Comunidadde Soportede Cisco en Español Webcast …...Comunidadde Soportede Cisco en Español...

Comunidad de Soporte de Cisco en Español Webcast en vivo:

Itzcoatl Espinosa, CCIE Seguridad #33540

HTTS TAC CSE

20 de mayo del 2014

Configuración y Resolución de problemas para GETVPN (Group Encrypted Transport Virtual Private Network)

Cisco Confidential 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.

• El experto del día de hoy es Itzcoatl Espinosa

• Haga sus preguntas acerca de: Configuración y Resolución de problemas para GETVPN (Group Encrypted Transport VPN)

Ingeniero TAC


Panel de Expertos

GETVPN: Configuración y Resolución de Problemas

Ricardo PradoIngeniero TAC

Paulo de AguiarIngeniero TAC


Gracias por su asistencia el día de hoy

La presentación incluirá algunas preguntas a la audiencia.

Le invitamos cordialmente a participar activamente en las preguntas que le haremos durante la sesión


Historial de Webcasts de la comunidad:

https://supportforums.cisco.com/es/community/5591/

comunidad-de-soporte-de-cisco-en-español

Puede encontrar los Webcast de la Comunidad de Soporte de

Cisco en español en:

¡ Ahora puede realizar sus preguntas al panel de expertos!

Use el panel de preguntas y respuestas (Q&A) para preguntar a los expertos

ahora. Ellos empezarán a responder.


Primera Pregunta a la audiencia

¿Qué tan familiarizado se encuentra con GETVPN (Group Encrypted

Transport VPN)?

a) Tengo una idea básica de qué es y para qué sirve.

b) Tengo conocimiento teórico acerca del equipo, pero sin

experiencia práctica.

c) He trabajado con el equipo en el laboratorio.

d) Lo tengo en una red en producción.

Itzcoatl EspinosaIngeniero TAC

20 de mayo 2014

Configuración e Resolución de problemas para GETVPN (Group Encrypted Transport VPN)


Agenda

• ¿Qué es GETVPN?

• Conceptos básicos

• Implementación y configuración

• Key Server en modo cooperativo (COOP KS)

• Verificación y resolución de problemas

• Demo lab


GETVPN: Group Encrypted Transport Virtual Private Network

• Nueva generación de VPNs para WAN que no utiliza los tradicionales túneles

punto a punto.

• Se basa en un modelo de seguridad de miembros confiables. Los miembros de

un grupo de GETVPN pueden comunicarse entre sí utilizando una política

común, por lo que no es necesario la negociación de IPSec entre los GMs.

• Escalable (conexión cualquier-a-cualquier)

• Preserva la dirección IP de origen y destino en el encabezado del paquete.

• Provee seguridad a conexiones WAN privadas.

• Cifra tráfico sobre redes de MPLS.


Conceptos básicos

• GDOI. (Group Domain of Interpretation). Protocolo de ISAKMP utilizado para la

administración de llaves. Se utiliza en la comunicación entre el KS y los GMs a

través del puerto UDP 848.

• Key Server. Controla y establece las Asociaciones de Seguridad (SAs.)

Mantenimiento de las políticas y llaves del grupo.

• Group Member. Se registra con el Key Server para obtener las IPSEC SAs

(Asociaciones de Seguridad) que son necesarias para cifrar el tráfico.


Conceptos básicos

• KEK (Key Encryption Key). Cifra el mensaje de rekey entre el Key Server y los

Group Members.

• Tiempo de vida KEK. Al menos 3 veces el tiempo TEK.

crypto gdoi group GDOI-GROUP1

server local

rekey lifetime seconds 86400

• TEK (Traffic Encryption Key). IPSEC SA utilizadas para la comunicación de los

Group Members.

• Tiempo de vida TEK. Valor recomendo: 2 horas:

crypto IPSec profile profile1

set security-association lifetime seconds 7200


Plataformas y requisitos

• IOS image version: 12.4(15)T8 and 12.4(22)T2

• IOS-XE image version: 12.2(33)XNC

Referencia: GETVPN_DIG_version_1_0_External.pdf

•


� GETVPN utiliza los siguiente pasos:

1.Registro del GM al Key Server

2.Autenticación del KS y envio de las políticas de cifrado (SAs) (KEK)

3. Envio de tráfico cifrado entre los GMs. (TEK)

4. Envio de Rekey (KEK)

GETVPN

Key Server

GM 1 GM 2


� Instalar llave RSA para el rekey. Ejemplo:

� crypto key generate rsa modulus 1024 label REKEYRSA

� Verificar el estado de la llave

� show crypto key mypubkey rsa

� Si se tendrá KS en modo cooperativo se debe hacer “exportable”.

