Sur cette page
Internet Key Exchange (IKE) pour VPN IPsec
Internet Key Exchange version 2 (IKEv2) est un protocole de tunnelisation basé sur IPsec qui fournit un canal de communication VPN sécurisé entre les périphériques VPN homologues et définit la négociation et l’authentification pour les associations de sécurité (SA) IPsec de manière protégée.
Traitement des paquets IKE et IPsec
IKE assure la gestion des tunnels pour IPsec et authentifie les entités finales. IKE effectue un échange de clés Diffie-Hellman (DH) pour générer un tunnel IPsec entre les périphériques réseau. Les tunnels IPsec générés par IKE sont utilisés pour chiffrer, déchiffrer et authentifier le trafic utilisateur entre les périphériques réseau au niveau de la couche IP.
Traitement des paquets IKE
Lorsqu’un paquet en texte clair arrive sur un équipement Juniper Networks nécessitant un tunneling et qu’il n’existe pas de SA Phase 2 active pour ce tunnel, Junos OS entame des négociations IKE et abandonne le paquet. Les adresses source et de destination dans l’en-tête du paquet IP sont respectivement celles des passerelles IKE locales et distantes. Dans la charge utile du paquet IP, un segment UDP encapsule un paquet ISAKMP (IKE). Le format des paquets IKE est le même pour la phase 1 et la phase 2. Reportez-vous à la section Figure 1.
Pendant ce temps, l’hôte source a renvoyé le paquet abandonné. En règle générale, lorsque le deuxième paquet arrive, les négociations IKE sont terminées et Junos OS protège le paquet et tous les paquets suivants de la session avec IPsec avant de le transférer.
Le champ Charge utile suivante contient un nombre indiquant l’un des types de charge utile suivants :
-
0002 : la charge utile de négociation SA contient une définition pour une SA de phase 1 ou de phase 2.
-
0004 : la charge utile de la proposition peut être une proposition de phase 1 ou de phase 2.
-
0008 : la charge utile de transformation est encapsulée dans une charge utile de proposition qui est encapsulée dans une charge utile SA.
-
0010 : la charge utile d’échange de clés (KE) contient les informations nécessaires à l’exécution d’un échange de clés, telles qu’une valeur publique DH.
-
0020 : charge utile d’identification (IDx).
-
Dans la phase 1, IDii indique l’ID de l’initiateur et IDir indique l’ID du répondeur.
-
Dans la phase 2, IDui indique l’initiateur utilisateur et IDur indique l’utilisateur répondeur.
Les ID sont des types d’ID IKE tels que FQDN, U-FQDN, adresse IP, etc. ASN.1_DN.
-
-
0040 : charge utile de certificat (CERT).
-
0080 : charge utile de demande de certificat (CERT_REQ).
-
0100—La charge utile de hachage (HASH) contient la sortie de synthèse d’une fonction de hachage particulière.
-
0200—La charge utile Signature (SIG) contient une signature numérique.
-
0400 : la charge utile Nonce (Nx) contient des informations pseudo-aléatoires nécessaires à l’échange).
-
0800 : notifier la charge utile.
-
1000—ISAKMP Supprimer la charge utile.
-
2000 : la charge utile ID fournisseur (VID) peut être incluse n’importe où dans les négociations de phase 1. Junos OS l’utilise pour marquer la prise en charge de NAT-T.
Chaque charge utile ISAKMP commence par le même en-tête générique, comme illustré à la .Figure 2
Il peut y avoir plusieurs charges utiles ISAKMP enchaînées, chaque type de charge utile suivant étant indiqué par la valeur du champ En-tête suivant. La valeur de 0000 indique la dernière charge utile ISAKMP. Voir Figure 3 pour un exemple.
Traitement IPsec des paquets
Une fois les négociations IKE terminées et les deux passerelles IKE ayant établi des associations de sécurité (SA) de phase 1 et de phase 2, tous les paquets suivants sont transférés via le tunnel. Si la SA de phase 2 spécifie l’ESP (Encapsulating Security Protocol) en mode tunnel, le paquet ressemble à celui illustré à Figure 4. L’équipement ajoute deux en-têtes supplémentaires au paquet d’origine envoyé par l’hôte initial.
Comme illustré à Figure 4la , le paquet construit par l’hôte initiateur comprend la charge utile, l’en-tête TCP et l’en-tête IP interne (IP1).
L’en-tête IP du routeur (IP2), ajouté par Junos OS, contient l’adresse IP de la passerelle distante comme adresse IP de destination et l’adresse IP du routeur local comme adresse IP source. Junos OS ajoute également un en-tête ESP entre les en-têtes IP externe et interne. L’en-tête ESP contient des informations qui permettent à l’homologue distant de traiter correctement le paquet lorsqu’il le reçoit. Ceci est illustré dans Figure 5.
Le champ En-tête suivant indique le type de données dans le champ de charge utile. En mode tunnel, cette valeur est 4, ce qui indique qu’un paquet IP est contenu dans la charge utile. Reportez-vous à la section Figure 6.
Présentation d’IKE dans Junos OS
IKE permet d’échanger des clés de chiffrement et d’authentification en toute sécurité sur un support non sécurisé tel qu’Internet. IKE permet à une paire de passerelles de sécurité de : Établissez de façon dynamique un tunnel sécurisé sur lequel les passerelles de sécurité peuvent échanger des informations de tunnel et des informations clés. Configurez des tunnels ou des SA au niveau de l’utilisateur, y compris les négociations d’attributs de tunnel et la gestion des clés. Ces tunnels peuvent également être actualisés et terminés au-dessus du même canal sécurisé. IKE utilise les méthodes Diffie-Hellman et est facultatif dans IPsec (les clés partagées peuvent être saisies manuellement au niveau des points de terminaison).
IKEv2 inclut la prise en charge des éléments suivants :
VPN basés sur le routage.
VPN de site à site.
Détection des pairs morts.
Cluster de châssis.
Authentification par clé pré-partagée.
Authentification basée sur les certificats.
SA enfants. Une SA enfant IKEv2 est connue sous le nom de SA de phase 2 dans IKEv1. Dans IKEv2, une SA enfant ne peut pas exister sans la SA IKE sous-jacente.
AutoVPN.
VPN de point de terminaison dynamique.
EAP est pris en charge pour l’accès à distance à l’aide d’IKEv2.
Sélecteurs de trafic.
IKEv2 ne prend pas en charge les fonctionnalités suivantes :
VPN basé sur des stratégies.
Surveillance VPN.
IPComp (IP Payload Compression Protocol).
- Configuration de IKEv2 dans Junos OS
- Comprendre la charge utile de configuration IKEv2
- Comprendre le provisionnement de Pico Cell
Configuration de IKEv2 dans Junos OS
Un homologue VPN est configuré en tant que IKEv1 ou IKEv2. Lorsqu’un homologue est configuré en tant que IKEv2, il ne peut pas revenir à IKEv1 si son homologue distant initie la négociation IKEv1. Par défaut, les équipements de sécurité Juniper Networks sont des homologues IKEv1.
Utilisez l’instruction version v2-only de configuration au niveau de la hiérarchie [edit security ike gateway gw-name] pour configurer IKEv2.
La version IKE s’affiche dans la sortie des commandes opérationnelles et show security ike security-associationsshow security ipsec security-associations CLI.
Les équipements Juniper Networks prennent en charge jusqu’à quatre propositions pour les négociations de Phase 2, ce qui vous permet de définir le degré de restriction d’une plage de paramètres de tunnel que vous acceptez. Junos OS fournit des jeux prédéfinis de propositions de phase 2 standard, compatibles et de base. Vous pouvez également définir des propositions de phase 2 personnalisées.
Comprendre la charge utile de configuration IKEv2
La charge utile de configuration est une option IKEv2 (Internet Key Exchange version 2) proposée pour propager les informations de provisionnement d’un répondeur à un initiateur. La charge utile de configuration IKEv2 est prise en charge uniquement avec les VPN basés sur le routage.
