Primera parte:
Fase1: Determinar la Politica IKE
Parametro | Fuerte | Mas Fuerte |
Encripcion | DES | 3DES, AES |
Hash | MD5 | SHA-1 |
Autentucacion | Pre Shared Key | RSA Sign |
Intercambio de Claves | Diffie Hellman Grupo 1 | Diffie Hellman Grupos 2, 5, 7 |
Lifetime – SA (Security Association) | 86400 segundos | Menos de 86400 segundos |
Fase2: Determinar la Politica IPSec
Politica | Site 1 | Site 2 |
Transform Set | ESP – DES, Tunnel | ESP – DES, Tunnel |
Pares | ASA A | ASA B |
Direccionamiento | 192.168.2.2 | 192.168.1.2 |
Red Protegida | 10.10.10.11 | 10.0.0.11 |
Paquetes a encriptar | IP | IP |
Establicimieno SA | IPSec-ISAKMP | IPSec-ISAKMP |
Habilitar IKE sobre las interfaces a utilizar:
firewall(config)# isakmp enable outside
Configurar la politica IKE Fase1:
firewall(config)# isakmp policy 10 encription des firewall(config)# isakmp policy 10 hash sha firewall(config)# isakmp policy 10 authentication pre-share firewall(config)# isakmp policy 10 group 1 firewall(config)# isakmp policy 10 lifetime 86400
Los parametros de una politica deben ser creados segun el numero de prioridad.
Para crear un administrar una conexion VPN se necesita usar el comando tunnel-group
tunnel-group nombre_tunnel type tipo
firewall(config)# tunnel-group my_tunnel type ipsec-l2l
Presenta los siguiente subcomandos:
- tunnel-group general-attributes
- tunnel-group ipsec-attributes
El submodo de configuracion general-attributes se usa para configurar parametros comunes a todos los protocolos de tunneling y presenta los siguientes subcomandos:
- accounting-server-group
- address-pool
- authentication-server-group
- authorization-server-group
- default-group-policy
- dhcp-server
- strip-group
- strip-realm
tunnel-group nombre_tunnel general-attributes
firewall(config)# tunnel-group my_tunnel general-attributes firewall(config-general)#
El submodo de configuracion ipsec-attributes se usa para configurar parametros que son especificos de IPSec y presenta los siguientes subcomandos:
- authorization-dn-attributes
- authorization-required
- chain
- client-update
- isakmp keepalive
- peer-id-validate
- pre-shared-key
- radius-with-expiry
- trust-point
tunnel-group nombre_tunnel ipsec-attributes
firewall(config)# tunnel-group my_tunnel ipsec-attributes firewall(config-ipsec)#
Topologia:
Configurar un tunnel-group:
Definir el tipo de conexion a establecer:
firewallA(config)# tunnel-group 192.168.6.2 type ipse-l2l
Configurar los atributos:
firewallA(config)# tunnel-group 192.168.6.2 ipsec-attributes firewallA(config)# pre-shared-key password
Para verificar la coinfiguracion de la politica de utiliza el comando show
firewallA(config)# show run crypto isakmp isamp identity address isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400
firewallA(config)# access-list 101 permit ip 10.0.1.10 255.255.255.0 10.0.6.0 255.255.255.0
firewallA(config)# nat (inside) 0 access-list 101
firewallA(config)# crypto ipsec transform-set firewallB esp-des es—md5-hmac
firewallA(config)# crypto map my_map 10 match address 101
firewallA(config)# crypto map my_map interface outside
firewallA(config)# show run access-list
firewallA(config)# clear crypto ipsec sa