110 likes | 226 Views
Tecnologia GETVPN. Andrea Terren April,2010. Differenze da un tunnel E’ tunnel - less Ho la stessa sorgente e destinazione. UDP 848 per GDOI ( Group Domain of Interpretation ) ESP 50 ( Encapsulation security payload ). Key Servers (KS) e Group Members (GM)
E N D
Tecnologia GETVPN Andrea Terren April,2010
Differenze da un tunnel • E’ tunnel - less • Ho la stessa sorgente e destinazione. • UDP 848 per GDOI (Group Domain of Interpretation) • ESP 50 (Encapsulation security payload)
Key Servers (KS) e Group Members (GM) • Sono due entità diverse: la prima contiene le informazioni di tutti I tunnel, mentre I GMs ricevono le informazioni dal/i KSs • La configurazione e’ diversa da un Hub/Spoke perché il traffico non e’ forzato a passare attraverso l’Hub in questo caso
Key server • Sono responsabili di mantenere la policy map (crypto policy di fase 1) distribuire le informazioni relative alla SA tra i GMs. I messaggi GDOI servono a creare, mantenere e cancellare le SAs. • Group member • Si registrano con/i KS/s e ricevono le security associations (SAs IPSec) che arrivano dal KS.
Note: • L2L usa una crypto ACL usata in mirror nei due dispositivi. Devo aggiustare la crypto ACL da ambo le parti per permettere la corretta crittazione/decrittazione del flusso di traffico nel tunnel L2L • GRE tunnel matcha il traffico GRE da una parte all’altra del tunnel, usando un protocollo di routing dinamico o statico applicato sopra il tunnel GRE stesso. I dispositivi possono avere applicata una crypto ACL o tunnel protection
Processo di registrazione Il KS manda l’informazione ai vari GMs. • REGISTRAZIONE avviene in tre fasi: • Il GM manda una richiesta di registrazione al KS. Il KS autentica e autorizza il GM e invia la policy IPSEC per crittare e decrittare il traffico. • Dopo la registrazione, I GMs possono direttamente scambiare il traffico crittato. • Il KS manda un messaggio di re-key verso tutti i GMs prima che la SA esistente vada in timeout, contenente le nuove chiavi di fase 1 e 2.
Importanti note sulla tecnologia. • La stessa informazione viene usata per crittare e decrittare! Non ho 2 SA ! • L’header e’ preservato, quindi la rete deve essere raggiungibile – ovvero sorgente e destinazione di tutti I router deve essere nota attraverso il routing (topologia nota!) • Questa topologia di solito non funziona in Internet con reti pubbliche.
Configurazione KS • ISAKMP policy (fase 1) • Chiavi pubbliche per ogni altro KS o GM (se uso PSK) • Transform set • IPSEC profile con TS applicata al profilo IPSEC (fase 2) • Ogni KS mantiene un GDOI group. I parametri piu’ importanti sono: • Identity, rekey (con che frequenza faccio il rekey) • Definizione della SA – crypto ACL (quale traffico viene crittato) • Address / Addresses di altri KS in una lista se esiste piu’ di un KS
Configurazione GM • Isakmp policy (fase 1) • Chiavi Isakmp per il KS (se uso PSK) • Transform set • Applicata la TS ad un profilo IPSEC • Definizione del gruppo GDOI • Numero ID, indirizzo/i del KS • Applico il gruppo ad una crypto MAP • Applico la crypto MAP all’interfaccia
Configurazione • Esempio di configurazione • Andare in doc cd e cercare IOS security config guide Secure connectivity cisco group encryption GET VPN • http://www.cisco.com/en/US/products/ps6441/products_installation_and_configuration_guides_list.html • http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/12_4t/sec_secure_connectivity_12_4t_book.html • http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_encrypt_trns_vpn_ps6441_TSD_Products_Configuration_Guide_Chapter.html