IKE y ESP ALG
El intercambio de claves por internet (IKE) y la carga de seguridad de encapsulación (ESP) forman parte del protocolo de seguridad IP (IPsec). El tráfico de IKE y ESP se intercambia entre los clientes y el servidor. IKE y ESP ALG ayudan a resolver los problemas de vpn IPsec cuando la VPN IPsec pasa a través del dispositivo cuyo TDR está habilitado.
Descripción de IKE y ESP ALG
Un firewall serie NFX o serie SRX puede usarse únicamente como dispositivo de traducción de direcciones de red (TDR) cuando se coloca entre clientes VPN en el lado privado de la puerta de enlace TDR y las puertas de enlace de red privada virtual (VPN) en el lado público.
El tráfico de intercambio de claves por internet (IKE) y carga de seguridad de encapsulación (ESP) se intercambia entre los clientes y el servidor. Sin embargo, si los clientes no admiten TDR-Traversal (NAT-T) y si el dispositivo asigna la misma dirección IP generada por TDR a dos o más clientes, el dispositivo no podrá distinguir y enrutar correctamente el tráfico de retorno.
Si el usuario desea admitir clientes compatibles con NAT-T y clientes que no son compatibles con NAT-T, entonces se requieren algunas configuraciones adicionales. Si hay clientes compatibles con TDR-T, el usuario debe habilitar la persistencia de dirección TDR de origen.
AlG para IKE y ESP monitorea el tráfico de IKE entre el cliente y el servidor y permite solo un intercambio de mensajes de fase 2 de IKE entre un determinado par de cliente y servidor, no solo un intercambio entre un cliente y un servidor.
Se creó ALG para el tráfico de IKE y ESP y se mejoró la TDR para implementar lo siguiente:
Para permitir que los dispositivos pasen tráfico de IKE y ESP con un grupo TDR de origen
Para permitir que el dispositivo se configure para devolver la misma dirección IP generada por TDR para la misma dirección IP sin TDR ("TDR persistente de dirección"). Como resultado, el dispositivo es capaz de asociar el tráfico de IKE saliente de un cliente con el tráfico de retorno del servidor, especialmente cuando el tiempo de espera de la sesión de IKE y debe restablecerse.
También se permite el tráfico ESP resultante entre el cliente y el servidor, especialmente en la dirección del servidor al cliente.
El tráfico ESP devuelto coincide con lo siguiente:
La dirección IP del servidor como IP de origen
La dirección IP del cliente como IP de destino
En los dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX5600 o SRX5800, las negociaciones de IKE que implican el recorrido TDR no funcionan si el par IKE está detrás de un dispositivo TDR que cambiará la dirección IP de origen de los paquetes IKE durante la negociación. Por ejemplo, si el dispositivo TDR está configurado con DIP, cambia la IP de origen porque el protocolo IKE cambia el puerto UDP de 500 a 4500. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)
Descripción de la operación de IKE y ESP ALG
La puerta de enlace de capa de aplicación (ALG) para el intercambio de claves por internet (IKE) y el tráfico de carga de seguridad de encapsulación (ESP) tiene el siguiente comportamiento:
IKE y ESP ALG monitorean el tráfico de IKE entre el cliente y el servidor, y permiten solo un intercambio de mensajes de fase 2 de IKE entre el cliente y el servidor en un momento dado.
Para un mensaje de fase 2:
Si no se produce un intercambio de mensajes de fase 2 entre el cliente y el servidor, se abren las puertas ALG de IKE para el tráfico ESP relevante del cliente al servidor y del servidor al cliente.
Si las puertas ALG de IKE no se abren correctamente o si ya se produjo el intercambio de mensajes de fase 2, se pierde el mensaje de fase 2.
Cuando el tráfico ESP llega a las puertas ALG de IKE, se crean sesiones para capturar el tráfico de ESP subsiguiente y realizar la NATing adecuada (es decir, la traducción de la dirección IP de origen del cliente al tráfico del servidor y la traducción de la dirección IP de destino del servidor al tráfico del cliente).
Cuando el tráfico ESP no llega a ninguna de las puertas o a ambas, estas, naturalmente, tienen un tiempo de descanso.
Una vez que las puertas ALG de IKE se contraen o se contraen el tiempo de espera, se permite otro intercambio de mensajes de fase 2 de IKE.
El tráfico T-T de IKE en el puerto flotante 4500 no se procesa en una ALG IKE. Para admitir una combinación de clientes compatibles con TDR y clientes no capaces, debe habilitar la dirección TDR de origen persistente.
Ejemplo: Configuración de IKE y ESP ALG
En este ejemplo, se muestra cómo configurar IKE y ESP ALG para pasar a través del tráfico de IKE y ESP con un grupo TDR de origen en dispositivos de Juniper Networks.
Requisitos
Antes de empezar:
Configure el ARP de proxy para todas las direcciones IP del grupo TDR de origen.
Comprenda los conceptos detrás de IKE y ESP ALG. Consulte Descripción de la operación de ICR y ESP ALG.
Visión general
En este ejemplo, ALG para IKE y ESP está configurado para supervisar y permitir el intercambio de tráfico de IKE y ESP entre los clientes y el servidor ubicado en lados opuestos de un dispositivo Juniper Networks.
En este ejemplo, se muestra cómo configurar un conjunto TDR de origen y un conjunto de reglas, configurar una aplicación personalizada para que admita IKE y ESP ALG, y asociar esta ALG a una política.
Si desea admitir una combinación de clientes compatibles con TDR-traversal (TDR-T) y clientes no capaces, debe habilitar la traducción TDR de origen persistente (de modo que una vez que un TDR de origen determinado se asocia con una dirección IP determinada, las traducciones TDR de origen posteriores usen la misma dirección IP). También debe configurar una aplicación transversal TDR personalizada de IKE para admitir la encapsulación de IKE y ESP en el puerto UDP 4500. Esta configuración permite que IKE y ESP pasen por el dispositivo habilitado para TDR.
Topología
Configuración
- Configurar un conjunto de reglas y un grupo de fuentes TDR
- Configurar una aplicación personalizada y asociarla a una política
- Configuración de la compatibilidad de IKE y ESP ALG para clientes compatibles y no compatibles con T-T
Configurar un conjunto de reglas y un grupo de fuentes TDR
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar un grupo TDR de origen:
Cree un grupo de fuentes TDR.
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
Configure entradas de libreta de direcciones de zonas de seguridad.
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
Cree un conjunto de reglas de origen TDR.
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security nat source { pool pool1 { address { 10.10.10.1/32 to 10.10.10.10/32; } } rule-set rs1 { from zone green; to zone red; rule r1 { match { source-address 1.1.1.0/24; destination-address 2.2.2.0/24; } then { source-nat { pool { pool1; } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configurar una aplicación personalizada y asociarla a una política
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar una aplicación personalizada y asociarla a una política:
Configure una aplicación personalizada.
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
Asocie la aplicación personalizada a una política.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security zones
para confirmar la show applications
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show applications application custom-ike-alg { application-protocol ike-esp-nat; protocol udp; source-port 500; destination-port 500; }
[edit] user@host# show security zones security-zone Trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone green { address-book { address sa1 1.1.1.0/24; } } security-zone red { address-book { address da1 2.2.2.0/24; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de la compatibilidad de IKE y ESP ALG para clientes compatibles y no compatibles con T-T
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar la compatibilidad con ALG IKE y ESP para clientes compatibles y no compatibles con T-T:
Habilite globalmente la traducción TDR de origen persistente.
[edit] user@host# set security nat source address-persistent
Configure la aplicación TDR-T de ICR.
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
Asocie la aplicación TDR-T mediante una política.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { address-persistent; }
[edit] user@host# show security policies from-zone green to-zone red { policy pol1 { match { source-address sa1; destination-address da1; application [ custom-ike-alg custom-ike-natt ]; } then { permit; } } } default-policy { permit-all; }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar aplicaciones personalizadas de IKE y ESP ALG
Propósito
Verifique que las aplicaciones personalizadas para admitir IKE y ESP ALG estén habilitadas.
Acción
Desde el modo operativo, ingrese el show security alg status
comando.
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
Significado
El resultado muestra el estado de ALG de la siguiente manera:
Habilitado: muestra que ALG está habilitado.
Deshabilitado(Deshabilitado): muestra que la ALG está deshabilitada.
Verificar las policías de seguridad de ALG
Propósito
Compruebe que la aplicación IKE ALG personalizada y la aplicación IKE NATT personalizados están configurados.
Acción
Desde el modo operativo, ingrese el show security policies
comando.
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
Significado
La salida de ejemplo muestra que se establecen aplicaciones IKE ALG e NATT IKE personalizadas.
Ejemplo: Habilitación de los tiempos de espera de IKE y ESP y configuración de los tiempos de espera
En este ejemplo, se muestra cómo habilitar IKE y ESP ALG y establecer los valores de tiempo de espera para permitir que la ALG procese la información de estado de ALG, puertas ESP y sesiones ESP.
Requisitos
Comprenda los conceptos detrás de ALG para IKE y ESP. Consulte Descripción de la operación de ICR y ESP ALG.
Visión general
IKE y ESP ALG procesa todo el tráfico especificado en cualquier política a la que se adjunta al ALG. En este ejemplo, configure la set security alg ike-esp-nat enable instrucción para que el comportamiento de paso a través de IPsec predeterminado actual esté deshabilitado para todo el tráfico de paso a través de IPsec, independientemente de la política.
A continuación, establezca los valores de tiempo de espera para que IKE y ESP ALG procesen la información de estado de ALG, las puertas de ESP y las sesiones de ESP. En este ejemplo, se establece el tiempo de espera de la información de estado ALG. El intervalo de tiempo de espera es de 180 a 86400 segundos. El tiempo de espera predeterminado es de 14400 segundos. A continuación, establezca el tiempo de espera de las puertas ESP creadas después de completar un intercambio de fase 2 de IKE. El intervalo de tiempo de espera es de 2 a 30 segundos. El tiempo de espera predeterminado es de 5 segundos. Por último, se establece el tiempo de espera de las sesiones ESP creadas a partir de las puertas IPsec. Si no hay tráfico que llega a la sesión, este queda envejecido después de este período de tiempo. El intervalo de tiempo de espera es de 60 a 2400 segundos. El tiempo de espera predeterminado es de 1800 segundos.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para habilitar IKE y ESP ALG y establecer los valores de tiempo de espera:
Habilite IKE y ESP ALG.
[edit] user@host# set security alg ike-esp-nat enable
Establezca el tiempo de espera para la información de estado alg.
[edit security alg ike-esp-nat] user@host# set state-timeout 360
Establezca el tiempo de espera para las puertas ESP creadas después de completar un intercambio de fase 2 de ICR.
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
Establezca el tiempo de espera inactivo para las sesiones ESP creadas a partir de las puertas IPsec.
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security alg
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security alg ike-esp-nat { enable; state-timeout 360; esp-gate-timeout 20; esp-session-timeout 2400; }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar la configuración de ALG para IKE y ESP y tiempo de espera
Propósito
Compruebe que el ALG para IKE y ESP está habilitado y que la configuración de tiempo de espera de esta función sea correcta.
Acción
Desde el modo operativo, ingrese el show security alg ike-esp-nat
comando.