Itzcoatl Espinosa - Cisco Support Community

Transcrição

Comunidade de Suporte da Cisco Webcast ao Vivo:
GET VPN (Group Encrypted Transport
VPN): Configuração e Troubleshooting
Itzcoatl Espinosa
Cisco Support Engineer
04/06/14
Webcast com Especialistas em Tecnologia da Comunidade
Cisco
Especialista de hoje:
Itzcoatl Espinosa, Cisco Support Engineer
Engenheiro TAC
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
2
Webcast com Especialistas em Tecnologia da Comunidade
Cisco
Especialistas ajudantes de hoje:
Ricardo Prado
Paulo de Aguiar
Engenheiro TAC
Engenheiro TAC
Cisco Confidential
3
Obrigado por estar com a gente hoje!
Durante a apresentação, serão feitas
algumas perguntas para o público.
Dê suas respostas, participe!
Cisco Confidential
4
Obrigado por estar com a gente hoje!
Se você quiser baixar uma cópia da apresentação de hoje, basta
clicar no link abaixo ou ir até a Comunidade de Suporte e buscar
este webcast na aba “Canto dos especialistas”.
https://supportforums.cisco.com/xxxxx
Cisco Confidential
5
Primeira Pergunta
Você sabe o qué é GETVPN (Group Encrypted
Transport VPN)?
a) Eu tenho uma idéia básica do que é e como funciona.
b) Eu tenho conhecimento teórico sobre o tema, mas sem experiência
prática.
c) Eu já trabalhei com GETVPN no laboratório.
d) Eu tenho GETVPN em uma rede de produção.
Cisco Confidential
6
Agenda
• O qué é GETVPN?
• Conceitos básicos
• Implementação e Configuração
• Key Server em modo cooperativo (COOP KS)
• Verificação e solução de problemas
• Demo lab
Cisco Confidential
7
Cisco Confidential
8
GETVPN: Group Encrypted Transport Virtual Private
Network
• Nova geração de VPNs para WAN que não utiliza túneis tradicionais ponto-aponto.
• Baseado em um modelo de membros confiáveis. Os membros de um grupo
GETVPN podem comunicar-se uns com os outros usando uma política comum,
de modo que a negociação IPSec entre GMs não é necessária.
• Escalável (conexão any-to-any).
• Preserva a origem e o destino do endereço IP no cabeçalho do pacote.
• Fornece segurança para conexões privadas WAN.
• Criptografa o tráfego em redes MPLS.
Cisco Confidential
9
Conceitos básicos
• GDOI. (Group Domain of Interpretation). Protocolo ISAKMP utilizado para o
gerenciamento de chaves. Ele é utilizado na comunicação entre os KS e GMs
sobre a porta UDP 848.
• Key Server (KS). Controla e estabelece Associações de Segurança (SAs.)
Manutenção das políticas e chaves do grupo.
• Group Member (GM). Cadastra-se com o servidor para obter o IPSEC SAs
(associações de segurança) que são necessários para criptografar o tráfego.
Cisco Confidential
10
Conceitos básicos
• KEK (Key Encryption Key). Criptografa as mensagens de rekey entre o
servidor e os membros do grupo.
• Tempo de vida KEK. Pelo menos 3 vezes a TEK.
crypto gdoi group GDOI-GROUP1
server local
rekey lifetime seconds 86400
• TEK (Traffic Encryption Key). IPSEC SA usado para a comunicação dos
membros do grupo (GMs).
• Tempo de vida TEK. Valor recomendado: 2 horas:
crypto IPSec profile profile1
set security-association lifetime seconds 7200
Cisco Confidential
11
Equipamentos e requisitos
• IOS imagem: 12.4(15)T8 e 12.4(22)T2
• IOS-XE imagem: 12.2(33)XNC
Referência: GETVPN_DIG_version_1_0_External.pdf
Cisco Confidential
12
GETVPN

GETVPN utiliza os seguintes passos:
Key Server
GM 1
GM 2
1.Cadastro do GM ao Key Server
2. Autenticação e envio de políticas de criptografia KS (SAs) (KEK)
3. Envio de tráfego entre os GMs. (TEK)
4. Envio do Rekey.
Cisco Confidential
13
Configuração do Key Server

Instale a chave RSA para o rekey. Exemplo:


Verifique o status da chave


crypto key generate rsa modulus 1024 label REKEYRSA
show crypto key mypubkey rsa
Se co-op KS será feito, a chave deve ser “exportable”.

crypto key generate rsa modulus 1024 label REKEYRSA exportable
Cisco Confidential
14
Rekey (Distribuição de Chaves)

Usado para enviar políticas.

