5) ESP - Eudemon Firewall IP-Sec Feature and Configuration

Eudemon Firewall
IP-SEC funcionalidades
& configuración
www.huawei.com
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved.

Introducción
IPSEC es definido por Internet Engineering Task Force
(IETF). Esta familia de protocolos tiene gran calidad e
interoperabilidad con criptologia basada en la seguridad
de los paquetes.
Los equipos configurados con IPSEC pueden encriptar la

información, autentificar el origen del paquete y mejorar
la confidencialidad.
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page1
Objetivos
Describir el concepto de IPSec
Describir IPSec SA
Describir los protocolos de IPSec
Completar la configuracion de IPSec en el Eudemon firewall
Concepto de IPSec
Comunicación con seguridad
Confidencialidad
Integridad de la información
Autentificación de la información
Anti-replay
Aplicación de IPSEC en la red
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
IPSec provee un canal seguro de comunicación entre 2

peers de IPSec (2 nodos de comunicación).
IPSec SA
SA (Security Association) es la convención de algunos elementos en

los peers de IPSEC.
Por ejemplo , determina que protocolo debe ser aplicado (AH,ESP

o ambos)
También decide el modo de encapsulación a usar (modo transporte

or modo tunel), llaves de algoritmos (DES and 3DES), etc
IPSec SA
Un SA es identificado de manera única por 3 parámetros:

Security Parameter Index (SPI) – Identificador de 32 bit
para identificar el SA
Destination IP address
Security protocol ID - (AH or ESP)
Protocolos de IPSec
AH
AH provee funciones como autentificación del origen, integridad
de datos, and anti-replay. No puede encriptar paquetes
ESP
Provee las funciones de encripcion aparte de las funciones
provistas por el AH.
IKE
Internet Key Exchange (IKE) es un protocolo que provee la auto-
negociacion de la llave intercambiada y el establecimiento de la
security association (SA), mantiene los servicios simples de usar
para IPSEC
Modos de encapsulación
IPSec tiene 2 modos de encapsulación:
Modo Transporte : AH o ESP es insertado después del
encabezado IP , pero antes del encabezado de transporte
U otros encabezados IPSEC
Tunnel mode: AH o ESP es insertado antes del encabezado

IP pero después del nuevo encabezado IP
Modo de transporte
IP Header IP Data Paquete IP normal
IP Header IPSec Header IP Data Paquete IPSec
Nuevo segmento de datos

IP
Modo Tunel
IP Header IP Data Paquete normal IP
New IP Header IPSec Header IP Header IP Data Paquete IPSEC
Nuevo paquete de datos

IP
Ejemplo con TCP
Autentificacion y Encripcion
Algoritmos de autentificación
Message Digest 5 (MD5)
Secure Hash Algorithm (SHA-1)
Algoritmos de encripcion
Data Encryption Standard (DES)
3DES
Modos de negociación
Hay dos modos de negociación disponibles para
establecer un SA:
Modo manual
Negociación automática IKE (también llamada: Internet

Security Association and Key Management Protocol－
ISAKMP).
IKE
Simplifica el uso y administración de IPSEC mediante la
negociación automática de la llave de intercambio y el
establecimiento del SA para IPSEC
IKE tiene sus propios mecanismos de distribución de

llaves de forma segura , autentificar los IDS y establecer
SA de IPSEC para redes inseguras.
Mecanismos de IKE
Diffie-Hellman (DH)
Intercambiar y compartir la distribución de la llave.
Perfect Forward Secrecy

La desencripcion de la llave no tiene impacto en la
seguridad de otras llaves por que no hay una relación
derivada entre ellas.
Identity authentication
Identity protection
Modos de negociación IKE
Como es definido en el RFC 2409, en la negociación IKE
Fase 1 , existen 2 modos de negociación que son
adoptados :
Modo principal (Main Mode)

La información del intercambio de la llave es separada del ID y la
autentificación de la información.
Modo Agresivo (Aggressive mode)

