在Unix / Linux

İki Cisco Yönlendiricisi Arasında Siteden Siteye VPN Yapılandırma

Bir site-site sanal özel ağ (VPN), kamuya açık Internet gibi güvenli olmayan bir ağ kullanarak, fiziksel olarak ayrı iki site arasında güvenli bir "her zaman açık" bağlantı kurmanızı sağlar. İki site arasındaki trafik, snooping veya diğer türdeki veri saldırılarını önlemek için şifrelenmiş bir tünel üzerinden iletilir.

Bu yapılandırma, şifrelemeyi destekleyen bir IOS yazılımı görüntüsü gerektirir. Örneklerde kullanılan, c870-advipservicesk9-mz.124-15.T6.bin'dir.

Akranlar, tüneli şifrelemek için kullanılanlar ve mesaj özeti üreten karma teknolojiler arasında anahtar değişimi için kullanılan protokoller dahil olmak üzere VPN'nin oluşturulmasında kullanılan çeşitli protokoller vardır.

VPN Protokolleri

IPSec: Internet Protokolü Güvenliği (IPSec), IP iletişimini güvenli hale getirmek için kullanılan bir protokol paketidir. IPSec, hem anahtar değişiklikleri hem de tünel şifrelemesini içerir. IPSec'in güvenliği uygulamak için bir çerçeve olarak düşünebilirsiniz. Bir IPSec VPN oluştururken, tüneli uygulamak için çeşitli güvenlik teknolojileri arasından seçim yapabilirsiniz.

ISAKMP (IKE): İnternet Güvenliği Derneği ve Anahtar Yönetimi Protokolü (ISAKMP), akranları güvenli bir iletişimde doğrulamak için bir araç sağlar. Genellikle İnternet Anahtar Değişimi (IKE) kullanır, ancak diğer teknolojiler de kullanılabilir. Ortak anahtarlar veya önceden paylaşılmış bir anahtar iletişimin taraflarını doğrulamak için kullanılır.

MD5: Message-Digest algoritması 5 (MD5), genellikle kullanılan, ancak 128-bit karma değeriyle kısmen güvensiz bir şifreleme karma işlevidir. Kriptografik karma işlevi, rastgele bir veri bloğu alma ve sabit boyutlu bir bit dizesi döndürme, orijinal veri bloğuna dayanan karma değeridir. Karma işlem, verilerde bir değişikliğin aynı zamanda karma değerini de değiştirecek şekilde tasarlanmıştır. Karma değeri de mesaj özeti olarak adlandırılır.

SHA: Güvenli Karma Algoritması (SHA), Ulusal Güvenlik Ajansı (NSA) tarafından tasarlanan bir kriptografik karma işlevleri kümesidir. Üç SHA algoritması farklı şekilde yapılandırılmıştır ve SHA-0, SHA-1 ve SHA-2 olarak ayrılmıştır. SHA-1 standart anahtar uzunluğu 160 bit olan, yaygın olarak kullanılan bir karma algoritmadır.

ESP: Encapsulating Security Payload (ESP), paketlerin özgünlüğünü, bütünlüğünü ve gizliliğini koruyan IPsec protokol paketinin bir üyesidir. ESP, yalnızca şifreleme ve yalnızca kimlik doğrulaması yapılandırmalarını destekler, ancak kimlik doğrulaması olmadan şifrelemeyi kullanmak güvensiz olduğu için kesinlikle önerilmez. Diğer IPsec protokolünün aksine, Kimlik Doğrulama Başlığı (AH), ESP IP paket başlığını korumaz. Bu fark, ESP'yi Ağ Adresi Çevirisi yapılandırmasında kullanılmak üzere tercih eder. ESP, IP protokolü 50'yi kullanarak IP'nin hemen üzerinde çalışır.

DES: Veri Şifreleme Standardı (DES), 56-bit şifreleme sağlar. Artık güvenli bir protokol olarak görülmemektedir çünkü kısa anahtar uzunluğu onu kaba kuvvet saldırılarına karşı savunmasız kılmaktadır.

3DES: Üç DES, şifreli, şifre çözücü ve yeniden şifreleme işleminde üç farklı 56 bit anahtar kullanarak DES'in kısıtlamalarını ve zayıflıklarını gidermek için tasarlandı. 3DES tuşları 168 bit uzunluktadır. 3DES kullanırken, veriler önce bir 56-bit anahtarla şifrelenir, daha sonra farklı bir 56-bit anahtarla şifresi çözülür, daha sonra çıkışı üçüncü bir 56-bit anahtarla yeniden şifrelenir.

AES: Gelişmiş Şifreleme Standardı (AES) DES ve 3DES için bir yedek olarak tasarlandı. Değişen anahtar uzunluklarında mevcuttur ve genellikle 3DES'ten yaklaşık altı kat daha hızlı olduğu düşünülmektedir.

HMAC: Karma Mesaj Kimlik Doğrulama Kodu (HMAC) bir tür ileti kimlik doğrulama kodu (MAC). HMAC, bir gizli anahtarla birlikte bir şifreleme karma işlevini içeren belirli bir algoritma kullanılarak hesaplanır.

Bir Siteden Siteye VPN Yapılandırma

Bir siteden siteye VPN yapılandırma işlemi birkaç adım içerir: [Birincil Yapılandırma] anahtar değişimini yapılandırmayı içerir. Bu süreç, karma algoritma ve kimlik doğrulama yöntemini tanımlamak için ISAKMP kullanır. Aynı zamanda tünelin karşıt ucundaki eşi tanımlamanız gereken iki yerden biridir. Bu örnekte, SHA'yı 160 bit anahtar da dahil olmak üzere daha sağlam yapısı nedeniyle karma algoritma olarak seçtik. "Vpnkey" anahtarı, tünelin her iki ucunda aynı olmalıdır. "192.168.16.105" adresi, yönlendiricinin tünelin karşı ucundaki dış arabirimidir.

Örnek aşama bir yapılandırma:

tukwila (config) #crypto isakmp politikası 10
tukwila (config-isakmp) #hash sha
tukwila (config-isakmp) #authentication ön paylaşım
tukwila (config-isakmp) #crypto isakmp anahtar vpnkey adresi 192.168.16.105

Aşama İki yapılandırma şifrelenmiş tüneli yapılandırmayı içerir. İkinci Aşama yapılandırmasında, güvenli tüneli oluşturmak için kullanılan şifreleme protokollerini tanımlayan bir dönüşüm kümesi oluşturup adlandırın. Ayrıca, tünelin karşıt ucundaki eşi tanımladığınız, kullanılacak dönüştürme kümesini belirteceğiniz ve izin verilen trafik akışlarını hangi erişim denetim listesinin belirleyeceğini belirten bir kripto haritası oluşturmanız gerekir. Bu örnekte, yükseltilmiş güvenliği ve geliştirilmiş performansı nedeniyle AES'yi seçtik. "Eş düzey 192.168.16.25" ifadesi, yönlendiricinin dış arabirimini tünelin karşı ucunda tanımlar. "Set transform-set vpnset" ifadesi, yönlendiriciye bu tünelde transform-set vpnset'te belirtilen parametreleri kullanmasını söyler. "Eşleşme adresi 100" ifadesi, tüneli daha sonra tanımlanacak olan erişim listesi 100 ile ilişkilendirmek için kullanılır.

Örnek iki aşamalı yapılandırma:

tukwila (config) #crypto ipsec dönüşümü vpnset esp-aes esp-sha-hmac
tukwila (cfg-kripto-trans) #exit
tukwıla (config) #crypto map vpnset 10 ipsec-isakmp
% NOT: Bu yeni şifreli harita, bir eşe
ve geçerli bir erişim listesi yapılandırılıncaya kadar devre dışı kalacaktır.
tukwila (config-kripto-map) #set eş 192.168.16.105
tukwila (config-kripto-map) #set dönüşümü-set vpnset
tukwila (config-kripto-map) #match adresi 100 [19659002] Kripto haritası dış arabiriminize uygulanmalıdır (bu örnekte, FastEthernet 4 arayüzü):

tukwila (config) #int f4
tukwila (config-if) #crypto haritası vpnset

Tünel üzerinden LAN içindeki diğer yönlendiricinin LAN içindeki diğer yönlendiricilere yönlendiren trafiğe açıkça izin vermek için bir erişim denetimi listesi oluşturun (bu örnekte, yönlendirici tukwila'nın LAN ağ adresi 10.10'dur). 10.0 / 24 ve diğer yönlendiricinin LAN ağ adresi 10.20.0.0/24):

tukwila (config) # erişim listesi 100 izin ip 10.10.10.0 0.0.0.255 10.20.0.0 0.0.0.255 [19659002] (Erişim denetim listelerinin sözdizimi hakkında daha fazla bilgi için, Cisco yönlendirici erişim denetimi listelerini oluşturma ve yönetme konusundaki diğer makalelerime bakın.)

Ayrıca, bir de hata ağ geçidi ("son çare" geçidi olarak da bilinir). Bu örnekte, varsayılan ağ geçidi 192.168.16.1'dir:

tukwila (config) #ip rotası 0.0.0.0 0.0.0.0 192.168.16.1

VPN Bağlantılarını Doğrulama

Aşağıdaki iki komut doğrulamak için kullanılabilir VPN bağlantıları:

Yönlendirici # show kripto ipsec sa
Bu komut, geçerli Güvenlik İlişkilendirmeleri (SA) tarafından kullanılan ayarları görüntüler.

Yönlendirici # show crypto isakmp sa
Bu komut geçerli IKE Güvenlik İlişkilendirmelerini gösterir.

VPN Bağlantılarında Sorun Giderme

Fiziksel bağlantıyı onayladıktan sonra, birbirinin aynısını sağlamak için VPN bağlantısının her iki ucunu da denetleyin.

VPN bağlantısı zorluklarını analiz etmek için hata ayıklamayı kullanın:

Yönlendirici # debug crypto isakmp
Bu komut, Faz 1 ISAKMP görüşmelerini gözlemlemenizi sağlar.

Yönlendirici # debug crypto ipsec
Bu komut, Faz 2 IPSec görüşmelerini gözlemlemenizi sağlar.

Telif Hakkı (c) 2008 Don R. Crawley