O KS monitora o tempo de vida (lifetime) da SA, e envia um rekey antes
que ela expirar.

As chaves podem ser distribuídas da forma unicast ou multicast.
Multicast. Usado em uma grande implantação. É escalável, mas
requer uma infra-estrutura de roteamento em multicast.
Unicast. A GM precisa confirmar o recebimento do rekey ao KS.
Cisco Confidential
15
Rekey (Distribuição de Chaves)

As seguintes alterações gerarão rekey pelo Key Server.
Altere a crypto ACL.
Modifique o IPSec transformar set.
Altere o tipo de rekey (unicast para multicast, ou vice-versa).
Mude o endereço multicast do rekey.
Alterar chave RSA.
Modificar as configurações de perfil do crypto
Ativar ou desativar a detecção de anti-replay.
Cisco Confidential
16
Implementação do GETVPN

Instale KS em locais geograficamente separados.

Pode ser usado o rekey unicast em implantações até 2.000 GMs.

Use certificados em vez de chave “pre-shared” para escalabilidade e
segurança.

Quando há mais de 1000 GMs e as políticas são grandes, as
mensagens do rekey podem ser muito grandes também. Às vezes, é
recomendado aumentar o tamanho da memória dos buffers no KS.

buffers huge size 64000
Cisco Confidential
17
Implementação do GETVPN

A rede deve ser acessível entre os KS e os membros do grupo.

O roteador CE (Customer Edge) deve ter o hardware de criptografia
apropriado para lidar com a quantidade de tráfego esperado.

Se houver um firewall no meio, certifique-se que não estão bloqueados
os seguintes protocolos :

GDOI (UDP 848).
 ESP (IP 50).

O servidor de NTP e a Autoridade Certificadora (CA) devem ser
acessíveis.

O cadastro dos membros pode ser equilibrada entre os Key Servers.
Cisco Confidential
18
Configuração do ACL do crypto

Recomenda-se reduzir a configuração tanto quanto seja possível.

Colocar entradas de permit e ao final ter o deny any any implícito.

Não utilizar portas para definir o ACL.

Há um limite de 100 entradas na ACL, contudo, ter visto problemas de
desempenho em configurações menores.

Utilizar uma configuração simétrica e resumir redes para evitar o
consumo da memória:

Ejemplo: permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0
Cisco Confidential
19
KS1#show run
crypto isakmp policy 1
encr 3des
!
crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac
!
crypto ipsec profile profile1
set transform-set 3des-sha
!
crypto gdoi group group1
identity number 1111
server local
rekey address ipv4 rekey_mul
rekey retransmit 10 number 2
rekey authentication mypubkey rsa REKEYRSA
sa ipsec 1
profile profile1
match address ipv4 getvpn_acl
replay time window-size 40
address ipv4 10.10.10.1
Políticas Fase I
Perfil que utiliza o transform
set
Gerar o grupo do GETVPN
Identificador do grupo
Tipo de rekey utilizado
Chave usada para o rekey
Políticas de Fase II (IPSEC)
Crypto ACL
Endereço do servidor
Cisco Confidential
20
Continuação
!
ip access-list extended getvpn_acl
ACL do criptografado
permit ip host 3.3.3.3 host 4.4.4.4
!
!
ip access-list extended rekey_mul
ACL para o rekey em multicast
!
!
ntp source Loopback0
Configuração do NTP
ntp master 1
Cisco Confidential
21
Configuração do Group Member (GM)
GM#show run
crypto isakmp policy 1
encr 3des
!
crypto gdoi group group1
identity number 1111
server address ipv4 10.10.10.1
server address ipv4 20.20.20.1
!
crypto map gdoi_map 1 gdoi
set group group1
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface Ethernet0/0
ip address 192.168.3.1 255.255.255.0
crypto map gdoi_map
Políticas de Fase I
Gerar o grupo do GETVPN
Identificador do grupo
Servidor primário para o cadastro
Servidor secundário
Aplicação do grupo no crypto map
Aplicação do crypto map na interface
Cisco Confidential
22
Cisco Confidential
23
Segunda Pergunta
Você sabe o que é GETVPN em modo cooperativo ?
a)
Conheço o conceito.
b)
Eu tenho o conhecimento teórico necessário.
c)
Eu fiz o GETVPN no laboratório.
d)
Eu tenho GETVPN em modo cooperativo em uma rede em produção.
Cisco Confidential
24
Coop Key Server

Usado em grandes implantações para garantir redundância e cadastro de todos
os GMs.

O KS principal é responsável pela criação e distribuição das políticas de
criptografia.

Ele envia atualizações para os outros KS para manter a sincronia.

O KS secundário mantém o controle do estado do KS primário (Alive o Dead).

Se os KS secundários param de receber mensagens do COOP. O KS
secundário muda para o estado primário.

O cadastro pode ser feito em qualquer KS para realizar o balanceamento de
carga, no entanto, apenas o KS primário faz a distribuição das mensagens do
rekey.
Cisco Confidential
25
Coop Key Server

Gerar uma chave RSA e exporta-la para os outros Key Servers.

A escolha do KS primário se baseia na mais alta prioridade.

Ativar os ISAKMP keepalives (Dead Peer Detection - DPD).

As configurações de GETVPN devem ser iguais entre os Key Servers.

Se certificados PKI são usados para autenticar a Fase I, recomendamos o uso
de uma chave RSA diferente.
Key Server 1
GM 1
Key Server 2
GM 2
Cisco Confidential
26
Configuração do Coop Key Server

Gerar um tipo de chave exportável
 crypto key generate rsa modulus 1024 label REKEYRSA exportable

Exporte a chave RSA
 crypto key export rsa REKEYRSA pem terminal 3des <pass code>

Importar a chave em outros KSs.
 crypto key import rsa REKEYRSA pem terminal <pass code>

Configure o Key Server em modo cooperativo
crypto isakmp keepalive 15 periodic
!
crypto gdoi group GDOI-GROUP1
server local
address ipv4 10.0.0.1
redundancy
local priority 250
peer address ipv4 10.0.6.1
Ativar keepalive
Endereço do KS local
Ativar redundância
Prioridade para a escolha
Endereço do KS secundário
Cisco Confidential
27
Cisco Confidential
28
Cadastro do Group Member

Cadastro com sucesso de um membro
May 10 22:56:23.871: %CRYPTO-5-GM_REGSTER: Start registration to KS 10.10.10.1 for group group1 using address
3.3.3.3
May 10 22:56:24.051: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
May 10 22:56:24.051: ISAKMP:(1005):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE
May 10 22:56:24.055: GDOI:INFRA:(0): Completed KEK Processing
May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E
May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT
May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E
May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT
May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111):Completed processing 2 GDOI SA TEK Payloads
May 10 22:56:24.055: ISAKMP:(1005): sending packet to 10.10.10.1 my_port 848 peer_port 848 (I) GDOI_IDLE
May 10 22:56:24.055: %GDOI-5-GM_REGS_COMPL: Registration to KS 10.10.10.1 complete for group group1 using
address 3.3.3.3
May 10 22:56:24.059: GDOI:GM:(0):Registration installed 2 new ipsec SA(s) for group group1.
Cisco Confidential
29
Verificação do Key Server
KS1_CA#show cry gdoi
GROUP INFORMATION
Group Name
: group1 (Multicast)
Group Identity
: 1111
Group Members
:2
IPSec SA Direction
: Both
Active Group Server
: Local
Redundancy
: Configured
Local Address
: 10.10.10.1
Local Priority
: 250
Local KS Status
: Alive
Local KS Role
: Primary
Group Rekey Lifetime : 86400 secs
Group Rekey
Remaining Lifetime : 86005 secs
Rekey Retransmit Period : 10 secs
Rekey Retransmit Attempts: 2
Group Retransmit
IPSec SA Number
:1
IPSec SA Rekey Lifetime: 3600 secs
Profile Name
: profile1
Replay method
: Time Based
Replay Window Size : 40
SA Rekey
ACL Configured
: access-list getvpn_acl
Group Server list
: Local
Cisco Confidential
30
Verificação do Group Member
GM1#show crypto gdoi
GROUP INFORMATION
Group Name
: group1
Group Identity
: 1111
Rekeys received
:0
IPSec SA Direction
: Both
Active Group Server
: 10.10.10.1
Group Server list
: 10.10.10.1
20.20.20.1
GM Reregisters in
Rekey Received
: 2426 secs
: never
Rekeys received
Cumulative
:0
After registration : 0
KEK POLICY:
Rekey Transport Type : Multicast
Lifetime (secs)
: 86400
Encrypt Algorithm
: 3DES
Key Size
: 192
Sig Hash Algorithm
: HMAC_AUTH_SHA
Sig Key Length (bits) : 1024
TEK POLICY for the current KS-Policy ACEs Downloaded:
Ethernet0/0:
IPsec SA:
spi: 0x22AF9D8E(581934478)
transform: esp-3des esp-sha-hmac
sa timing:remaining key lifetime (sec): (2549)
Anti-Replay(Time Based) : 40 sec interval
ACL Downloaded From KS 10.10.10.1:
access-list permit ip host 3.3.3.3 host 4.4.4.4
access-list permit ip host 4.4.4.4 host 3.3.3.3
Cisco Confidential
31
Verificação do Group Member

