Ключевые слова:cisco, ipsec, tunnel, (найти похожие документы)
From: Куклин Е.О. <[email protected]>
Newsgroups: email
Date: Mon, 10 Mar 2004 14:31:37 +0000 (UTC)
Subject: IPSec соединение маршрутизатора Linksys BEFSX41 с Cisco 2611
Настройка связки: маршрутизатор Linksys BEFSX41 по IP VPN IPSec с Cisco 2611
-------------------
Для связи офисов через публичные сети интернет рекомендуется использовать IPSec
туннели. В данном случае рассмотрен простой пример связки маршрутизатора
cisco 2611 (IOS (tm) C2600 Software (C2600-IK8S-M), Version 12.2(17a), RELEASE SOFTWARE (fc1))
c рутером Linksys BEFSX41 (Firmware: 1.45.3, Sep 26 2003).
Вот схема связки:
10.0.2.1/24
|
(c2611)
10.0.1.1/24
|
IPSec туннель
|
10.0.1.2/24
(BEFSX41)
|
192.168.1.0/24
Можно использовать любой маршрутизатор cisco, главное, что бы мог
работать с IPSec, поддерживал данную версию IOS c IPSec и имел
достаточно свободных ресурсов.
Использоваться будет следующая технология:
ISAKMP SA DES / MD5 / PreShared / MODP_768
В настройках cisco нет ничего необычного (обычный стандарт):
crypto isakmp policy 1
! Устанавливаем полиси ISAKMP, приоритет 1.
hash md5
! Используем MD5, как алгоритм аутентификации (вместо SHA, который
! медленнее, но более защищённый).
authentication pre-share
! Используем жёстко заданный ключ "MySecureKey".
!
crypto isakmp key MySecureKey address 10.0.1.2
! Устанавливаем ключ и адрес другой системы, которой отдаем
! ключ. Будьте осторожны, не раздавайте ключ кому ни попадя ;)
!
crypto ipsec transform-set MYTS esp-des esp-md5-hmac
! Создаем transform-set и назовём его MYTS, который использует
! ESP (Encapsulating Security Payload) шифрацию с
! DES и аутентификацию с MD5. В этом случае мы будем
! шифровать только полезную часть пакета не трогая
! заголовков.
!
crypto map IPSECLINKSYS local-address FastEthernet0/0
! Определяем crypto map, называем IPSECLINKSYS,
! используем локальный адрес на fast0/0 для идентификационных
! целях. Это не всегда необходимо, но удобно
! для большей документированности.
!
crypto map IPSECLINKSYS 1 ipsec-isakmp
! Определяем, что IPSECLINKSYS, порядковый номер 1, использует
! ISAKMP для обмена ключами.
set peer 10.0.1.2
! Адрес другой стороны
set transform-set MYTS
! Устанавливаем нужную трансформацию
match address SECURED-TUN
! Пропускать только пакеты IPSEC, которые подпадают под расширенный
! ACL, под именем SECURED-TUN
ip access-list extended SECURED-TUN
! Создаем ACL для определения сетей для шифрации IPSEC.
remark IPSEC ACL
! Комментарии обязательно нужны. :-)
permit ip 10.0.2.0 0.0.0.255 192.168.1.0 0.0.0.255
! Разрешаем проходить через туннель только с 10.0.2.0/24
! на 192.168.1.0/24
permit ip 192.168.1.0 0.0.0.255 10.0.2.0 0.0.0.255
! и обратно.
interface FastEthernet0/0
ip address 10.0.1.1 255.255.255.0
no ip redirects
no ip proxy-arp
no ip mroute-cache
crypto map IPSECLINKSYS
! Применяем карту криптования IPSECLINKSYS на интерфейсе fast0/0.
interface FastEthernet0/1
ip address 10.0.2.1 255.255.255.0
! На интерфейсе, который смотрит в локальную сеть подключать
! шифрование не требуется
ip route 192.168.1.0 255.255.255.0 10.0.1.2
! Прописываем маршрут для удалённой сети через Linksys
Это всё, что требуется для настройки маршрутизатора cisco. Теперь займёмся
маршрутизатором Linksys BEFSX41:
1. Сначала скинем у него конфигурацию на дефолтную:
Нужно выдернуть шнур питания, нажать на задней панели кнопку Reset
и удерживая, воткнуть питание обратно. Удерживать нужно примерно минуту.
