Configuration des associations de sécurité
Pour utiliser les services IPsec, vous devez créer une association de sécurité (SA) entre les hôtes. Une SA est une connexion simplex qui permet à deux hôtes de communiquer entre eux en toute sécurité à l’aide d’IPsec.
OSPFv2 et OSPFv3 prennent tous deux en charge l’authentification IPsec. Toutefois, les SA IPsec dynamiques ou en mode tunnel ne sont pas prises en charge pour OSPFv3. Si vous ajoutez des SA dans OSPFv3 en incluant l’instruction ipsec-sa au niveau de la [edit protocols ospf3 area area-number interface interface-name] hiérarchie, votre validation de configuration échoue. Pour plus d’informations sur l’authentification OSPF et d’autres propriétés OSPF, reportez-vous à la bibliothèque de protocoles de routage Junos OS.
Vous pouvez configurer deux types de SA :
Manuel : ne nécessite aucune négociation ; Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Par conséquent, chaque pair doit avoir les mêmes options configurées pour que la communication ait lieu.
Dynamique : spécifie les propositions à négocier avec l’homologue de tunnel. Les clés sont générées dans le cadre de la négociation et n’ont donc pas besoin d’être spécifiées dans la configuration. La SA dynamique inclut une ou plusieurs
proposalinstructions qui hiérarchisent une liste de protocoles et d’algorithmes à négocier avec l’homologue.
Cette section aborde les rubriques suivantes :
Configuration manuelle des associations de sécurité
Les SA manuelles ne nécessitent aucune négociation ; Toutes les valeurs, y compris les clés, sont statiques et spécifiées dans la configuration. Par conséquent, chaque pair doit avoir les mêmes options configurées pour que la communication ait lieu. Les SA manuelles conviennent mieux aux petits réseaux statiques où la distribution, la maintenance et le suivi des clés ne sont pas difficiles.
Pour configurer une association de sécurité IPsec manuelle, incluez les instructions suivantes au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi auxiliary-spi-value; encryption { algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
Pour configurer les instructions SA manuelles, procédez comme suit :
- Configuration de la direction de traitement IPsec
- Configuration du protocole d’une SA IPsec manuelle
- Configuration de l’index des paramètres de sécurité
- Configuration de l’index des paramètres de sécurité auxiliaire
- Configuration de l’authentification pour une SA IPsec manuelle
- Configuration du chiffrement d’une SA IPsec manuelle
Configuration de la direction de traitement IPsec
L’instruction direction spécifie le traitement IPsec entrant ou sortant. Si vous souhaitez définir des algorithmes, des clés ou des valeurs SPI (Security Parameter Index) différentes pour chaque direction, configurez les inbound options and outbound . Si vous souhaitez obtenir les mêmes attributs dans les deux sens, utilisez l’option bidirectional .
Pour configurer la direction du traitement IPsec, incluez l’instruction suivante direction au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { ... }
Les deux exemples suivants l’illustrent :
Exemple : Utilisation d’une configuration différente pour les directions entrantes et sortantes
Définissez des algorithmes, des clés et des valeurs d’index de paramètres de sécurité différents pour chaque direction :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } } direction outbound { protocol esp; spi 24576; encryption { algorithm 3des-cbc; key ascii-text 12345678901234567890abcd; } }Exemple : Utilisation de la même configuration pour les directions entrantes et sortantes
Définissez un ensemble d’algorithmes, de clés et de valeurs d’index de paramètres de sécurité valides dans les deux sens :
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } }
Configuration du protocole d’une SA IPsec manuelle
IPsec utilise deux protocoles pour protéger le trafic IP : l’ESP (Encapsulating Security Payload) et l’en-tête d’authentification (AH). Le protocole AH est utilisé pour l’authentification forte. Une troisième option, bundle, utilise l’authentification AH et le chiffrement ESP ; elle n’utilise pas l’authentification ESP car AH fournit une authentification plus forte des paquets IP.
Pour configurer le protocole IPsec, incluez l’instruction protocol et spécifiez l’option ah, esp, ou bundle au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] protocol (ah | bundle | esp);
Configuration de l’index des paramètres de sécurité
Un SPI est une valeur arbitraire qui identifie de manière unique la SA à utiliser sur l’hôte récepteur. L’hôte émetteur utilise le SPI pour identifier et sélectionner la SA à utiliser pour sécuriser chaque paquet. L’hôte récepteur utilise le SPI pour identifier et sélectionner l’algorithme et la clé de chiffrement utilisés pour déchiffrer les paquets.