Uma vez cadastrado, verifique o rekey:
GM1#show cry isakmp sa
IPv4 Crypto ISAKMP SA
dst
src
state
conn-id status
239.0.1.2
10.10.10.1
GDOI_REKEY
1006 ACTIVE
10.10.10.1
3.3.3.3
GDOI_IDLE
1005 ACTIVE

Os GMs devem receber periodicamente o rekey.
GM#00:02:51: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 1
GM# 00:03:02: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 2
GM# 00:03:12: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 3
Cisco Confidential
32
Verificação do Coop KS
KS1_CA#show cry gdoi ks coop
Crypto Gdoi Group Name :group1
Group handle: 2147483650, Local Key Server
handle: 2147483650
Local Address: 10.10.10.1
Local Priority: 250
Local KS Role: Primary , Local KS Status: Alive
Primary Timers:
Peer Sessions:
Session 1:
Server handle: 2147483651
Peer Address: 20.20.20.1
Peer Priority: 100
Peer KS Role: Secondary , Peer KS Status:
Alive
Antireplay Sequence Number: 4
IKE status: Established
Counters:
KS2#show crypto gdoi ks coop
Crypto Gdoi Group Name :group1
Group handle: 2147483650, Local Key Server handle:
2147483650
Local Address: 20.20.20.1
Local Priority: 100
Local KS Role: Secondary , Local KS Status: Alive
Secondary Timers:
Peer Sessions:
Session 1:
Server handle: 2147483651
Peer Address: 10.10.10.1
Peer Priority: 250
Peer KS Role: Primary , Peer KS Status: Alive
Antireplay Sequence Number: 183
IKE status: Established
Counters:
Cisco Confidential
33
Tráfego criptografado nos GMs
GM2#show crypto ipsec sa
interface: Ethernet0/0
Crypto map tag: gdoi_map, local addr 4.4.4.4
local ident (addr/mask/prot/port): (4.4.4.4/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0)
current_peer 0.0.0.0 port 848
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
local crypto endpt.: 4.4.4.4, remote crypto endpt.: 0.0.0.0
path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x22AF9D8E(581934478)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x22AF9D8E(581934478)
transform: esp-3des esp-sha-hmac ,
outbound esp sas:
spi: 0x22AF9D8E(581934478)
transform: esp-3des esp-sha-hmac
Cisco Confidential
34
Comandos úteis

No Key Server






Show crypto gdoi
Show crypto gdoi ks acl
Show crypto gdoi ks coop
Show crypto gdoi ks members
Show crypto gdoi ks policy
No Group Member






Show crypto gdoi
Show crypto gdoi gm acl
Show crypto gdoi gm rekey
Show crypto gdoi ipsec sa
Show crypto isakmp sa
Show crypto ipsec sa
Cisco Confidential
35
Comandos úteis

Limpar o túnel
Clear crypto sa
Clear crypto isakmp
Clear crypto gdoi
 Nota: O comando ”clear crypto gdoi" executado no Key Server, limpa todos os cadastros.

Debugs
debug crypto gdoi ?
error Error level
event Event level
gm
Group Member
ks
Key Server
packet Packet level
 NOTA: A ativação dos debugs em um ambiente de produção pode causar problemas de
desempenho nos roteadores.
Cisco Confidential
36
Problemas no cadastro do Group Member

Verifique a conectividade entre os GMs e KS (ping).

Se o KS está atrás de um firewall, verifique se o GDOI (UDP 848) estar
permitido.

Se você tiver rekey em multicast, verifique se o roteador está ativado para
roteamento em multicast.