La RFC 5996, Internet Key Exchange Protocol Version 2 (IKEv2), définit 15 attributs de configuration différents qui peuvent être renvoyés à l’initiateur par le répondeur. Tableau 1 décrit les attributs de configuration IKEv2 pris en charge sur les pare-feu SRX Series.
|
Type d’attribut |
Valeur |
Description |
Longueur |
|---|---|---|---|
|
INTERNAL_IP4_ADDRESS |
1 |
Spécifie une adresse sur le réseau interne. Plusieurs adresses internes peuvent être demandées. Le répondant peut envoyer jusqu’au nombre d’adresses demandées. |
0 ou 4 octets |
|
INTERNAL_IP4_NETMASK |
2 |
Spécifie la valeur du masque de réseau du réseau interne. Une seule valeur de masque de réseau est autorisée dans les messages de requête et de réponse (par exemple, 255.255.255.0) et elle doit être utilisée uniquement avec un attribut INTERNAL_IP4_ADDRESS. |
0 ou 4 octets |
|
INTERNAL_IP4_DNS |
3 |
Spécifie l’adresse d’un serveur DNS au sein du réseau. Plusieurs serveurs DNS peuvent être demandés. Le répondeur peut répondre avec zéro ou plusieurs attributs de serveur DNS. |
0 ou 4 octets |
|
INTERNAL_IP4_NBNS |
4 |
Spécifie l’adresse d’un serveur de noms NetBIOS (NBNS), par exemple un serveur WINS, au sein du réseau. Plusieurs serveurs NBNS peuvent être demandés. Le répondeur peut répondre avec zéro ou plusieurs attributs de serveur NBNS. |
0 ou 4 octets |
| INTERNAL_IP6_ADDRESS |
8 |
Spécifie une adresse sur le réseau interne. Plusieurs adresses internes peuvent être demandées. Le répondant peut envoyer jusqu’au nombre d’adresses demandées. |
0 ou 17 octets |
| INTERNAL_IP6_DNS |
10 |
Spécifie l’adresse d’un serveur DNS au sein du réseau. Plusieurs serveurs DNS peuvent être demandés. Le répondeur peut répondre avec zéro ou plusieurs attributs de serveur DNS. |
0 ou 16 octets |
Pour que le répondeur IKE fournisse des informations de provisionnement à l’initiateur, il doit acquérir ces informations à partir d’une source spécifiée, telle qu’un serveur RADIUS. Les informations de provisionnement peuvent également être renvoyées à partir d’un serveur DHCP via un serveur RADIUS. Sur le serveur RADIUS, les informations utilisateur ne doivent pas inclure de mot de passe d’authentification. Le profil de serveur RADIUS est lié à la passerelle IKE à l’aide de la configuration au niveau de la aaa access-profile profile-name hiérarchie [edit security ike gateway gateway-name].
À partir de Junos OS version 20.3R1, sur la gamme SRX5000 avec SPC3 et le pare-feu virtuel vSRX exécutant le processus iked, nous avons amélioré la charge utile de configuration IKEv2 pour :
-
Prise en charge des pools d’adresses locales IPv4 et IPv6. Vous pouvez également attribuer une adresse IP fixe à un pair.
Lors de l’établissement d’un IKE, l’initiateur demande une adresse IPv4, une adresse IPv6, une adresse DNS ou une adresse WINS au répondeur. Une fois que le répondant a authentifié l’initiateur, il attribue une adresse IP à partir d’un pool d’adresses local ou via un serveur RADIUS. Selon la configuration, cette adresse IP est attribuée de manière dynamique à chaque connexion d’un homologue ou en tant qu’adresse IP fixe. Si le serveur RADIUS répond avec un pool tramé, Junos OS attribue une adresse IP ou des informations basées sur la configuration du pool local correspondant. Si vous configurez à la fois le pool d’adresses local et le serveur RADIUS, l’adresse IP allouée par le serveur RADIUS est prioritaire sur le pool local. Si vous configurez un pool d’adresses IP local et que le serveur RADIUS n’a renvoyé aucune adresse IP, le pool local attribue l’adresse IP à la demande.
-
Option supplémentaire,
noneintroduite pourauthentication-order. Reportez-vous à la section Ordre d’authentification (profil d’accès). -
Les messages de début et d’arrêt de la comptabilité RADIUS informent de l’état du tunnel ou de l’homologue au serveur RADIUS. Ces messages peuvent être utilisés à des fins de suivi ou de notification à des sous-systèmes tels qu’un serveur DHCP.
Assurez-vous que le serveur RADIUS prend en charge la comptabilisation des messages de démarrage ou d’arrêt. Assurez-vous également que les pare-feu SRX Series et le serveur RADIUS disposent des paramètres appropriés pour suivre ces messages.
-
L’introduction de la prise en charge d’IPv6 permet la mise en place de tunnels à double pile à l’aide de la charge utile de configuration. Pendant le processus de connexion, requêtes IKE pour les adresses IPv4 et IPv6. AAA n’autorise la connexion que si toutes les adresses demandées ont été attribuées avec succès. IKE met fin à la négociation si l’adresse IP demandée n’est pas allouée.
Dans un VPN basé sur le routage, les interfaces de tunnel sécurisé (st0) fonctionnent en mode point à multipoint ou point à point. L’attribution d’adresses via la charge utile de configuration IKEv2 est désormais prise en charge pour le mode point à multipoint ou point à point. Pour les interfaces point à multipoint, les interfaces doivent être numérotées et les adresses de la charge utile de configuration INTERNAL_IP4_ADDRESS le type d’attribut doivent se trouver dans la plage de sous-réseaux de l’interface point à multipoint associée.
À partir de Junos OS version 20.1R1, vous pouvez configurer un mot de passe commun pour les demandes de charge utile de configuration IKEv2 pour une configuration de passerelle IKE. Le mot de passe commun compris entre 1 et 128 caractères permet à l’administrateur de définir un mot de passe commun. Ce mot de passe est utilisé entre le pare-feu SRX Series et le serveur RADIUS lorsque le pare-feu SRX Series demande une adresse IP au nom d’un homologue IPsec distant à l’aide de la charge utile de configuration IKEv2. Le serveur RADIUS fait correspondre les informations d’identification avant de fournir des informations IP au pare-feu SRX Series pour la demande de charge utile de configuration. Vous pouvez configurer le mot de passe commun à l’aide de l’instruction config-payload-password configured-password de configuration au niveau de la hiérarchie [edit security ike gateway gateway-name aaa access-profile access-profile-name].
Le pare-feu SRX Series et le serveur RADIUS doivent avoir le même mot de passe configuré et le serveur RADIUS doit être configuré pour utiliser le protocole PAP (Password Authentication Protocol) comme protocole d’authentification. Sans cela, la mise en place de tunnels ne sera pas couronnée de succès.
Figure 7 affiche un flux de travail typique pour une charge utile de configuration IKEv2.
La fonctionnalité de charge utile de configuration IKEv2 est prise en charge pour les interfaces de tunnel sécurisé point à multipoint (st0) et les interfaces point à point. Les interfaces point à multipoint doivent être numérotées et les adresses fournies dans l’entité de configuration doivent se trouver dans la plage de sous-réseau de l’interface point à multipoint associée.
À partir de Junos OS version 20.1R1, nous prenons en charge la fonctionnalité de charge utile de configuration IKEv2 avec des interfaces point à point sur la gamme SRX5000 et le pare-feu virtuel vSRX exécuté en iked.
Comprendre le provisionnement de Pico Cell
La charge utile de configuration IKEv2 peut être utilisée pour propager des informations de provisionnement à partir d’un répondeur IKE, tel qu’un pare-feu SRX Series, vers plusieurs initiateurs, tels que des stations de base de cellules picocellulaires LTE dans un réseau cellulaire. Les pico cellules sont livrées en usine avec une configuration standard qui leur permet de se connecter au pare-feu SRX Series, mais les informations de provisionnement des pico cellules sont stockées sur un ou plusieurs serveurs de provisionnement au sein d’un réseau protégé. Les cellules pico reçoivent des informations d’approvisionnement complètes après avoir établi des connexions sécurisées avec les serveurs d’approvisionnement.