Los payloads asociados con los SAs, intercambio de llaves, y
autentificación son transportados en un solo mensaje.
Implementación de IPSec en VRP
El proceso para configurar IPSEC es:
1. Usar una ACL para definir los flujos que van a ser protegidos.
2. Definir una SA (security proposal),y especificar el protocolo de

seguridad, algoritmo de autentificación, algoritmos de encripcion y
modo de encapsulación.
3. Definir una security policy o un grupo de security policy y

especificar la relación de asociacion entre un flujo de datos y una
propuesta de IPSEC, modo de negociación de SA, direcciones IP de
los peers, la llave requerida, y la duración del SA.
4. Aplicar la política de IPSEC en la interface.
Idea de configurar IPSec en el
Eudemon
Proveer diferente protección y seguridad para diferentes flujos
de información
Los diferentes flujos de información son seleccionados mediante ：
El uso de ACL para definir.
Diferente protección de seguridad：

Usando Security Proposal para diferenciar
Security Proposal：Protocolo de seguridad, algoritmos de
encripcion/autentificacion y modos de encapsulación
Se asocia el flujo de datos con la security proposal mediante :
Security Policy
Pasos para configurar un tunel de
IPSec con IKE
Definir ACL
Configurar IPSec Security Proposal
Configurar IKE Security Proposal
Configurar IKE Peer
Configurar IPSec Security Policy
Aplicar IPSec Security Policy
Requerimiento de Red
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
EudemonA EudemonB
IPSec Tunnel
Establecer un tunnel de IPSEC con IKE, los requerimientos son :
Modo de encapsulación es : tunnel mode
Protocolo de seguridad : ESP
Algoritmo de encripcion ESP : DES
Algoritmo de autentificación ESP : SHA1
Duración de la ISAKMP SA : 5000 Secs
Algoritmo de integración : HMAC-MD5-96
Llave compartida para el peer IKE : abcde
Configurar IPSec Proposal en EudemonA
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonA] ipsec proposal tran1
[EudemonA-ipsec-proposal-tran1] encapsulation-mode tunnel
[EudemonA-ipsec-proposal-tran1] transform esp
[EudemonA-ipsec-proposal-tran1] esp authentication-algorithm sha1
[EudemonA-ipsec-proposal-tran1] esp encryption-algorithm des
[EudemonA-ipsec-proposal-tran1] quit
Configurar IKE Proposal en EudemonA
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonA] ike proposal 10
[EudemonA-ike-proposal-10] authentication-method pre-share
[EudemonA-ike-proposal-10] authentication-algorithm md5
[EudemonA-ike-proposal-10] sa duration 5000
[EudemonA-ike-proposal-10] integrity-algorithm hmac-md5-96
[EudemonA-ike-proposal-10] quit
Configurar IKE Peer en EudemonA
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonA] ike peer b
[EudemonA-ike-peer-b] ike-proposal 10
[EudemonA-ike-peer-b] remote-address 202.38.169.1
[EudemonA-ike-peer-b] pre-shared-key abcde
[EudemonA-ike-peer-b] quit
Configurar IPSec Security Policy
enGE1/0/1
EudemonA
GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonA] ipsec policy map1 10 isakmp
[EudemonA-ipsec-policy-isakmp-map1-10] security acl 3000
[EudemonA-ipsec-policy-isakmp-map1-10] proposal tran1
[EudemonA-ipsec-policy-isakmp-map1-10] ike-peer b
[EudemonA-ipsec-policy-manual-map1-10] quit
Configurar IPSec Proposal en EudemonB
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonB] ipsec proposal tran1
[EudemonB-ipsec-proposal-tran1] encapsulation-mode tunnel
[EudemonB-ipsec-proposal-tran1] transform esp
[EudemonB-ipsec-proposal-tran1] esp authentication-algorithm sha1
[EudemonB-ipsec-proposal-tran1] esp encryption-algorithm des
[EudemonB-ipsec-proposal-tran1] quit
Configurar IKE Proposal en EudemonB
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonB] ike proposal 10
[EudemonB-ike-proposal-10] authentication-method pre-share
[EudemonB-ike-proposal-10] authentication-algorithm md5
[EudemonB-ike-proposal-10] sa duration 5000
[EudemonB-ike-proposal-10] integrity-algorithm hmac-md5-96
[EudemonB-ike-proposal-10] quit
Configurar IKE Peer en EudemonB
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonB] ike peer a
[EudemonB-ike-peer-b] ike-proposal 10
[EudemonB-ike-peer-b] remote-address 202.38.163.1
[EudemonB-ike-peer-b] pre-shared-key abcde
[EudemonB-ike-peer-b] quit
Configurar IPSec Security Policy en
EudemonB
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonB] ipsec policy map1 10 isakmp
[EudemonB-ipsec-policy-isakmp-map1-10] security acl 3000
[EudemonB-ipsec-policy-isakmp-map1-10] proposal tran1
[EudemonB-ipsec-policy-isakmp-map1-10] ike-peer a
[EudemonB-ipsec-policy-manual-map1-10] quit
Thank you
www.huawei.com

5) ESP - Eudemon Firewall IP-Sec Feature and Configuration

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

5) ESP - Eudemon Firewall IP-Sec Feature and Configuration

Cargado por

Copyright:

Formatos disponibles

Eudemon Firewall

Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved.

Los equipos configurados con IPSEC pueden encriptar la

Describir los protocolos de IPSec

Completar la configuracion de IPSec en el Eudemon firewall

IPSec provee un canal seguro de comunicación entre 2

SA (Security Association) es la convención de algunos elementos en

Por ejemplo , determina que protocolo debe ser aplicado (AH,ESP

También decide el modo de encapsulación a usar (modo transporte

Un SA es identificado de manera única por 3 parámetros:

Security protocol ID - (AH or ESP)

U otros encabezados IPSEC

Tunnel mode: AH o ESP es insertado antes del encabezado

IP Header IP Data Paquete IP normal

IP Header IPSec Header IP Data Paquete IPSec

Nuevo segmento de datos

IP Header IP Data Paquete normal IP

New IP Header IPSec Header IP Header IP Data Paquete IPSEC

Nuevo paquete de datos

Secure Hash Algorithm (SHA-1)

Negociación automática IKE (también llamada: Internet

IKE tiene sus propios mecanismos de distribución de

Perfect Forward Secrecy

Modo principal (Main Mode)

Modo Agresivo (Aggressive mode)

2. Definir una SA (security proposal),y especificar el protocolo de

3. Definir una security policy o un grupo de security policy y

4. Aplicar la política de IPSEC en la interface.

Diferente protección de seguridad：

Configurar IPSec Security Proposal

Configurar IKE Security Proposal

Configurar IKE Peer

Configurar IPSec Security Policy

Aplicar IPSec Security Policy

[EudemonA] ipsec proposal tran1

[EudemonA-ipsec-proposal-tran1] encapsulation-mode tunnel

[EudemonA-ipsec-proposal-tran1] transform esp

[EudemonA-ipsec-proposal-tran1] esp authentication-algorithm sha1

[EudemonA-ipsec-proposal-tran1] esp encryption-algorithm des

[EudemonA] ike proposal 10

[EudemonA-ike-proposal-10] authentication-method pre-share

[EudemonA-ike-proposal-10] authentication-algorithm md5

[EudemonA-ike-proposal-10] sa duration 5000

[EudemonA-ike-proposal-10] integrity-algorithm hmac-md5-96

[EudemonA] ike peer b

[EudemonA-ike-peer-b] remote-address 202.38.169.1

[EudemonA-ike-peer-b] pre-shared-key abcde

[EudemonA] ipsec policy map1 10 isakmp

[EudemonA-ipsec-policy-isakmp-map1-10] security acl 3000

[EudemonA-ipsec-policy-isakmp-map1-10] proposal tran1

[EudemonB] ipsec proposal tran1

[EudemonB-ipsec-proposal-tran1] encapsulation-mode tunnel

[EudemonB-ipsec-proposal-tran1] transform esp

[EudemonB-ipsec-proposal-tran1] esp authentication-algorithm sha1

[EudemonB-ipsec-proposal-tran1] esp encryption-algorithm des

[EudemonB] ike proposal 10

[EudemonB-ike-proposal-10] authentication-method pre-share

[EudemonB-ike-proposal-10] authentication-algorithm md5

[EudemonB-ike-proposal-10] sa duration 5000

[EudemonB-ike-proposal-10] integrity-algorithm hmac-md5-96

[EudemonB] ike peer a

[EudemonB-ike-peer-b] remote-address 202.38.163.1

[EudemonB-ike-peer-b] pre-shared-key abcde