В данном режиме выполняется один двухсторонний обмен, что сокращает время на установление сеанса IPSec.
Инициатор отправляет все необходимые значения для ассоциации защиты IKE, открытый ключ Диффи-Хеллмана, зашифрованное сообщение идентификационные параметры.
Получатель отправляет обратно необходимую информацию для завершения обмена.
Недостатком этого режима является то, что обмен информацией выполняется до того, как создан защищенный канал.
3. Вторая фаза IKE.
Целью второй фазы IKE является согласование параметров ассоциации защиты IPSec, которые будут использоваться для создания туннеля IPSec. В этой фазе выполняются следующие действия.
Все элементы этой фазы выполняются в быстром режиме и реализуются только после того, как был установлен безопасный туннель в первой фазе IKE.
Вторая фаза выполняет следующие задачи:
· Согласовываются параметры ассоциации защиты IPSec.
· Устанавливаются SA IPSec.
· Периодически, по истечении времени жизни SA IPSec, они регенерируются для гарантии защиты.
· Опционально выполняется дополнительный обмен Диффи-Хеллмана.
4. Передача данных по туннелю IPSec.
После завершения второй фазы IKE и создания SA IPSec, начинается передача информации по установленному туннелю IPSec.
Шифрование и дешифрование данных выполняется с помощью алгоритмов, определенных в SA IPSec.
SA IPSec ограничивает время своего существования либо по объему переданной информации (в килобайтах), либо по времени (в секундах).
Специальный таймер ассоциации защиты уменьшает свое значение на единицу при передаче каждого килобайта или каждую секунду.
5. Завершение работы туннеля IPSec.
SA IPSec прекращает работу туннеля либо в связи с ее удалением, либо в связи с превышением времени жизни.
После завершения работы ассоциации защиты, ключи, которые в ней использовались становятся недействительными. Для создания новой ассоциации защиты потребуется повторное выполнение второй фазы IKE.
Для обеспечения непрерывности связи, могут создаваться новые ассоциации защиты до истечения времени существования текущих.
Поддержка IPSec на маршрутизаторе
Рассмотрим общие принципы поддержки IPSec на маршрутизаторе.
1. На маршрутизаторе Cisco применяются расширенные списки доступа и криптографическая карта для выбора шифруемого трафика. Выполняется проверка SA IPSec. Если ассоциация защиты создана, то пакет шифруется в соответствии с политикой, определяемой криптографической картой, и передается на исходящий интерфейс.
2. Если ассоциация защиты не создана, то проверяются ассоциации защиты IKE. Если SA IKE уже существует, то она управляет созданием SA IPSec в соответствии с политикой IKE. После чего выполняется шифрование и передача пакета.
3. Если ассоциация защиты IKE не создана, то проверяется, была ли активизирована поддержка центров сертификации для создания политики IKE. Если аутентификация включена, то маршрутизатор обменивается аутентификационными параметрами со второй стороной и создает ассоциацию защиты IKE.
Настройка IPSec VPN
Этапы настройки IPSec VPN
Процесс настройки IPSec VPN разделен на пять этапов.
Этап 1. Настройте на интерфейсе список доступа, совместимый с конфигурацией IPSec. Обычно, если на интерфейсе настраивается VPN, то блокируется весь трафик кроме IPSec или IKE.
Этап 2. Создайте политику ISAKMP для определения параметров, которые будут использованы для формирования туннеля.
Этап 3. Определите набор преобразований IPSec. Этот набор формирует параметры, которые используются в туннеле IPSec для шифрования и проверки целостности.
Этап 4. Сформируйте список доступа для шифрования. Этот список определяет, какой трафик посылается через туннель IPSe c и защищается.
Этап 5. Создайте и примените криптографическую карту (crypto map). Эта карта группирует ранее сконфигурированные параметры вместе и определяет устройства IPSec. Криптографическая карта применяется на исходящий интерфейс устройства, обеспечивающего VPN.
Теперь необходимо настроить политику ISAKMP, определив параметры IKE.
На каждом узле может быть сконфигурировано несколько политик ISAKMP.
С помощью команды crypto isakmp policy priority задается приоритет политики (от 1 до 10000), который является ее номером на маршрутизаторе. 1 имеет наивысший приоритет. Чем более сильная политика, тем ниже рекомендуется назначать ей номер. В подрежиме конфигурации политики указываются определяющие ее параметры.
Замечание. Политика между двумя сторонами будет принята, если она имеет одинаковые параметры на обоих сторонах.
Router(config)# crypto isakmp policy priority
Router(config-isakmp)#parameter command
Параметры ISAKMP
Параметр (parameter) | Командное слово (command) | значение | назначение |
encryption | des | 56 бит | Выбор алгоритма шифрования (по умолчанию DES). |
3des | Triple DES | ||
aes | 128 бит AES | ||
aes 192 | 192 бит AES | ||
aes 256 | 256 бит AES | ||
hash | sha | SHA-1 | Выбор алгоритма определения целостности (по умолчанию SHA). |
md5 | MD5 | ||
authentication | pre-share | Предуст. ключи | Выбор метода аутентификации (по умолчанию rsa-sig) |
rsa-encr | RSA шифрованный | ||
rsa-sig | Сигнатура RSA | ||
group | 1 | 768 бит DH | Параметры обмена ключами (по умолчанию 1) |
2 | 1024 бит DH | ||
5 | 1536 бит DH | ||
lifetime | seconds | Время жизни (по умолчанию 1 день – 86400 сек.) |
Пример настройки политики ISAKMP
Необходимо настроить на маршрутизаторах R1 и R2 политики ISAKMP.
ISAKMP для R1.
ISAKMP 100
Алгоритм шифрования - 3DES.
Аутентификация - сигнатура RSA.
ISAKMP 200
Алгоритм шифрования – DES.
Аутентификация - сигнатура RSA.
Время жизни - 1час.
ISAKMP 300
Алгоритм шифрования - DES, аутентификация - сигнатура RSA.
ISAKMP для R2.
ISAKMP 100
Алгоритм шифрования - DES.
Аутентификация - сигнатура RSA.
ISAKMP 200
Алгоритм шифрования – 3DES.
Аутентификация - сигнатура RSA.
Время жизни - 1час.
ISAKMP 300
Алгоритм шифрования - DES, аутентификация сигнатура RSA.
Целостность – MD5.
Настройка политики ISAKMP
Если для обеспечения процесса шифрования используется алгоритм PSK, то на соединяемых сторонах должен быть сконфигурирован одинаковый общий ключ.
Конфигурирование ключа выполняется в режиме глобальной конфигурации с помощью команды crypto isakmp key.
В команде указывается ключ и IP-адрес или доменное имя удаленного узла.
Конфигурирование ключа с указанием IP-адреса удаленного узла.
Router(config)# crypto isakmp key keystring address peer-address
peer-address – IP- адрес удаленного узла.
Конфигурирование ключа с указанием доменного имени удаленного узла.
Router(config)# crypto isakmp key keystring hostname hostname
hostname - доменное имя удаленного узла.
keystring – ключевая строка состоящая из букв и цифр.