Le flux de travail nécessaire pour amorcer et provisionner une cellule pico et la mettre en service comprend quatre étapes distinctes :
-
Acquisition initiale des adresses : la picocellule est expédiée de l’usine avec les informations suivantes :
-
Configuration du tunnel de passerelle sécurisée vers le pare-feu SRX Series
-
Certificat numérique délivré par le fabricant
-
Nom de domaine complet (FQDN) des serveurs d’approvisionnement qui se trouvent dans le réseau protégé
La cellule pico démarre et acquiert une adresse à utiliser pour la négociation IKE à partir d’un serveur DHCP. Un tunnel est ensuite construit vers la passerelle sécurisée sur le pare-feu SRX Series à l’aide de cette adresse. Une adresse pour le trafic d’exploitation, d’administration et de gestion (OAM) est également attribuée par le serveur DHCP pour une utilisation sur le réseau protégé.
-
Provisionnement de la cellule Pico : à l’aide de l’adresse de trafic OAM qui lui est attribuée, la cellule pico demande ses informations de provisionnement (généralement un certificat d’opérateur, une licence, un logiciel et des informations de configuration) aux serveurs du réseau protégé.
Redémarrer : la cellule pico redémarre et utilise les informations de provisionnement acquises pour les rendre spécifiques au réseau et au modèle d’exploitation du fournisseur de services.
-
Fourniture de services : lorsque la cellule pico entre en service, elle utilise un certificat unique qui contient des valeurs de nom distinctif (DN) et de nom de sujet alternatif avec un nom de domaine complet pour construire deux tunnels vers la passerelle sécurisée sur le pare-feu SRX Series : l’un pour le trafic OAM et l’autre pour le trafic de données 3GPP (Third-Generation Partnership Project).
Voir également
Proposition IKE
La configuration IKE définit les algorithmes et les clés utilisés pour établir la connexion IKE sécurisée avec la passerelle de sécurité homologue. Vous pouvez configurer une ou plusieurs propositions IKE. Chaque proposition est une liste d’attributs IKE pour protéger la connexion IKE entre l’hôte IKE et son homologue.
Pour configurer une proposition IKE, incluez l’instruction proposal et spécifiez un nom au niveau de la hiérarchie [edit security ike ] :
Politique IKE
Une stratégie IKE définit une combinaison de paramètres de sécurité (propositions IKE) à utiliser lors de la négociation IKE. Il définit une adresse homologue et les propositions nécessaires pour cette connexion. Selon la méthode d’authentification utilisée, elle définit la clé prépartagée pour l’homologue ou le certificat local donné. Au cours de la négociation IKE, IKE recherche une stratégie IKE identique sur les deux homologues. L’homologue qui initie la négociation envoie toutes ses stratégies à l’homologue distant, qui tente de trouver une correspondance. Une correspondance est établie lorsque les deux stratégies des deux homologues ont une proposition qui contient les mêmes attributs configurés. Si les durées de vie ne sont pas identiques, la durée de vie plus courte entre les deux stratégies (de l’hôte et de l’homologue) est utilisée. La clé prépartagée configurée doit également correspondre à son homologue.
Tout d’abord, vous configurez une ou plusieurs propositions IKE ; puis vous associez ces propositions à une politique IKE.
Pour configurer une stratégie IKE, incluez l’instruction policy et spécifiez un nom de stratégie au niveau de la hiérarchie [edit security ike] :
Redéfinition des clés et réauthentification
Présentation
Avec IKEv2, la ressaisie et la réauthentification sont des processus distincts. La ressaisie établit de nouvelles clés pour l’association de sécurité IKE (SA) et réinitialise les compteurs d’ID de message, mais elle ne réauthentifie pas les homologues. La réauthentification vérifie que les homologues VPN conservent leur accès aux informations d’identification d’authentification. La réauthentification établit de nouvelles clés pour la SA IKE et les SA enfants ; Il n’est plus nécessaire de refaire les clés de toute SA IKE ou enfant en attente. Une fois que le nouvel IKE et les SA enfants sont créés, l’ancien IKE et les SA enfants sont supprimés.
La réauthentification IKEv2 est désactivée par défaut. Pour activer la réauthentification, configurez une fréquence de réauthentification comprise entre 1 et 100. La fréquence de réauthentification correspond au nombre de nouvelles clés IKE qui se produisent avant que la réauthentification ne se produise. Par exemple, si la fréquence de réauthentification configurée est égale à 1, la réauthentification se produit chaque fois qu’il y a une nouvelle clé IKE. Si la fréquence de réauthentification configurée est égale à 2, la réauthentification a lieu tous les deux renouvellements de clés IKE. Si la fréquence de réauthentification configurée est égale à 3, la réauthentification se produit tous les trois renouvellements de clés IKE, et ainsi de suite.
Vous configurez la fréquence de réauthentification avec l’instruction reauth-frequency au niveau de la hiérarchie [edit security ike policy policy-name]. La réauthentification est désactivée en définissant la fréquence de réauthentification sur 0 (valeur par défaut). La fréquence de réauthentification n’est pas négociée par les homologues et chaque pair peut avoir sa propre valeur de fréquence de réauthentification.
Fonctionnalités prises en charge
La réauthentification IKEv2 est prise en charge avec les fonctionnalités suivantes :
Initiateurs ou répondeurs IKEv2
Dead Peer Detection (DPD)
Routeurs virtuels et interfaces de tunnel sécurisé (st0) dans les routeurs virtuels
Traversée de la traduction d’adresses réseau (NAT-T)
Clusters de châssis en mode actif-actif et actif-passif pour les équipements SRX5400, SRX5600 et SRX5800
Mise à niveau logicielle en service (ISSU) sur les appareils SRX5400, SRX5600 et SRX5800
Mise à niveau ou insertion d’une nouvelle unité de traitement des services (USP) à l’aide de la procédure de mise à niveau du matériel en service (ISHU)
Limitations
Notez les mises en garde suivantes lors de l’utilisation de la réauthentification IKEv2 :
Avec NAT-T, il est possible de créer une nouvelle SA IKE avec des ports différents de l’ancienne IKE SA. Dans ce scénario, l’ancienne IKE SA peut ne pas être supprimée.
Dans un scénario NAT-T, l’initiateur derrière l’équipement NAT peut devenir le répondeur après une nouvelle authentification. Si la session NAT expire, le périphérique NAT peut rejeter de nouveaux paquets IKE susceptibles d’arriver sur un autre port. NAT-T keepalive ou DPD doit être activé pour maintenir la session NAT active. Pour AutoVPN, nous recommandons que la fréquence de réauthentification configurée sur les rayons soit inférieure à la fréquence de réauthentification configurée sur le hub.
En fonction de la fréquence de réauthentification, une nouvelle SA IKE peut être initiée par l’initiateur ou le répondant de la SA IKE d’origine. Étant donné que l’authentification et la configuration EAP (Extensible Authentication Protocol) nécessitent que la SA IKE soit initiée par la même partie que la SA IKE d’origine, la réauthentification n’est pas prise en charge avec l’authentification EAP ou la charge utile de configuration.
Authentification IKE (authentification basée sur des certificats)
Hiérarchie à plusieurs niveaux pour l’authentification des certificats
L’authentification basée sur un certificat est une méthode d’authentification prise en charge par les pare-feu SRX Series lors de la négociation IKE. Sur les grands réseaux, plusieurs autorités de certification (CA) peuvent émettre des certificats d’entité finale (EE) sur leurs terminaux respectifs. Il est courant d’avoir des autorités de certification distinctes pour chaque site, service ou organisation.
Lorsqu’une hiérarchie à un seul niveau est utilisée pour l’authentification basée sur les certificats, tous les certificats EE du réseau doivent être signés par la même autorité de certification. Tous les pare-feu doivent avoir le même certificat d’autorité de certification inscrit pour la validation du certificat pair. La charge utile de certificat envoyée lors de la négociation IKE contient uniquement des certificats EE.
Alternativement, la charge utile de certificat envoyée lors de la négociation IKE peut contenir une chaîne de certificats EE et CA. Une chaîne de certificats est la liste des certificats requis pour valider le certificat EE d’un pair. La chaîne de certificats inclut le certificat EE et tous les certificats d’autorité de certification qui ne sont pas présents dans l’homologue local.
