5) ESP - Eudemon Firewall IP-Sec Feature and Configuration
5) ESP - Eudemon Firewall IP-Sec Feature and Configuration
IP-SEC funcionalidades
& configuración
www.huawei.com
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page1
Objetivos
Describir el concepto de IPSec
Describir IPSec SA
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page2
Concepto de IPSec
Comunicación con seguridad
Confidencialidad
Integridad de la información
Autentificación de la información
Anti-replay
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page3
Aplicación de IPSEC en la red
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page4
IPSec SA
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page6
Protocolos de IPSec
AH
AH provee funciones como autentificación del origen, integridad
de datos, and anti-replay. No puede encriptar paquetes
ESP
Provee las funciones de encripcion aparte de las funciones
provistas por el AH.
IKE
Internet Key Exchange (IKE) es un protocolo que provee la auto-
negociacion de la llave intercambiada y el establecimiento de la
security association (SA), mantiene los servicios simples de usar
para IPSEC
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page7
Modos de encapsulación
IPSec tiene 2 modos de encapsulación:
Modo Transporte : AH o ESP es insertado después del
encabezado IP , pero antes del encabezado de transporte
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page8
Modo de transporte
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page9
Modo Tunel
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page10
Ejemplo con TCP
Autentificacion y Encripcion
Algoritmos de autentificación
Message Digest 5 (MD5)
Algoritmos de encripcion
Data Encryption Standard (DES)
3DES
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page12
Modos de negociación
Hay dos modos de negociación disponibles para
establecer un SA:
Modo manual
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page13
IKE
Simplifica el uso y administración de IPSEC mediante la
negociación automática de la llave de intercambio y el
establecimiento del SA para IPSEC
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page14
Mecanismos de IKE
Diffie-Hellman (DH)
Intercambiar y compartir la distribución de la llave.
Identity authentication
Identity protection
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page15
Modos de negociación IKE
Como es definido en el RFC 2409, en la negociación IKE
Fase 1 , existen 2 modos de negociación que son
adoptados :
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page16
Implementación de IPSec en VRP
El proceso para configurar IPSEC es:
1. Usar una ACL para definir los flujos que van a ser protegidos.
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page17
Idea de configurar IPSec en el
Eudemon
Proveer diferente protección y seguridad para diferentes flujos
de información
Los diferentes flujos de información son seleccionados mediante :
El uso de ACL para definir.
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page18
Pasos para configurar un tunel de
IPSec con IKE
Definir ACL
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page19
Requerimiento de Red
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
EudemonA EudemonB
IPSec Tunnel
Establecer un tunnel de IPSEC con IKE, los requerimientos son :
Modo de encapsulación es : tunnel mode
Protocolo de seguridad : ESP
Algoritmo de encripcion ESP : DES
Algoritmo de autentificación ESP : SHA1
Duración de la ISAKMP SA : 5000 Secs
Algoritmo de integración : HMAC-MD5-96
Llave compartida para el peer IKE : abcde
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page20
Configurar IPSec Proposal en EudemonA
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonA-ipsec-proposal-tran1] quit
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page21
Configurar IKE Proposal en EudemonA
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonA-ike-proposal-10] quit
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page22
Configurar IKE Peer en EudemonA
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonA-ike-peer-b] ike-proposal 10
[EudemonA-ike-peer-b] quit
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page23
Configurar IPSec Security Policy
enGE1/0/1
EudemonA
GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonA-ipsec-policy-isakmp-map1-10] ike-peer b
[EudemonA-ipsec-policy-manual-map1-10] quit
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page24
Configurar IPSec Proposal en EudemonB
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonB-ipsec-proposal-tran1] quit
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page25
Configurar IKE Proposal en EudemonB
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonB-ike-proposal-10] quit
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page26
Configurar IKE Peer en EudemonB
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonB-ike-peer-b] ike-proposal 10
[EudemonB-ike-peer-b] quit
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page27
Configurar IPSec Security Policy en
EudemonB
GE1/0/1 GE1/0/2 GE1/0/2 GE1/0/1
10.1.1.1/24 202.38.163.1/24 202.38.169.1/24 10.1.2.1/24
Red A Red B
Eudemon A Eudemon B
IPSec Tunnel
[EudemonB-ipsec-policy-isakmp-map1-10] ike-peer a
[EudemonB-ipsec-policy-manual-map1-10] quit
Copyright © 2009 Huawei Technologies Co., Ltd. All rights reserved. Page28
Thank you
www.huawei.com