The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

IPSec соединение маршрутизатора Linksys BEFSX41 с Cisco 2611 (cisco ipsec tunnel)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: cisco, ipsec, tunnel,  (найти похожие документы)
From: Куклин Е.О. <[email protected]> Newsgroups: email Date: Mon, 10 Mar 2004 14:31:37 +0000 (UTC) Subject: IPSec соединение маршрутизатора Linksys BEFSX41 с Cisco 2611 Настройка связки: маршрутизатор Linksys BEFSX41 по IP VPN IPSec с Cisco 2611 ------------------- Для связи офисов через публичные сети интернет рекомендуется использовать IPSec туннели. В данном случае рассмотрен простой пример связки маршрутизатора cisco 2611 (IOS (tm) C2600 Software (C2600-IK8S-M), Version 12.2(17a), RELEASE SOFTWARE (fc1)) c рутером Linksys BEFSX41 (Firmware: 1.45.3, Sep 26 2003). Вот схема связки: 10.0.2.1/24 | (c2611) 10.0.1.1/24 | IPSec туннель | 10.0.1.2/24 (BEFSX41) | 192.168.1.0/24 Можно использовать любой маршрутизатор cisco, главное, что бы мог работать с IPSec, поддерживал данную версию IOS c IPSec и имел достаточно свободных ресурсов. Использоваться будет следующая технология: ISAKMP SA DES / MD5 / PreShared / MODP_768 В настройках cisco нет ничего необычного (обычный стандарт): crypto isakmp policy 1 ! Устанавливаем полиси ISAKMP, приоритет 1. hash md5 ! Используем MD5, как алгоритм аутентификации (вместо SHA, который ! медленнее, но более защищённый). authentication pre-share ! Используем жёстко заданный ключ "MySecureKey". ! crypto isakmp key MySecureKey address 10.0.1.2 ! Устанавливаем ключ и адрес другой системы, которой отдаем ! ключ. Будьте осторожны, не раздавайте ключ кому ни попадя ;) ! crypto ipsec transform-set MYTS esp-des esp-md5-hmac ! Создаем transform-set и назовём его MYTS, который использует ! ESP (Encapsulating Security Payload) шифрацию с ! DES и аутентификацию с MD5. В этом случае мы будем ! шифровать только полезную часть пакета не трогая ! заголовков. ! crypto map IPSECLINKSYS local-address FastEthernet0/0 ! Определяем crypto map, называем IPSECLINKSYS, ! используем локальный адрес на fast0/0 для идентификационных ! целях. Это не всегда необходимо, но удобно ! для большей документированности. ! crypto map IPSECLINKSYS 1 ipsec-isakmp ! Определяем, что IPSECLINKSYS, порядковый номер 1, использует ! ISAKMP для обмена ключами. set peer 10.0.1.2 ! Адрес другой стороны set transform-set MYTS ! Устанавливаем нужную трансформацию match address SECURED-TUN ! Пропускать только пакеты IPSEC, которые подпадают под расширенный ! ACL, под именем SECURED-TUN ip access-list extended SECURED-TUN ! Создаем ACL для определения сетей для шифрации IPSEC. remark IPSEC ACL ! Комментарии обязательно нужны. :-) permit ip 10.0.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ! Разрешаем проходить через туннель только с 10.0.2.0/24 ! на 192.168.1.0/24 permit ip 192.168.1.0 0.0.0.255 10.0.2.0 0.0.0.255 ! и обратно. interface FastEthernet0/0 ip address 10.0.1.1 255.255.255.0 no ip redirects no ip proxy-arp no ip mroute-cache crypto map IPSECLINKSYS ! Применяем карту криптования IPSECLINKSYS на интерфейсе fast0/0. interface FastEthernet0/1 ip address 10.0.2.1 255.255.255.0 ! На интерфейсе, который смотрит в локальную сеть подключать ! шифрование не требуется ip route 192.168.1.0 255.255.255.0 10.0.1.2 ! Прописываем маршрут для удалённой сети через Linksys Это всё, что требуется для настройки маршрутизатора cisco. Теперь займёмся маршрутизатором Linksys BEFSX41: 1. Сначала скинем у него конфигурацию на дефолтную: Нужно выдернуть шнур питания, нажать на задней панели кнопку Reset и удерживая, воткнуть питание обратно. Удерживать нужно примерно минуту. 2. Потом прямым кабелем подключаем компьютер к любому порту LAN и на компьютере на интерфейсе устанавливаем IP адрес: 192.168.1.2/255.255.255.0 3. Заходим любым браузером на адрес 192.168.1.1. Там спросят пароль, вводим пароль, который стоит по умолчанию после сброса: user: admin pass: admin 4. Заходим в закладку "setup" и устанавливаем: - LAN IP Address: он уже стоит такой, какой нам нужен (192.168.1.1/255.255.255.0). - WAN Connection Type: Static IP - Specify WAN IP Address: 10.0.1.2 - Subnet Mask: 255.255.255.0 - Default Gateway Address: 10.0.1.1 Жмём "Apply". Это всё, что требуется для начальной установки. 5. Закладка "VPN": - Выбираем "Tunnel1 (-) и ставим This tunnel: "Enable" - Local Secure Group: subnet IP: 192.168.1.0 Mask: 255.255.255.0 - Remote Secure Group: subnet IP: 10.0.2.0 Mask: 255.255.255.0 Это тоже самое, что в cisco правила ACL "SECURED-TUN" - Remote Security Gateway: IP Addr. IP: 10.0.1.1 Это тоже, что set peer 10.0.1.1 в crypto map - Encryption: DES - Authentication: MD5 А это: crypto ipsec transform-set .... esp-des esp-md5-hmac - Key Management: Auto. (IKE) - PFS (Perfect Forward Secrecy) галочка снята - Pre-shared Key: MySecureKey Ну это понятно для чего нужно. - Key Lifetime 3600 Sec. Давим "Apply". Потом давим: Advanced Settings. 6. Advanced Settings - Phase 1: Operation mode: Main mode - Proposal 1: Encryption: DES Authentication: MD5 Group: 768-bit Key Lifetime: 3600 seconds - Phase 2: - Proposal: Encryption: DES Authentication:MD5 PFS: OFF Group: 768-bit Key Lifetime: 3600 seconds - Other Options: все галки сняты. Жмём "Apply", закрываем окошко. Ну и потом, в основном окне в закладке "VPN" давим "Apply". После чего смотрим на запись "Status:". Если всё хорошо, то будет красным написано: Connected. Это всё, чего мы добивались. Ещё можно включить Log и смотреть туда, что происходит. На cisco можно включить дебаг: Router#term mon Router#deb crypto isakmp Очень полезно почитать, что там валится. Можно в ACL в конце каждого правила добавить log, тогда можно будет увидеть, откуда и куда ездили пакеты. Ещё: Router#sh crypto engine connections active Router#sh crypto ipsec sa

