Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNv2 de groupe

VpNv2 de groupe introduit le concept de groupe de confiance pour éliminer les tunnels point à point et leur routage overlay associé. Tous les membres du groupe partagent une même association de sécurité (SA), également connue sous le nom de SA de groupe.

Présentation du VPNv2 du groupe

Une association de sécurité IPsec (SA) est un accord unidirectionnel entre les participants du réseau privé virtuel (VPN) qui définit les règles à utiliser pour les algorithmes d’authentification et de chiffrement, les mécanismes d’échange de clés et les communications sécurisées. Avec de nombreuses implémentations VPN, le SA est un tunnel point à point entre deux équipements de sécurité (voir Figure 1).

Figure 1 : SAs point à pointSAs point à point

VpNv2 de groupe étend l’architecture IPsec pour prendre en charge les SA partagés par un groupe d’équipements de sécurité (voir Figure 2). Avec le VPNv2 de groupe, la connectivité any-to-any est atteinte en conservant les adresses IP source et de destination d’origine dans l’en-tête externe. Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX.

Figure 2 : SAs partagésSAs partagés

VpNv2 de groupe est une version améliorée de la fonctionnalité VPN de groupe introduite dans une version antérieure de Junos OS pour les équipements SRX Series. VpNv2 de groupe sur les équipements Juniper prend en charge la RFC 6407, Le domaine d’interprétation du groupe (GDOI) et interopérable avec d’autres équipements conformes à la RFC 6407.

Comprendre le protocole GDOI pour vpnv2 de groupe

Le VPNv2 de groupe est basé sur la RFC 6407, The Group Domain of Interpretation (GDOI). Cette RFC décrit le protocole entre les membres du groupe et les serveurs de groupe pour établir des SA entre les membres du groupe. Les messages GDOI créent, maintiennent ou suppriment des SAs pour un groupe d’équipements. Le VPNv2 de groupe est pris en charge sur les instances vSRX et tous les équipements SRX Series, à l’exception des équipements SRX5400, SRX5600 et SRX5800.

Le protocole GDOI s’exécute sur le port UDP 848. L’Internet Security Association and Key Management Protocol (ISAKMP) définit deux phases de négociation pour établir des SAs pour un tunnel IPsec IKE. La phase 1 permet à deux équipements d’établir un SA ISAKMP pour d’autres protocoles de sécurité, tels que GDOI.

Avec le VPNv2 du groupe, la négociation de phase 1 ISAKMP SA est effectuée entre un serveur du groupe et un membre du groupe. Le serveur et le membre doivent utiliser la même stratégie ISAKMP. Les échanges GDOI entre le serveur et le membre établissent les SA qui sont partagés avec d’autres membres du groupe. Un membre du groupe n’a pas besoin de négocier IPsec avec d’autres membres du groupe. Les échanges GDOI doivent être protégés par des SA de phase 1 ISAKMP.

Il existe deux types d’échanges gdOI :

  • L’échange groupkey-pull permet à un membre de demander des SA et des clés partagées par le groupe au serveur. Les membres du groupe doivent s’inscrire auprès d’un serveur de groupe via un groupkey-pull échange.

  • L’échange groupkey-push est un message de re-clé unique qui permet au serveur d’envoyer des sas et des clés de groupe aux membres avant l’expiration des sas de groupe existants. Les messages de re-clé sont des messages non sollicités envoyés par le serveur aux membres.

Comprendre les serveurs et les membres VPNv2 du groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Le centre du VPNv2 du groupe est le contrôleur de groupe/serveur de clés (GCKS). Un cluster de serveurs peut être utilisé pour fournir une redondance GCKS.

Le GCKS ou le serveur de groupe effectue les tâches suivantes :

  • Contrôle l’appartenance aux groupes.

  • Génère des clés de chiffrement.

  • Envoie de nouveaux SAs et clés de groupe aux membres. Les membres du groupe chiffrent le trafic en fonction des SAs et des clés du groupe fournis par le serveur de groupe.

Un serveur de groupe peut servir plusieurs groupes. Un seul équipement de sécurité peut être membre de plusieurs groupes.

Chaque groupe est représenté par un identifiant de groupe, qui est un nombre compris entre 1 et 4 294 967 295. L’identifiant du groupe relie le serveur et les membres du groupe. Il ne peut y avoir qu’un seul identifiant de groupe par groupe, et plusieurs groupes ne peuvent pas utiliser le même identifiant de groupe.

Voici une vue d’ensemble des actions des serveurs et des membres VPNv2 du groupe :

  1. Le serveur de groupe écoute les membres s’inscrire sur le port UDP 848.

  2. Pour s’inscrire auprès du serveur de groupe, le membre établit d’abord un IKE SA avec le serveur. Un équipement membre doit fournir une authentification IKE de phase 1 correcte pour rejoindre le groupe. L’authentification par clé prépartage par membre est prise en charge.

  3. Une fois l’authentification et l’enregistrement réussis, l’équipement membre récupère les SAs et les clés du groupe pour l’identifiant de groupe spécifié sur le serveur à l’aide d’un échange GDOI groupkey-pull .

  4. Le serveur ajoute le membre à l’appartenance du groupe.

  5. Les membres du groupe échangent des paquets chiffrés avec des clés SA de groupe.

Le serveur envoie des informations SA et des actualisations de clés aux membres du groupe avec des messages de re-clé (GDOI groupkey-push). Le serveur envoie des messages de re-clé avant l’expiration des SAs pour s’assurer que des clés valides sont disponibles pour chiffrer le trafic entre les membres du groupe.

Un message de re-clé envoyé par le serveur nécessite un message d’accusé de réception (ack) de chaque membre du groupe. Si le serveur ne reçoit pas de message de la part du membre, le message de re-clé est retransmis au moment de la configuration retransmission-period (10 secondes par défaut). S’il n’y a pas de réponse du membre après la configuration number-of-retransmission (2 fois par défaut), le membre est retiré des membres enregistrés du serveur. L’IKE SA entre le serveur et le membre est également supprimé.

Le serveur envoie également des messages de re-clé pour fournir de nouvelles clés aux membres lorsque le sa du groupe a changé.

Comprendre les limites du VPNv2 du groupe

Les serveurs VPNv2 de groupe fonctionnent uniquement avec des membres VPNv2 du groupe qui prennent en charge la RFC 6407, Le domaine d’interprétation du groupe (GDOI).

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Les éléments suivants ne sont pas pris en charge dans cette version pour les VPNv2 de groupe :

  • SNMP.

  • Refuser la stratégie du serveur VPN Cisco GET.

  • Prise en charge de la PKI pour l’authentification IKE de phase 1.

  • Colocation du serveur et du membre du groupe, où les fonctions serveur et membre coexistent dans le même équipement physique.

  • Membres du groupe configurés en tant que clusters de châssis.

  • Interface J-Web pour la configuration et la surveillance.

  • Trafic de données multicast.

Le VPNv2 de groupe n’est pas pris en charge dans les déploiements où les adresses IP ne peuvent pas être préservées, par exemple sur Internet où le NAT est utilisé.

Comprendre la communication vpnv2 serveur-membre du groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. La communication serveur-membre permet au serveur d’envoyer des messages GDOI groupkey-push (rekey) aux membres. Si la communication serveur-membre n’est pas configurée pour le groupe, les membres peuvent envoyer des messages GDOI groupkey-pull pour s’inscrire et se réinscrire auprès du serveur, mais le serveur n’est pas en mesure d’envoyer des groupkey-push messages aux membres.

La communication serveur-membre est configurée pour le groupe à l’aide de server-member-communication l’instruction de configuration au niveau de la hiérarchie [edit security group-vpn server]. Les options suivantes peuvent être définies :

  • Algorithme d’authentification (sha-256 ou sha-384) utilisé pour authentifier le membre sur le serveur. Il n’y a pas d’algorithme par défaut.

  • Algorithme de chiffrement utilisé pour les communications entre le serveur et le membre. Vous pouvez spécifier aes-128-cbc, aes-192-cbc ou aes-256-cbc. Il n’y a pas d’algorithme par défaut.

  • Type de communication unicast pour les messages de re-clé envoyés aux membres du groupe.

  • Durée de vie de la clé de chiffrement (KEK). La valeur par défaut est de 3600 secondes.

  • Nombre de fois que le serveur de groupe retransmet des groupkey-push messages à un membre du groupe sans réponse (2 fois par défaut) et la durée entre les retransmissions (10 secondes par défaut).

Si la communication serveur-membre d’un groupe n’est pas configurée, la liste d’appartenances affichée par la commande affiche les show security group-vpn server registered-members membres du groupe qui se sont inscrits sur le serveur ; les membres peuvent être actifs ou non. Lorsque la communication serveur-membre d’un groupe est configurée, la liste des membres du groupe est bloquée. Pour le type de communication unicast, la commande affiche uniquement les show security group-vpn server registered-members membres actifs.

Comprendre les opérations clés VPNv2 du groupe

Cette rubrique contient les sections suivantes :

Clés de groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Le serveur de groupe gère une base de données pour suivre la relation entre les groupes VPN, les membres du groupe et les clés de groupe. Le serveur télécharge deux types de clés de groupe pour les membres :

  • Clé de chiffrement (KEK) : utilisée pour chiffrer les échanges de rekey SA (GDOI groupkey-push). Un KEK est pris en charge par groupe.

  • Clé de chiffrement du trafic (TEK) : utilisée pour chiffrer et déchiffrer le trafic de données IPsec entre les membres du groupe.

La clé associée à un SA n’est acceptée par un membre du groupe que s’il y a une stratégie de correspondance configurée sur le membre. Une clé acceptée est installée pour le groupe, tandis qu’une clé rejetée est rejetée.

Messages de re-clé

Si le groupe est configuré pour les communications serveur-membre, le serveur envoie des messages sa et des actualisations de clé aux membres du groupe avec des messages de rekey (GDOI groupkey-push). Les messages de re-clé sont envoyés avant l’expiration des SAs ; cela garantit que des clés valides sont disponibles pour chiffrer le trafic entre les membres du groupe.

Le serveur envoie également des messages de re-clé pour fournir de nouvelles clés aux membres lorsqu’il y a un changement dans l’appartenance au groupe ou que le SA du groupe a changé (par exemple, une stratégie de groupe est ajoutée ou supprimée).

Les options de communication serveur-membre doivent être configurées sur le serveur pour permettre au serveur d’envoyer des messages de re-clé aux membres du groupe.

Le serveur de groupe envoie une copie du message de re-clé unicast à chaque membre du groupe. Dès réception du message de re-clé, les membres doivent envoyer un accusé de réception (ACK) au serveur. Si le serveur ne reçoit pas d’ACK d’un membre (y compris la retransmission de messages de re-clé), le serveur considère le membre inactif et le retire de la liste d’adhésion. Le serveur cesse d’envoyer des messages de re-clé au membre.

Les number-of-retransmission déclarations et retransmission-period les instructions de configuration des communications serveur-membre contrôlent l’envoi de messages de re-clé par le serveur lorsqu’aucun ACK n’est reçu d’un membre.

L’intervalle auquel le serveur envoie des messages de re-clé est basé sur la valeur de l’instruction lifetime-seconds de configuration au niveau de la hiérarchie [edit security group-vpn server group group-name]. De nouvelles clés sont générées avant l’expiration des clés KEK et TEK.

Le lifetime-seconds kek est configuré dans le cadre des communications serveur-membre ; la valeur par défaut est de 3 600 secondes. Le lifetime-seconds tek est configuré pour la proposition IPsec ; la valeur par défaut est de 3 600 secondes.

Inscription des membres

Si un membre du groupe ne reçoit pas de nouvelle clé SA du serveur avant l’expiration de la clé actuelle, il doit se réinscrire auprès du serveur et obtenir des clés mises à jour avec un échange GDOI groupkey-pull .

Présentation de la configuration VPNv2 du groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Cette rubrique décrit les principales tâches de configuration des VPNv2 de groupe.

Le contrôleur de groupe/serveur de clés (GCKS) gère les associations de sécurité VPNv2 du groupe, génère des clés de chiffrement et les distribue aux membres du groupe. Vous pouvez utiliser un cluster de serveurs VPNv2 de groupe pour fournir une redondance GCKS. Voir comprendre les clusters de serveurs VPNv2 du groupe.

Sur le ou les serveurs de groupe, configurez les éléments suivants :

  1. IKE Phase 1 SA. Voir comprendre la configuration de phase 1 de l’IKE pour vpnv2 de groupe .
  2. IPsec SA. Voir Comprendre la configuration IPsec SA pour le VPNv2 de groupe.
  3. Informations de groupe VPN, y compris l’identifiant du groupe, les passerelles IKE pour les membres du groupe, le nombre maximal de membres du groupe et les communications serveur-membres. La configuration de groupe comprend une stratégie de groupe qui définit le trafic auquel s’appliquent le SA et les clés. Le cluster de serveurs et la fenêtre antireplay time peuvent être configurés en option. Consultez la présentation de la configuration VPNv2 du groupe et comprendre l’orientation du trafic VPNv2 du groupe.

Sur le membre du groupe, configurez les éléments suivants :

  1. IKE Phase 1 SA. Voir comprendre la configuration de phase 1 de l’IKE pour vpnv2 de groupe .

  2. IPsec SA. Voir Comprendre la configuration IPsec SA pour le VPNv2 de groupe.

  3. Stratégie IPsec qui définit la zone entrante (généralement un LAN protégé), la zone sortante (généralement un WAN) et le groupe VPN auquel la stratégie s’applique. Des règles d’exclusion ou d’ouverture d’échec peuvent également être spécifiées. Voir Understanding Group VPNv2 Traffic Steering.

  4. Stratégie de sécurité pour autoriser le trafic VPN de groupe entre les zones spécifiées dans la stratégie IPsec.

L’opération VPNv2 de groupe nécessite une topologie de routage opérationnelle qui permet aux équipements clients d’atteindre les sites prévus sur l’ensemble du réseau.

Le groupe est configuré sur le serveur avec group l’instruction de configuration dans la hiérarchie [edit security group-vpn server] .

Les informations sur le groupe se composent des informations suivantes :

  • Identifiant de groupe : valeur qui identifie le groupe VPN. Le même identifiant de groupe doit être configuré sur le membre du groupe.

  • Chaque membre du groupe est configuré avec l’instruction de ike-gateway configuration. Il peut y avoir plusieurs instances de cette déclaration de configuration, une pour chaque membre du groupe.

  • Stratégies de groupe : stratégies à télécharger sur les membres. Les stratégies de groupe décrivent le trafic auquel le SA et les clés s’appliquent. Voir Understanding Group VPNv2 Traffic Steering.

  • Seuil de membre : nombre maximal de membres dans le groupe. Une fois le seuil de membre atteint pour un groupe, un serveur cesse de répondre aux groupkey-pull lancements de nouveaux membres. Voir comprendre les clusters de serveurs VPNv2 du groupe.

  • Communication serveur-membre : configuration facultative qui permet au serveur d’envoyer groupkey-push des messages de re-clé aux membres.

  • Cluster de serveurs : configuration optionnelle qui prend en charge la redondance GCKS (Group Controller/Key Server). Voir comprendre les clusters de serveurs VPNv2 du groupe.

  • Antireplay : configuration en option qui détecte l’interception et la relecture des paquets. Voir l’antireplay VPNv2 du groupe de compréhension.

Comprendre la configuration de phase 1 de l’IKE pour vpnv2 de groupe

Un SA de phase 1 IKE entre un serveur de groupe et un membre du groupe établit un canal sécurisé dans lequel négocier des ACCORDS IPsec partagés par un groupe. Pour les VPN IPsec standard sur les équipements de sécurité Juniper Networks, la configuration sa de phase 1 consiste à spécifier une proposition d’IKE, une stratégie et une passerelle.

Pour les VPNv2 de groupe, la configuration sa de phase 1 de l’IKE est similaire à celle des VPN IPsec standard, mais elle est exécutée aux hiérarchies [edit security group-vpn server ike] et [edit security group-vpn member ike] . Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX.

Dans la configuration de la proposition IKE, vous définissez la méthode d’authentification et les algorithmes d’authentification et de chiffrement qui seront utilisés pour ouvrir un canal sécurisé entre les participants. Dans la configuration de la stratégie IKE, vous définissez le mode dans lequel le canal de phase 1 sera négocié, spécifiez le type d’échange de clé à utiliser et référencez la proposition de phase 1. Dans la configuration de la passerelle IKE, vous référencez la stratégie de phase 1.

La proposition IKE et la configuration des stratégies sur le serveur de groupe doivent correspondre à la proposition IKE et à la configuration de la stratégie sur les membres du groupe. Sur un serveur de groupe, une passerelle IKE est configurée pour chaque membre du groupe. Sur un membre du groupe, jusqu’à quatre adresses de serveur peuvent être spécifiées dans la configuration de la passerelle IKE.

Comprendre la configuration IPsec SA pour vpnv2 de groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Une fois que le serveur et le membre ont établi un canal sécurisé et authentifié lors de la négociation de la phase 1, ils établissent les ACCORDS IPsec partagés par les membres du groupe afin de sécuriser les données transmises entre les membres. Bien que la configuration IPsec SA pour vpnv2 de groupe soit similaire à celle des VPN standard, un membre du groupe n’a pas besoin de négocier l’AS avec les autres membres du groupe.

La configuration IPsec pour vpnv2 de groupe comprend les informations suivantes :

  • Sur le serveur de groupe, une proposition IPsec est configurée pour le protocole de sécurité, l’authentification et l’algorithme de chiffrement à utiliser pour le SA. La proposition SA IPsec est configurée sur le serveur de groupe avec l’énoncé de proposal configuration dans la hiérarchie [edit security group-vpn server ipsec] .

  • Sur le membre du groupe, une clé automatique IKE est configurée qui fait référence à l’identifiant du groupe, au serveur de groupe (configuré avec l’instruction ike-gateway de configuration) et à l’interface utilisée par le membre pour se connecter aux pairs du groupe. La clé automatique IKE est configurée sur le membre avec l’instruction de vpn configuration dans la hiérarchie [edit security group-vpn member ipsec] .

Comprendre l’orientation du trafic VPNv2 du groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Le serveur de groupe distribue des associations de sécurité (AS) IPsec et des clés aux membres d’un groupe spécifique. Tous les membres appartenant au même groupe partagent le même ensemble de SAs IPsec. Le SA installé sur un membre du groupe spécifique est déterminé par la stratégie associée au sa du groupe et par la stratégie IPsec configurée sur le membre du groupe.

Stratégies de groupe configurées sur des serveurs de groupe

Dans un groupe VPN, chaque sa de groupe et chaque clé que le serveur pousse à un membre sont associés à une stratégie de groupe. La stratégie de groupe décrit le trafic sur lequel la clé doit être utilisée, y compris le protocole, l’adresse source, le port source, l’adresse de destination et le port de destination. Sur le serveur, la stratégie de groupe est configurée avec les match-policy policy-name options au niveau de la hiérarchie [edit security group-vpn server group name ipsec-sa name].

Les stratégies de groupe identiques (configurées avec les mêmes adresses source, adresse de destination, port source, port de destination et valeurs de protocole) ne peuvent pas exister pour un seul groupe. Une erreur est renvoyée si vous tentez de valider une configuration qui contient des stratégies de groupe identiques pour un groupe. Si cela se produit, vous devez supprimer l’une des stratégies de groupe identiques avant de pouvoir valider la configuration.

Stratégies IPsec configurées sur les membres du groupe

Sur le membre du groupe, une stratégie IPsec comprend les informations suivantes :

  • Zone entrante (from-zone) pour le trafic de groupe.

  • Zone sortante (to-zone) pour le trafic de groupe.

  • Nom du groupe auquel la stratégie IPsec s’applique. Un seul nom VPNv2 de groupe peut être référencé par une paire de zone/zone à zone spécifique.

L’interface utilisée par le membre du groupe pour se connecter au VPNv2 du groupe doit appartenir à la zone sortante. Cette interface est spécifiée avec l’instruction group-vpn-external-interface au niveau de la hiérarchie [edit security group-vpn member ipsec vpn vpn-name]

Sur le membre du groupe, la stratégie IPsec est configurée au niveau de la hiérarchie [edit security ipsec-policy] Le trafic correspondant à la stratégie IPsec est davantage vérifié par rapport aux règles d’exclusion et d’ouverture automatique configurées pour le groupe.

Fermeture d’échec

Par défaut, le trafic qui ne correspond pas aux règles d’exclusion ou d’ouverture ou aux stratégies de groupe reçues du serveur de groupe est bloqué ; c’est ce que l’on appelle la « fail-close ».

Règles d’exclusion et d’ouverture défaillante

Sur les membres du groupe, les types de règles suivants peuvent être configurés pour chaque groupe :

  • Trafic exclu du chiffrement VPN. Des exemples de ce type de trafic peuvent inclure les protocoles de routage BGP ou OSPF. Pour exclure le trafic d’un groupe, utilisez la set security group-vpn member ipsec vpn vpn-name exclude rule configuration. Vous pouvez configurer un maximum de 10 règles d’exclusion.

