Comandos básicos de Cisco IPSec

Resumen de los comandos básicos de Cisco IPSec

La seguridad del protocolo de Internet (IPSec) es un marco estándar abierto que utiliza servicios de seguridad cifrados para garantizar que el protocolo de Internet (IP) sea confidencial y seguro. comunicaciones a través de Internet. Entonces, ¿cómo configura Cisco IPSec? ¿Qué pasa con los comandos de configuración? ¡Echemos un vistazo conmigo!

1. Algunos comandos básicos de IPSec.

R1(config)#crypto ?

mapa dinámico Especificar una plantilla de mapa criptográfico dinámico

//Crear o modificar una plantilla de mapa criptográfico dinámico

ipsec Configurar política IPSEC

//Crear política de seguridad IPSec

isakmp Configurar política ISAKMP

//Crear política IKE

Clave Operaciones de clave a largo plazo

//Generar claves de cifrado para la sesión cifrada SSH del enrutador. Seguido de un valor, es el tamaño del módulo de clave, la unidad es bit

Mapa Ingresar un mapa criptográfico

//Crear o modificar una tabla de mapas de cifrado común

Router( config)#cryptodynamic-map ?

WORD Etiqueta de plantilla de mapa criptográfico dinámico

//WORD es el nombre de la tabla de mapas criptográficos dinámicos

Router(config)#crypto ipsec?

security-association Parámetros de asociación de seguridad

// duración de la asociación de seguridad ipsec, o no configurada, solo especifíquela en el mapa

transform-set Definir transformación y configuración

//Definir un conjunto de transformación ipsec (una combinación factible de protocolos y algoritmos de seguridad)

Router(config)#crypto isakmp

client Establecer política de configuración del cliente

//Crear un grupo de direcciones

enable Habilitar ISAKMP

//Habilitar política IKE, que está habilitada de forma predeterminada

Clave Establecer clave precompartida para un par remoto

//Establecer la clave

política Establecer política para un conjunto de protección ISAKMP

//Establecer la política IKE Prioridad

Router(config)#crypto key

generar Generar nuevas claves

//Generar nuevas claves

zeroize Quitar claves

//Quitar claves

Router(config)#crypto map

WORD Etiqueta de mapa criptográfico

// WORD es el nombre de la tabla del mapa

2. Algunos comandos importantes.

Política de router(config)#crypto isakmp

<1-10000> Prioridad del conjunto de protección

//Establezca la política IKE, política seguida de 1 - 10.000 números, estos números representan la prioridad de la política.

Router(config)#crypto isakmp Policy 100//Ingrese al modo de configuración de políticas IKE para realizar la siguiente configuración

Router(config-isakmp)#encryption ?//Establezca allí el adoptado Hay tres métodos de cifrado

3des Triple DES de tres claves

aes AES - Estándar de cifrado avanzado

des DES - Estándar de cifrado de datos (claves de 56 bits)

p>

Router(config-isakmp)#hash ? //El algoritmo hash utilizado, MD5 es de 160 bits y sha es de 128 bits.

md5 Message Digest 5

sha Secure Hash Standard

Router(config-isakmp)#authentication pre-share//Usar método de autenticación de clave precompartida

Router(config-isakmp)#group ?//Especifique el número de dígitos en la clave. Cuanto menor sea el número, mayor será la seguridad, pero más lenta será la velocidad de cifrado.

1 Diffie-Hellman grupo 1

2 Diffie-Hellman grupo 2

5 Diffie-Hellman grupo 5

Router(config-isakmp)#lifetime ? Especifique la duración de la asociación de seguridad, 60-86400 segundos

<60-86400> duración en segundos

Router(config)#crypto clave isakmp *** dirección XXX.XXX.XXX.XXX

//Establezca la clave para el intercambio IKE, *** indica la composición de la clave, XXX.XXX.XXX.XXX indica la dirección IP de la otra parte

Router(config)#crypto ipsec transform-set zx ?

// Configure el conjunto de intercambio IPsec, establezca el método de cifrado y el método de autenticación. zx es el nombre del conjunto de intercambio, que usted mismo también puede configurar. ser diferentes, pero otros parámetros deben ser consistentes.

transformación ah-md5-hmac AH-HMAC-MD5

transformación ah-sha-hmac AH-HMAC-SHA

transformación esp-3des ESP usando 3DES (EDE) cifrado (168 bits)

transformación esp-aes ESP usando cifrado AES

transformación esp-des ESP usando cifrado DES (56 bits)

esp -md5-hmac Transformación ESP usando autenticación HMAC-MD5

Transformación esp-sha-hmac ESP usando autenticación HMAC-SHA

Ejemplo: Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

Router(config)#crypto map map_zx 100 ipsec-isakmp

//Crea una tabla de mapeo de cifrado, zx es el nombre de la tabla, puedes defínalo usted mismo, 100 es la prioridad (rango opcional 1-65535). Si hay varias tablas, cuanto menor sea el número, mayor será la prioridad.