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
  • 1, Николай (??), 16:41, 20/08/2008 [ответить]  
  • +/
    Спасибо огромное!!!
     
  • 2, User294 (??), 17:53, 20/08/2008 [ответить]  
  • +/
    Дяденьки, вот нахрена вот так делать?
    > - Encryption: DES

    Этот алгоритм *ДЕФЕКТИВНЫЙ*.У него короткий ключ (ломается за разумный срок тупым перебором если атакующий может набрать несколько непозорных компов!).Более того, несмотря на хилое шифрование, DES крайне тормозной алгоритм в вычислительном плане.

    Итого: магических пассов руками - дохрена.А толку с них, after all? Результат тормозной и выполняет в основном декоративные функции ДЕЛАЯ ВИД что обеспечивает какую-то там безопасность.По факту DES уже много лет не считается сколь-нибудь эффективным шифрованием.

     
  • 3, User294 (??), 17:58, 20/08/2008 [ответить]  
  • +/
    > - PFS (Perfect Forward Secrecy) галочка снята

    ..
    >  Ну это понятно для чего нужно.

    Да, всем это нужно, вероятно, затем чтобы атакующий потырив pre-shared key (а вдруг получится?) мог потом элементарно расшифровать награбленый траффик.

    У меня только 1 вопрос: нахрена нужна защита когда ее настройки обеспечивают защищенность на уровне картонного щита.Выглядит внушительно, пока это сломать не попробуют.

     
     
  • 4, pavel_simple (??), 10:09, 21/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ИМХО -- за AES частенько приходится доплачивать
     

  • 5, Куклин Е.О. (?), 20:04, 22/11/2009 [ответить]  
  • +/
    Коллеги!

    На год статьи обратите внимание :) Тогда AES был в глубоком зачатке, а тогдашняя прошивка LinkSys'а рельно не работала с PFS.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру