Intercambio de claves por internet (IKE) para VPN IPsec
El intercambio de claves por internet versión 2 (IKEv2) es un protocolo de tunelización basado en IPsec que proporciona un canal de comunicación VPN seguro entre dispositivos VPN pares y define la negociación y la autenticación para asociaciones de seguridad (SA) de IPsec de manera protegida.
Procesamiento de paquetes IKE e IPsec
IKE proporciona administración de túneles para IPsec y autentica las entidades finales. IKE realiza un intercambio de claves Diffie-Hellman (DH) para generar un túnel IPsec entre dispositivos de red. Los túneles IPsec generados por IKE se utilizan para cifrar, descifrar y autenticar el tráfico de usuario entre los dispositivos de red en la capa IP.
Procesamiento de paquetes IKE
Cuando un paquete de texto sin formato llega a un dispositivo de Juniper Networks que requiere tunelización y no existe ninguna SA de fase 2 activa para ese túnel, Junos OS comienza las negociaciones de IKE y deja caer el paquete. Las direcciones de origen y destino en el encabezado del paquete IP son las de las puertas de enlace IKE locales y remotas, respectivamente. En la carga del paquete IP, hay un segmento UDP que encapsula un paquete ISAKMP (IKE). El formato de los paquetes IKE es el mismo para la fase 1 y la fase 2. Consulte Figura 1.
Mientras tanto, el host de origen volvió a enviar el paquete caído. Por lo general, cuando llega el segundo paquete, las negociaciones de IKE se completan y Junos OS protege el paquete y todos los paquetes subsiguientes en la sesión, con IPsec antes de reenviarlo.
El campo Carga siguiente contiene un número que indica uno de los siguientes tipos de carga:
0002: la carga de negociación de SA contiene una definición para una SA de fase 1 o fase 2.
0004: La carga de la propuesta puede ser una propuesta de fase 1 o fase 2.
0008: la carga de transformación se encapsula en una carga de propuesta que se encapsula en una carga sa.
0010—La carga de intercambio de claves (KE) contiene información necesaria para realizar un intercambio de claves, como un valor público DH.
0020— Carga de identificación (IDx).
En la fase 1, IDii indica el ID del iniciador e IDir indica el ID de respuesta.
En la fase 2, IDui indica el iniciador del usuario e IDur indica el respondedor de usuario.
Los ID son tipos de ID de IKE, como FQDN, U-FQDN, dirección IP y ASN.1_DN.
0040— Carga de certificado (CERT).
0080: Carga de solicitud de certificado (CERT_REQ).
0100—La carga hash (HASH) contiene el resultado de resumen de una función hash determinada.
0200—La carga de firma (SIG) contiene una firma digital.
0400— La carga nonce (Nx) contiene información pseudoalealea necesaria para el intercambio).
0800: carga de notificación.
1000: ISAKMP eliminar carga.
2000— La carga de ID de proveedor (VID) se puede incluir en cualquier lugar de las negociaciones de fase 1. Junos OS lo usa para marcar la compatibilidad con TDR-T.
Cada carga ISAKMP comienza con el mismo encabezado genérico, como se muestra en Figura 2.
Puede haber varias cargas ISAKMP encadenadas, con cada tipo de carga subsiguiente indicado por el valor en el campo Encabezado siguiente. Un valor de 0000 indica la última carga ISAKMP. Consulte Figura 3 para ver un ejemplo.
Procesamiento de paquetes IPsec
Después de que se completen las negociaciones de IKE y las dos puertas de enlace de IKE hayan establecido asociaciones de seguridad (SA) de fase 1 y fase 2, todos los paquetes subsiguientes se reenvían mediante el túnel. Si la SA de fase 2 especifica el protocolo de seguridad de encapsulación (ESP) en modo de túnel, el paquete se parece al que se muestra en Figura 4. El dispositivo agrega dos encabezados adicionales al paquete original que envía el host iniciador.
Como se muestra en Figura 4, el paquete que construye el host iniciador incluye la carga, el encabezado TCP y el encabezado IP interno (IP1).
El encabezado IP del enrutador (IP2), que agrega Junos OS, contiene la dirección IP de la puerta de enlace remota como la dirección IP de destino y la dirección IP del enrutador local como la dirección IP de origen. Junos OS también agrega un encabezado ESP entre los encabezados IP externos e internos. El encabezado ESP contiene información que permite que el par remoto procese correctamente el paquete cuando lo recibe. Esto se muestra en Figura 5.
El campo Encabezado siguiente indica el tipo de datos en el campo de carga. En el modo de túnel, este valor es 4, lo que indica que un paquete IP está contenido dentro de la carga. Consulte Figura 6.
Introducción a IKE en Junos OS
IKE proporciona formas de intercambiar claves para el cifrado y la autenticación de forma segura a través de un medio no seguro, como Internet. IKE permite un par de puertas de enlace de seguridad para: Establezca dinámicamente un túnel seguro mediante el cual las puertas de enlace de seguridad puedan intercambiar información clave y de túnel. Configure túneles o SA a nivel de usuario, incluidas las negociaciones de atributos de túnel y la administración de claves. Estos túneles también se pueden actualizar y terminar en la parte superior del mismo canal seguro. IKE emplea métodos Diffie-Hellman y es opcional en IPsec (las claves compartidas se pueden ingresar manualmente en los puntos de conexión).
IKEv2 incluye soporte para:
VPN basadas en rutas.
VPN de sitio a sitio.
Detección de pares muertos.
Clúster de chasis.
Autenticación de clave precompartida.
Autenticación basada en certificados.
Sas infantiles. Una SA secundaria IKEv2 se conoce como SA de fase 2 en IKEv1. En IKEv2, no puede existir una SA secundaria sin la SA de IKE subyacente.
AUTOVPN.
VPN de punto de conexión dinámico.
EAP se admite para el acceso remoto mediante IKEv2.
Selectores de tráfico.
IKEv2 no admite las siguientes funciones:
VPN basada en políticas.
Monitoreo de VPN.
Protocolo de compresión de carga IP (IPComp).
- Configuración de IKEv2 en Junos OS
- Descripción de la carga de configuración de IKEv2
- Descripción del aprovisionamiento de celdas Pico
Configuración de IKEv2 en Junos OS
Un par vpn está configurado como IKEv1 o IKEv2. Cuando un par está configurado como IKEv2, no puede volver a IKEv1 si su par remoto inicia la negociación de IKEv1. De forma predeterminada, los dispositivos de seguridad de Juniper Networks son pares IKEv1.
Utilice la version v2-only instrucción de configuración en el nivel de jerarquía [edit security ike gateway gw-name] para configurar IKEv2.
La versión de IKE se muestra en la salida de los comandos operativos de cli show security ike security-associations y show security ipsec security-associations .
Los dispositivos de Juniper Networks admiten hasta cuatro propuestas para negociaciones de fase 2, lo que le permite definir cómo se restringe un rango de parámetros de túnel que aceptará. Junos OS ofrece conjuntos predefinidos de propuestas de fase 2 básicas, compatibles y estándar. También puede definir propuestas de fase 2 personalizadas.
Descripción de la carga de configuración de IKEv2
La carga de configuración es una opción de intercambio de claves por internet versión 2 (IKEv2) que se ofrece para propagar la información de aprovisionamiento de un respondedor a un iniciador. La carga de configuración de IKEv2 solo se admite con VPN basadas en rutas.
RFC 5996, Protocolo de intercambio de claves por internet versión 2 (IKEv2), define 15 atributos de configuración diferentes que el respondedor puede devolver al iniciador. Tabla 1 describe los atributos de configuración IKEv2 compatibles con los firewalls serie SRX.
|
Tipo de atributo |
valor |
Descripción |
Longitud |
|---|---|---|---|
|
INTERNAL_IP4_ADDRESS |
1 |
Especifica una dirección en la red interna. Se pueden solicitar varias direcciones internas. El respondiente puede enviar hasta la cantidad de direcciones solicitadas. |
0 o 4 octetos |
|
INTERNAL_IP4_NETMASK |
2 |
Especifica el valor de la máscara de red interna. Solo se permite un valor de máscara de red en los mensajes de solicitud y respuesta (por ejemplo, 255.255.255.0) y se debe usar solo con un atributo INTERNAL_IP4_ADDRESS. |
0 o 4 octetos |
|
INTERNAL_IP4_DNS |
3 |
Especifica una dirección de un servidor DNS dentro de la red. Se pueden solicitar varios servidores DNS. El responder puede responder con cero o más atributos de servidor DNS. |
0 o 4 octetos |
|
INTERNAL_IP4_NBNS |
4 |
Especifica una dirección de un servidor de nombres NetBIOS (NBNS), por ejemplo, un servidor WINS dentro de la red. Se pueden solicitar varios servidores NBNS. El responder puede responder con cero o más atributos de servidor NBNS. |
0 o 4 octetos |
| INTERNAL_IP6_ADDRESS |
8 |
Especifica una dirección en la red interna. Se pueden solicitar varias direcciones internas. El respondiente puede enviar hasta la cantidad de direcciones solicitadas. |
0 o 17 octetos |
| INTERNAL_IP6_DNS |
10 |
Especifica una dirección de un servidor DNS dentro de la red. Se pueden solicitar varios servidores DNS. El responder puede responder con cero o más atributos de servidor DNS. |
0 o 16 octetos |
Para que el respondedor de ICR proporcione al iniciador información de aprovisionamiento, debe adquirir la información de un origen especificado, como un servidor RADIUS. La información de aprovisionamiento también se puede devolver desde un servidor DHCP mediante un servidor RADIUS. En el servidor RADIUS, la información de usuario no debe incluir una contraseña de autenticación. El perfil de servidor RADIUS está vinculado a la puerta de enlace de IKE mediante la aaa access-profile profile-name configuración en el nivel de jerarquía [edit security ike gateway gateway-name].
A partir de Junos OS versión 20.3R1, en la línea SRX5000 con firewall virtual SPC3 y vSRX que ejecuta el proceso iked, hemos mejorado la carga de configuración de IKEv2 para:
-
Compatibilidad con el conjunto de direcciones locales IPv4 e IPv6. También puede asignar una dirección IP fija a un par.
Durante el establecimiento de IKE, el iniciador solicita una dirección IPv4, dirección IPv6, dirección DNS o dirección WINS del respondedor. Después de que el respondedor haya autenticado correctamente al iniciador, asigna una dirección IP desde un conjunto de direcciones local o a través del servidor RADIUS. Según la configuración, esta dirección IP se asigna dinámicamente cada vez que un par se conecta o se asigna como una dirección IP fija. Si el servidor RADIUS responde con un conjunto enmarcado, Junos OS asigna una dirección IP o información basada en la configuración desde su grupo local correspondiente. Si configura tanto el conjunto de direcciones locales como el servidor RADIUS, la dirección IP asignada del servidor RADIUS tiene prioridad sobre el grupo local. Si configura un conjunto de direcciones IP local y el servidor RADIUS no devuelve ninguna dirección IP, el grupo local asigna la dirección IP a la solicitud.
-
Opción adicional,
noneintroducida paraauthentication-order. Consulte orden de autenticación (perfil de acceso). -
Los mensajes de inicio y detención de la contabilidad RADIUS informan el estado del túnel o del par al servidor RADIUS. Estos mensajes se pueden utilizar con fines de seguimiento o para notificaciones a subsistemas como un servidor DHCP.
Asegúrese de que el servidor RADIUS admite mensajes de inicio o detención de la contabilidad. También asegúrese de que tanto los firewalls serie SRX como el servidor RADIUS tengan la configuración adecuada para rastrear estos mensajes.
-
La introducción de la compatibilidad con IPv6 permite túneles de doble pila mediante la carga de configuración. Durante el proceso de inicio de sesión, IKE solicita direcciones IPv4 e IPv6. La AAA solo permite el inicio de sesión si todas las direcciones solicitadas se han asignado correctamente. IKE finaliza la negociación si no se asigna la IP solicitada.
En una VPN basada en rutas, las interfaces de túnel seguro (st0) funcionan en modo punto a multipunto o punto a punto. Ahora se admite la asignación de direcciones mediante la carga de configuración IKEv2 para el modo punto a multipunto o punto a punto. Para las interfaces de punto a multipunto, las interfaces deben estar numeradas y las direcciones en la carga de configuración INTERNAL_IP4_ADDRESS tipo de atributo deben estar dentro del intervalo de subredes de la interfaz de punto a multipunto asociada.
A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para solicitudes de carga de configuración de IKEv2 para una configuración de puerta de enlace de IKE. La contraseña común en el rango de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta contraseña se utiliza entre el firewall de la serie SRX y el servidor RADIUS cuando el firewall serie SRX solicita una dirección IP en nombre de un par IPsec remoto mediante la carga de configuración IKEv2. El servidor RADIUS hace coincidir las credenciales antes de proporcionar información ip al firewall serie SRX para la solicitud de carga de configuración. Puede configurar la contraseña común mediante config-payload-password configured-password la instrucción de configuración en el nivel de jerarquía [edit security ike gateway gateway-name aaa access-profile access-profile-name].
Tanto el firewall serie SRX como el servidor RADIUS deben tener la misma contraseña configurada y el servidor radius debe estar configurado para usar el protocolo de autenticación de contraseña (PAP) como protocolo de autenticación. Sin esto, el establecimiento de túneles no tendrá éxito.
Figura 7 muestra un flujo de trabajo típico para una carga de configuración IKEv2.
La función de carga de configuración IKEv2 es compatible con las interfaces de túnel seguro de punto a multipunto (st0) y las interfaces de punto a punto. Las interfaces de punto a multipunto deben estar numeradas y las direcciones proporcionadas en la carga de configuración deben estar dentro del intervalo de subredes de la interfaz de punto a multipunto asociada.
A partir de junos OS versión 20.1R1, somos compatibles con la función de carga de configuración IKEv2 con interfaces punto a punto en la línea SRX5000 y firewall virtual vSRX que se ejecuta iked.
Descripción del aprovisionamiento de celdas Pico
La carga de configuración de IKEv2 se puede utilizar para propagar la información de aprovisionamiento desde un respondedor de IKE, como un firewall de la serie SRX, a varios iniciadores, como las estaciones base de celdas pico LTE en una red celular. Las celdas pico se envían de fábrica con una configuración estándar que les permite conectarse al firewall de la serie SRX, pero la información de aprovisionamiento de celdas pico se almacena en uno o más servidores de aprovisionamiento dentro de una red protegida. Las celdas pico reciben información completa de aprovisionamiento después de establecer conexiones seguras con los servidores de aprovisionamiento.
El flujo de trabajo necesario para arrancar y aprovisionar una celda pico e introducirla en el servicio incluye cuatro etapas distintas:
-
Adquisición de direcciones iniciales: la celda pico se envía desde la fábrica con la siguiente información:
-
Configuración para el túnel de puerta de enlace segura al firewall serie SRX
-
Certificado digital emitido por el fabricante
-
Nombre de dominio completo (FQDN) de los servidores de aprovisionamiento que se encuentran dentro de la red protegida
La celda pico se inicia y adquiere una dirección que se utilizará para la negociación de IKE desde un servidor DHCP. Luego, se construye un túnel a la puerta de enlace segura en el firewall de la serie SRX mediante esta dirección. El servidor DHCP también asigna una dirección para el tráfico de operación, administración y administración (OAM) para su uso en la red protegida.
-
Aprovisionamiento de celdas pico: mediante su dirección de tráfico OAM asignada, la celda pico solicita su información de aprovisionamiento (normalmente información de certificado de operador, licencia, software e configuración) a los servidores de la red protegida.
Reinicio: la celda pico se reinicia y utiliza la información de aprovisionamiento adquirida para que sea específica para el modelo de red y operación del proveedor de servicios.
-
Provisión de servicio: cuando la celda pico entra en el servicio, usa un único certificado que contiene nombres distinguidos (DN) y valores de nombre alternativos de sujeto con un FQDN para crear dos túneles a la puerta de enlace segura en el firewall serie SRX: uno para el tráfico de OAM y el otro para el tráfico de datos del proyecto de asociación de tercera generación (3GPP).
Consulte también
Propuesta de ICR
La configuración de IKE define los algoritmos y las claves que se utilizan para establecer la conexión IKE segura con la puerta de enlace de seguridad par. Puede configurar una o más propuestas de ICR. Cada propuesta es una lista de atributos de IKE para proteger la conexión de IKE entre el host IKE y su par.
Para configurar una propuesta de ICR, incluya la proposal instrucción y especifique un nombre en el nivel de jerarquía [edit security ike ]:
Política de ICR
Una política de ICR define una combinación de parámetros de seguridad (propuestas de IKE) que se usarán durante la negociación de IKE. Define una dirección par y las propuestas necesarias para esa conexión. Según el método de autenticación que se utilice, define la clave previamente compartida para el par dado o el certificado local. Durante la negociación de IKE, IKE busca una política de IKE que sea la misma en ambos pares. El par que inicia la negociación envía todas sus políticas al par remoto y el par remoto intenta encontrar una coincidencia. Se hace una coincidencia cuando ambas políticas de los dos pares tienen una propuesta que contiene los mismos atributos configurados. Si las vidas no son idénticas, se utiliza la vida útil más corta entre las dos políticas (del host y del par). La clave configurada previamente compartida también debe coincidir con su par.
En primer lugar, configure una o más propuestas de ICR; luego asocia estas propuestas con una política de ICR.
Para configurar una política de ICR, incluya la policy instrucción y especifique un nombre de política en el nivel de jerarquía [edit security ike]:
Reenrutamiento y autenticación
Descripción general
Con IKEv2, la reenrutación y la reautenticación son procesos independientes. La reenclave establece nuevas claves para la asociación de seguridad (SA) de IKE y restablece los contadores de ID de mensaje, pero no vuelve a autenticar los pares. La reautoentificación verifica que los pares de VPN conserven su acceso a las credenciales de autenticación. La reautenticación establece nuevas claves para la SA de ICR y las SA secundarias; ya no se necesitan las claves de cualquier SA de IKE o SA secundaria pendiente. Después de crear las SA nuevas ICR e secundarias, se eliminan las IKE antiguas y las SA secundarias.
La reautenticación IKEv2 está deshabilitada de forma predeterminada. Puede habilitar la reautenticación configurando un valor de frecuencia de reautenticación entre 1 y 100. La frecuencia de reautenticación es el número de claves de IKE que se produce antes de que se produzca la reautenticación. Por ejemplo, si la frecuencia de reautenticación configurada es 1, la reautenticación se produce cada vez que hay una rekey de ICR. Si la frecuencia de reautenticación configurada es 2, la reautenticación se produce en cada otra rekey de ICR. Si la frecuencia de reautenticación configurada es 3, la reautenticación se produce en cada tercera rekey de ICR, y así sucesivamente.
Configure la frecuencia de reautenticación con la reauth-frequency instrucción en el nivel de jerarquía [edit security ike policy policy-name]. La reautenticación se deshabilita estableciendo la frecuencia de reautenticación en 0 (el valor predeterminado). Los pares no negocian la frecuencia de reautenticación y cada par puede tener su propio valor de frecuencia de reautenticación.