Router(config-crypto-map)#match address ?//Usar ACL para definir la comunicación cifrada

　<100-199> Número de lista de acceso IP

　WORD Nombre de la lista de acceso

Router(config-crypto-map)#set?

peer Permitido cifrado/descifrado peer.//Identificar la dirección IP del otro enrutador

　pfs Especificar configuración de pfs//Especificar la longitud de la clave definida anteriormente, es decir, grupo

　security-association Parámetros de asociación de seguridad//Especificar la vida útil de la asociación de seguridad

Transform-set Especifique la lista de conjuntos de transformación en orden de prioridad

//Especifique el conjunto de intercambio IPSEC utilizado por el mapa de cifrado

Router(config-if)# crypto map zx

/ /Ingrese la interfaz especificada del enrutador y aplique el mapa de cifrado a la interfaz, zx es el nombre del mapa de cifrado.

3. Un experimento de configuración.

Topología experimental:

1. Configuración en R1.

Router>enable

Router#config terminal

Ingrese los comandos de configuración, uno por línea. Termine con CNTL/Z. (config)#hostname R1

//Configurar la política IKE

R1(config)#crypto isakmp enable

R1(config)#crypto isakmp política 100

R1(config-isakmp)#encryption des

R1(config-isakmp)#hash md5

R1(config-isakmp)#autenticación precompartida

R1(config-isakmp)#grupo 1

R1(config-isakmp)#vida útil 86400

R1(config-isakmp)#salida

//Configurar clave IKE

R1(config)#crypto clave isakmp 123456 dirección 10.1.1.2

//Crear conjunto de intercambio IPSec

R1 ( config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

//Crear mapa de cifrado de mapeo

R1(config)#crypto map zx_map 100 ipsec-isakmp

R1(config-crypto-map)#match dirección 111

R1(config-crypto-map)#set peer 10.1.1.2

R1(config - crypto-map)#set transform-set zx

R1(config-crypto-map)#set segundos de duración de la asociación de seguridad 86400

R1(config-crypto-map)# set pfs group1

R1(config-crypto-map)#exit

//Configurar ACL

R1(config)#access-list 111 permit ip 192.168 . 1.10 0.0.0.255 192.168.2.10 0.0.0.255

//Aplicar el mapa de cifrado a la interfaz

R1(config)#interface s1/0

R1 (config-if)#crypto map zx_map

　2.Configuración en R2.

La configuración es básicamente la misma que la de R1. Solo necesitas cambiar los siguientes comandos:

R1(config)#crypto isakmp key 123456 dirección 10.1.1.1

R1 (config-crypto-map)#set peer 10.1.1.1

R1(config)#access-list 111 permitir ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

3. Depuración experimental.

Utilice los siguientes comandos en R1 y R2 respectivamente para ver la información de configuración.

R1#show crypto ipsec ?

sa tabla IPSEC SA

transform-set Conjuntos de transformación criptográfica

R1#show crypto isakmp ?

policy Mostrar la política del conjunto de protección ISAKMP

sa Mostrar asociaciones de seguridad ISAKMP

4. Puntos de conocimiento relacionados.

Cifrado simétrico o cifrado de clave privada: se utiliza la misma clave privada para el cifrado y descifrado

DES--estándar de cifrado de datos estándar de cifrado de datos

3DES-- Estándar de cifrado de datos 3 veces Estándar de cifrado de datos triple

AES: estándar de cifrado avanzado

Algunas tecnologías proporcionan verificación:

MAC: código de autenticación de mensajes

HMAC: código de autenticación de mensajes basado en hash

MD5 y SHA son funciones hash que proporcionan verificación

Se utiliza cifrado simétrico para datos de gran capacidad, porque las estaciones de cifrado asimétricas utiliza muchos recursos de CPU

Cifrado de clave pública o asimétrica:

RSA rivest-shamir-adelman

Utiliza clave pública para cifrar y clave privada para descifrar. La clave pública es pública, pero sólo el propietario de la clave privada puede descifrarla

Dos algoritmos de hash comunes:

HMAC-MD5 utiliza una clave privada compartida de 128 bits

HMAC-SHA-I utiliza una clave privada de 160 bits

Protocolo ESP: se utiliza para proporcionar confidencialidad, autenticación de fuente de datos, integridad sin conexión y servicios anti-reproducción, y estos servicios dependen de las elecciones realizadas. durante el establecimiento e implementación de SA para limitar la confidencialidad del tráfico evitando el análisis del tráfico.

El cifrado se completa mediante el algoritmo DES o 3DES. La autenticación opcional y la integridad de los datos son proporcionadas por HMAC, SHA-I con clave o MD5

IKE: intercambio de claves de Internet: proporciona autenticación de pares IPSEC, negocia claves IPSEC y asociaciones de seguridad IPSEC

Componentes que implementan IKE

1: des, 3des utilizados para el cifrado

2: Protocolo de cifrado Diffie-Hellman basado en claves públicas Permite que la otra parte establezca una clave pública en un entorno no seguro canal, que se utiliza para establecer una clave de sesión en IKE. El grupo 1 representa 768 bits, el grupo 2 representa 1024 bits

　3: MD5, SHA: el algoritmo hash para verificar paquetes de datos.

Firma RAS: basada en un sistema de cifrado de clave pública;