IKE y ESP ALG
El intercambio de claves por Internet (IKE) y la carga de seguridad de encapsulación (ESP) forman parte del protocolo de seguridad IP (IPsec). El tráfico IKE y ESP se intercambia entre los clientes y el servidor. El ALG de IKE y ESP ayuda a resolver los problemas de VPN IPsec cuando la VPN IPsec pasa a través del dispositivo cuyo NAT está habilitado.
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Revise la sección Comportamiento de IKE ALG específico de la plataforma para obtener notas relacionadas con su plataforma.
Descripción de IKE y ESP ALG
Un firewall de las series NFX o SRX se puede utilizar únicamente como un dispositivo de traducción de direcciones de red (NAT) cuando se coloca entre clientes VPN en el lado privado de la puerta de enlace NAT y las puertas de enlace de red privada virtual (VPN) en el lado público.
El tráfico de intercambio de claves por Internet (IKE) y carga de seguridad encapsulada (ESP) se intercambia entre los clientes y el servidor. Sin embargo, si los clientes no admiten NAT-Traversal (NAT-T) y si el dispositivo asigna la misma dirección IP generada por NAT a dos o más clientes, el dispositivo no podrá distinguir y enrutar el tráfico de retorno correctamente.
Si el usuario desea admitir clientes compatibles con NAT-T y no compatibles con NAT-T, se requieren algunas configuraciones adicionales. Si hay clientes compatibles con NAT-T, el usuario debe habilitar la persistencia de la dirección NAT de origen.
El ALG para IKE y ESP supervisa el tráfico IKE entre el cliente y el servidor y sólo permite un intercambio de mensajes de fase 2 de IKE entre un par cliente/servidor dado, no solo un intercambio entre cualquier cliente y cualquier servidor.
Se ha creado ALG para el tráfico IKE y ESP y se ha mejorado NAT para implementar lo siguiente:
Para permitir que los dispositivos pasen tráfico IKE y ESP con un grupo NAT de origen
Para permitir que el dispositivo se configure para devolver la misma dirección IP generada por NAT para la misma dirección IP sin NAT ("NAT persistente de dirección"). Como resultado, el dispositivo puede asociar el tráfico IKE saliente de un cliente con su tráfico de retorno desde el servidor, especialmente cuando se agota el tiempo de espera de la sesión de IKE y es necesario restablecerlo.
También se permite el tráfico ESP resultante entre el cliente y el servidor, especialmente en la dirección del servidor al cliente.
El tráfico ESP de retorno coincide con lo siguiente:
La dirección IP del servidor como IP de origen
La dirección IP del cliente como IP de destino
Descripción del funcionamiento de IKE y ESP ALG
La puerta de enlace de capa de aplicación (ALG) para el tráfico de intercambio de claves por Internet (IKE) y carga de seguridad encapsuladora (ESP) tiene el siguiente comportamiento:
Un ALG de IKE y ESP supervisa el tráfico de IKE entre el cliente y el servidor, y sólo permite un intercambio de mensajes de fase 2 de IKE entre el cliente y el servidor en un momento dado.
Para un mensaje de fase 2:
Si no se produce un intercambio de mensajes de fase 2 entre el cliente y el servidor, se abren las puertas ALG de IKE para el tráfico ESP relevante del cliente al servidor y del servidor al cliente.
Si ambas puertas IKE ALG no se abren correctamente, o si el intercambio de mensajes de la fase 2 ya tuvo lugar, el mensaje de la fase 2 se descarta.
Cuando el tráfico ESP llega a las puertas ALG de IKE, se crean sesiones para capturar el tráfico ESP posterior y realizar la NATing adecuada (es decir, la traducción de la dirección IP de origen del tráfico del cliente al servidor y la traducción de la dirección IP de destino del tráfico del servidor al cliente).
Cuando el tráfico ESP no llega a una o ambas puertas, entonces las puertas naturalmente agotan el tiempo de espera.
Una vez que las puertas ALG de IKE se contraen o se agota el tiempo de espera, se permite otro intercambio de mensajes de fase 2 de IKE.
El tráfico IKE NAT-T en el puerto flotante 4500 no se procesa en un ALG IKE. Para admitir una mezcla de clientes compatibles con NAT-T y no capaces, debe habilitar la dirección NAT de origen persistente.
Ejemplo: configuración de IKE y ESP ALG
En este ejemplo, se muestra cómo configurar el ALG de IKE y ESP para que pase a través del tráfico IKE y ESP con un grupo NAT de origen en dispositivos de Juniper Networks.
Requisitos
Antes de empezar:
Configure ARP de proxy para todas las direcciones IP del grupo NAT de origen.
Comprender los conceptos detrás de IKE y ESP ALG. Consulte Descripción del funcionamiento de IKE y ESP ALG.
Visión general
En este ejemplo, el ALG para IKE y ESP está configurado para monitorear y permitir que el tráfico IKE y ESP se intercambie entre los clientes y el servidor ubicados en lados opuestos de un dispositivo de Juniper Networks.
En este ejemplo se muestra cómo configurar un conjunto de reglas y un grupo NAT de origen, configurar una aplicación personalizada para admitir IKE y ESP ALG y asociar este ALG a una directiva.
Si desea admitir una mezcla de clientes compatibles con NAT-traversal (NAT-T) y clientes no capaces, debe habilitar la traducción NAT de origen persistente (de modo que una vez que un NAT de origen determinado se asocia con una dirección IP determinada, las traducciones NAT de origen posteriores utilicen la misma dirección IP). También debe configurar una aplicación IKE NAT transversal personalizada para admitir la encapsulación de IKE y ESP en el puerto UDP 4500. Esta configuración permite que IKE y ESP pasen a través del dispositivo habilitado para NAT.
Topología
Configuración
- Configuración de un conjunto de reglas y un grupo de orígenes NAT
- Configuración de una aplicación personalizada y asociación a una directiva
- Configuración de la compatibilidad con IKE y ESP ALG para clientes compatibles y no aptos para NAT-T
Configuración de un conjunto de reglas y un grupo de orígenes NAT
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar un grupo NAT de origen:
Cree un grupo de origen NAT.
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
Configure las entradas de la libreta de direcciones de la zona de seguridad.
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
Cree un conjunto de reglas de origen NAT.
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security nat comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security nat
source {
pool pool1 {
address {
10.10.10.1/32 to 10.10.10.10/32;
}
}
rule-set rs1 {
from zone green;
to zone red;
rule r1 {
match {
source-address 1.1.1.0/24;
destination-address 2.2.2.0/24;
}
then {
source-nat {
pool {
pool1;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de una aplicación personalizada y asociación a una directiva
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar una aplicación personalizada y asociarla a una directiva:
Configure una aplicación personalizada.
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
Asocie la aplicación personalizada a una directiva.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show applications comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show applications
application custom-ike-alg {
application-protocol ike-esp-nat;
protocol udp;
source-port 500;
destination-port 500;
}
[edit]
user@host# show security zones
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone green {
address-book {
address sa1 1.1.1.0/24;
}
}
security-zone red {
address-book {
address da1 2.2.2.0/24;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de la compatibilidad con IKE y ESP ALG para clientes compatibles y no aptos para NAT-T
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar la compatibilidad con IKE y ESP ALG para clientes compatibles y no compatibles con NAT-T:
Habilite globalmente la traducción NAT de origen persistente.
[edit] user@host# set security nat source address-persistent
Configure la aplicación IKE NAT-T.