L’administrateur réseau doit s’assurer que tous les homologues participant à une négociation IKE disposent d’au moins une autorité de certification de confiance commune dans leurs chaînes de certificats respectives. L’autorité de certification approuvée commune n’a pas besoin d’être l’autorité de certification racine. Le nombre de certificats dans la chaîne, y compris les certificats pour les EE et l’autorité de certification la plus élevée de la chaîne, ne peut pas dépasser 10.
À partir de Junos OS version 18.1R1, la validation d’un homologue IKE configuré peut être effectuée avec un serveur ou un groupe de serveurs d’autorité de certification spécifié. Avec les chaînes de certificats, l’autorité de certification racine doit correspondre au groupe d’autorités de certification approuvées ou au serveur d’autorités de certification configuré dans la stratégie IKE
Dans l’exemple de hiérarchie d’autorités de certification illustré à , l’autorité de certification racine est l’autorité de certification approuvée commune à Figure 8tous les périphériques du réseau. L’autorité de certification racine délivre des certificats d’autorité de certification aux autorités de certification d’ingénierie et de vente, qui sont identifiées comme Eng-CA et Sales-CA, respectivement. Eng-CA délivre des certificats d’AC aux AC de développement et d’assurance de la qualité, qui sont identifiés comme Dev-CA et Qa-CA, respectivement. L’hôte-A reçoit son certificat EE de Dev-CA tandis que l’hôte-B reçoit son certificat EE de Sales-CA.
Chaque terminal doit être chargé avec les certificats CA dans sa hiérarchie. L’hôte-A doit avoir des certificats Root-CA, Eng-CA et Dev-CA ; Les certificats Sales-CA et Qa-CA ne sont pas nécessaires. L’hôte B doit avoir des certificats d’autorité de certification racine et d’autorité de certification de vente. Les certificats peuvent être chargés manuellement dans un appareil ou enrôlés à l’aide du processus d’inscription de certificats simple (SCEP).
Chaque terminal doit être configuré avec un profil d’autorité de certification pour chaque autorité de certification de la chaîne de certificats. La sortie suivante montre les profils d’autorité de certification configurés sur l’hôte A :
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}La sortie suivante montre les profils d’autorité de certification configurés sur l’hôte B :
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}Voir également
Protection IKE contre les attaques DDoS
Le déni de service (DoS) est l’une des attaques les plus courantes et pourtant les plus graves sur un réseau VPN IPsec non sécurisé. Une attaque par déni de service (DoS) offre un moyen rapide et facile de s’emparer du réseau, car elle ne nécessite pas beaucoup d’intervention sur l’infrastructure réseau. Les cyberattaquantschoisissent cette méthode pour prendre le contrôle du réseau.
Que se passe-t-il en cas d’attaque par déni de service ?
L’attaquant tente d’inonder et de bloquer progressivement le réseau avec trop de trafic, épuisant les ressources réseau et prenant le contrôle des ressources de l’appareil telles que la mémoire et le processeur. Si l’attaquant tente de contrôler à l’aide de plusieurs systèmes orchestrés, en attaquant de manière synchrone une seule cible, on parle d’attaque DoS distribuée (DDoS).
- Vulnérabilités DDoS sur les implémentations IKE
- Protection contre les attaques DDoS
- Méthodes de surveillance des attaques DDoS
Vulnérabilités DDoS sur les implémentations IKE
Lorsque l’homologue distant (initiateur) envoie un message SA_INIT, l’homologue local (répondeur) répond et alloue de la mémoire pour la structure du message. Nous appelons la session une session IKE semi-ouverte jusqu’à ce que l’authentification se produise avec le message IKE_AUTH. Une fois que les homologues ont établi une association de sécurité IKE (SA), la session est appelée session IKE entièrement ouverte.
Pour comprendre les vulnérabilités DDoS IKEv2, examinons quelques-unes des façons dont un attaquant peut créer un vecteur d’attaque facile contre les IKE SA :
-
Envoyer de grandes quantités de messages SA_INIT (sans messages IKE_AUTH) pour lesquels l’attaquant peut créer des structures d’association de sécurité IKE semi-ouvertes. L’appareil utilise alors les ressources et manque de mémoire.
-
Envoyez une grande quantité de paquets de IKE_AUTH de courrier indésirable avec une SPI_i et une SPI_r correctes sur l’initiateur et le répondeur, respectivement. Cela entraîne un manque de mémoire de l’appareil lors de la tentative de déchiffrement des paquets.
-
Envoyez des paquets SA_INIT en continu. L’appareil manque alors de mémoire lorsqu’il tente de générer des clés pour les paquets chiffrés.
-
Envoyez de grandes quantités de demandes de renouvellement de clé par seconde pendant les sessions IKE ouvertes complètes.
-
Envoyez de grandes quantités de messages avec des ID de message distincts. L’appareil met alors tous les messages IKE entrants en file d’attente et manque de mémoire.
Comment protéger les implémentations IKE
Nous fournissons une infrastructure robuste pour atténuer et surveiller les attaques DDoS pour les protocoles IKEv1 et IKEv2. Vous pouvez vous protéger contre les attaques sur les implémentations IKE lorsque votre pare-feu exécute le processus iked (junos-ike package) pour le service VPN IPsec.
Pour plus d’informations sur la protection DDoS pour IKEv2, reportez-vous à la RFC 8019, Protection des implémentations IKEv2 (Internet Key Exchange Protocol Version 2) contre les attaques par déni de service distribué. Nous ne prenons pas en charge le mécanisme de puzzle client qui est présent dans la RFC. Bien que la protection DDoS IKEv2 soit basée sur la RFC 8019, nous fournissons une protection similaire pour IKEv1 lorsque votre pare-feu exécute le service VPN IPsec à l’aide du processus iked.
Protection contre les attaques DDoS
Vous pouvez activer plusieurs mécanismes de défense contre les attaques DDoS pendant le processus de création de l’association de sécurité IKE. Ces mécanismes incluent la configuration d’une limitation de débit et d’une période de rétention pour les associations de sécurité IKE semi-ouvertes, ainsi qu’une gestion plus poussée des taux de change entrants pour les demandes de reclé. Pour assurer la protection, nous prenons les mesures suivantes :
- Pour les SA IKE semi-ouvertes :
-
Le répondeur n’autorise pas la configuration d’IKE SA semi-ouvert pendant une certaine durée. Vous pouvez définir cette limite afin que le répondeur ne configure pas tant qu’il n’a pas atteint la durée du délai d’expiration . Pour plus de détails, reportez-vous à la section session (Security IKE) pour l’option
timeout. -
Vous pouvez définir la limite du nombre maximal de SA IKE semi-ouvertes autorisées sur le répondeur. Lorsque le nombre total de SA IKE semi-ouvertes atteint le nombre maximal, le répondeur rejette les nouvelles connexions pour les SA IKEv1 et IKEv2. Pour plus de détails, reportez-vous à la section session (Security IKE) pour l’option
max-count. -
Le répondeur applique des valeurs seuils sur le nombre de sessions pour les SA IKE à moitié ouvertes. Lorsque le nombre total de SA IKE semi-ouvertes atteint des valeurs seuils,
-
Dans le cas des IKEv2 SA, le répondeur appelle le mécanisme de cookie pour toute nouvelle connexion.
-
Dans le cas des SA IKEv1, le répondeur rejette les nouvelles connexions.
Pour plus d’informations, reportez-vous aux sections session (Security IKE) pour les options
thresholds,send-cookieetreduce-timeout. -
-
Le répondeur peut ignorer les sessions en double. Pour plus de détails, reportez-vous à la section session (Security IKE) pour l’option
discard-duplicate. -
Vous pouvez définir des délais d’attente pour les phases d’échec d’authentification et d’échec d’initiation. Pour plus d’informations, reportez -vous aux sections session (Security IKE) pour les options
backoff-timeouts,init-phase-failureetauth-phase-failure.
-
-
Pour les SA IKE entièrement ouvertes :
-
Vous pouvez configurer des taux maximaux de demandes de renouvellement de clés entrantes pour limiter les demandes dans un scénario mis à l’échelle. Pour plus de détails, reportez-vous à la section session (Security IKE) pour l’option
incoming-exchange-max-rates.