Funciones compatibles
La reautoentificación IKEv2 se admite con las siguientes funciones:
Iniciadores o respondedores IKEv2
Detección de pares muertos (DPD)
Enrutadores virtuales e interfaces de túnel seguro (st0) en enrutadores virtuales
Recorrido de traducción de direcciones de red (TDR-T)
Clústeres de chasis en modo activo-activo y activo-pasivo para dispositivos SRX5400, SRX5600 y SRX5800
Actualización de software en servicio (ISSU) en dispositivos SRX5400, SRX5600 y SRX5800
Actualización o inserción de una nueva Unidad de procesamiento de servicios (SPU) mediante el procedimiento de actualización de hardware en servicio (ISHU)
Limitaciones
Tenga en cuenta las siguientes advertencias al usar la reautenticación IKEv2:
Con NAT-T, se puede crear una nueva SA de IKE con puertos diferentes a la SA de IKE anterior. En este caso, es posible que no se elimine la ANTIGUA SA de IKE.
En una situación TDR-T, el iniciador detrás del dispositivo TDR puede convertirse en el respondedor después de la reautoentificación. Si la sesión TDR caduca, es posible que el dispositivo TDR descarte nuevos paquetes IKE que podrían llegar a un puerto diferente. Se debe habilitar TDR o DPD para mantener viva la sesión TDR. Para AutoVPN, recomendamos que la frecuencia de reautenticación configurada en los radios sea menor que la frecuencia de reautenticación configurada en el hub.
Según la frecuencia de reautenticación, el iniciador o el respondedor de la SA de IKE original pueden iniciar una nueva SA de IKE. Dado que la autenticación de protocolo de autenticación extensible (EAP) y la carga de configuración requieren que la SA de IKE la inicie el mismo parte que la SA de IKE original, la reautoentificación no se admite con la autenticación de EAP ni con la carga de configuración.
Autenticación de ICR (autenticación basada en certificados)
Jerarquía de varios niveles para la autenticación de certificados
La autenticación basada en certificados es un método de autenticación compatible con los firewalls serie SRX durante la negociación de IKE. En redes grandes, varias autoridades de certificación (CA) pueden emitir certificados de entidad final (EE) a sus respectivos dispositivos finales. Es común tener CA separadas para ubicaciones individuales, departamentos u organizaciones.
Cuando se emplea una jerarquía de un solo nivel para la autenticación basada en certificados, todos los certificados EE de la red deben estar firmados por la misma CA. Todos los dispositivos de firewall deben tener el mismo certificado de CA inscrito para la validación del certificado par. La carga de certificado enviada durante la negociación de IKE solo contiene certificados EE.
Alternativamente, la carga de certificado enviada durante la negociación de IKE puede contener una cadena de certificados EE y CA. Una cadena de certificados es la lista de certificados necesarios para validar el certificado EE de un par. La cadena de certificados incluye el certificado EE y cualquier certificado de CA que no esté presente en el par local.
El administrador de red debe asegurarse de que todos los pares que participen en una negociación de IKE tengan al menos una CA de confianza común en sus respectivas cadenas de certificados. La CA de confianza común no tiene que ser la CA raíz. El número de certificados de la cadena, incluidos los certificados para EEs y la CA más alta de la cadena, no puede superar los 10.
A partir de Junos OS versión 18.1R1, la validación de un par de IKE configurado se puede hacer con un servidor de CA o un grupo de servidores de CA especificados. Con las cadenas de certificados, la CA raíz debe coincidir con el grupo de CA de confianza o el servidor de CA configurado en la política de IKE
En la jerarquía de CA de ejemplo que se muestra en Figura 8, LA CA raíz es la CA de confianza común para todos los dispositivos de la red. La CA raíz emite certificados de CA a las CA de ingeniería y ventas, que se identifican como Eng-CA y Sales-CA, respectivamente. Eng-CA emite certificados de CA a las CA de desarrollo y garantía de calidad, que se identifican como Dev-CA y Qa-CA, respectivamente. Host-A recibe su certificado EE de Dev-CA, mientras que el Host-B recibe su certificado EE de Sales-CA.
Cada dispositivo final debe cargarse con los certificados de CA en su jerarquía. El host-A debe tener certificados Root-CA, Eng-CA y Dev-CA; Los certificados Sales-CA y Qa-CA no son necesarios. El host-B debe tener certificados raíz-CA y Sales-CA. Los certificados se pueden cargar manualmente en un dispositivo o inscribirse mediante el proceso simple de inscripción de certificados (SCEP).
Cada dispositivo final debe configurarse con un perfil de CA para cada CA en la cadena de certificados. El siguiente resultado muestra los perfiles de CA configurados en el host-A:
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}En el siguiente resultado, se muestran los perfiles de CA configurados en el host-B:
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}Consulte también
Ejemplo: Configuración de un dispositivo para validación de cadena de certificados par
En este ejemplo, se muestra cómo configurar un dispositivo para las cadenas de certificados usadas para validar dispositivos pares durante la negociación de IKE.
- Requisitos
- Descripción general
- Configuración
- Verificación
- Falla de SA de IIKE e IPsec para un certificado revocado
Requisitos
Antes de comenzar, obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.
Descripción general
En este ejemplo, se muestra cómo configurar un dispositivo local para las cadenas de certificados, inscribir certificados de CA y locales, comprobar la validez de los certificados inscritos y comprobar el estado de revocación del dispositivo par.
Topología
En este ejemplo, se muestran los comandos operativos y de configuración en el host-A, como se muestra en Figura 9. Se crea automáticamente un perfil de CA dinámico en el host-A para permitir que el host-A descargue el CRL de Sales-CA y compruebe el estado de revocación del certificado del Host-B.
La configuración VPN IPsec para la negociación de fase 1 y fase 2 se muestra para el host-A en este ejemplo. El dispositivo par (Host-B) debe estar correctamente configurado para que las opciones de fase 1 y fase 2 se negocien correctamente y se establezcan asociaciones de seguridad (SA). Consulte Configuración de ICR remotos para VPN de sitio a sitio para ver ejemplos de configuración de dispositivos par para VPN.
Configuración
Para configurar un dispositivo para las cadenas de certificados:
Configurar perfiles de CA
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security pki ca-profile Root-CA ca-identity CA-Root set security pki ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ set security pki ca-profile Root-CA revocation-check crl set security pki ca-profile Eng-CA ca-identity Eng-CA set security pki ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ set security pki ca-profile Eng-CA revocation-check crl set security pki ca-profile Dev-CA ca-identity Dev-CA set security pki ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ set security pki ca-profile Dev-CA revocation-check crl
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar perfiles de CA:
Cree el perfil de CA para CA raíz.
[edit security pki] user@host# set ca-profile Root-CA ca-identity CA-Root user@host# set ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ user@host# set ca-profile Root-CA revocation-check crl
Cree el perfil de CA para Eng-CA.
[edit security pki] user@host# set ca-profile Eng-CA ca-identity Eng-CA user@host# set ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ user@host# set ca-profile Eng-CA revocation-check crl
Cree el perfil de CA para Dev-CA.
[edit security pki] user@host# set ca-profile Dev-CA ca-identity Dev-CA user@host# set ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ user@host# set ca-profile Dev-CA revocation-check crl
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security pki configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security pki
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Root/";
}
revocation-check {
crl ;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Eng/";
}
revocation-check {
crl ;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Dev/";
}
revocation-check {
crl ;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Certificados de inscripción
Procedimiento paso a paso
Para inscribir certificados:
Inscríbase los certificados de CA.
user@host> request security pki ca-certificate enroll ca-profile Root-CA
user@host> request security pki ca-certificate enroll ca-profile Eng-CA
user@host> request security pki ca-certificate enroll ca-profile Dev-CA
Escriba yes los mensajes para cargar el certificado de CA.
Compruebe que los certificados de CA están inscritos en el dispositivo.
user@host> show security pki ca-certificate ca-profile Root-CA Certificate identifier: Root-CA Issued to: Root-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-14-2012 22:19 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)user@host> show security pki ca-certificate ca-profile Eng-CA Certificate identifier: Eng-CA Issued to: Eng-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-15-2012 01:02 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)user@host> show security pki ca-certificate ca-profile Dev-CA Certificate identifier: Dev-CA Issued to: Dev-CA, Issued by: C = us, O = example, CN = Eng-CA Validity: Not before: 08-15-2012 17:41 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)Compruebe la validez de los certificados de CA inscritos.
user@host> request security pki ca-certificate verify ca-profile Root-CA CA certificate Root-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Eng-CA CA certificate Eng-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Dev-CA CA certificate Dev-CA verified successfully
Genere un par de claves.
user@host> request security pki generate-key-pair certificate-id Host-A type rsa size 1024
Inscríbase el certificado local.
user@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA challenge-password example domain-name host-a.example.net email host-a@example.net subject DC=example,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
Compruebe que el certificado local está inscrito en el dispositivo.
user@host> show security pki local-certificate Issued to: Host-A, Issued by: C = us, O = example, CN = Dev-CA Validity: Not before: 09-17-2012 22:22 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(1024 bits)Compruebe la validez del certificado local inscrito.
user@host> request security pki local-certificate verify certificate-id Host-A Local certificate Host-A verification success
Compruebe la descarga de CRL para los perfiles de CA configurados.
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02
Configurar opciones de VPN IPsec
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal ike_cert_prop_01 authentication-method rsa-signatures set security ike proposal ike_cert_prop_01 dh-group group5 set security ike proposal ike_cert_prop_01 authentication-algorithm sha1 set security ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc set security ike policy ike_cert_pol_01 mode main set security ike policy ike_cert_pol_01 proposals ike_cert_prop_01 set security ike policy ike_cert_pol_01 certificate local-certificate Host-A set security ike gateway ike_cert_gw_01 ike-policy ike_cert_pol_01 set security ike gateway ike_cert_gw_01 address 192.0.2.51 set security ike gateway ike_cert_gw_01 external-interface ge-0/0/1.0 set security ike gateway ike_cert_gw_01 local-identity 192.0.2.31 set security ipsec proposal ipsec_prop_01 protocol esp set security ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc set security ipsec proposal ipsec_prop_01 lifetime-seconds 300 set security ipsec policy ipsec_pol_01 proposals ipsec_prop_01 set security ipsec vpn ipsec_cert_vpn_01 bind-interface st0.1 set security ipsec vpn ipsec_cert_vpn_01 ike gateway ike_cert_gw_01 set security ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar las opciones de VPN IPsec:
Configure las opciones de fase 1.
[edit security ike proposal ike_cert_prop_01] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ike_cert_pol_01] user@host# set mode main user@host# set proposals ike_cert_prop_01 user@host# set certificate local-certificate Host-A [edit security ike gateway ike_cert_gw_01] user@host# set ike-policy ike_cert_pol_01 user@host# set address 192.0.2.51 user@host# set external-interface ge-0/0/1.0 user@host# set local-identity 192.0.2.31
Configure las opciones de fase 2.
[edit security ipsec proposal ipsec_prop_01] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy ipsec_pol_01] user@host# set proposals ipsec_prop_01 [edit security ipsec vpn ipsec_cert_vpn_01] user@host# set bind-interface st0.1 user@host# set ike gateway ike_cert_gw_01 user@host# set ike ipsec-policy ipsec_pol_01
Resultados
Desde el modo de configuración, ingrese los comandos y show security ipsec para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security ike
proposal ike_cert_prop_01 {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ike_cert_pol_01 {
mode main;
proposals ike_cert_prop_01;
certificate {
local-certificate Host-A;
}
}
gateway ike_cert_gw_01 {
ike-policy ike_cert_pol_01;
address 192.0.2.51;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_prop_01 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 300;
}
policy ipsec_pol_01 {
proposals ipsec_prop_01;
}
vpn ipsec_cert_vpn_01 {
bind-interface st0.1;
ike {
gateway ike_cert_gw_01;
ipsec-policy ipsec_pol_01;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Si la validación de certificado se realiza correctamente durante la negociación de IKE entre dispositivos pares, se establecen asociaciones de seguridad (SA) de IIKE e IPsec.
La SA de ICR está UP si el certificado es válido. La SA de ICR está ABAJO e IPSEC SA se forma si se revoca el certificado, solo si la comprobación de revocación está configurada en el dispositivo par
Verificar el estado de fase 1 de ICR
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Ingrese el comando desde el show security ike security-associations modo operativo.
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
2090205 DOWN 285feacb50824495 59fca3f72b64da10 Main 192.0.2.51
Verificar el estado de fase 2 de IPsec
Propósito
Verifique el estado de fase 2 de IPsec.
Acción
Ingrese el comando desde el show security ipsec security-associations modo operativo.
user@host> show security ipsec security-associations
Total active tunnels: 1
ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway
<131073 ESP:3des/sha1 a4756de9 207/ unlim - root 500 192.0.2.51
>131073 ESP:3des/sha1 353bacd3 207/ unlim - root 500 192.0.2.51
Falla de SA de IIKE e IPsec para un certificado revocado
Comprobación de certificados revocados
Problema
Si se produce un error en la validación del certificado durante la negociación de IKE entre dispositivos par, compruebe que no se ha revocado el certificado del par. Un perfil de CA dinámico permite que el dispositivo local descargue la CRL de la CA del par y compruebe el estado de revocación del certificado del par. Para habilitar perfiles de CA dinámicos, la revocation-check crl opción debe configurarse en un perfil de CA principal.
Solución
Para comprobar el estado de revocación del certificado de un par:
Identifique el perfil de CA dinámico que mostrará el CRL para el dispositivo par ingresando el comando desde el show security pki crl modo operativo.
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02 CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sales-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02El perfil
dynamic-001de CA se crea automáticamente en el host-A para que el host-A pueda descargar el CRL de la CA del Host-B (Sales-CA) y comprobar el estado de revocación del certificado del par.Para mostrar la información de CRL del perfil de CA dinámico, ingrese el comando desde el show security pki crl ca-profile dynamic-001 detail modo operativo.
la tecla Intro
user@host> show security pki crl ca-profile dynamic-001 detail CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sub11 Effective date: 09-19-2012 17:29 Next update: 09-20-2012 01:49 Revocation List: Serial number Revocation date 10647C84 09-19-2012 17:29 UTCEl certificado del host B (número de serie 10647084) ha sido revocado.
Fragmentación de IKEv2
Fragmentación de mensajes
La fragmentación de mensajes de IKEv2, como se describe en RFC 7383, Fragmentación de mensajes del protocolo de intercambio de claves de Internet versión 2 (IKEv2), permite que IKEv2 funcione en entornos en los que los fragmentos de IP podrían bloquearse y los pares no podrían establecer una asociación de seguridad IPsec (SA). La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP. La fragmentación tiene lugar antes de que el mensaje original se cifrado y autentifique, de modo que cada fragmento se cifra y autentica por separado. En el receptor, los fragmentos se recopilan, verifican, descifran y se fusionan en el mensaje original.
