Configuration d’une stratégie IPsec
Configuration de la stratégie IPsec pour un PIC ES
Une stratégie IPsec définit une combinaison de paramètres de sécurité (propositions IPsec) utilisés lors de la négociation IPsec. Il définit le Perfect Forward Secrecy (PFS) et les propositions nécessaires à la connexion. Au cours de la négociation IPsec, IPsec recherche une proposition IPsec identique sur les deux homologues. L’homologue qui initie la négociation envoie toutes ses stratégies à l’homologue distant, qui tente de trouver une correspondance.
Une correspondance est établie lorsque les deux stratégies des deux homologues ont une proposition qui contient les mêmes attributs configurés. Si les durées de vie ne sont pas identiques, la durée de vie plus courte entre les deux stratégies (de l’hôte et de l’homologue) est utilisée.
Vous pouvez créer plusieurs propositions IPsec hiérarchisées au niveau de chaque homologue pour vous assurer qu’au moins une proposition correspondra à la proposition d’un homologue distant.
Tout d’abord, vous configurez une ou plusieurs propositions IPsec ; puis vous associez ces propositions à une stratégie IPsec. Vous pouvez hiérarchiser les propositions de la liste en les répertoriant dans l’ordre dans lequel la stratégie IPsec les utilise (du premier au dernier).
Pour configurer une stratégie IPsec, incluez l’instruction policy au niveau de la [edit security ipsec] hiérarchie, en spécifiant le nom de la stratégie et une ou plusieurs propositions que vous souhaitez associer à cette stratégie :
[edit security ipsec] policy ipsec-policy-name { proposals [ proposal-names ]; }
Configuration de Perfect Forward Secrecy
PFS fournit une sécurité supplémentaire au moyen d’une valeur secrète partagée d’échange de clés Diffie-Hellman . Avec PFS, si une clé est compromise, les clés précédentes et suivantes sont sécurisées, car elles ne sont pas dérivées de clés précédentes. Cette déclaration est facultative.
Pour configurer PFS, incluez l’instruction perfect-forward-secrecy et spécifiez un groupe Diffie-Hellman au niveau de la [edit security ipsec policy ipsec-policy-name] hiérarchie :
[edit security ipsec policy ipsec-policy-name] perfect-forward-secrecy { keys (group1 | group2); }
La clé peut être l’une des suivantes :
group1: spécifiez que IKE utilise le groupe de modules premiers Diffie-Hellman 768 bits lors de l’exécution du nouvel échange Diffie-Hellman.group2: spécifiez que IKE utilise le groupe de modules premiers Diffie-Hellman 1024 bits lors de l’exécution du nouvel échange Diffie-Hellman.
group2 offre plus de sécurité que group1, mais nécessite plus de temps de traitement.
Exemple : Configuration d’une stratégie IPsec
L’exemple suivant montre comment configurer une stratégie IPsec :
[edit security ipsec]
proposal dynamic-1 {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
proposal dynamic-2 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 6000;
}
policy dynamic-policy-1 {
perfect-forward-secrecy {
keys group1;
}
proposals [ dynamic-1 dynamic-2 ];
}
security-association dynamic-sa1 {
dynamic {
replay-window-size 64;
ipsec-policy dynamic-policy-1;
}
}
Les mises à jour apportées à la configuration de la proposition et de la stratégie IPsec actuelles ne sont pas appliquées à la SA IPsec actuelle. les mises à jour sont appliquées aux nouvelles SA IPsec.
Si vous souhaitez que les nouvelles mises à jour prennent effet immédiatement, vous devez effacer les associations de sécurité IPsec existantes afin qu’elles soient rétablies avec la configuration modifiée. Pour plus d’informations sur la façon d’effacer l’association de sécurité IPsec actuelle, consultez l’Explorateur CLI.