Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

cisco 831 router vpn konekcija

[es] :: Enterprise Networking :: cisco 831 router vpn konekcija

[ Pregleda: 3847 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

ddrnikola
nikola dr

Član broj: 113782
Poruke: 21
*.ptt.yu.



Profil

icon cisco 831 router vpn konekcija17.06.2007. u 13:57 - pre 204 meseci
Naime,
dobio sam u firmi zadatak da napravim vpn konekciju preko ovog (gore navedenog uredjaja).
Da li neko moze da mi kaze kako to da uradim? Ruter sam podesio da radi sve sto treba pre nekih 6 meseci , a sada treba i ovo da dodam a malo sam zaboravio kako sam to uradio. Imam njegovu konfiguraciju u nekom notepad-u. Posto imam neko znanje oko te oblasti nece mi biti tesko da shvatim pa Vas molim za sto kraci odgovor(sto pre).
Hvala
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
89.216.214.*



+101 Profil

icon Re: cisco 831 router vpn konekcija20.06.2007. u 06:09 - pre 204 meseci
Napraviti vpn konekciju je ogroman pojam :-)
Ko treba da bude klijent, posto pretpostavljam da 831 ima ulogu vpn servera? Imas li zahteve po pitanju protokola koji treba da implementiras? Sto vise detalja, to bolje...
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

ddrnikola
nikola dr

Član broj: 113782
Poruke: 21
*.adsl.beotel.net.



Profil

icon Re: cisco 831 router vpn konekcija20.06.2007. u 08:56 - pre 204 meseci
Pozdrav,
Pazi ovako, trazili su nam sledece da podesimo da bi povezali dva PC-a unutar firmi:
3DES
SHA
Pre-shared key
diffie-Hellman group: #5
ISAKMP lifetime: 3600 sec
ISAKMP keepalive 300 sec
IPSEC:
Crypto transform set: esp-3des esp-sha-hmac
Crypto SA lifetime: 300
Ovo su podaci koje su nam trazili ljudi iz druge firme. Ja sam u medjuvremenu saznao kako se sve ovo gore navedeno radi(i sam router podrzava sve), ali me interesuje kako se pravi sama konekcija.
Da budem precizniji
Imamo i mi i oni stalne ip adrese i pristup netu. Interesuju me same komande koje su mi potrebne da bih napravio taj link.
Trenutno podatke rutiramo sa serverom koji ima dve mrezne, antivirus, firewall... pa bi stavio ovaj ruter direktno na net, zatim server, pa moju lokalnu mrezu. Da li moram da pravim neke access liste kada mi to proradi?
Hvala unapred
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
89.216.214.*



+101 Profil

icon Re: cisco 831 router vpn konekcija21.06.2007. u 00:39 - pre 204 meseci
Code:

!
crypto isakmp policy 1
 encr 3des
 hash sha
 authentication pre-share
 group 5
 lifetime 3600
!
crypto isakmp keepalive 300
!
crypto isakmp key dogovoreni_kljuc address adresa_drugog_rutera
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec security-association lifetime seconds 300
!
ip access-list extended crypto-list
 !definises ip adrese racunara unutar svoje mreze kao source i adrese u drugoj mrezi kao destination
 permit ip x.x.x.x y.y.y.y z.z.z.z w.w.w.w
!
crypto map vpn-map 10 ipsec-isakmp
 set peer adresa_drugog_rutera
 set transform-set 3DES-SHA
 set pfs group5
 match address crypto-list
!
interface Ethernet0
!zamenis sa svojim wan interfejsom
  crypto map vpn-map
!


Ako imas access liste koje kontrolisu internet saobracaj (firewall) moraces i njih da podesis da propuste ovaj saobracaj
npr.
Code:

ip access-list extended Internet-inbound
 permit udp host x.x.x.x any eq isakmp
 permit esp host x.x.x.x any

Slicno i za outbound listu ako postoji.

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

Ve$eli
Veselin Ilic

Član broj: 20439
Poruke: 238
*.adsl-2.sezampro.yu.



+1 Profil

icon Re: cisco 831 router vpn konekcija21.06.2007. u 08:56 - pre 204 meseci
Code:
set pfs group5


Dok se PFS koristi da se kljucevi izvode nezavisno tj. da ne zavise od predhodno generisanih kljuceva, a group5 definise modulus i generator grupe (dva osnovna parametra za DH algoritam), imajuci to u vidu, interesuje me sledece:

Kod gornje komande, u kakvoj sprezi su pfs i DH grupa 5?
Da li moze da se koristi DH bez PFS-a?
Da li se bez PFS-a generise kljuc na osnovu kljuca u ranijoj Diffie-Hellman razmeni?
Ako ne, na osnovu kog kljuca se izvodi kljuc bez PFS?

Za sad toliko, pa ako mi ne bude bilo jasno, pitacu jos :)
 
Odgovor na temu

ddrnikola
nikola dr

Član broj: 113782
Poruke: 21
*.ptt.yu.



Profil

icon Re: cisco 831 router vpn konekcija21.06.2007. u 22:50 - pre 204 meseci
Hvala brate.
Uspeo sam nesto i sam da uradim kada sam procitao oko 100-nak(od ukupno 700 - 900) strana cisco ip secyrity-a. Neka stvari mi je lik iz druge firme rekao kako da ukucam. Doslo je do male promene konfiguracije jer njegov router nije mogao da uradi 3des enkripciju. Kada smo sve zavrsili dosao je kolega i rekao nam da smo to sve mogli da uradimo direktno iz win2000 ili winxp-a, posto oba pc-a imaju staticku (javnu) ip adresu.
Sada mogu da uporedim moju i ovu konfiguraciju. Vremenom cu da prebaacim da ceo internet saobracaj ide preko cisca. Za sada ide preko win2000 servera sa dve mrezne karte.
Hvala jos jednom
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
89.216.214.*



+101 Profil

icon Re: cisco 831 router vpn konekcija22.06.2007. u 06:26 - pre 204 meseci
@Ve$eli

set pfs group5 definise da ce IPSec zahtevati pfs - u ovom slucaju 1536-bit DH prime modulus grupu - pri svakom novom SA pregovoru, nova Diffie-Hellman razmena se pokrece.
group 5 komanda u IKE (Internet Key Exchange) polisi (pocetak konfiguracije) govori da ce se (za IKE) koristiti 1536-DH.

Ukljucivanje PFS-a je opciono.

Posto se sugerise da (kada je PFS ukljucen) napadac ne moze kompromitovati podatke sifrovane drugim kljucevima ukoliko razbije neki (pojedinacni) kljuc tokom IPSec saobracaja, vec bi morao da napada pojedinacno svaki segment sifrovan drugim kljucem, odgovor na pitanje 3 bio bi ili da (na nacin na koji si opisao) ili da je moguce desifrovati sam proces razmene kljuceva, pa na osnovu toga dobiti kljuceve za desifrovanje ostalog saobracaja.
Ovo nazalost samo nagadjam, jer ne znam tacan princip rada pfs-a, morao bih negde da pogledam...


@ddrnikola
Sto vise citas, vidis da ima sve vise resenja za tvoj problem :-)
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

Ve$eli
Veselin Ilic

Član broj: 20439
Poruke: 238
*.adsl-2.sezampro.yu.



+1 Profil

icon Re: cisco 831 router vpn konekcija22.06.2007. u 09:36 - pre 204 meseci
Ok, sad mi je jasno.
Zabuna je bila što se negde koristi samo group 5 a negde set pfs group5 pa nisam uočavao razliku.
Razlika je koliko sam razumeo u fazama pregovora. Prva se koristi za IKE fazu I a druga za IKE fazu II, tj. kod ugovaranja SA.
Koliko sam ja razumeo, bez PFS-a se ključevi izvode na osnovu nekog drugog ključa (root key, master key), koji je verovatno ključ iz IKE faze I, tj. ključevi za nove SA se dobijaju bez Diffie-Hellman razmene.
E sad, kako se ključevi izvode iz root ključa, i da li postoje neke razmene tokom obnavljanja ključeva u tom slučaju, to nisam uspeo da pronadjem.

Uglavnom hvala ti i pozdrav,
Veselin

 
Odgovor na temu

positive0

Član broj: 64952
Poruke: 143
*.juniper.net.



Profil

icon Re: cisco 831 router vpn konekcija22.06.2007. u 13:41 - pre 204 meseci

Proces dobijanja tzv. sirovog keying materijala kroz DH:


Za preshared key autentifikaciju:


SKEYID=PRF(preshared-key, Ni | Nr )


Za signature autentifikaciju:


SKEYID=PRF(Ni | Nr, gxy )


Za encrypted nonce autentifikaciju:


SKEYID=PRF(hash(Ni | Nr), CKY-I | CKY-R)



N je nonce, CKY je cookie

PRF je pseudo-random funcija (HMAC)

Nakon sto je generisan ovaj sirovi materijal, iz njega se dalje izvode 3 vrste kljuceva:


SKEYID_d = PRF(SKEYID, gxy | CKY-I | CKY-R | 0 ) - koristi se od strane algoritama za IPSec



SKEYID_a = PRF(SKEYID, SKEYID_d | gxy | CKY-I | CKY-R | 1 ) - koristi se od strane hashing/autentifikacijskih algoritama unutar IKE-a (poruke 5 i 6))



SKEYID_e = PRF(SKEYID, SKEYID_a | gxy | CKY-I | CKY-R | 2 ) - koristi se od strane enkripcijskih algoritama unutar IKE-a (poruke 5 i 6)



Quick Mode generise kljuceve potrebne za IPSec SA iz SKEYID_d materijala. Taj kljuc se koristi u psudo-randon funkciji zajedno sa nonce-ima, protokol i SPI vrijednoscu. Ovo garantuje jedinstvenost SPI vrijednosti za svaku SA - poseban SPI za inbound i za outbound sesije.
MEdjutim, svi kljucevi su generisani iz istog osnovnog SKEYID kljuca i prema dome koriste deterministicke algoritme da bi posebne kljuceve ponovo derivirali nakon sto prodje timeout definisan za njih.
Ovo predatavlja problem kao sto si sam rekao jer ukoliko napadac moze da razbije jedan, moze i sve naredne kljuceve generisane is istog materijala.
Zato se koristi dodatna zastia u Quick MOde-u u vidu PFS-a. To znaci da ce se nakon sto SKEYID-d timeout vrijednost za IPSec SA (prakticno za Quick Mode SA) istekne, umjesto da sae jednostavnim deterministickim algoritmom derivira novi SKEYID_D, zapravo pokrenuti novi DH exchange. Memorija u kojoj se cuva dotadasnji SKEYID_D se jednostavno cisti...

Itd, itd..

Pozdrav,

Sasa


 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
89.216.214.*



+101 Profil

icon Re: cisco 831 router vpn konekcija22.06.2007. u 23:04 - pre 204 meseci
Hvala na pojasnjenju Sasa.
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

[es] :: Enterprise Networking :: cisco 831 router vpn konekcija

[ Pregleda: 3847 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.