Configuración de asociaciones de seguridad IPsec
Configuración manual de asociaciones de seguridad IPsec para una PIC de ES
Para utilizar los servicios de seguridad IPsec, cree asociaciones de seguridad (SA) entre hosts. Una SA es una conexión simplex que permite que dos hosts se comuniquen entre sí de forma segura mediante IPsec. Hay dos tipos de SA: manuales y dinámicas.
Las SA manuales no requieren negociación; Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Como resultado, los pares solo pueden comunicarse cuando todos comparten las mismas opciones configuradas.
Para configurar la SA IPsec manual para una PIC ES, incluya la instrucción manual en el nivel jerárquico de asociación de sa-nameseguridad ipsec de edición ] de seguridad :
[edit security ipsec security-association sa-name]
manual {
direction (inbound | outbound | bi-directional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spiauxiliary-spi-value;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
Las tareas para configurar una SA manual son:
- Configuración de la dirección de procesamiento
- Configuración del protocolo para una SA manual
- Configuración del índice de parámetros de seguridad
- Configuración del índice de parámetros de seguridad auxiliar
- Configuración del algoritmo y la clave de autenticación
- Configuración del algoritmo y la clave de cifrado
Configuración de la dirección de procesamiento
La instrucción direction establece el procesamiento IPsec entrante y saliente. Si desea definir diferentes algoritmos, claves o valores de índice de parámetros de seguridad (SPI) para cada dirección, configure las opciones de entrada y salida . Si desea los mismos atributos en ambas direcciones, utilice la opción bidireccional .
Para configurar la dirección del procesamiento IPsec, incluya la instrucción direction y especifique la dirección en el nivel jerárquico [edit security ipsec security-association sa-name manual]:
[edit security ipsec security-association sa-name manual] direction (inbound | outbound | bidirectional);
En el ejemplo siguiente se muestra cómo definir diferentes algoritmos, claves y valores de índice de parámetros de seguridad para direcciones de procesamiento entrantes y salientes:
[edit security ipsec security-association sa-name]
manual {
direction inbound {
encryption {
algorithm 3des-cbc;
key ascii-text 23456789012345678901234;
}
protocol esp;
spi 16384;
}
direction outbound {
encryption {
algorithm 3des-cbc;
key ascii-text 12345678901234567890abcd;
}
protocol esp;
spi 24576;
}
}
En el ejemplo siguiente se muestra cómo definir los mismos algoritmos, claves y valores de índice de parámetros de seguridad para el procesamiento bidireccional:
[edit security ipsec security-association sa-name manual]
direction bidirectional {
authentication {
algorithm hmac-md5-96;
key ascii-text 123456789012abcd;
}
protocol ah;
spi 20001;
}
Configuración del protocolo para una SA manual
IPsec usa dos protocolos para proteger el tráfico IP: carga de seguridad encapsuladora (ESP) y encabezado de autenticación (AH). Para las SA en modo de transporte, se admiten tanto ESP como AH. El protocolo AH se utiliza para una autenticación fuerte. La opción de paquete utiliza autenticación AH y cifrado ESP; no utiliza la autenticación ESP porque AH proporciona una autenticación más segura de los paquetes IP.
El protocolo AH solo se admite en enrutadores de la serie M.
Para configurar el protocolo IPsec en una PIC ES, incluya la instrucción protocol en el nivel jerárquico de dirección manual de asociación de sa-name seguridad ipsec de edición (entrante | saliente | bidireccional)] y especifique la opción ah, paquete o ESP :
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] protocol (ah | bundle | esp);
Configuración del índice de parámetros de seguridad
Un SPI es un valor arbitrario que identifica de forma exclusiva qué SA usar en el host receptor. El host de envío utiliza el SPI para identificar y seleccionar qué SA utilizar para proteger cada paquete. El host receptor utiliza el SPI para identificar y seleccionar el algoritmo de cifrado y la clave utilizada para descifrar los paquetes.
Cada SA manual debe tener una combinación única de SPI y protocolo.
Utilice el SPI auxiliar cuando configure la instrucción protocol para utilizar la opción bundle .
Para configurar el SPI en una PIC ES, incluya la instrucción spi y especifique un valor (del 256 al 16.639) en el nivel jerárquico [edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional] ):
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] spi spi-value;
Configuración del índice de parámetros de seguridad auxiliar
Cuando configure la instrucción protocol para utilizar la opción bundle , Junos OS utiliza el SPI auxiliar para el ESP y el SPI para el AH.
Cada SA manual debe tener una combinación única de SPI y protocolo.
Para configurar el SPI auxiliar, incluya la instrucción auxiliary-spi en el nivel jerárquico [edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] y establezca el valor en un entero entre 256 y 16.639:
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] auxiliary-spi auxiliary-spi-value;
Configuración del algoritmo y la clave de autenticación
Para configurar una clave y un algoritmo de autenticación, incluya la instrucción de autenticación en el nivel jerárquico [editar dirección manual de asociación de sa-name seguridad ipsec (entrante | saliente | bidireccional)] :
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)]
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
El algoritmo puede ser uno de los siguientes:
hmac-md5-96: algoritmo hash que autentica los datos de los paquetes. Produce un valor de autenticador de 128 bits y un resumen de 96 bits.
hmac-sha1-96: algoritmo hash que autentica los datos del paquete. Produce un valor de autenticador de 160 bits y un resumen de 96 bits.
La clave puede ser una de las siguientes:
ASCII-texto key: tecla de texto ASCII. Con la opción hmac-md5-96 , la clave contiene
16 caracteres ASCII. Con la opción hmac-sha1-96 , la clave contiene 20 caracteres ASCII.
hexadecimal key—Clave hexadecimal. Con la opción hmac-md5-96 , la clave contiene 32 caracteres hexadecimales. Con la opción hmac-sha1-96 , la clave contiene 40 caracteres hexadecimales.
Configuración del algoritmo y la clave de cifrado
Para configurar el cifrado IPsec, incluya la instrucción de cifrado y especifique un algoritmo y una clave en el nivel jerárquico [editar dirección manual de asociación de sa-name seguridad ipsec (entrante | saliente | bidireccional)] :
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)]
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
El algoritmo puede ser uno de los siguientes:
des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes; Su tamaño de clave es de 64 bits de largo.
3des-cbc: algoritmo de cifrado con un tamaño de bloque de 24 bytes; Su tamaño de clave es de 192 bits de largo.
Nota:Para obtener una lista de las claves débiles y semidébiles del algoritmo de cifrado del estándar de cifrado de datos (DES), consulte RFC 2409. Para 3des-cbc, recomendamos que los primeros 8 bytes no sean los mismos que los segundos 8 bytes, y que los segundos 8 bytes sean los mismos que los terceros 8 bytes.
La clave puede ser una de las siguientes:
ascii-text: clave de texto ASCII. Con la opción des-cbc , la clave contiene 8 caracteres ASCII. Con la opción 3des-cbc , la clave contiene 24 caracteres ASCII.
hexadecimal: clave hexadecimal. Con la opción des-cbc , la clave contiene 16 caracteres hexadecimales. Con la opción 3des-cbc , la clave contiene 48 caracteres hexadecimales.
Nota:No puede configurar el cifrado cuando utiliza el protocolo AH.
Ver también
Configuración de asociaciones de seguridad IPsec dinámicas
Las SAdinámicas se configuran con un conjunto de propuestas que negocian las puertas de enlace de seguridad. Las claves se generan como parte de la negociación y no es necesario especificarlas en la configuración. La SA dinámica incluye una o más propuestas, que le permiten priorizar una lista de protocolos y algoritmos que se negociarán con el par.
Para configurar una SA dinámica, incluya la instrucción dinámica en el nivel jerárquico [edit security ipsec security-association sa-name]. Especifique un nombre de directiva IPsec y, opcionalmente, un tamaño de ventana de reproducción de 32 o 64 paquetes.
[edit security ipsec security-association sa-name]
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}