2. Потом прямым кабелем подключаем компьютер к любому порту LAN и на
компьютере на интерфейсе устанавливаем IP адрес: 192.168.1.2/255.255.255.0
3. Заходим любым браузером на адрес 192.168.1.1. Там спросят пароль, вводим пароль, который стоит по умолчанию после сброса: user: admin pass: admin
4. Заходим в закладку "setup" и устанавливаем:
- LAN IP Address: он уже стоит такой, какой нам нужен (192.168.1.1/255.255.255.0).
- WAN Connection Type: Static IP
- Specify WAN IP Address: 10.0.1.2
- Subnet Mask: 255.255.255.0
- Default Gateway Address: 10.0.1.1
Жмём "Apply".
Это всё, что требуется для начальной установки.
5. Закладка "VPN":
- Выбираем "Tunnel1 (-) и ставим This tunnel: "Enable"
- Local Secure Group: subnet IP: 192.168.1.0 Mask: 255.255.255.0
- Remote Secure Group: subnet IP: 10.0.2.0 Mask: 255.255.255.0
Это тоже самое, что в cisco правила ACL "SECURED-TUN"
- Remote Security Gateway: IP Addr. IP: 10.0.1.1
Это тоже, что set peer 10.0.1.1 в crypto map
- Encryption: DES
- Authentication: MD5
А это: crypto ipsec transform-set .... esp-des esp-md5-hmac
- Key Management: Auto. (IKE)
- PFS (Perfect Forward Secrecy) галочка снята
- Pre-shared Key: MySecureKey
Ну это понятно для чего нужно.
- Key Lifetime 3600 Sec.
Давим "Apply".
Потом давим: Advanced Settings.
6. Advanced Settings
- Phase 1: Operation mode: Main mode
- Proposal 1: Encryption: DES Authentication: MD5
Group: 768-bit Key Lifetime: 3600 seconds
- Phase 2:
- Proposal: Encryption: DES Authentication:MD5 PFS: OFF
Group: 768-bit Key Lifetime: 3600 seconds
- Other Options: все галки сняты.
Жмём "Apply", закрываем окошко.
Ну и потом, в основном окне в закладке "VPN" давим "Apply". После чего
смотрим на запись "Status:". Если всё хорошо, то будет красным написано:
Connected.
Это всё, чего мы добивались. Ещё можно включить Log и смотреть туда, что происходит.
На cisco можно включить дебаг:
Router#term mon
Router#deb crypto isakmp
Очень полезно почитать, что там валится. Можно в ACL в конце каждого правила добавить
log, тогда можно будет увидеть, откуда и куда ездили пакеты.
Ещё:
Router#sh crypto engine connections active
Router#sh crypto ipsec sa
Дяденьки, вот нахрена вот так делать?
> - Encryption: DES
Этот алгоритм *ДЕФЕКТИВНЫЙ*.У него короткий ключ (ломается за разумный срок тупым перебором если атакующий может набрать несколько непозорных компов!).Более того, несмотря на хилое шифрование, DES крайне тормозной алгоритм в вычислительном плане.
Итого: магических пассов руками - дохрена.А толку с них, after all? Результат тормозной и выполняет в основном декоративные функции ДЕЛАЯ ВИД что обеспечивает какую-то там безопасность.По факту DES уже много лет не считается сколь-нибудь эффективным шифрованием.
Да, всем это нужно, вероятно, затем чтобы атакующий потырив pre-shared key (а вдруг получится?) мог потом элементарно расшифровать награбленый траффик.
У меня только 1 вопрос: нахрена нужна защита когда ее настройки обеспечивают защищенность на уровне картонного щита.Выглядит внушительно, пока это сломать не попробуют.