� crypto key generate rsa modulus 1024 label REKEYRSA exportable

Configuración del Key Server


� Sirve para el envío de políticas.

� El KS monitorea el tiempo de vida (lifetime) del SA, manda un rekey antes de que expire.

� Las llaves se pueden distribuir de manera unicast o multicast.

� Multicast. Utilizado en una implementación grande. Es escalable perorequiere una infraestructura que soporte ruteo multicast.

� Unicast. El GM requiere confirmar de recibido al KS.

Rekey (Distribución de las llaves)


� Los siguientes cambios generarán un rekey por parte del Key Server.

� Modificar la ACL del crypto

� Modificar el IPSec transform set.

� Cambiar el tipo de rekey (unicast a multicast o viceversa).

� Cambiar la dirección multicast del rekey.

� Cambiar la llave RSA para el rekey.

� Modificar la configuración del perfil del crypto

� Habilitar o deshabilitar detección de anti-replay

Rekey (Distribuición del las llaves)


� Instalar los KS en sitios separados geográficamente.

� Se puede utilizar rekey en unicast en implementaciones de hasta 2000 GMs.

� Usar certificados en lugar de llave pre-shared para mayor escalabilidad y seguridad.

� Cuando existen mas de 1000 GMs y políticas largas, los mensajes de rekey pueden ser muy grandes. En ocasiones se recomienda incrementar el tamaño del buffer en el KS

� buffers huge size 64000

Implementación de GETVPN


� La red debe ser alcanzable entre los Key Servers y Group Members.

� El router CE (Customer Edge) debe tener el hardware de cifrado apropiadopara manejar la cantidad de tráfico esperado.

� Si existe un firewall en el medio, verificar que no estén bloqueados los siguientes puertos:

� GDOI (UDP 848).

� ESP (IP 50).

� NTP y la Autoridad Certificadora (CA) deben ser alcanzables.

� Se puede balancear el registro entre los Key Server cambiando el órden en la configuración del GMs

Implementación de GETVPN


� Se recomienda tener la configuración lo mas reducida posible.

� Colocar entradas de permit y al final tener el deny any any implícito.

� No utilizar puertos para definir el ACL.

� Configurar entradas de deny y tener un permit any any. Existe un límite de 100 , sin embargo, se ha visto problemas de rendimiento en configuraciones menores.

� Utilizar una configuración simétrica y sumarizar redes para evitar consumo de la memoria.

� Ejemplo: permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0

Configuración del ACL del crypto


KS1#show run

crypto isakmp policy 1 Políticas Fase I

encr 3des

!

crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac

!

crypto ipsec profile profile1 Perfil donde se aplica el transform

set transform-set 3des-sha set

!

crypto gdoi group group1 Creación del grupo de GETVPN

identity number 1111 Identificador del grupo

server local

rekey address ipv4 rekey_mul Tipo de rekey utilizado

rekey retransmit 10 number 2

rekey authentication mypubkey rsa REKEYRSA Llave usada para el rekey



! continuación

sa ipsec 1 Políticas de Fase II (IPSEC)

profile profile1

match address ipv4 getvpn_acl Crypto ACL

replay counter window-size 64

address ipv4 10.10.10.1 Dirección ip del servidor

!

ip access-list extended getvpn_acl ACL del cifrado

permit ip host 3.3.3.3 host 4.4.4.4


!

!

ip access-list extended rekey_mul ACL para el rekey en multcast





GM#show run

crypto isakmp policy 1 Políticas de Fase I

encr 3des

!

crypto gdoi group group1 Creación del grupo de GETVPN

identity number 1111 Identificador del grupo

server address ipv4 10.10.10.1 Servidor primario para el registro

server address ipv4 20.20.20.1 Servidor secundario

!

crypto map gdoi_map 1 gdoi Aplicación del grupo en el crypto map

set group group1

!

interface Ethernet0/0 Aplicación del crypto map a la interfaz

ip address 192.168.3.1 255.255.255.0

crypto map gdoi_map

Configuración del Group Member GM


¿Qué tan familiarizado se encuentra con el ambiente de GETVPN en modo cooperativo ?

a) Conozco el concepto.

b) Tengo el conocimiento teórico necesario.

c) Lo he hecho funcionar en el laboratorio.

d) Lo tengo funcionando en mi red.

Segunda Pregunta a la audiencia


� Utilizado en grandes implementaciones para asegurar redundancia y registro de todos los GMs.

� El KS primario es el encargado de crear y distribuir las políticas de cifrado.

� Envía actualizaciónes a otros KS para mantener la sincronía.

� El KS secundario mantiene un seguimiento del estado del KS Primario (Alive o Dead).

� Si el KS secundario deja de recibir mensajes de COOP por parte del primario, este transiciona al estado primario.

� El registro se puede realizar a cualquier KS para realizar balanceo de cargas, sin embargo sólo el KS primario distribuye los mensajes de rekey.

Coop Key Server


� Generar una llave RSA y exportarla a los demás Key Servers.

� La elección del KS primario se basa en la prioridad más alta.

� Habilitar ISAKMP keepalive (Dead Peer Detection -DPD).

� La configuración de GETVPN debe ser igual entre los Key Servers.

� Si se utilizan certificados PKI para la autenticación del Fase I, se recomiendautilizar una llave RSA diferente.

Coop Key Server

Key Server 1

GM 1GM 2

Key Server 2


� Generar una llave de tipo exportable

crypto key generate rsa modulus 1024 label REKEYRSA exportable

� Exportar la llave RSA

crypto key export rsa REKEYRSA pem terminal 3des <pass code>

� Importar la llave en los demás KS

crypto key import rsa REKEYRSA pem terminal <pass code>

� Configurar Key Server en modo cooperativo

crypto isakmp keepalive 15 periodic Habilitar keepalive! crypto gdoi group GDOI-GROUP1 server local address ipv4 10.0.0.1 Dirección del KS localredundancy Habilitar redundancia

local priority 250 Prioridad para la elecciónpeer address ipv4 10.0.6.1 Dirección del KS par

Configuración del Coop Key Server


� Registro exitoso de un Group Member

May 10 22:56:23.871: %CRYPTO-5-GM_REGSTER: Start registration to KS 10.10.10.1 for group group1 using address 3.3.3.3

May 10 22:56:24.051: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

May 10 22:56:24.051: ISAKMP:(1005):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE

May 10 22:56:24.055: GDOI:INFRA:(0): Completed KEK Processing

May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E

May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT

May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E

May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT

May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111):Completed processing 2 GDOI SA TEK Payloads

May 10 22:56:24.055: ISAKMP:(1005): sending packet to 10.10.10.1 my_port 848 peer_port 848 (I) GDOI_IDLE

May 10 22:56:24.055: %GDOI-5-GM_REGS_COMPL: Registration to KS 10.10.10.1 complete for group group1 using address 3.3.3.3

May 10 22:56:24.059: GDOI:GM:(0):Registration installed 2 new ipsec SA(s) for group group1.

Registro del Group Member


KS1_CA#show cry gdoiGROUP INFORMATION

Group Name : group1 (Multicast)Group Identity : 1111Group Members : 2IPSec SA Direction : BothActive Group Server : LocalRedundancy : Configured

Local Address : 10.10.10.1Local Priority : 250Local KS Status : AliveLocal KS Role : Primary

Group Rekey Lifetime : 86400 secsGroup Rekey

Remaining Lifetime : 86005 secsRekey Retransmit Period : 10 secsRekey Retransmit Attempts: 2Group Retransmit

Remaining Lifetime : 0 secs

Verificación del Key Server

IPSec SA Number : 1IPSec SA Rekey Lifetime: 3600 secsProfile Name : profile1Replay method : Count BasedReplay Window Size : 64SA Rekey

Remaining Lifetime : 2516 secsACL Configured : access-list getvpn_acl

Group Server list : Local


Verificación del Group Member

GM1#show crypto gdoiGROUP INFORMATION

Group Name : group1Group Identity : 1111Rekeys received : 0IPSec SA Direction : BothActive Group Server : 10.10.10.1Group Server list : 10.10.10.1

20.20.20.1

GM Reregisters in : 2426 secsRekey Received : never

Rekeys received Cumulative : 0After registration : 0

ACL Downloaded From KS 10.10.10.1:access-list permit ip host 3.3.3.3 host 4.4.4.4access-list permit ip host 4.4.4.4 host 3.3.3.3

KEK POLICY:Rekey Transport Type : MulticastLifetime (secs) : 86400Encrypt Algorithm : 3DESKey Size : 192 Sig Hash Algorithm : HMAC_AUTH_SHASig Key Length (bits) : 1024

TEK POLICY for the current KS-Policy ACEs Downloaded:Ethernet0/0:IPsec SA:

spi: 0x22AF9D8E(581934478)transform: esp-3des esp-sha-hmacsa timing:remaining key lifetime (sec): (2549)Anti-Replay(Counter Based) : 64


� Una vez registrado el GM, se debe tener verificar el rekey:

GM1#show cry isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id status239.0.1.2 10.10.10.1 GDOI_REKEY 1006 ACTIVE10.10.10.1 3.3.3.3 GDOI_IDLE 1005 ACTIVE

� Los GMs deben recibir periódicamente los rekeys.

GM#00:02:51: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 1

GM# 00:03:02: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 2

GM# 00:03:12: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 3

Verificación del Group Member


Verificación del Coop KS

KS1_CA#show cry gdoi ks coopCrypto Gdoi Group Name :group1

Group handle: 2147483650, Local Key Server handle: 2147483650

Local Address: 10.10.10.1 Local Priority: 250 Local KS Role: Primary , Local KS Status: Alive Primary Timers:

Peer Sessions:Session 1:

Server handle: 2147483651Peer Address: 20.20.20.1Peer Priority: 100 Peer KS Role: Secondary , Peer KS Status:

Alive Antireplay Sequence Number: 4

IKE status: EstablishedCounters:

KS2#show crypto gdoi ks coopCrypto Gdoi Group Name :group1

Group handle: 2147483650, Local Key Server handle: 2147483650

Local Address: 20.20.20.1 Local Priority: 100 Local KS Role: Secondary , Local KS Status: Alive Secondary Timers:

Peer Sessions:Session 1:

Server handle: 2147483651Peer Address: 10.10.10.1Peer Priority: 250 Peer KS Role: Primary , Peer KS Status: Alive Antireplay Sequence Number: 183

IKE status: EstablishedCounters:


GM2#show crypto ipsec sainterface: Ethernet0/0

Crypto map tag: gdoi_map, local addr 4.4.4.4

local ident (addr/mask/prot/port): (4.4.4.4/255.255.255.255/0/0)remote ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0)current_peer 0.0.0.0 port 848PERMIT, flags={origin_is_acl,}#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5

local crypto endpt.: 4.4.4.4, remote crypto endpt.: 0.0.0.0path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0current outbound spi: 0x22AF9D8E(581934478)PFS (Y/N): N, DH group: none

inbound esp sas:spi: 0x22AF9D8E(581934478)transform: esp-3des esp-sha-hmac ,

outbound esp sas:spi: 0x22AF9D8E(581934478)

transform: esp-3des esp-sha-hmac

Cifrado del tráfico en los GMs


� En el Key Server

� Show crypto gdoi

� Show crypto gdoi ks acl

� Show crypto gdoi ks coop

� Show crypto gdoi ks members

� Show crypto gdoi ks policy

� En el Group Member

� Show crypto gdoi

� Show crypto gdoi gm acl

� Show crypto gdoi gm rekey

� Show crypto gdoi ipsec sa

� Show crypto isakmp sa

� Show crypto ipsec sa

Comandos útiles


� Limpiar el túnel

Clear crypto sa

Clear crypto isakmp

Clear crypto gdoi

� Nota: El comando “clear crypto gdoi” ejecutado en el Key Server, limpia todos los registros.

� Debugs

debug crypto gdoi ?

error Error level

event Event level

gm Group Member

ks Key Server

packet Packet level

� NOTA: El habilitar debugs en un ambiente de producción puede ocasionar problemas de rendimiento en los equipos.

Comandos útiles


� Verificar conectividad entre el GM y el KS (ping).

� Si el KS está detrás de un firewall, verificar que GDOI (udp 848) esté permitido.

� Si se tiene rekey en multicast, verificar que el router esté habilitado para ruteo en multicast.

� Debido a que IKE fase 1 es utilizado para el registro, verificar que las políticas entre el KS y el GM sean iguales.

� Si existe un gran número de GMs tratándose de registrar al mismo tiempo puede ocasionar alto CPU en el KS.

� En caso de utilizar certificados, verificar que estén correctos y sean válidos.

Problemas en el registro del Group Member


� La falla puede darse debido a una diferencia en el SPI (Security Payload Index) entre los GMs causada por una división en la red.