Chaque SA manuelle doit avoir une combinaison SPI et protocole unique. Utilisez le SPI auxiliaire lorsque vous configurez l’instruction protocol pour utiliser l’option bundle .
Pour configurer le SPI, incluez l’instruction spi et spécifiez une valeur (comprise entre 256 et 16 639) au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] spi spi-value;
Configuration de l’index des paramètres de sécurité auxiliaire
Utilisez le SPI auxiliaire lorsque vous configurez l’instruction protocol pour utiliser l’option bundle .
Chaque SA manuelle doit avoir une combinaison SPI et protocole unique.
Pour configurer le SPI auxiliaire, incluez l’instruction auxiliary-spi et spécifiez une valeur (comprise entre 256 et 16 639) au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] auxiliary-spi auxiliary-spi-value;
Configuration de l’authentification pour une SA IPsec manuelle
Pour configurer un algorithme d’authentification, incluez l’instruction authentication et spécifiez un algorithme d’authentification et une clé au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] authentication { algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128) key (ascii-text key | hexadecimal key); }
L’algorithme peut être l’un des suivants :
hmac-md5-96: algorithme de hachage qui authentifie les données des paquets. Il produit une valeur d’authentification de 128 bits et un condensé de 96 bits.hmac-sha1-96: algorithme de hachage qui authentifie les données des paquets. Il produit une valeur d’authentification de 160 bits et un condensé de 96 bits.hmac-sha-256-128: algorithme de hachage qui authentifie les données des paquets. Il produit une valeur d’authentification de 256 bits, un condensé de 256 bits, tronqué à 128 bits.
La clé peut être l’une des suivantes :
ascii-text: clé de texte ASCII. Avec l’optionhmac-md5-96, la clé contient 16 caractères ASCII. Avec l’optionhmac-sha1-96, la clé contient 20 caractères ASCII.hexadecimal: clé hexadécimale. Avec l’optionhmac-md5-96, la clé contient 32 caractères hexadécimaux. Avec l’optionhmac-sha1-96, la clé contient 40 caractères hexadécimaux.
Configuration du chiffrement d’une SA IPsec manuelle
Pour configurer le chiffrement IPsec, incluez l’instruction encryption et spécifiez un algorithme et une clé au niveau de la [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] hiérarchie :
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); }
L’algorithme peut être l’un des suivants :
des-cbc—Algorithme de chiffrement dont la taille de bloc est de 8 octets ; La taille de sa clé est de 64 bits.3des-cbc—Algorithme de chiffrement dont la taille de bloc est de 24 octets ; La taille de sa clé est de 192 bits.aes-128-cbc—Algorithme de chiffrement AES (Advanced Encryption Standard) 128 bits.aes-192-cbc—Algorithme de chiffrement AES (Advanced Encryption Standard) 192 bits.aes-256-cbc—Algorithme de chiffrement AES (Advanced Encryption Standard) 256 bits.
Pour obtenir la liste des clés faibles et semi-faibles de l’algorithme de chiffrement DES (Data Encryption Standard), reportez-vous à la RFC 2409, The Internet Key Exchange (IKE). Les algorithmes de chiffrement AES utilisent une implémentation logicielle qui a un débit beaucoup plus faible, de sorte que DES reste l’option recommandée. Pour plus d’informations sur le chiffrement AES, reportez-vous à la RFC 3602, L’algorithme de chiffrement AES-CBC et son utilisation avec IPsec.
Pour 3des-cbc, les 8 premiers octets doivent différer des 8 octets suivants, et les 8 octets suivants doivent être identiques aux 8 octets troisièmes.
Si vous configurez une proposition d’authentification, mais que vous n’incluez pas l’instruction encryption , le résultat est un chiffrement NULL. Certaines applications s’attendent à ce résultat. Si vous ne configurez aucune valeur d’authentification ou de chiffrement spécifique, Junos OS utilise les valeurs par défaut de sha1 pour l’authentification et 3des-cbc pour le chiffrement.
La clé peut être l’une des suivantes :
ascii-text: clé de texte ASCII. Avec l’optiondes-cbc, la clé contient 8 caractères ASCII. Avec l’option3des-cbc, la clé contient 24 caractères ASCII.hexadecimal: clé hexadécimale. Avec l’optiondes-cbc, la clé contient 16 caractères hexadécimaux. Avec l’option3des-cbc, la clé contient 48 caractères hexadécimaux.Note:Vous ne pouvez pas configurer le chiffrement lorsque vous utilisez le protocole AH.
Configuration des associations de sécurité dynamique
Vous configurez des SA dynamiques avec un ensemble de propositions qui sont négociées par les passerelles de sécurité. Les clés sont générées dans le cadre de la négociation et n’ont donc pas besoin d’être spécifiées dans la configuration. La SA dynamique comprend une ou plusieurs propositions, qui vous permettent de hiérarchiser une liste de protocoles et d’algorithmes à négocier avec l’homologue.
Pour activer une SA dynamique, procédez comme suit :
Configurez les propositions IKE (Internet Key Exchange) et les stratégies IKE associées à ces propositions.
Configurez les propositions IPsec et une stratégie IPsec associée à ces propositions.
Associez une SA à une stratégie IPsec en configurant l’instruction
dynamic.
Pour configurer une SA dynamique, incluez l’instruction dynamic et spécifiez un nom de stratégie IPsec au niveau de la [edit services ipsec-vpn rule rule-name term term-name then] hiérarchie. L’instruction ike-policy est facultative, sauf si vous utilisez la méthode d’authentification par clé prépartagée.
[edit services ipsec-vpn rule rule-name term term-name then] dynamic { ike-policy policy-name; ipsec-policy policy-name; }
Si vous souhaitez établir une SA dynamique, les attributs d’au moins une proposition IPsec et IKE configurée doivent correspondre à ceux de son homologue.
Effacement des associations de sécurité
Vous pouvez configurer le logiciel du routeur pour qu’il efface automatiquement les SA IKE ou IPsec lorsque le PIC des services correspondants redémarre ou est mis hors ligne. Pour configurer cette propriété, incluez l’instruction clear-ike-sas-on-pic-restart or clear-ipsec-sas-on-pic-restart au niveau de la [edit services ipsec-vpn] hiérarchie :
[edit services ipsec-vpn] clear-ike-sas-on-pic-restart; clear-ipsec-sas-on-pic-restart;
Une fois que vous avez ajouté cette instruction à la configuration, toutes les SA IKE ou IPsec correspondant aux tunnels du PIC sont effacées lorsque le PIC redémarre ou se déconnecte.
À partir de Junos OS version 17.2R1, vous pouvez activer le nettoyage des déclencheurs IKE et des SA IKE et IPsec lorsque l’adresse IP de la passerelle locale d’un tunnel IPsec tombe en panne ou que la carte MS-MIC ou MS-MPC utilisée dans l’ensemble de services du tunnel tombe en panne. Cela réduit le trafic interrompu et les déclenchements IKE inutiles. Pour activer cette fonctionnalité, incluez l’instruction gw-interface au niveau de la [edit services service set service-set-name ipsec-vpn-options local-gateway address] hiérarchie. Si l’adresse IP de la passerelle locale d’un ensemble de services d’un tunnel IPsec tombe en panne ou si la carte MS-MIC ou MS-MPC utilisée dans l’ensemble de services tombe en panne, l’ensemble de services n’envoie plus de déclencheurs IKE.
De plus, lorsque l’adresse IP de la passerelle locale tombe en panne, les SA IKE et IPsec sont effacées pour les ensembles de services de saut suivant, et passent à l’état Non installé pour les ensembles de services de type interface. Les SA dont l’état n’est pas installé sont supprimées lorsque l’adresse IP de la passerelle locale est rétablie. Si l’adresse IP de la passerelle locale qui tombe en panne pour un ensemble de services de saut suivant est pour l’homologue répondeur, vous devez effacer les SA IKE et IPsec sur l’homologue initiateur afin que le tunnel IPsec se rétablisse une fois que l’adresse IP de la passerelle locale est rétablie. Vous pouvez soit effacer manuellement les SA IKE et IPsec sur l’homologue initiateur, soit activer la détection d’homologue mort sur l’homologue initiateur.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.