Comandos básicos de Cisco IPSec
Resumen de los comandos básicos de Cisco IPSec
La seguridad del protocolo de Internet (IPSec) es un marco estándar abierto que utiliza servicios de seguridad cifrados para garantizar que el protocolo de Internet (IP) sea confidencial y seguro. comunicaciones a través de Internet. Entonces, ¿cómo configura Cisco IPSec? ¿Qué pasa con los comandos de configuración? ¡Echemos un vistazo conmigo!
1. Algunos comandos básicos de IPSec.
R1(config)#crypto ?
mapa dinámico Especificar una plantilla de mapa criptográfico dinámico
//Crear o modificar una plantilla de mapa criptográfico dinámico
ipsec Configurar política IPSEC
//Crear política de seguridad IPSec
isakmp Configurar política ISAKMP
//Crear política IKE
Clave Operaciones de clave a largo plazo
//Generar claves de cifrado para la sesión cifrada SSH del enrutador. Seguido de un valor, es el tamaño del módulo de clave, la unidad es bit
Mapa Ingresar un mapa criptográfico
//Crear o modificar una tabla de mapas de cifrado común
Router( config)#cryptodynamic-map ?
WORD Etiqueta de plantilla de mapa criptográfico dinámico
//WORD es el nombre de la tabla de mapas criptográficos dinámicos
Router(config)#crypto ipsec?
security-association Parámetros de asociación de seguridad
// duración de la asociación de seguridad ipsec, o no configurada, solo especifíquela en el mapa
transform-set Definir transformación y configuración
//Definir un conjunto de transformación ipsec (una combinación factible de protocolos y algoritmos de seguridad)
Router(config)#crypto isakmp
client Establecer política de configuración del cliente
//Crear un grupo de direcciones
enable Habilitar ISAKMP
//Habilitar política IKE, que está habilitada de forma predeterminada
Clave Establecer clave precompartida para un par remoto
//Establecer la clave
política Establecer política para un conjunto de protección ISAKMP
//Establecer la política IKE Prioridad
Router(config)#crypto key
generar Generar nuevas claves
//Generar nuevas claves
zeroize Quitar claves
//Quitar claves
Router(config)#crypto map
WORD Etiqueta de mapa criptográfico
// WORD es el nombre de la tabla del mapa
2. Algunos comandos importantes.
Política de router(config)#crypto isakmp
<1-10000> Prioridad del conjunto de protección
//Establezca la política IKE, política seguida de 1 - 10.000 números, estos números representan la prioridad de la política.
Router(config)#crypto isakmp Policy 100//Ingrese al modo de configuración de políticas IKE para realizar la siguiente configuración
Router(config-isakmp)#encryption ?//Establezca allí el adoptado Hay tres métodos de cifrado
3des Triple DES de tres claves
aes AES - Estándar de cifrado avanzado
des DES - Estándar de cifrado de datos (claves de 56 bits)
p>
Router(config-isakmp)#hash ? //El algoritmo hash utilizado, MD5 es de 160 bits y sha es de 128 bits.
md5 Message Digest 5
sha Secure Hash Standard
Router(config-isakmp)#authentication pre-share//Usar método de autenticación de clave precompartida
Router(config-isakmp)#group ?//Especifique el número de dígitos en la clave. Cuanto menor sea el número, mayor será la seguridad, pero más lenta será la velocidad de cifrado.
1 Diffie-Hellman grupo 1
2 Diffie-Hellman grupo 2
5 Diffie-Hellman grupo 5
Router(config-isakmp)#lifetime ? Especifique la duración de la asociación de seguridad, 60-86400 segundos
<60-86400> duración en segundos
Router(config)#crypto clave isakmp *** dirección XXX.XXX.XXX.XXX
//Establezca la clave para el intercambio IKE, *** indica la composición de la clave, XXX.XXX.XXX.XXX indica la dirección IP de la otra parte
Router(config)#crypto ipsec transform-set zx ?
// Configure el conjunto de intercambio IPsec, establezca el método de cifrado y el método de autenticación. zx es el nombre del conjunto de intercambio, que usted mismo también puede configurar. ser diferentes, pero otros parámetros deben ser consistentes.
transformación ah-md5-hmac AH-HMAC-MD5
transformación ah-sha-hmac AH-HMAC-SHA
transformación esp-3des ESP usando 3DES (EDE) cifrado (168 bits)
transformación esp-aes ESP usando cifrado AES
transformación esp-des ESP usando cifrado DES (56 bits)
esp -md5-hmac Transformación ESP usando autenticación HMAC-MD5
Transformación esp-sha-hmac ESP usando autenticación HMAC-SHA
Ejemplo: Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
Router(config)#crypto map map_zx 100 ipsec-isakmp
//Crea una tabla de mapeo de cifrado, zx es el nombre de la tabla, puedes defínalo usted mismo, 100 es la prioridad (rango opcional 1-65535). Si hay varias tablas, cuanto menor sea el número, mayor será la prioridad.
Router(config-crypto-map)#match address ?//Usar ACL para definir la comunicación cifrada
<100-199> Número de lista de acceso IP
WORD Nombre de la lista de acceso
Router(config-crypto-map)#set?
peer Permitido cifrado/descifrado peer.//Identificar la dirección IP del otro enrutador
p>pfs Especificar configuración de pfs//Especificar la longitud de la clave definida anteriormente, es decir, grupo
security-association Parámetros de asociación de seguridad//Especificar la vida útil de la asociación de seguridad
Transform-set Especifique la lista de conjuntos de transformación en orden de prioridad
//Especifique el conjunto de intercambio IPSEC utilizado por el mapa de cifrado
Router(config-if)# crypto map zx p>
/ /Ingrese la interfaz especificada del enrutador y aplique el mapa de cifrado a la interfaz, zx es el nombre del mapa de cifrado.
3. Un experimento de configuración.
Topología experimental:
1. Configuración en R1.
Router>enable
Router#config terminal
Ingrese los comandos de configuración, uno por línea. Termine con CNTL/Z. (config)#hostname R1
//Configurar la política IKE
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp política 100
R1(config-isakmp)#encryption des
R1(config-isakmp)#hash md5
R1(config-isakmp)#autenticación precompartida
R1(config-isakmp)#grupo 1
R1(config-isakmp)#vida útil 86400
R1(config-isakmp)#salida
//Configurar clave IKE
R1(config)#crypto clave isakmp 123456 dirección 10.1.1.2
//Crear conjunto de intercambio IPSec
R1 ( config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
//Crear mapa de cifrado de mapeo
R1(config)#crypto map zx_map 100 ipsec-isakmp
R1(config-crypto-map)#match dirección 111
R1(config-crypto-map)#set peer 10.1.1.2
R1(config - crypto-map)#set transform-set zx
R1(config-crypto-map)#set segundos de duración de la asociación de seguridad 86400
R1(config-crypto-map)# set pfs group1
R1(config-crypto-map)#exit
//Configurar ACL
R1(config)#access-list 111 permit ip 192.168 . 1.10 0.0.0.255 192.168.2.10 0.0.0.255
//Aplicar el mapa de cifrado a la interfaz
R1(config)#interface s1/0
R1 (config-if)#crypto map zx_map
2.Configuración en R2.
La configuración es básicamente la misma que la de R1. Solo necesitas cambiar los siguientes comandos:
R1(config)#crypto isakmp key 123456 dirección 10.1.1.1
R1 (config-crypto-map)#set peer 10.1.1.1
R1(config)#access-list 111 permitir ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255
3. Depuración experimental.
Utilice los siguientes comandos en R1 y R2 respectivamente para ver la información de configuración.
R1#show crypto ipsec ?
sa tabla IPSEC SA
transform-set Conjuntos de transformación criptográfica
R1#show crypto isakmp ?
policy Mostrar la política del conjunto de protección ISAKMP
sa Mostrar asociaciones de seguridad ISAKMP
4. Puntos de conocimiento relacionados.
Cifrado simétrico o cifrado de clave privada: se utiliza la misma clave privada para el cifrado y descifrado
DES--estándar de cifrado de datos estándar de cifrado de datos
3DES-- Estándar de cifrado de datos 3 veces Estándar de cifrado de datos triple
AES: estándar de cifrado avanzado
Algunas tecnologías proporcionan verificación:
MAC: código de autenticación de mensajes p>
HMAC: código de autenticación de mensajes basado en hash
MD5 y SHA son funciones hash que proporcionan verificación
Se utiliza cifrado simétrico para datos de gran capacidad, porque las estaciones de cifrado asimétricas utiliza muchos recursos de CPU
Cifrado de clave pública o asimétrica:
RSA rivest-shamir-adelman
Utiliza clave pública para cifrar y clave privada para descifrar. La clave pública es pública, pero sólo el propietario de la clave privada puede descifrarla
Dos algoritmos de hash comunes:
HMAC-MD5 utiliza una clave privada compartida de 128 bits
HMAC-SHA-I utiliza una clave privada de 160 bits
Protocolo ESP: se utiliza para proporcionar confidencialidad, autenticación de fuente de datos, integridad sin conexión y servicios anti-reproducción, y estos servicios dependen de las elecciones realizadas. durante el establecimiento e implementación de SA para limitar la confidencialidad del tráfico evitando el análisis del tráfico.
El cifrado se completa mediante el algoritmo DES o 3DES. La autenticación opcional y la integridad de los datos son proporcionadas por HMAC, SHA-I con clave o MD5
IKE: intercambio de claves de Internet: proporciona autenticación de pares IPSEC, negocia claves IPSEC y asociaciones de seguridad IPSEC
Componentes que implementan IKE
1: des, 3des utilizados para el cifrado
2: Protocolo de cifrado Diffie-Hellman basado en claves públicas Permite que la otra parte establezca una clave pública en un entorno no seguro canal, que se utiliza para establecer una clave de sesión en IKE. El grupo 1 representa 768 bits, el grupo 2 representa 1024 bits
3: MD5, SHA: el algoritmo hash para verificar paquetes de datos.
Firma RAS: basada en un sistema de cifrado de clave pública;