-
-
Le répondeur peut bloquer une session IKE entrante des homologues en fonction de l’ID IKE de l’homologue. Pour plus de détails, reportez-vous à la section blocklists (Security IKE)RLI41450 Review this entire topic.
-
Pour les passerelles dynamiques, vous pouvez définir une limite pour le nombre de connexions au niveau de la configuration de la passerelle IKE à l’aide de l’option
connections-limit. Pour plus d’informations, consultez Passerelle (IKE de sécurité).
Pour plus d’informations sur la configuration de ces options, consultez Configurer la protection contre les attaques DDoS IKE.
Nous ne prenons pas en charge :
-
Protection DDoS avec le service VPN IPsec basé sur le processus kmd.
-
Protection contre les attaques par codage de hachage et de certificat d’URL , car nous ne prenons pas en charge ces types d’encodage.
Méthodes de surveillance des attaques DDoS
Nous fournissons les mécanismes suivants pour surveiller les attaques DDoS :
-
Utilisez la
show security ike security-associationscommande pour répertorier toutes les associationsde sécurité IKE matures et non matures. Pour plus d’informations, consultez show security ike security-associations. -
Utilisez la
show security ike statscommande pour afficher les statistiques IKE globales du tunnel VPN IPsec, telles que les statistiques en cours, établies et expirées. Pour plus d’informations, consultez afficher les statistiques ike de sécurité. -
Utilisez la
show security ike active-peercommande pour afficher les détails des négociations IKE réussies avec les homologues distants. Pour plus d’informations, consultez show security ike active-peer. -
Utilisez la
show security ike peers in-progresscommande pour afficher les détails des IKE SA en cours, y compris les IKE SA semi-ouverts. Pour plus de détails, reportez-vous à la section show security ike peersRLI41450. Vous pouvez également voir les détails des homologues bloqués, en échec et en attente à l’aide de cette commande. -
Utilisez la
clear security ike peerscommande pour effacer les homologues IKE qui sont en cours d’interruption, bloqués, en échec ou en cours. Pour plus de détails, reportez-vous à la section clear security ike peersRLI41450. -
Pour supprimer une association de sécurité IKE existante avec des pairs qui doit être bloquée pour d’autres communications, utilisez la
clear security ike security-associationscommande. Pour plus d’informations, consultez clear security ike security-associations. -
Les messages syslog d’IKED IKE_GATEWAY_PEER_BLOCKED, IKE_GATEWAY_PEER_BACKOFF et IKE_GATEWAY_PEER_FAILED fournissent des détails sur les négociations IKE bloquées, annulées et échouées avec les pairs distants, respectivement.
-
Pour plus de sécurité, Junos OS fournit aux utilisateurs des services de protection contre les attaques système basées sur les paquets, telles que le filtrage, le nombre de sessions et la limitation de débit. Pour plus de détails, reportez-vous à la commande show firewall et à l’instruction ids-option au niveau de la hiérarchie [
edit security screen ids-option screen-name].
Configurer la protection contre les attaques DDoS IKE
SUMMARY Consultez cette section pour comprendre comment configurer la protection contre les attaques DDoS sur le protocole IKE.
Conditions préalables
Avant de configurer la protection contre les attaques DDoS IKE, assurez-vous que vous remplissez les conditions préalables suivantes :
-
Pare-feu SRX Series qui prend en charge
junos-ikele package permettant d’exécuter le service VPN IPsec à l’aide du processus iked. -
Le pare-feu SRX Series qui sert de point de terminaison local (le répondeur) est accessible à l’homologue IKE distant (l’initiateur).
-
Stratégie IKE pouvant associer une liste de blocage IKE.
Les actions suivantes sont impliquées dans la configuration de la protection contre les attaques DDoS IKE :
-
Gérez les SA IKE semi-ouvertes entrantes.
-
Gérez les SA IKE entièrement ouvertes entrantes.
-
Configurez plusieurs méthodes de blocage afin de bloquer les sessions IKE entrantes de différents homologues et associez l’une des listes de blocage à un pair IKE.
Reportez-vous aux tâches suivantes pour configurer ces actions.
- Configurer la session IKE pour les SA IKE semi-ouvertes
- Configurer la session IKE pour les SA IKE ouvertes complètes
- Configurer les listes de blocage de session IKE
Configurer la session IKE pour les SA IKE semi-ouvertes
Présentation
Assurez-vous de remplir toutes les conditions préalables décrites ci-dessus.
Dans cette section, vous allez voir comment configurer les délais d’expiration, le nombre maximal et les seuils pour les SA IKE semi-ouvertes. Les modifications de configuration s’appliquent aux nouvelles sessions, tandis que les sessions existantes continuent d’utiliser les valeurs par défaut lorsqu’elles n’ont pas été configurées explicitement précédemment. La portée de ces configurations au niveau de la hiérarchie [edit security ike session half-open] s’applique au niveau global et non au niveau de l’homologue.
Configuration
-
Pour définir le paramètre de durée de vie du répondeur à l’aide de l’option
timeout seconds:[edit] user@host# set security ike session half-open timeout 150
Pendant cette période, le répondeur n’autorise pas la configuration des SA IKE semi-ouvertes tant qu’il n’a pas atteint la durée du délai d’expiration. L’initiateur peut continuer à avoir une durée de délai d’expiration de 60 secondes, quelle que soit la configuration du répondeur.
-
Pour définir le paramètre de nombre maximal de répondeurs à l’aide de l’option
max-count value:[edit] user@host# set security ike session half-open max-count 1000
L’option définit le nombre maximal de sessions IKE semi-ouvertes sur le répondeur. La valeur par défaut est 300, si vous ne le spécifiez pas. La
max-countconfiguration désactive tous les seuils. Dans ce cas, vous devez explicitement configurer des seuils pour les faire respecter. -
Spécifiez les différents types d’actions à l’aide de l’option
thresholdlorsque le nombre de sessions du répondeur atteint la limite.-
Pour définir le nombre minimum de sessions IKE semi-ouvertes afin d’appliquer l’action des cookies à l’aide de l’option
send-cookie count:[edit] user@host# set security ike session half-open threshold send-cookie 500
Cela spécifie la limite de seuil à partir de laquelle le répondeur demande aux homologues distants de retenter l’ouverture de la session avec un cookie renvoyé à l’homologue dans la réponse initiale. Ici, lorsque la limite du nombre de sessions IKE semi-ouvertes atteint 500, le processus iked utilise un mécanisme de cookie pour les nouvelles sessions IKE.
-
Pour définir le nombre minimum de sessions IKE semi-ouvertes afin d’appliquer une action de délai d’attente réduit à l’aide de l’option
reduced-timeout count timeout seconds:[edit] user@host# set security ike session half-open threshold reduce-timeout 600 timeout 100
Ceci spécifie la limite à partir de laquelle le processus iked réduit la durée de vie des nouvelles SA IKE semi-ouvertes. Une fois que le nombre de sessions IKE du répondeur semi-ouvert est inférieur au seuil, les sessions IKE du répondeur semi-ouvert utilisent à nouveau la valeur de délai d’expiration par défaut.
-
-
Pour définir l’option
discard-duplicateafin d’ignorer les sessions IKE semi-ouvertes en double sans envoyer de réponse à l’initiateur :[edit] user@host# set security ike session half-open discard-duplicate
Pour une demande d’initiation de session (SA_INIT) dupliquée qui provient du même homologue, avec un cookie d’initiateur différent pour lequel il n’y a pas de IKE SA pendant que la négociation est en cours, le répondeur ignore le paquet.
-
Vous pouvez définir les délais d’attente à l’aide de l’option
backoff-timeouts.Cela laisse un certain temps à l’homologue distant pour se retirer en cas d’échec de l’initiation d’une session, ce qui garantit que le même homologue ne peut pas initier une nouvelle session pendant cette période. Une fois le délai d’attente écoulé, l’homologue peut lancer une nouvelle session. Le lancement de la session peut échouer en deux phases : la phase d’initialisation et la phase d’authentification.
