RTFM && WTFN - backup

User Tools

Site Tools

Trace: JN0-332: IPSec VPNs Сброс пароля root на Juniper SRX Замена коммутатора Mellanox работающего в MLAG кластере Прочее start
workbook:jno-332:332_ipsec

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
workbook:jno-332:332_ipsec [2017/05/30 12:40] – [Фазы IKE] kworkbook:jno-332:332_ipsec [2021/08/12 08:35] (current) – external edit 127.0.0.1
Line 1: Line 1:
-===== 332 IPSec VPNs ======+===== JN0-332IPSec VPNs ======
 ** Необходимые знания по IPSec: ** ** Необходимые знания по IPSec: **
   * Identify the concepts, benefits and operation of IPSec VPNs:   * Identify the concepts, benefits and operation of IPSec VPNs:
Line 87: Line 87:
 При ручном обмене обычно с обоих сторон ставят один ключи и его всегда используют, передать этот ключ можно, например. на флешке. Часто менять ключ сложно т.к. его каждый раз надо надежным способом доставить  и настроить.  При ручном обмене обычно с обоих сторон ставят один ключи и его всегда используют, передать этот ключ можно, например. на флешке. Часто менять ключ сложно т.к. его каждый раз надо надежным способом доставить  и настроить. 
  
-При автоматическом обмене флешку возить не надо, но надо как-то безопасным образом передавать ключи через интернет. Для этого используют протокол Diffie-Hellman с помощью которого две стороны получают общий секретный ключ который в дальнейшем используются при не симметричном шифровании.+При автоматическом обмене флешку возить не надо, но надо как-то безопасным образом передавать ключи через интернет. Для этого используют протокол Diffie-Hellman с помощью которого две стороны получают общий секретный ключ который в дальнейшем используются при не **(Перечитать!!)** симметричном шифровании.
  
 === DH === === DH ===
Line 240: Line 240:
  
 В ходе первой фазы согласовываются следующие параметры: В ходе первой фазы согласовываются следующие параметры:
-  * Протокол шифрации+  * Алгоритм шифрования 
   * Алгоритм хэширования   * Алгоритм хэширования
   * Метод аутентификации   * Метод аутентификации
Line 248: Line 248:
   * Группа Diffie-Hellman   * Группа Diffie-Hellman
  
-== Main mode == +**Main mode**
 {{|Вставить картинку с chapter7-10}} {{|Вставить картинку с chapter7-10}}
  
Line 264: Line 264:
 </code> </code>
  
 +**Message3 и Message4** - алгоритм DH обменялся публичными данными и сформировал симметричный ключ. Дальнейший обмен уже шифруется. 
  
 +**Message5 и Message6** - пиры аутентифицируют друг друга выбранным методом (preshared key, open key, digital signature) и фаза1 успешно завершается. 
  
 +**Aggresive mode**
 +Используется когда один из пиров имеет динамический ip адрес или стоит за натом т.к. в main mode первые два сообщения используют внешние адреса при формировании куков. Пир с динамическим адресом достоверное не знает его. 
  
 +{{|Вставить картинку с chapter7-11}}
  
 +**Message1** - пир с динамическим адресом посылает куки, SA пропосал, публичные ключ алгорима DH. 
 +
 +**Message2** - пир со статическим адресом посылает ответные куки, сообщение о принятии SA пропосал, свою публичное ключ алгорима DH. Дальнейший обмен уже шифруется.
 +
 +**Message3** - пир с динамическим адресом посылает один из ключей (preshared key, open key, digital signature) и если все хорошо, то второй пир аутентифицирует первого и фаза 1 успешно завершается. 
 +
 +=== Фаза 2  ===
 +{{|Вставить картинку с chapter7-12}}
 +
 +**Message1 и Message2** - пиры обмениваются и согласовывают SA пропосалами. \\
 +SA пропосал включает в себя:
 +  * IPSec протокол - ESP или AH
 +  * Группу DH (0 если не формируем новый общий симметричный ключ)
 +  * Алгоритм шифрования 
 +  * Алгоритм хэширования
 +  * Время жизни ключа (время и/или объем переданных данных) 
 +  * Proxy ID
 +  * Публичные ключи DH
 +
 +<code>
 +{primary:node0}[edit security ipsec]
 +admin@srx650-master# set proposal DEFAULT-FILIALS-IPSEC-PROPOSAL ?
 +Possible completions:
 +  <[Enter]>            Execute this command
 ++ apply-groups         Groups from which to inherit configuration data
 ++ apply-groups-except  Don't inherit configuration data from these groups
 +  authentication-algorithm  Define authentication algorithm
 +  description          Text description of IPSec proposal
 +  encryption-algorithm  Define encryption algorithm
 +  lifetime-kilobytes   Lifetime, in kilobytes (64..4294967294 kilobytes)
 +  lifetime-seconds     Lifetime, in seconds (180..86400 seconds)
 +  protocol             Define an IPSec protocol for the proposal
 +  |                    Pipe through a command
 +
 +{primary:node0}[edit security ipsec]
 +admin@srx650-master# show
 +...
 +proposal DEFAULT-FILIALS-IPSEC-PROPOSAL {
 +    protocol esp;
 +    authentication-algorithm hmac-sha1-96;
 +    encryption-algorithm aes-256-cbc;
 +    lifetime-seconds 3600;
 +}
 +...
 +policy DEFAULT-FILIALS-VPN-POLICY {
 +    perfect-forward-secrecy {
 +        keys group5;
 +    }
 +    proposals DEFAULT-FILIALS-IPSEC-PROPOSAL;
 +}
 +</code>
 +
 +**Message3** - принимаем пропосал, поднимаем пару SA IPSEC и успешно завершаем вторую фазу. 
 +
 +==== IPSec: Передача трафика ====
 +IPSec может работать в двух режимах:
 +  * Транспортный - в транспортном режиме шифруются только данные ip пакета, а заголовок (информация о изначальных ip адресах) не меняется и не шифруются. \\ Такой режим используется когда надо зашифровать данные внутри иного туннеля, например L2PT. 
 +  * Туннельный - шифруется весь ip и сверху добавляются новые ip заголовки. Это основной режим работы. 
 +
 +==== Протоколы IPSec ====
 +  * AH (Authentication Header) - протокол отвечает за:
 +    * Целостность данных (integrity, MD5/SHA-1) 
 +    * Аутентификацию данных 
 +    * Номер протокола **51** (/etc/protocols)
 +    * **Не** обеспечивает шифрование      
 +  * ESP (Encapsulating Security Payload) - протокол отвечает за: 
 +    * Целостность данных (integrity) 
 +    * Аутентификацию данных 
 +    * Номер протокола **50** (/etc/protocols)
 +    * Шифрует данные (DES, AES)
 +         
 ---- ----
 +
 +==== Настройка ====
 +
 +<code>
 +admin@srx650-master> show configuration security ike
 +...
 +proposal DEFAULT-FILIALS-IKE-PROPOSAL {
 +    authentication-method pre-shared-keys;
 +    dh-group group5;
 +    authentication-algorithm sha1;
 +    encryption-algorithm aes-256-cbc;
 +    lifetime-seconds 86400;
 +}
 +...
 +policy IKE-POLICY-MSK-01 {
 +    mode main;
 +    proposals DEFAULT-FILIALS-IKE-PROPOSAL;
 +    pre-shared-key ascii-text "$9$ixxxxxxxxxxxxxxxxxxxxxxxxxxxx6At"; ## SECRET-DATA
 +}
 +policy IKE-POLICY-MSK-01-PTP {
 +    mode main;
 +    proposals DEFAULT-FILIALS-IKE-PROPOSAL;
 +    pre-shared-key ascii-text "$9$kxxxxxxxxxxxxxxxxxxxfz"; ## SECRET-DATA
 +}
 +...
 +gateway IKE-GW-MSK-01 {
 +    ike-policy IKE-POLICY-MSK-01;
 +    address 147.45.yyy.xxx;
 +    dead-peer-detection always-send;
 +    external-interface reth0.261;
 +}
 +gateway IKE-GW-MSK-01-PTP {
 +    ike-policy IKE-POLICY-MSK-01-PTP;
 +    address 10.11.5.5;
 +    dead-peer-detection always-send;
 +    external-interface reth0.162;
 +}
 +...
 +</code>
 +
 +<code>
 +{primary:node0}
 +admin@srx650-master> show configuration security ipsec
 +...
 +proposal DEFAULT-FILIALS-IPSEC-PROPOSAL {
 +    protocol esp;
 +    authentication-algorithm hmac-sha1-96;
 +    encryption-algorithm aes-256-cbc;
 +    lifetime-seconds 3600;
 +}
 +...
 +policy DEFAULT-FILIALS-VPN-POLICY {
 +    perfect-forward-secrecy {
 +        keys group5;
 +    }
 +    proposals DEFAULT-FILIALS-IPSEC-PROPOSAL;
 +}
 +...
 +vpn IKE-VPN-MSK-01 {
 +    bind-interface st0.5;
 +    ike {
 +        gateway IKE-GW-MSK-01;
 +        ipsec-policy DEFAULT-FILIALS-VPN-POLICY;
 +    }
 +    establish-tunnels immediately;
 +}
 +vpn IKE-VPN-MSK-01-PTP {
 +    bind-interface st0.905;
 +    ike {
 +        gateway IKE-GW-MSK-01-PTP;
 +        ipsec-policy DEFAULT-FILIALS-VPN-POLICY;
 +    }
 +    establish-tunnels immediately;
 +}
 +...
 +</code>
 +
 +<code>
 +{primary:node0}
 +admin@srx650-master> show configuration interfaces st0
 +...
 +unit 5 {
 +    description vpn_to_msk-01;
 +    family inet {
 +        address 10.11.5.13/30;
 +    }
 +}
 +...
 +unit 905 {
 +    description vpn_to_msk-01_ptp;
 +    family inet {
 +        address 10.11.5.9/30;
 +    }
 +}
 +</code>
 +
 +<code>
 +{primary:node0}
 +admin@srx650-master> show configuration security zones security-zone vpn
 +...
 +    st0.5 {
 +        host-inbound-traffic {
 +            system-services {
 +                ping;
 +                traceroute;
 +            }
 +            protocols {
 +                ospf;
 +            }
 +        }
 +    }
 +    st0.905 {
 +        host-inbound-traffic {
 +            system-services {
 +                ping;
 +                traceroute;
 +            }
 +            protocols {
 +                ospf;
 +            }
 +        }
 +    }
 +...
 +</code>
 +
 +<code>
 +{primary:node0}
 +admin@srx650-master> show route
 +...
 +192.168.5.0/24     *[OSPF/10] 5d 00:33:01, metric 2
 +                    > via st0.905
 +...
 +</code>
  
 ===== Полезные материалы ===== ===== Полезные материалы =====
Line 277: Line 486:
     * [[https://ru.wikipedia.org/wiki/IKE]]     * [[https://ru.wikipedia.org/wiki/IKE]]
  
 +{{tag>juniper jn0-332 exam}}
  
  
workbook/jno-332/332_ipsec.1496137217.txt.gz · Last modified: (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki