ou IPsec lorsque le PIC de services correspondant redémarre ou est mis hors ligne. Pour configurer cette propriété, incluez l’instruction clear-ike-sas-on-pic-restart ou clear-ipsec-sas-on-pic-restart au niveau de la [edit services ipsec-vpn] hiérarchie :
[edit services ipsec-vpn] clear-ike-sas-on-pic-restart; clear-ipsec-sas-on-pic-restart;
Une fois que vous avez ajouté cette instruction à la configuration, toutes les SA IKE ou IPsec correspondant aux tunnels du PIC seront effacées lorsque le PIC redémarrera ou sera hors ligne.
Vous pouvez activer le nettoyage des déclencheurs IKE et des SA IKE et IPsec lorsque l’adresse IP de la passerelle locale d’un tunnel IPsec tombe en panne ou que le MS-MIC ou MS-MPC utilisé dans l’ensemble de services du tunnel tombe en panne. Cela réduit les pertes de trafic et les déclencheurs IKE inutiles. Pour activer cette fonctionnalité, incluez l’instruction gw-interface au niveau de la [edit services service set service-set-name ipsec-vpn-options local-gateway address] hiérarchie. Si l’adresse IP de la passerelle locale pour l’ensemble de services d’un tunnel IPsec tombe en panne ou si le MS-MIC ou MS-MPC utilisé dans l’ensemble de services tombe en panne, l’ensemble de services n’envoie plus de déclencheurs IKE.
En outre, lorsque l’adresse IP de la passerelle locale tombe en panne, les SA IKE et IPsec sont effacées pour les ensembles de services de saut suivant et passent à l’état Non installé pour les ensembles de services de type interface. Les SA qui ont l’état Non installé sont supprimées lorsque l’adresse IP de la passerelle locale est rétablie. Si l’adresse IP de la passerelle locale qui tombe en panne pour un ensemble de services de saut suivant est celle de l’homologue répondeur, vous devez effacer les SA IKE et IPsec sur l’homologue initiateur afin que le tunnel IPsec soit rétabli une fois que l’adresse IP de la passerelle locale est rétablie. Vous pouvez effacer manuellement les SA IKE et IPsec sur l’homologue initiateur ou activer la détection d’homologue mort sur l’homologue initiateur.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.