  • Le trafic essentiel au fonctionnement du client doit être envoyé en clair (non chiffré) si le membre du groupe n’a pas reçu de clé de chiffrement de trafic (TEK) valide pour le saPsec. Les règles d’ouverture d’échec permettent ce flux de trafic alors que tous les autres trafics sont bloqués. Activez l’ouverture avec la set security group-vpn member ipsec vpn vpn-name fail-open rule configuration. Il est possible de configurer un maximum de 10 règles d’ouverture automatique.

Priorités des stratégies et règles IPsec

Les stratégies et règles IPsec ont les priorités suivantes pour le membre du groupe :

  1. Exclure les règles qui définissent le trafic à exclure du chiffrement VPN.

  2. Stratégies de groupe téléchargées à partir du serveur de groupe.

  3. Des règles d’ouverture d’échec qui définissent le trafic envoyé en clair s’il n’y a pas de TEK valide pour le SA.

  4. Stratégie de fermeture automatique qui bloque le trafic. Il s’agit de l’option par défaut si le trafic ne correspond pas aux règles d’exclusion ou d’ouverture d’échec ou aux stratégies de groupe.

Comprendre le processus de sonde de récupération VPNv2 du groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Deux situations peuvent indiquer qu’un membre du groupe n’est pas synchronisé avec le serveur du groupe et les autres membres du groupe :

  • Le membre du groupe reçoit un paquet ESP (Encapsulating Security Payload) avec un spi (Security Parameter Index) non reconnu.

  • Il y a un trafic IPsec sortant, mais aucun trafic IPsec entrant sur le membre du groupe.

Lorsque l’une ou l’autre situation est détectée, une sonde de récupération peut être déclenchée sur le membre du groupe. Le processus de sonde de récupération lance des échanges GDOI groupkey-pull à des intervalles spécifiques pour mettre à jour le SA du membre à partir du serveur du groupe. En cas d’attaque DoS de paquets SPI défectueux ou si l’expéditeur lui-même n’est pas synchronisé, l’indication de non-synchronisation sur le membre du groupe peut être une fausse alarme. Pour éviter de surcharger le système, le groupkey-pull démarrage est rejugé à des intervalles de 10, 20, 40, 80, 160 et 320 secondes.

Le processus de sonde de récupération est désactivé par défaut. Pour activer le processus de sonde de récupération, configurez recovery-probe au niveau de la hiérarchie [edit security group-vpn member ipsec vpn vpn-name] .

Compréhension du groupe VPNv2 Antireplay

L’antireplay VPNv2 de groupe est pris en charge sur les instances vSRX et tous les équipements SRX Series, à l’exception des équipements SRX5400, SRX5600 et SRX5800. L’antireplay est une fonctionnalité IPsec capable de détecter lorsqu’un paquet est intercepté puis rejoué par les attaquants. L’antireplay est désactivé par défaut pour un groupe.

Chaque paquet IPsec contient un horodatage. Le membre du groupe vérifie si l’horodatage du paquet correspond à la valeur configuréeanti-replay-time-window. Un paquet est abandonné si l’horodatage dépasse la valeur.

Nous recommandons de configurer NTP sur tous les équipements qui prennent en charge l’antireplay VPNv2 de groupe.

Les membres du groupe qui s’exécutent sur des instances vSRX sur une machine hôte où l’hyperviseur s’exécute sous une forte charge peuvent connaître des problèmes qui peuvent être corrigés en reconfigurant la anti-replay-time-window valeur. Si les données qui correspondent à la stratégie IPsec sur le membre du groupe ne sont pas transférées, vérifiez que la show security group-vpn member ipsec statistics sortie ne contient pas d’erreurs D3P. Assurez-vous que NTP fonctionne correctement. En cas d’erreur, ajustez la anti-replay-time-window valeur.

Exemple : Configuration d’un serveur VPNv2 de groupe et de ses membres

Cet exemple montre comment configurer un serveur VPNv2 de groupe pour fournir la prise en charge du contrôleur de groupe/serveur de clés (GCKS) aux membres du groupe VPNv2 du groupe. Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX.

Conditions préalables

L’exemple utilise les composants matériels et logiciels suivants :

  • Équipement SRX Series pris en charge ou instance vSRX exécutant Junos OS version 15.1X49-D30 ou ultérieure qui prend en charge Group VPNv2. Cet équipement SRX Series ou instance vSRX fonctionne comme un serveur VPNv2 de groupe.

  • Deux équipements SRX Series pris en charge ou des instances vSRX exécutant Junos OS version 15.1X49-D30 ou versions ultérieures qui prennent en charge le VPNv2 de groupe. Ces équipements ou instances fonctionnent en tant que membres du groupe VPNv2.

  • Deux équipements MX Series pris en charge exécutant Junos OS version 15.1R2 ou ultérieure qui prennent en charge VPNv2 de groupe. Ces équipements fonctionnent en tant que membres du groupe VPNv2.

Un nom d’hôte, un mot de passe administrateur racine et un accès de gestion doivent être configurés sur chaque équipement. Nous recommandons également de configurer NTP sur chaque équipement.

L’opération VPNv2 de groupe nécessite une topologie de routage opérationnelle qui permet aux équipements clients d’atteindre les sites prévus sur l’ensemble du réseau. Cet exemple se concentre sur la configuration VPNv2 du groupe ; la configuration de routage n’est pas décrite.

Présentation

Dans cet exemple, le réseau VPNv2 du groupe se compose d’un serveur et de quatre membres. Deux des membres sont des équipements SRX Series ou des instances vSRX tandis que les deux autres sont des équipements MX Series. Les SAs VPN de groupe partagés sécurisent le trafic entre les membres du groupe.

Les SAs VPN de groupe doivent être protégés par un SA de phase 1. Par conséquent, la configuration VPN de groupe doit inclure la configuration des négociations de phase 1 IKE sur le serveur du groupe et les membres du groupe.

Le même identifiant de groupe doit être configuré à la fois sur le serveur du groupe et sur les membres du groupe. Dans cet exemple, le nom du groupe est GROUP_ID-0001 et l’identifiant du groupe est 1. La stratégie de groupe configurée sur le serveur spécifie que le SA et la clé sont appliqués au trafic entre les sous-réseaux dans la plage 172.16.0.0/12.

Sur les membres du groupe SRX ou vSRX, une stratégie IPsec est configurée pour le groupe avec la zone LAN comme zone de départ (trafic entrant) et la zone WAN comme zone de to (trafic sortant). Une stratégie de sécurité est également nécessaire pour autoriser le trafic entre les zones LAN et WAN.

topologie

Figure 3 affiche les équipements Juniper Networks à configurer pour cet exemple.

Figure 3 : Serveur VPNv2 de groupe avec les membres SRX ou vSRX et MX SeriesServeur VPNv2 de groupe avec les membres SRX ou vSRX et MX Series

Configuration

Configuration du serveur de groupe

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer le serveur VPNv2 du groupe :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez les routes statiques.

  3. Configurez la proposition, la stratégie et les passerelles IKE.

  4. Configurez la proposition IPsec.

  5. Configurez le groupe.

  6. Configurez les communications serveur-membre.

  7. Configurez la stratégie de groupe à télécharger sur les membres du groupe.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show routing-optionset show security les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Configuration d’un membre du groupe GM-0001 (équipement SRX Series ou instance vSRX)

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer le membre VPNv2 du groupe :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez les routes statiques.

  3. Configurez la proposition, la stratégie et la passerelle IKE.

  4. Configurez l’IPsec SA.

  5. Configurez la stratégie IPsec.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show routing-optionset show security les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Configuration d’un membre du groupe GM-0002 (équipement SRX Series ou instance vSRX)

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer le membre VPNv2 du groupe :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez les routes statiques.

  3. Configurez la proposition, la stratégie et la passerelle IKE.

  4. Configurez l’IPsec SA.

  5. Configurez la stratégie IPsec.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show routing-optionset show security les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Configuration d’un membre du groupe GM-0003 (équipement MX Series)

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Pour configurer le membre VPNv2 du groupe :

  1. Configurez les interfaces.

  2. Configurez le routage.

  3. Configurez la proposition, la stratégie et la passerelle IKE.

  4. Configurez l’IPsec SA.

  5. Configurez le filtre de service.

  6. Configurez l’ensemble de services.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show routing-optionsshow security, , show serviceset les show firewall commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Configuration d’un membre du groupe GM-0004 (équipement MX Series)

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Pour configurer le membre VPNv2 du groupe :

  1. Configurez les interfaces.

  2. Configurez le routage.

  3. Configurez la proposition, la stratégie et la passerelle IKE.

  4. Configurez l’IPsec SA.

  5. Configurez le filtre de service.

  6. Configurez l’ensemble de services.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show routing-optionsshow security, , show serviceset les show firewall commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification de l’inscription des membres du groupe

But

Vérifiez que les membres du groupe sont enregistrés sur le serveur.

Action

À partir du mode opérationnel, saisissez les show security group-vpn server registered-members commandes et show security group-vpn server registered-members detail sur le serveur.

Vérifier que les clés de groupe sont distribuées

But

Vérifiez que les clés de groupe sont distribuées aux membres.

Action

À partir du mode opérationnel, saisissez la show security group-vpn server statistics commande sur le serveur de groupe.

Vérification des SAs VPN de groupe sur le serveur de groupe

But

Vérifiez les SAs VPN de groupe sur le serveur de groupe.

Action

À partir du mode opérationnel, saisissez les show security group-vpn server kek security-associations commandes et show security group-vpn server kek security-associations detail sur le serveur de groupe.

Vérification des SAS VPN de groupe sur les membres du groupe

But

Vérifiez les SAs VPN de groupe sur les membres du groupe.

Action

À partir du mode opérationnel, saisissez les show security group-vpn member kek security-associations commandes et show security group-vpn member kek security-associations detail sur le membre du groupe SRX ou vSRX.

À partir du mode opérationnel, saisissez les show security group-vpn member kek security-associations commandes et show security group-vpn member kek security-associations detail sur le membre du groupe MX Series.

Vérification des accords de sécurité IPsec sur le serveur de groupe

But

Vérifiez les SAs IPsec sur le serveur de groupe.

Action

À partir du mode opérationnel, saisissez les show security group-vpn server ipsec security-associations commandes et show security group-vpn server ipsec security-associations detail sur le serveur de groupe.

Vérification des accords de sécurité IPsec sur les membres du groupe

But

Vérifiez les ACCORDS IPsec sur les membres du groupe.

Action

À partir du mode opérationnel, saisissez les show security group-vpn member ipsec security-associations commandes et show security group-vpn member ipsec security-associations detail sur le membre du groupe SRX ou vSRX.

À partir du mode opérationnel, saisissez les show security group-vpn member ipsec security-associations commandes et show security group-vpn member ipsec security-associations detail sur le membre du groupe MX Series.

Vérification des stratégies de groupe (membres srx ou vSRX uniquement)

But

Vérifiez les stratégies de groupe sur les membres du groupe SRX ou vSRX.

Action

À partir du mode opérationnel, saisissez la show security group-vpn member policy commande sur le membre du groupe.

Exemple : Configuration de la communication VPNv2 serveur-membre du groupe pour les messages de rekey unicast

Cet exemple montre comment permettre au serveur d’envoyer des messages de re-clé unicast aux membres du groupe pour s’assurer que des clés valides sont disponibles pour chiffrer le trafic entre les membres du groupe. Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX.

Conditions préalables

Avant de commencer :

  • Configurez le serveur et les membres du groupe pour la négociation de phase 1 de l’IKE.

  • Configurez le serveur et les membres du groupe pour IPsec SA.

  • Configurez le groupe g1 sur le serveur de groupe.

Présentation

Dans cet exemple, vous spécifiez les paramètres de communication serveur-membre suivants pour le groupe g1:

  • Le serveur envoie des messages de rekey unicast aux membres du groupe.

  • aes-128-cbc est utilisé pour chiffrer le trafic entre le serveur et les membres.

  • sha-256 est utilisé pour l’authentification des membres.

Les valeurs par défaut sont utilisées pour la durée de vie et les retransmissions KEK.

Configuration

Procédure

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur cli en mode de configuration.

Pour configurer la communication serveur-membre :

  1. Définissez le type de communication.

  2. Définissez l’algorithme de chiffrement.

  3. Définissez l’authentification des membres.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show security group-vpn server group g1 server-member-communication commande.