A fase 1 de IKE é usada para o cadastro, verifique que as políticas entre o KS e
GM são iguais.

Se existe um grande número de GMs tentando se cadastrar ao mesmo tempo
pode causar high CPU no KS.

Ao usar certificados, verifique se eles estão corretos e são válidos.
Cisco Confidential
37
Falha de criptografia no GM

A falha pode ser causada por uma diferença no SPI(Security Payload Index)
entre os GMs por alguma divisão na rede.

Essa divisão faz com que os Key Servers percam a sincronia e cada um envia
as suas próprias chaves TEK.

Verifique se eles estão usando o mesmo SPI e restaure a comunicação entre
os Key Servers.
Cisco Confidential
38
Pergunta 3
Qual das seguintes alterações não irão gerar um tiro do
rekey?
a)
Mudar a ACL crypto
b)
Alterar o tipo de unicast para multicast rekey. .
c)
Alterar o endereço IP do rekey multicast.
d)
Mudar o tamanho da janela de anti-replay.
Cisco Confidential
39
Cisco Confidential
40
Lab Demo: Topología
Cisco Confidential
41
Referências

GETVPN deployment guide
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps7180/deployment_guide_c
07_554713.html

GETVPN
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htgetvpn.html#wp1159160

Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide
http://tools.cisco.com/search/results/display?url=http%3a%2f%2fwww.cisco.com%2fc%2fdam%2fen%2fus
%2fproducts%2fcollateral%2fsecurity%2fgroup-encrypted-transportvpn%2fGETVPN_DIG_version_1_0_External.pdf&pos=2&query=getvpn+scalability
Cisco Confidential
42
Envie sua pergunta agora!
Use o painel Q&A para enviar suas perguntas, os
especialistas irão responder ao vivo!
Evento Pergunte aos Especialistas
com Itzcoatl Espinosa
Se você quiser tirar mais dúvidas com o nosso especialista, ele
estará respondendo a perguntas entre os dias 04 e 13 de Junho,
neste link:
https://supportforums.cisco.com/pt/community/3746/ask-the-expert
O vídeo, a apresentação e as perguntas e respostas serão
disponibilizados até a terça-feira da semana que vem no link:
https://supportforums.cisco.com/pt/community/2601/webcasts
Cisco Confidential
44
Qualifique o conteúdo da Cisco
Support Community em Português
Agora é possível qualificar
discussões, documentos, blogs
e vídeos!!!
Cisco Confidential
45
Spotlight Awards (Prêmio Participantes
em Detaque)
 O prêmio “participantes em destaque” foi criado em 2012 na comunidade global da
Cisco e é usado para reconhecer àqueles membros que dão um contribuição
significativa para a comunidade de suporte da Cisco e que além de tudo exercem
um papel de liderança dentro da comunidade em distintas categorias
 Foi lançado na comunidade em português, em 1 de dezembro de 2013 e conta com
a categoria “O Novato”.
 Mais detalhes sobre o premio, podem ser consultados no link:
https://supportforums.cisco.com/pt/community/11990816/participantes_em_destaque
Cisco Confidential
46
Convidamos você a participar da CSC em português e
em nossas redes sociais
https://supportforums.cisco.com/community/5141/comunidade-de-suporte-cisco-emportugues
Portugal: http://www.facebook.com/ciscoportugal
Brasil: http://www.facebook.com/CiscoDoBrasil
Portugal: https://twitter.com/CiscoPortugal
Brasil: http://twitter.com/CiscoDoBrasil
Portugal: http://www.youtube.com /user/ciscoportugal
Brasil: http://www.youtube.com/user/ciscoDoBrasilTV
Portugal: http://ciscoportugalblog.wordpress.com/
Cisco Confidential
47
Muito Obrigado
por assistir.
Por favor complete o formulário de avaliação e dê sugestões
de temas para os próximos webcasts!

Itzcoatl Espinosa - Cisco Support Community

Transcrição

Documentos relacionados

ENIAC ABRE WI-FI PARA ALUNOS, FUNCIONÁRIOS E VISITANTES

Serviços de Assistência para o Webex Meeting Center

1 objeto 2 lista de materiais

Casos Cisco Systems e Lands End

iWAN Tech Presentation

CCNA: Módulo 4 - Configurações Avançadas de Routers

ST5 – Ricardo Dieckmann

production central new york san francisco woody woodpecker`s

PDF Texas Instruments

Compartilhe ideias com qualquer pessoa, em