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
Asocie la aplicación NAT-T mediante una política.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
address-persistent;
}
[edit]
user@host# show security policies
from-zone green to-zone red {
policy pol1 {
match {
source-address sa1;
destination-address da1;
application [ custom-ike-alg custom-ike-natt ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificación de aplicaciones personalizadas IKE y ESP ALG
- Verificación de las políticas de seguridad de ALG
Verificación de aplicaciones personalizadas IKE y ESP ALG
Propósito
Compruebe que las aplicaciones personalizadas compatibles con IKE y ESP ALG estén habilitadas.
Acción
Desde el modo operativo, ingrese el show security alg status comando.
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
Significado
El resultado muestra el estado de ALG de la siguiente manera:
Habilitado: muestra que el ALG está habilitado.
Deshabilitado: muestra que el ALG está desactivado.
Verificación de las políticas de seguridad de ALG
Propósito
Compruebe que el IKE ALG personalizado de la aplicación y el IKE NATT personalizado de la aplicación estén establecidos.
Acción
Desde el modo operativo, ingrese el show security policies comando.
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
Significado
El resultado de ejemplo muestra que se han establecido aplicaciones IKE ALG personalizadas y IKE NATT personalizadas.
Ejemplo: habilitación del ALG de IKE y ESP y configuración de tiempos de espera
En este ejemplo se muestra cómo habilitar el ALG de IKE y ESP y cómo establecer los valores de tiempo de espera para que el ALG procese la información de estado de ALG, las puertas ESP y las sesiones ESP.
Requisitos
Comprender los conceptos detrás de ALG para IKE y ESP. Consulte Descripción del funcionamiento de IKE y ESP ALG.
Visión general
El ALG de IKE y ESP procesa todo el tráfico especificado en cualquier política a la que esté asociado el ALG. En este ejemplo, se configura la set security alg ike-esp-nat enable instrucción de manera que el comportamiento predeterminado actual de paso a través de IPsec esté deshabilitado para todo el tráfico de paso a través de IPsec, independientemente de la directiva.
A continuación, establezca los valores de tiempo de espera para que IKE y ESP ALG procesen la información de estado de ALG, las puertas ESP y las sesiones ESP. En este ejemplo, se establece el tiempo de espera de la información de estado de ALG. El intervalo de tiempo de espera es de 180 a 86400 segundos. El tiempo de espera predeterminado es 14400 segundos. A continuación, establezca el tiempo de espera de las puertas ESP creadas después de que se haya completado un intercambio de fase 2 de IKE. El intervalo de tiempo de espera es de 2 a 30 segundos. El tiempo de espera predeterminado es de 5 segundos. Por último, establezca el tiempo de espera de inactividad de las sesiones ESP creadas a partir de las puertas IPsec. Si ningún tráfico llega a la sesión, se elimina después de este período de tiempo. El intervalo de tiempo de espera es de 60 a 2400 segundos. El tiempo de espera predeterminado es de 1800 segundos.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para habilitar IKE y ESP ALG y establecer los valores de tiempo de espera:
Active IKE y ESP ALG.
[edit] user@host# set security alg ike-esp-nat enable
Establezca el tiempo de espera para la información del estado del ALG.
[edit security alg ike-esp-nat] user@host# set state-timeout 360
Establezca el tiempo de espera para las puertas ESP creadas después de que se haya completado un intercambio de fase 2 de IKE.
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
Establezca el tiempo de espera de inactividad para las sesiones ESP creadas a partir de las puertas IPsec.
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security alg comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security alg
ike-esp-nat {
enable;
state-timeout 360;
esp-gate-timeout 20;
esp-session-timeout 2400;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Comprobación del ALG para IKE y ESP y de la configuración de tiempo de espera
Propósito
Compruebe que el ALG para IKE y ESP esté habilitado y que la configuración de tiempo de espera de esta característica sea correcta.
Acción
Desde el modo operativo, ingrese el show security alg ike-esp-nat comando.
Comportamiento de IKE ALG específico de la plataforma
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Use la tabla siguiente para revisar los comportamientos específicos de la plataforma para su plataforma:
| Plataforma |
Diferencia |
|---|---|
| Serie SRX |
|