� Esta división ocasiona que los Key Servers pierdan sincronía y cada uno envíesus propias llaves TEK.

� Verificar que estén utilizando el mismo SPI y restaurar la comunicación entre los Key Servers.

Falla en el cifrado del GM


¿Cuál de los siguientes cambios, NO generarán un disparo del rekey?

a) Modificar el ACL del crypto

b) Modificar el tipo de rekey de unicast a multicast.

c) Modificar la dirección IP multicast del rekey.

d) Modificar el tamaño de la ventana del anti-replay.

Polling Question 3


Lab Demo: Topología


� GETVPN deployment guide

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps7180/deployment_guide_c07_554713.html

� GETVPN

http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htgetvpn.html#wp1159160

� Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide

http://tools.cisco.com/search/results/display?url=http%3a%2f%2fwww.cisco.com%2fc%2fdam%2fen%2fus%2fproducts%2fcollateral%2fsecurity%2fgroup-encrypted-transport-vpn%2fGETVPN_DIG_version_1_0_External.pdf&pos=2&query=getvpn+scalability

Referencias

Utilize el panel de Q & A para realizar sus preguntas

Haga sus preguntas ahora


Para llenar la evaluación haga clik en el link que está en el chat, también aparecerá automáticamente al cerrar el browser de la sesión.

Si tiene dudas adicionales pregunte a Itzcóatl, nos ayudará a responder suspreguntas del 20 al 30 de mayo del 2014

Puede ver la grabación de este evento, y leer las preguntas y respuestas en 5 días hábiles en:

https://supportforums.cisco.com/es/community/4681/espacio-de-los-expertos


Martes, 10 de Junio a las:

9:00 a.m. Ciudad de México

9:30 a.m. Caracas

11:00 p.m. Buenos Aires

4:00 p.m. Madrid

Con el Experto de Cisco: Ramiro Amaya

En la presentación se dará un vistazo general a las tres alternativas que los clientes pueden implementar para dar soluciones de “callback” o retorno de llamada para evitar que el cliente espere en la línea por un agente.


Martes, 27 de Mayo a las:

9:00 p.m. Ciudad de México

9:30 p.m. Caracas

11:00 p.m. Buenos Aires

Con los Expertos de Cisco: Raees Shaikh y Vasanth Kumar

Durante este evento en vivo, los expertos en la materia se centrarán en la implementación de Intercluster Servicio de Búsqueda (ILS) redes en implementaciones empresariales, a continuación, utilizando ILS para construir una red de empresa con servicio de datos de usuario (UDS) de descubrimiento de servicios de clientes Jabber


El reconocimiento al “Partcipante

Destacado de la Comunidad” se

otorga a los miembros que

demuestran liderazgo y colaboración

con la Comunidad, está diseñado

para reconocer y agradecer a

aquellas personas que colaboran

con contenido técnico de calidad y

ayudan a posicionar nuestra

comunidad como el destino número

uno para las personas interesadas

en tecnología Cisco.


Ahora puede calificar discusiones, documentos, blogs y videos!!...

Esto es con el fin de que nos ayude a distinguir contenido de calidad y también para reconocer los esfuerzos de los integrantes de la Comunidad

de Soporte de Cisco en español.


.

La Comunidad de Soporte de Cisco cuenta con una aplicación de Acceso Móvil hacia la Comunidades Globales > Español, Portugués, Japonés, Ruso, y Polaco.

© 2013 Cisco and/or its affiliates. All rights reserved. 54

https://supportforums.cisco.com/community/spanish

CiscoLatinoamerica

Cisco Mexico

Cisco España

Cisco Cono Sur

Comunidad Cisco Cansac

CiscoSupportCommunity

@Cisco_LA

@CiscoMexico

@cisco_spain

@ciscocansacsm

@ciscoconosur

@cisco_support

© 2013 Cisco and/or its affiliates. All rights reserved. 55

CiscoLatam

ciscosupportchannel

Cisco Technical Support

CSC-Cisco-Support-Community

Escucha nuestros próximos anuncios en Cisco Radio Latina

http://www.radiocisco.net/

Gracias por su tiempo

Por favor tome un momento para llenar su evaluación

Comunidadde Soportede Cisco en Español Webcast …...Comunidadde Soportede Cisco en Español...

Documents

Transcript of Comunidadde Soportede Cisco en Español Webcast …...Comunidadde Soportede Cisco en Español...