-
Pour définir le délai d’attente en cas de défaillance pendant la phase IKE_AUTH à l’aide de l’option
backoff-timeouts auth-phase-failure value:[edit] user@host# set security ike session half-open backoff-timeouts auth-phase-failure 150
Lorsque vous configurez , tout homologue distant figurant sur la liste de blocage effectue la désactivation même si vous ne configurez
auth-phase-failurepas la fermeture en tant qu’action pour la règle de liste de blocage cible. Le délai d’attente de l’interruption est celui configuré pourauth-phase-failure. Dans cet exemple, l’appareil lance une nouvelle session au bout de 150 secondes. Pour remplacer ce délai d’attente d’une règle particulière, vous pouvez configurer explicitement l’action de la listerulede blocage en mentionnant le délai d’expiration à l’extrémitébackoff[edit security ike blocklists blocklist1 rule rule-name then backoff timeout-value] hierarchy level. -
Pour définir le délai d’attente en cas de défaillance pendant la phase SA_INIT à l’aide de l’option
backoff-timeouts init-phase-failure value:[edit] user@host# set security ike session half-open backoff-timeouts init-phase-failure 160
Dans cet exemple, l’appareil lance une nouvelle session au bout de 160 secondes.
-
Pour définir le paramètre de durée de vie du répondeur à l’aide de l’option
timeout seconds:[edit] user@host# set security ike session half-open timeout 150
Pendant cette période, le répondeur n’autorise pas la configuration des SA IKE semi-ouvertes tant qu’il n’a pas atteint la durée du délai d’expiration. L’initiateur peut continuer à avoir une durée de délai d’expiration de 60 secondes, quelle que soit la configuration du répondeur.
-
Configurer la session IKE pour les SA IKE ouvertes complètes
Présentation
Assurez-vous de remplir toutes les conditions préalables décrites ci-dessus.
Dans cette section, vous allez voir comment configurer différents taux de requêtes entrantes pour les SA IKE ouvertes complètes à l’aide de l’option incoming-exchange-max-rates au niveau de la hiérarchie [edit security ike session full-open].
Configuration
Configurez l’option permettant de définir les taux maximaux pour les différents échanges initiés par l’homologue distant après l’établissement incoming-exchange-max-rates d’une IKE SA. Vous pouvez configurer trois types de taux de change : rekey IKE, rekey IPsec et keepalive (également connu sous le nom de Dead Peer Detection).
-
Pour définir le taux maximal de recléage IKE initié par l’homologue entrant à l’aide de l’option
incoming-exchange-max-rates ike-rekey value:[edit] user@host# set security ike session full-open incoming-exchange-max-rates ike-rekey 200/60
L’option s’applique à la recléation IKEv2 sur une base par homologue avec un homologue existant où une SA IKE est déjà présente.
-
Pour définir le débit maximal de recléage IPsec SA initié par l’homologue entrant à l’aide de l’option
incoming-exchange-max-rates ipsec-rekey value:[edit] user@host# set security ike session full-open incoming-exchange-max-rates ipsec-rekey 100/60
La limite s’applique par tunnel.
-
Pour définir le taux maximum de keepalive initié par l’homologue entrant à l’aide de l’option
incoming-exchange-max-rates keepalive value:[edit] user@host# set security ike session full-open incoming-exchange-max-rates keepalive 60/60
La limite s’applique par pair.
Configurer les listes de blocage de session IKE
Présentation
Assurez-vous de remplir toutes les conditions préalables décrites ci-dessus.
Pour bloquer une session IKE entrante à partir d’homologues en fonction de l’ID IKE de l’homologue, vous devez configurer une ou plusieurs listes de blocage. Chaque liste de blocage contient une ou plusieurs règles. Chaque règle est associée à un critère de correspondance et à une action.
Tenez compte des critères suivants lors de la configuration des listes de blocage :
-
Les règles de liste de blocage s’appliquent aux nouvelles SA IKE en cours de négociation et n’affectent pas les SA IKE existantes. À l’étape de l’authentification par l’homologue, l’appareil applique les règles de liste de blocage.
-
L’ordre d’application des règles dépend de l’ordre dans lequel ces règles sont énumérées.
-
Configurez les critères de correspondance en fonction du rôle (initiateur ou répondeur), d’un type d’ID (adresse IPv4 ou IPv6, nom d’hôte, nom distinctif, ID de messagerie ou ID de clé) et d’un modèle d’ID qui est une expression régulière correspondant à l’ID IKE.
-
Vous pouvez configurer chaque règle avec un type d’ID. Cela vous permet de configurer différents ID IKE pour différentes règles au sein de la même liste de blocage.
-
Configurez une action pour ignorer ou rejeter la connexion homologue. En fonction de la correspondance, l’appareil applique une action. Si vous le souhaitez, vous pouvez définir le minuteur d’interruption à l’aide de ces actions.
-
Reportez-vous à la liste de blocage dans la stratégie IKE associée à la passerelle IKE.
-
Chaque passerelle IKE ne prend en charge qu’un seul type d’ID IKE distant. Si vous attachez une liste de blocage à une passerelle et que vous la configurez avec des règles contenant différents ID IKE, la passerelle s’appliquera et ne correspondra qu’aux règles dont le type d’ID IKE est le même que celui configuré pour la passerelle IKE.
-
Les métriques de taux de configuration du tunnel avec des listes de blocage attachées aux passerelles IKE sont basées sur le nombre de règles configurées dans les listes de blocage.
Dans cette section, vous allez voir comment configurer des listes de blocage et les associer à une stratégie IKE.
Configuration
-
Pour créer une liste de blocage avec plusieurs règles :
-
Créez une liste de blocage.
[edit] user@host# set security ike blocklists blocklist1 description block_from_remote
-
Créez une ou plusieurs règles.
[edit] user@host# set security ike blocklists blocklist1 rule rule1 description rule_1 user@host# set security ike blocklists blocklist1 rule rule2 description rule_2
Vous pouvez créer plusieurs listes de blocage de ce type et leurs règles.
-
-
Pour configurer les critères de correspondance et spécifier l’action :
-
Configurez les critères de correspondance pour le rule1 dans la liste blocklist1de blocage .
[edit] user@host# set security ike blocklists blocklist1 rule rule1 match role initiator user@host# set security ike blocklists blocklist1 rule rule1 match id-type hostname user@host# set security ike blocklists blocklist1 rule rule1 match id-pattern "peer.*\.example\.net" user@host# set security ike blocklists blocklist1 rule rule2 match role initiator user@host# set security ike blocklists blocklist1 rule rule2 match id-type user-at-hostname user@host# set security ike blocklists blocklist1 rule rule2 match id-pattern "hr.example.com"
Pour configurer des listes de blocage à l’aide d’un groupe d’ID IKE ou d’ID IKE partiels, utilisez le
id-pattern valueavec un suffixe ou un préfixe. Par exemple, vous pouvez utiliser la valeur *.example.com lorsque vous devez faire correspondre hr.example.com, finance.example.com admin.example.com. Dans la règle rule1, l’appareil recherche le nom d’hôte qui correspond au modèle peer.*\.example\.net. Voici peer.example.net, peer.1.example.net et peer.uplink.example.net sont quelques correspondances potentielles. Dans la règle rule2, l’appareil recherche l’adresse e-mail qui correspond au modèle hr.example.com. De même, vous pouvez configurer un autre critère de correspondance pour les autres règles en fonction de différentsid-typeouid-pattern. Ces modèles utilisent l’expression régulière standard. -
Spécifiez l’action d’une correspondance :
[edit] user@host# set security ike blocklists blocklist1 rule rule1 then reject user@host# set security ike blocklists blocklist1 rule rule1 then backoff 60 user@host# set security ike blocklists blocklist1 rule rule2 then discard user@host# set security ike blocklists blocklist1 rule rule2 then backoff 100
-
-
Pour associer une liste de blocage à un homologue IKE :
-
Configurez la liste blocklist1 de blocage dans la stratégie ike_policy1IKE .
[edit] user@host# set security ike policy ike_policy1 blocklist blocklist1
-
Exemple : Configuration d’un équipement pour la validation de la chaîne de certificats homologues
Cet exemple montre comment configurer un périphérique pour les chaînes de certificats utilisées pour valider les périphériques homologues lors de la négociation IKE.
- Conditions préalables
- Présentation
- Configuration
- Vérification
- Échec IKE et IPsec SA pour un certificat révoqué
Conditions préalables
Avant de commencer, demandez l’adresse de l’autorité de certification (CA) et les informations dont elle a besoin (comme le mot de passe d’appel) lorsque vous soumettez des demandes de certificats locaux.
Présentation
Cet exemple montre comment configurer un périphérique local pour les chaînes de certificats, inscrire des certificats d’autorité de certification et des certificats locaux, vérifier la validité des certificats inscrits et vérifier l’état de révocation du périphérique homologue.
Topologie
Cet exemple montre les commandes de configuration et de fonctionnement sur l’hôte A, comme illustré à la section Figure 9. Un profil d’autorité de certification dynamique est automatiquement créé sur l’hôte A pour permettre à l’hôte A de télécharger la CRL à partir de l’autorité de certification Sales et de vérifier l’état de révocation du certificat de l’hôte B.
La configuration VPN IPsec pour la négociation des phases 1 et 2 est illustrée pour l’hôte A dans cet exemple. L’appareil homologue (hôte-B) doit être correctement configuré pour que les options de phase 1 et de phase 2 soient négociées avec succès et que des associations de sécurité (SA) soient établies. Reportez-vous à la section Configuration d’ID IKE distants pour les VPN de site à site pour obtenir des exemples de configuration d’appareils homologues pour les VPN.
Configuration
Pour configurer un périphérique pour les chaînes de certificats :
- Configurer les profils d’autorité de certification
- Certificats d’inscription
- Configurer les options du VPN IPsec
Configurer les profils d’autorité de certification
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security pki ca-profile Root-CA ca-identity CA-Root set security pki ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ set security pki ca-profile Root-CA revocation-check crl set security pki ca-profile Eng-CA ca-identity Eng-CA set security pki ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ set security pki ca-profile Eng-CA revocation-check crl set security pki ca-profile Dev-CA ca-identity Dev-CA set security pki ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ set security pki ca-profile Dev-CA revocation-check crl
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les profils d’autorité de certification :
Créez le profil d’autorité de certification pour l’autorité de certification racine.
[edit security pki] user@host# set ca-profile Root-CA ca-identity CA-Root user@host# set ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ user@host# set ca-profile Root-CA revocation-check crl
Créez le profil CA pour Eng-CA.
[edit security pki] user@host# set ca-profile Eng-CA ca-identity Eng-CA user@host# set ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ user@host# set ca-profile Eng-CA revocation-check crl
Créez le profil d’autorité de certification pour Dev-CA.
[edit security pki] user@host# set ca-profile Dev-CA ca-identity Dev-CA user@host# set ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ user@host# set ca-profile Dev-CA revocation-check crl
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security pki commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security pki
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Root/";
}
revocation-check {
crl ;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Eng/";
}
revocation-check {
crl ;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Dev/";
}
revocation-check {
crl ;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Certificats d’inscription
Procédure étape par étape
Pour inscrire des certificats :
Inscrivez les certificats d’autorité de certification.
user@host> request security pki ca-certificate enroll ca-profile Root-CA
user@host> request security pki ca-certificate enroll ca-profile Eng-CA
user@host> request security pki ca-certificate enroll ca-profile Dev-CA
Tapez yes à l’invite pour charger le certificat de l’autorité de certification.
Vérifiez que les certificats de l’autorité de certification sont inscrits dans l’appareil.
user@host> show security pki ca-certificate ca-profile Root-CA Certificate identifier: Root-CA Issued to: Root-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-14-2012 22:19 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)user@host> show security pki ca-certificate ca-profile Eng-CA Certificate identifier: Eng-CA Issued to: Eng-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-15-2012 01:02 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)user@host> show security pki ca-certificate ca-profile Dev-CA Certificate identifier: Dev-CA Issued to: Dev-CA, Issued by: C = us, O = example, CN = Eng-CA Validity: Not before: 08-15-2012 17:41 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)Vérifiez la validité des certificats d’autorité de certification inscrits.
user@host> request security pki ca-certificate verify ca-profile Root-CA CA certificate Root-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Eng-CA CA certificate Eng-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Dev-CA CA certificate Dev-CA verified successfully
Générez une paire de clés.
user@host> request security pki generate-key-pair certificate-id Host-A type rsa size 1024
Inscrivez le certificat local.
user@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA challenge-password example domain-name host-a.example.net email host-a@example.net subject DC=example,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
Vérifiez que le certificat local est inscrit dans l’appareil.
user@host> show security pki local-certificate Issued to: Host-A, Issued by: C = us, O = example, CN = Dev-CA Validity: Not before: 09-17-2012 22:22 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(1024 bits)Vérifiez la validité du certificat local inscrit.
user@host> request security pki local-certificate verify certificate-id Host-A Local certificate Host-A verification success
Vérifiez le téléchargement de la liste de révocation de certificats pour connaître les profils d’autorité de certification configurés.
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02
Configurer les options du VPN IPsec
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security ike proposal ike_cert_prop_01 authentication-method rsa-signatures set security ike proposal ike_cert_prop_01 dh-group group5 set security ike proposal ike_cert_prop_01 authentication-algorithm sha1 set security ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc set security ike policy ike_cert_pol_01 mode main set security ike policy ike_cert_pol_01 proposals ike_cert_prop_01 set security ike policy ike_cert_pol_01 certificate local-certificate Host-A set security ike gateway ike_cert_gw_01 ike-policy ike_cert_pol_01 set security ike gateway ike_cert_gw_01 address 192.0.2.51 set security ike gateway ike_cert_gw_01 external-interface ge-0/0/1.0 set security ike gateway ike_cert_gw_01 local-identity 192.0.2.31 set security ipsec proposal ipsec_prop_01 protocol esp set security ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc set security ipsec proposal ipsec_prop_01 lifetime-seconds 300 set security ipsec policy ipsec_pol_01 proposals ipsec_prop_01 set security ipsec vpn ipsec_cert_vpn_01 bind-interface st0.1 set security ipsec vpn ipsec_cert_vpn_01 ike gateway ike_cert_gw_01 set security ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les options du VPN IPsec :
Configurez les options de la phase 1.
[edit security ike proposal ike_cert_prop_01] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ike_cert_pol_01] user@host# set mode main user@host# set proposals ike_cert_prop_01 user@host# set certificate local-certificate Host-A [edit security ike gateway ike_cert_gw_01] user@host# set ike-policy ike_cert_pol_01 user@host# set address 192.0.2.51 user@host# set external-interface ge-0/0/1.0 user@host# set local-identity 192.0.2.31
Configurez les options de la phase 2.
[edit security ipsec proposal ipsec_prop_01] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy ipsec_pol_01] user@host# set proposals ipsec_prop_01 [edit security ipsec vpn ipsec_cert_vpn_01] user@host# set bind-interface st0.1 user@host# set ike gateway ike_cert_gw_01 user@host# set ike ipsec-policy ipsec_pol_01
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les commandes show security ike et show security ipsec . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security ike
proposal ike_cert_prop_01 {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ike_cert_pol_01 {
mode main;
proposals ike_cert_prop_01;
certificate {
local-certificate Host-A;
}
}
gateway ike_cert_gw_01 {
ike-policy ike_cert_pol_01;
address 192.0.2.51;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_prop_01 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 300;
}
policy ipsec_pol_01 {
proposals ipsec_prop_01;
}
vpn ipsec_cert_vpn_01 {
bind-interface st0.1;
ike {
gateway ike_cert_gw_01;
ipsec-policy ipsec_pol_01;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Si la validation du certificat réussit lors de la négociation IKE entre équipements homologues, des associations de sécurité IKE et IPsec sont établies.
L’IKE SA est UP si le certificat est valide. La SA IKE est DOWN et l’SA IPSEC est formée si le certificat est révoqué, uniquement si la vérification de révocation est configurée sur l’appareil homologue
Vérification de l’état IKE Phase 1
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
Entrez la show security ike security-associations commande à partir du mode opérationnel.
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
2090205 DOWN 285feacb50824495 59fca3f72b64da10 Main 192.0.2.51
Vérification de l’état IPsec Phase 2
But
Vérifiez l’état IPsec Phase 2.
Action
Entrez la show security ipsec security-associations commande à partir du mode opérationnel.
user@host> show security ipsec security-associations
Total active tunnels: 1
ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway
<131073 ESP:3des/sha1 a4756de9 207/ unlim - root 500 192.0.2.51
>131073 ESP:3des/sha1 353bacd3 207/ unlim - root 500 192.0.2.51
Échec IKE et IPsec SA pour un certificat révoqué
Vérification des certificats révoqués
Problème
Si la validation du certificat échoue lors de la négociation IKE entre périphériques homologues, vérifiez que le certificat de l’homologue n’a pas été révoqué. Un profil d’autorité de certification dynamique permet à l’appareil local de télécharger la liste de révocation de certificats à partir de l’autorité de certification de l’homologue et de vérifier l’état de révocation du certificat de l’homologue. Pour activer les profils d’autorité de certification dynamiques, l’option doit être configurée sur un profil d’autorité revocation-check crl de certification parent.
Solution
Pour vérifier l’état de révocation du certificat d’un homologue :
Identifiez le profil d’autorité de certification dynamique qui affichera la CRL de l’appareil homologue en entrant la show security pki crl commande à partir du mode opérationnel.
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02 CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sales-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02Le profil
dynamic-001de l’autorité de certification est automatiquement créé sur l’hôte A afin que l’hôte A puisse télécharger la liste de révocation de certificats à partir de l’autorité de certification de l’hôte B (Sales-CA) et vérifier l’état de révocation du certificat de l’homologue.Affichez les informations de la CRL pour le profil d’autorité de certification dynamique en entrant la show security pki crl ca-profile dynamic-001 detail commande à partir du mode opérationnel.
Entrer
user@host> show security pki crl ca-profile dynamic-001 detail CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sub11 Effective date: 09-19-2012 17:29 Next update: 09-20-2012 01:49 Revocation List: Serial number Revocation date 10647C84 09-19-2012 17:29 UTCLe certificat de l’hôte B (numéro de série 10647084) a été révoqué.
IKEv2 Fragmentation
Fragmentation des messages
La fragmentation des messages IKEv2, telle que décrite dans la RFC 7383, Internet Key Exchange Protocol Version 2 (IKEv2) Message Fragmentation, permet à IKEv2 de fonctionner dans des environnements où les fragments IP peuvent être bloqués et les homologues ne peuvent pas établir d’association de sécurité IPsec (SA). La fragmentation IKEv2 divise un message IKEv2 volumineux en un ensemble de messages plus petits afin qu’il n’y ait pas de fragmentation au niveau IP. La fragmentation a lieu avant que le message d’origine ne soit chiffré et authentifié, de sorte que chaque fragment est chiffré et authentifié séparément. Sur le récepteur, les fragments sont collectés, vérifiés, déchiffrés et fusionnés dans le message d’origine.
Pour que la fragmentation IKEv2 se produise, les deux homologues VPN doivent indiquer la prise en charge de la fragmentation en incluant la charge utile de notification IKEV2_FRAGMENTATION_SUPPORTED dans l’échange IKE_SA_INIT. Si les deux homologues indiquent la prise en charge de la fragmentation, c’est à l’initiateur de l’échange de messages de déterminer si la fragmentation IKEv2 est utilisée ou non.
Sur les pare-feu SRX Series, un maximum de 32 fragments est autorisé par message IKEv2. Si le nombre de fragments de message IKEv2 à envoyer ou à recevoir dépasse 32, les fragments sont abandonnés et le tunnel n’est pas établi. La retransmission de fragments de messages individuels n’est pas prise en charge
Configuration
Sur les pare-feu SRX Series, la fragmentation IKEv2 est activée par défaut pour les messages IPv4 et IPv6. Pour désactiver la fragmentation IKEv2, utilisez l’instruction au niveau de la disable hiérarchie [edit security ike gateway gateway-name fragmentation]. Vous pouvez également utiliser l’instruction size pour configurer la taille du paquet auquel les messages sont fragmentés ; la taille du paquet est comprise entre 500 et 1300 octets. Si size elle n’est pas configurée, la taille de paquet par défaut est de 576 octets pour le trafic IPv4 et de 1280 octets pour le trafic IPv6. Un paquet IKEv2 dont la taille est supérieure à la taille de paquet configurée est fragmenté.
Une fois que la fragmentation IKEv2 est désactivée ou activée ou que la taille du fragment de paquet est modifiée, les tunnels VPN hébergés sur la passerelle IKE sont arrêtés et les SA IKE et IPsec sont renégociées.
Avertissements
Les fonctionnalités suivantes ne sont pas prises en charge avec la fragmentation IKEv2 :
Découverte MTU de chemin.
SNMP.
Voir également
Politique IKE avec une autorité de certification de confiance
Cet exemple montre comment lier un serveur d’autorité de certification approuvé à une stratégie IKE de l’homologue.
Avant de commencer, vous devez disposer d’une liste de toutes les autorités de certification approuvées que vous souhaitez associer à la stratégie IKE de l’homologue.
Vous pouvez associer une stratégie IKE à un seul profil d’autorité de certification de confiance ou à un groupe d’autorités de certification de confiance. Pour établir une connexion sécurisée, la passerelle IKE utilise la stratégie IKE pour se limiter au groupe configuré d’autorités de certification (profils ca) lors de la validation du certificat. Un certificat émis par une source autre que l’autorité de certification approuvée ou le groupe d’autorités de certification approuvées n’est pas validé. S’il existe une demande de validation de certificat provenant d’une stratégie IKE, le profil d’autorité de certification associé à la stratégie IKE validera le certificat. Si une stratégie IKE n’est associée à aucune autorité de certification, le certificat est validé par défaut par l’un des profils d’autorité de certification configurés.
Dans cet exemple, un profil d’autorité de certification nommé root-ca est créé et un root-ca-identity est associé au profil.
Vous pouvez configurer un maximum de 20 profils d’autorités de certification que vous souhaitez ajouter à un groupe d’autorités de certification approuvées. Vous ne pouvez pas valider votre configuration si vous configurez plus de 20 profils d’autorités de certification dans un groupe d’autorités de certification approuvées.
Pour afficher les profils d’autorité de certification et les groupes d’autorités de certification approuvés configurés sur votre appareil, exécutez show security pki la commande.
user@host# show security ike
proposal ike_prop {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
La show security ike commande affiche le groupe de profils CA sous la stratégie IKE nommée ike_policy et le certificat associé à la stratégie IKE.
Voir également
Configuration d’un répondeur de tunnel d’établissement uniquement dans IKE
Cette rubrique montre comment configurer l’établissement de tunnels répondant uniquement dans Internet Key Exchange (IKE). Lancez les tunnels à partir de l’homologue distant et envoyez le trafic à travers tous les tunnels. Spécifie le moment où IKE est activé.
À partir de Junos OS version 19.1R1, sur la gamme SRX5000, l’option établir des tunnels prend en charge les responder-only valeurs et responder-only-no-rekey sous le niveau hiérarchique [edit security ipsec vpn vpn-name] .
Les responder-only options et responder-only-no-rekey sont prises en charge sur la gamme SRX5000 avec une carte SPC3 uniquement si le junos-ike-package est installé. Ces options ne sont prises en charge que sur un VPN de site à site. Ces options ne sont pas prises en charge sur Auto VPN.
Les responder-only options et responder-only-no-rekey n’établissent aucun tunnel VPN à partir de l’appareil, de sorte que le tunnel VPN est initié à partir de l’homologue distant. Lorsque vous configurez responder-only, un tunnel établi redéfinit les clés IKE et IPsec en fonction des valeurs de durée de vie IKE et IPsec configurées. Lorsque vous configurez responder-only-no-rekey, un tunnel établi ne recrée pas de clé à partir de l’appareil et s’appuie sur l’homologue distant pour lancer la reclé. Si l’homologue distant ne lance pas de reclé, le démantèlement du tunnel se produit après l’expiration de la durée de vie du matériel.
Avant de commencer :
Comprendre comment établir un tunnel IPsec IKE AutoKey. Lire Présentation d’IPsec.
Pour configurer l’établissement d’un répondeur de tunnel uniquement dans IKE :
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.