Comunidade de Suporte da Cisco - Webcast ao Vivo:

(1)

Comunidade de Suporte da Cisco - Webcast ao Vivo:

Itzcoatl Espinosa

Cisco Support Engineer 04/06/14

GET VPN (Group Encrypted Transport

VPN): Configuração e Troubleshooting

(2)

Cisco Confidential 2

Webcast com Especialistas em Tecnologia da Comunidade Cisco

Especialista de hoje:

Itzcoatl Espinosa, Cisco Support Engineer

Engenheiro TAC

(3)

Especialistas ajudantes de hoje:

Webcast com Especialistas em Tecnologia da Comunidade Cisco

Ricardo Prado

Engenheiro TAC

Paulo de Aguiar

Engenheiro TAC

(4)

Obrigado por estar com a gente hoje!

Durante a apresentação, serão feitas algumas perguntas para o público.

Dê suas respostas, participe!

(5)

Obrigado por estar com a gente hoje!

https://supportforums.cisco.com/xxxxx

Se você quiser baixar uma cópia da apresentação de hoje, basta

clicar no link abaixo ou ir até a Comunidade de Suporte e buscar

este webcast na aba “Canto dos especialistas”.

(6)

Primeira Pergunta

Você sabe o qué é GETVPN (Group Encrypted Transport VPN)?

a) Eu tenho uma idéia básica do que é e como funciona.

b) Eu tenho conhecimento teórico sobre o tema, mas sem experiência prática.

c) Eu já trabalhei com GETVPN no laboratório.

d) Eu tenho GETVPN em uma rede de produção.

(7)

Agenda

• O qué é GETVPN?

• Conceitos básicos

• Implementação e Configuração

• Key Server em modo cooperativo (COOP KS)

• Verificação e solução de problemas

• Demo lab

(8)

(9)

GETVPN: Group Encrypted Transport Virtual Private Network

• Nova geração de VPNs para WAN que não utiliza túneis tradicionais ponto-a- ponto.

• Baseado em um modelo de membros confiáveis. Os membros de um grupo GETVPN podem comunicar-se uns com os outros usando uma política comum, de modo que a negociação IPSec entre GMs não é necessária.

• Escalável (conexão any-to-any).

• Preserva a origem e o destino do endereço IP no cabeçalho do pacote.

• Fornece segurança para conexões privadas WAN.

• Criptografa o tráfego em redes MPLS.

(10)

Conceitos básicos

• GDOI. (Group Domain of Interpretation). Protocolo ISAKMP utilizado para o gerenciamento de chaves. Ele é utilizado na comunicação entre os KS e GMs sobre a porta UDP 848.

• Key Server (KS). Controla e estabelece Associações de Segurança (SAs.) Manutenção das políticas e chaves do grupo.

• Group Member (GM). Cadastra-se com o servidor para obter o IPSEC SAs

(associações de segurança) que são necessários para criptografar o tráfego.

(11)

Conceitos básicos

• KEK (Key Encryption Key). Criptografa as mensagens de rekey entre o servidor e os membros do grupo.

• Tempo de vida KEK. Pelo menos 3 vezes a TEK.

crypto gdoi group GDOI-GROUP1 server local

rekey lifetime seconds 86400

• TEK (Traffic Encryption Key). IPSEC SA usado para a comunicação dos membros do grupo (GMs).

• Tempo de vida TEK. Valor recomendado: 2 horas:

crypto IPSec profile profile1

set security-association lifetime seconds 7200

(12)

Equipamentos e requisitos

• IOS imagem: 12.4(15)T8 e 12.4(22)T2

• IOS-XE imagem: 12.2(33)XNC

Referência: GETVPN_DIG_version_1_0_External.pdf

(13)

 GETVPN utiliza os seguintes passos:

1.Cadastro do GM ao Key Server

2. Autenticação e envio de políticas de criptografia KS (SAs) (KEK) 3. Envio de tráfego entre os GMs. (TEK)

4. Envio do Rekey.

GETVPN

Key Server

GM 1 GM 2

(14)

 Instale a chave RSA para o rekey. Exemplo:

 crypto key generate rsa modulus 1024 label REKEYRSA

 Verifique o status da chave

 show crypto key mypubkey rsa

 Se co-op KS será feito, a chave deve ser “exportable”.

 crypto key generate rsa modulus 1024 label REKEYRSA exportable

Configuração do Key Server

(15)

 Usado para enviar políticas.

 O KS monitora o tempo de vida (lifetime) da SA, e envia um rekey antes que ela expirar.

 As chaves podem ser distribuídas da forma unicast ou multicast.

Multicast. Usado em uma grande implantação. É escalável, mas requer uma infra-estrutura de roteamento em multicast.

Unicast. A GM precisa confirmar o recebimento do rekey ao KS.

Rekey (Distribuição de Chaves)

(16)

 As seguintes alterações gerarão rekey pelo Key Server.

Altere a crypto ACL.

Modifique o IPSec transformar set.

Altere o tipo de rekey (unicast para multicast, ou vice-versa).

Mude o endereço multicast do rekey.

Alterar chave RSA.

Modificar as configurações de perfil do crypto Ativar ou desativar a detecção de anti-replay.

Rekey (Distribuição de Chaves)

(17)

 Instale KS em locais geograficamente separados.

 Pode ser usado o rekey unicast em implantações até 2.000 GMs.

 Use certificados em vez de chave “pre-shared” para escalabilidade e segurança.

 Quando há mais de 1000 GMs e as políticas são grandes, as

mensagens do rekey podem ser muito grandes também. Às vezes, é recomendado aumentar o tamanho da memória dos buffers no KS.

 buffers huge size 64000

Implementação do GETVPN

(18)

 A rede deve ser acessível entre os KS e os membros do grupo.

 O roteador CE (Customer Edge) deve ter o hardware de criptografia apropriado para lidar com a quantidade de tráfego esperado.

 Se houver um firewall no meio, certifique-se que não estão bloqueados os seguintes protocolos :

 GDOI (UDP 848).

 ESP (IP 50).

 O servidor de NTP e a Autoridade Certificadora (CA) devem ser acessíveis.

 O cadastro dos membros pode ser equilibrada entre os Key Servers.

Implementação do GETVPN

(19)

 Recomenda-se reduzir a configuração tanto quanto seja possível.

 Colocar entradas de permit e ao final ter o deny any any implícito.

 Não utilizar portas para definir o ACL.

 Há um limite de 100 entradas na ACL, contudo, ter visto problemas de desempenho em configurações menores.

 Utilizar uma configuração simétrica e resumir redes para evitar o consumo da memória:

 Ejemplo: permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0

Configuração do ACL do crypto

(20)

KS1#show run

crypto isakmp policy 1 Políticas Fase I

encr 3des

!

crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac

!

crypto ipsec profile profile1 Perfil que utiliza o transform

set transform-set 3des-sha set

!

crypto gdoi group group1 Gerar o grupo do GETVPN

identity number 1111 Identificador do grupo

server local

rekey address ipv4 rekey_mul Tipo de rekey utilizado

rekey retransmit 10 number 2

rekey authentication mypubkey rsa REKEYRSA Chave usada para o rekey

sa ipsec 1 Políticas de Fase II (IPSEC)

profile profile1

match address ipv4 getvpn_acl Crypto ACL

replay time window-size 40

address ipv4 10.10.10.1 Endereço do servidor

Configuração do Key Server

(21)

Continuação

!

ip access-list extended getvpn_acl ACL do criptografado

permit ip host 3.3.3.3 host 4.4.4.4 permit ip host 4.4.4.4 host 3.3.3.3

!

ip access-list extended rekey_mul ACL para o rekey em multicast permit ip host 10.10.10.1 host 239.0.1.2

permit ip host 20.20.20.1 host 239.0.1.2

!

ntp source Loopback0 Configuração do NTP

ntp master 1

Configuração do Key Server

(22)

GM#show run

crypto isakmp policy 1 Políticas de Fase I

encr 3des

!

crypto gdoi group group1 Gerar o grupo do GETVPN

identity number 1111 Identificador do grupo

server address ipv4 10.10.10.1 Servidor primário para o cadastro server address ipv4 20.20.20.1 Servidor secundário

!

crypto map gdoi_map 1 gdoi Aplicação do grupo no crypto map set group group1

!

interface Loopback0

ip address 3.3.3.3 255.255.255.255

!

interface Ethernet0/0 Aplicação do crypto map na interface ip address 192.168.3.1 255.255.255.0

crypto map gdoi_map

Configuração do Group Member (GM)

(23)

(24)

Você sabe o que é GETVPN em modo cooperativo ?

a) Conheço o conceito.

b) Eu tenho o conhecimento teórico necessário.

c) Eu fiz o GETVPN no laboratório.

d) Eu tenho GETVPN em modo cooperativo em uma rede em produção.

Segunda Pergunta

(25)

 Usado em grandes implantações para garantir redundância e cadastro de todos os GMs.

 O KS principal é responsável pela criação e distribuição das políticas de criptografia.

 Ele envia atualizações para os outros KS para manter a sincronia.

 O KS secundário mantém o controle do estado do KS primário (Alive o Dead).

 Se os KS secundários param de receber mensagens do COOP. O KS secundário muda para o estado primário.

 O cadastro pode ser feito em qualquer KS para realizar o balanceamento de carga, no entanto, apenas o KS primário faz a distribuição das mensagens do rekey.

Coop Key Server

(26)

 Gerar uma chave RSA e exporta-la para os outros Key Servers.

 A escolha do KS primário se baseia na mais alta prioridade.

 Ativar os ISAKMP keepalives (Dead Peer Detection - DPD).

 As configurações de GETVPN devem ser iguais entre os Key Servers.

 Se certificados PKI são usados para autenticar a Fase I, recomendamos o uso de uma chave RSA diferente.

Coop Key Server

Key Server 1

GM 1 GM 2

Key Server 2

(27)

 Gerar um tipo de chave exportável

 crypto key generate rsa modulus 1024 label REKEYRSA exportable

 Exporte a chave RSA

 crypto key export rsa REKEYRSA pem terminal 3des <pass code>

 Importar a chave em outros KSs.

 crypto key import rsa REKEYRSA pem terminal <pass code>

 Configure o Key Server em modo cooperativo

crypto isakmp keepalive 15 periodic Ativar keepalive

!

crypto gdoi group GDOI-GROUP1 server local

address ipv4 10.0.0.1 Endereço do KS local

redundancy Ativar redundância

local priority 250 Prioridade para a escolha

peer address ipv4 10.0.6.1 Endereço do KS secundário

Configuração do Coop Key Server

(28)

(29)

 Cadastro com sucesso de um membro

May 10 22:56:23.871: %CRYPTO-5-GM_REGSTER: Start registration to KS 10.10.10.1 for group group1 using address 3.3.3.3

May 10 22:56:24.051: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE May 10 22:56:24.051: ISAKMP:(1005):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE May 10 22:56:24.055: GDOI:INFRA:(0): Completed KEK Processing

May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E

May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E

May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111):Completed processing 2 GDOI SA TEK Payloads

May 10 22:56:24.055: ISAKMP:(1005): sending packet to 10.10.10.1 my_port 848 peer_port 848 (I) GDOI_IDLE May 10 22:56:24.055: %GDOI-5-GM_REGS_COMPL: Registration to KS 10.10.10.1 complete for group group1 using address 3.3.3.3

May 10 22:56:24.059: GDOI:GM:(0):Registration installed 2 new ipsec SA(s) for group group1.

Cadastro do Group Member

(30)

KS1_CA#show cry gdoi GROUP INFORMATION

Group Name : group1 (Multicast) Group Identity : 1111

Group Members : 2 IPSec SA Direction : Both Active Group Server : Local Redundancy : Configured Local Address : 10.10.10.1 Local Priority : 250

Local KS Status : Alive Local KS Role : Primary

Group Rekey Lifetime : 86400 secs Group Rekey

Remaining Lifetime : 86005 secs Rekey Retransmit Period : 10 secs Rekey Retransmit Attempts: 2 Group Retransmit

Remaining Lifetime : 0 secs

Verificação do Key Server

IPSec SA Number : 1

IPSec SA Rekey Lifetime: 3600 secs Profile Name : profile1

Replay method : Time Based Replay Window Size : 40

SA Rekey

Remaining Lifetime : 2516 secs

ACL Configured : access-list getvpn_acl

Group Server list : Local

(31)

Verificação do Group Member

GM1#show crypto gdoi GROUP INFORMATION

Group Name : group1 Group Identity : 1111 Rekeys received : 0 IPSec SA Direction : Both

Active Group Server : 10.10.10.1 Group Server list : 10.10.10.1 20.20.20.1

GM Reregisters in : 2426 secs Rekey Received : never

Rekeys received Cumulative : 0 After registration : 0

ACL Downloaded From KS 10.10.10.1:

access-list permit ip host 3.3.3.3 host 4.4.4.4 access-list permit ip host 4.4.4.4 host 3.3.3.3

KEK POLICY:

Rekey Transport Type : Multicast Lifetime (secs) : 86400

Encrypt Algorithm : 3DES Key Size : 192

Sig Hash Algorithm : HMAC_AUTH_SHA Sig Key Length (bits) : 1024

TEK POLICY for the current KS-Policy ACEs Downloaded:

Ethernet0/0:

IPsec SA:

spi: 0x22AF9D8E(581934478)

transform: esp-3des esp-sha-hmac

sa timing:remaining key lifetime (sec): (2549)

Anti-Replay(Time Based) : 40 sec interval

(32)

 Uma vez cadastrado, verifique o rekey:

GM1#show cry isakmp sa

IPv4 Crypto ISAKMP SA

dst src state conn-id status

239.0.1.2 10.10.10.1 GDOI_REKEY 1006 ACTIVE 10.10.10.1 3.3.3.3 GDOI_IDLE 1005 ACTIVE

 Os GMs devem receber periodicamente o rekey.

GM#00:02:51: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 1 GM# 00:03:02: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 2 GM# 00:03:12: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 3

Verificação do Group Member

(33)

Verificação do Coop KS

KS1_CA#show cry gdoi ks coop Crypto Gdoi Group Name :group1

Group handle: 2147483650, Local Key Server handle: 2147483650

Local Address: 10.10.10.1 Local Priority: 250

Local KS Role: Primary , Local KS Status: Alive Primary Timers:

Peer Sessions:

Session 1:

Server handle: 2147483651 Peer Address: 20.20.20.1 Peer Priority: 100

Peer KS Role: Secondary , Peer KS Status:

Alive

Antireplay Sequence Number: 4

IKE status: Established Counters:

KS2#show crypto gdoi ks coop Crypto Gdoi Group Name :group1

Group handle: 2147483650, Local Key Server handle:

2147483650

Local Address: 20.20.20.1 Local Priority: 100

Local KS Role: Secondary , Local KS Status: Alive Secondary Timers:

Peer Sessions:

Session 1:

Server handle: 2147483651 Peer Address: 10.10.10.1 Peer Priority: 250

Peer KS Role: Primary , Peer KS Status: Alive Antireplay Sequence Number: 183

IKE status: Established Counters:

(34)

GM2#show crypto ipsec sa

interface: Ethernet0/0

Crypto map tag: gdoi_map, local addr 4.4.4.4

local ident (addr/mask/prot/port): (4.4.4.4/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0) current_peer 0.0.0.0 port 848

PERMIT, flags={origin_is_acl,}

#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5

local crypto endpt.: 4.4.4.4, remote crypto endpt.: 0.0.0.0 path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0x22AF9D8E(581934478) PFS (Y/N): N, DH group: none

inbound esp sas:

spi: 0x22AF9D8E(581934478)

transform: esp-3des esp-sha-hmac ,

outbound esp sas:

spi: 0x22AF9D8E(581934478)

Tráfego criptografado nos GMs

(35)

 No Key Server

 Show crypto gdoi

 Show crypto gdoi ks acl

 Show crypto gdoi ks coop

 Show crypto gdoi ks members

 Show crypto gdoi ks policy

 No Group Member

 Show crypto gdoi

 Show crypto gdoi gm acl

 Show crypto gdoi gm rekey

 Show crypto gdoi ipsec sa

 Show crypto isakmp sa

 Show crypto ipsec sa

Comandos úteis

(36)

 Limpar o túnel

Clear crypto sa Clear crypto isakmp Clear crypto gdoi

 Nota: O comando ”clear crypto gdoi" executado no Key Server, limpa todos os cadastros.

 Debugs

debug crypto gdoi ? error Error level event Event level gm Group Member ks Key Server packet Packet level

 NOTA: A ativação dos debugs em um ambiente de produção pode causar problemas de desempenho nos roteadores.

Comandos úteis

(37)

 Verifique a conectividade entre os GMs e KS (ping).

 Se o KS está atrás de um firewall, verifique se o GDOI (UDP 848) estar permitido.

 Se você tiver rekey em multicast, verifique se o roteador está ativado para roteamento em multicast.

 A fase 1 de IKE é usada para o cadastro, verifique que as políticas entre o KS e GM são iguais.

 Se existe um grande número de GMs tentando se cadastrar ao mesmo tempo pode causar high CPU no KS.

 Ao usar certificados, verifique se eles estão corretos e são válidos.

Problemas no cadastro do Group Member

(38)

 A falha pode ser causada por uma diferença no SPI(Security Payload Index) entre os GMs por alguma divisão na rede.

 Essa divisão faz com que os Key Servers percam a sincronia e cada um envia as suas próprias chaves TEK.

 Verifique se eles estão usando o mesmo SPI e restaure a comunicação entre os Key Servers.

Falha de criptografia no GM

(39)

Qual das seguintes alterações não irão gerar um tiro do rekey?

a) Mudar a ACL crypto

b) Alterar o tipo de unicast para multicast rekey. .

c) Alterar o endereço IP do rekey multicast.

d) Mudar o tamanho da janela de anti-replay.

Pergunta 3

(40)

(41)

Lab Demo: Topología

(42)

 GETVPN deployment guide

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps7180/deployment_guide_c 07_554713.html

 GETVPN

http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htgetvpn.html#wp1159160

 Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide

http://tools.cisco.com/search/results/display?url=http%3a%2f%2fwww.cisco.com%2fc%2fdam%2fen%2fus

%2fproducts%2fcollateral%2fsecurity%2fgroup-encrypted-transport-

vpn%2fGETVPN_DIG_version_1_0_External.pdf&pos=2&query=getvpn+scalability

Referências

(43)

Envie sua pergunta agora!

Use o painel Q&A para enviar suas perguntas, os

especialistas irão responder ao vivo!

(44)

Evento Pergunte aos Especialistas com Itzcoatl Espinosa

Se você quiser tirar mais dúvidas com o nosso especialista, ele estará respondendo a perguntas entre os dias 04 e 13 de Junho, neste link:

https://supportforums.cisco.com/pt/community/3746/ask-the-expert

O vídeo, a apresentação e as perguntas e respostas serão disponibilizados até a terça-feira da semana que vem no link:

https://supportforums.cisco.com/pt/community/2601/webcasts

(45)

Qualifique o conteúdo da Cisco Support Community em Português

Agora é possível qualificar

discussões, documentos, blogs

e vídeos!!!

(46)

Spotlight Awards (Prêmio Participantes em Detaque)

 O prêmio “participantes em destaque” foi criado em 2012 na comunidade global da Cisco e é usado para reconhecer àqueles membros que dão um contribuição

significativa para a comunidade de suporte da Cisco e que além de tudo exercem um papel de liderança dentro da comunidade em distintas categorias

 Foi lançado na comunidade em português, em 1 de dezembro de 2013 e conta com a categoria “O Novato”.

 Mais detalhes sobre o premio, podem ser consultados no link:

https://supportforums.cisco.com/pt/community/11990816/participantes_em_destaque

(47)

Convidamos você a participar da CSC em português e em nossas redes sociais

https://supportforums.cisco.com/community/5141/comunidade-de-suporte-cisco-em- portugues

Portugal: http://www.facebook.com/ciscoportugal Brasil: http://www.facebook.com/CiscoDoBrasil Portugal: https://twitter.com/CiscoPortugal

Brasil: http://twitter.com/CiscoDoBrasil

Portugal: http://www.youtube.com /user/ciscoportugal

Brasil: http://www.youtube.com/user/ciscoDoBrasilTV

Portugal: http://ciscoportugalblog.wordpress.com/

(48)

Por favor complete o formulário de avaliação e dê sugestões de temas para os próximos webcasts!

Muito Obrigado

por assistir.

(49)