Para que se produzca la fragmentación de IKEv2, ambos pares de VPN deben indicar compatibilidad con la fragmentación mediante la inclusión de la carga de notificación IKEV2_FRAGMENTATION_SUPPORTED en el intercambio de IKE_SA_INIT. Si ambos pares indican compatibilidad con la fragmentación, corresponde al iniciador del intercambio de mensajes determinar si se utiliza o no fragmentación IKEv2.
En los firewalls serie SRX, se permiten un máximo de 32 fragmentos por mensaje IKEv2. Si el número de fragmentos de mensaje IKEv2 que se enviarán o reciben supera los 32, los fragmentos se pierden y no se establece el túnel. No se admite la retransmisión de fragmentos de mensajes individuales
Configuración
En los firewalls serie SRX, la fragmentación de IKEv2 se habilita de forma predeterminada para mensajes IPv4 e IPv6. Para deshabilitar la fragmentación de IKEv2, utilice la disable instrucción en el nivel de jerarquía [edit security ike gateway gateway-name fragmentation]. También puede usar la size instrucción para configurar el tamaño del paquete en el que se fragmentan los mensajes; el tamaño del paquete oscila entre 500 y 1300 bytes. Si size no está configurado, el tamaño predeterminado del paquete es de 576 bytes para el tráfico IPv4 y 1280 bytes para el tráfico IPv6. Se fragmenta un paquete IKEv2 que sea mayor que el tamaño de paquete configurado.
Después de deshabilitar o habilitar la fragmentación de IKEv2 o de cambiar el tamaño del fragmento de paquete, se desactiven los túneles VPN alojados en la puerta de enlace de IKE y se renegocian las SA IKE e IPsec.
Advertencias
No se admiten las siguientes funciones con la fragmentación de IKEv2:
Descubrimiento de MTU de ruta.
SNMP.
Consulte también
Política de ICR con una CA de confianza
En este ejemplo, se muestra cómo enlazar un servidor de CA de confianza a una política de IKE del par.
Antes de comenzar, debe tener una lista de todas las CA de confianza que desea asociar con la política de ICR del par.
Puede asociar una política de ICR a un único perfil de CA de confianza o a un grupo de CA de confianza. Para establecer una conexión segura, la puerta de enlace de IKE usa la política de IKE para limitarse al grupo configurado de CA (ca-profiles) mientras valida el certificado. No se valida un certificado emitido por cualquier fuente que no sea la CA de confianza o el grupo de CA de confianza. Si hay una solicitud de validación de certificado procedente de una política de IKE, el perfil de CA asociado de la política de IKE validará el certificado. Si una política de ICR no está asociada con ninguna CA, de forma predeterminada, cualquiera de los perfiles de CA configurados valida el certificado.
En este ejemplo, se crea un perfil de CA denominado root-ca y se root-ca-identity asocia un perfil de CA al perfil.
Puede configurar un máximo de 20 perfiles de CA que desee agregar a un grupo de CA de confianza. No puede confirmar su configuración si configura más de 20 perfiles de CA en un grupo de CA de confianza.
Para ver los perfiles de CA y los grupos de CA de confianza configurados en su dispositivo, ejecute show security pki el comando.
user@host# show security ike
proposal ike_prop {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
El show security ike comando muestra el grupo de perfiles de CA bajo la política de IKE denominada ike_policy y el certificado asociado con la política de IKE.
Consulte también
Configurar el sistema de respuesta de solo un túnel de establecimiento en IKE
En este tema, se muestra cómo configurar un responder de solo túneles de establecimiento en el intercambio de claves por internet (IKE). Inicie los túneles desde el par remoto y envíe el tráfico a través de todos los túneles. Especifica cuándo se activa IKE.
A partir de Junos OS versión 19.1R1, en la línea SRX5000, la opción establecer túneles admite los responder-only valores y responder-only-no-rekey en el [edit security ipsec vpn vpn-name] nivel de jerarquía.
Las responder-only opciones y responder-only-no-rekey se admiten en la línea SRX5000 con una tarjeta SPC3 solo si junos-ike-package está instalada. Estas opciones solo se admiten en una VPN de sitio a sitio. Estas opciones no se admiten en VPN automática.
Las responder-only opciones y responder-only-no-rekey no establecen ningún túnel VPN desde el dispositivo, por lo que el túnel VPN se inicia desde el par remoto. Cuando se configura responder-only, un túnel establecido reenclava IKE e IPsec según los valores de vida de IKE e IPsec configurados. Cuando se configura responder-only-no-rekey, un túnel establecido no vuelve a claves desde el dispositivo y se basa en el par remoto para iniciar la reclave. Si el par remoto no inicia la reclave, el desmontaje del túnel se produce después de que expire la vida útil.
Antes de empezar:
Comprenda cómo establecer un túnel IPsec IKE de clave automática. Leer Descripción general de IPsec.
Para configurar el sistema de respuesta de solo un túnel de establecimiento en IKE: