La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Tecnologia GETVPN Andrea Terren April,2010. Differenze da un tunnel E’ tunnel - less Ho la stessa sorgente e destinazione. –UDP 848 per GDOI ( Group Domain.

Presentazioni simili


Presentazione sul tema: "Tecnologia GETVPN Andrea Terren April,2010. Differenze da un tunnel E’ tunnel - less Ho la stessa sorgente e destinazione. –UDP 848 per GDOI ( Group Domain."— Transcript della presentazione:

1 Tecnologia GETVPN Andrea Terren April,2010

2 Differenze da un tunnel E’ tunnel - less Ho la stessa sorgente e destinazione. –UDP 848 per GDOI ( Group Domain of Interpretation ) –ESP 50 ( Encapsulation security payload )

3 Key Servers (KS) e Group Members (GM) Sono due entità diverse: la prima contiene le informazioni di tutti I tunnel, mentre I GMs ricevono le informazioni dal/i KSs La configurazione e’ diversa da un Hub/Spoke perché il traffico non e’ forzato a passare attraverso l’Hub in questo caso

4 Key server –Sono responsabili di mantenere la policy map (crypto policy di fase 1) distribuire le informazioni relative alla SA tra i GMs. I messaggi GDOI servono a creare, mantenere e cancellare le SAs. Group member –Si registrano con/i KS/s e ricevono le security associations (SAs IPSec) che arrivano dal KS.

5 Note: L2L usa una crypto ACL usata in mirror nei due dispositivi. Devo aggiustare la crypto ACL da ambo le parti per permettere la corretta crittazione/decrittazione del flusso di traffico nel tunnel L2L GRE tunnel matcha il traffico GRE da una parte all’altra del tunnel, usando un protocollo di routing dinamico o statico applicato sopra il tunnel GRE stesso. I dispositivi possono avere applicata una crypto ACL o tunnel protection

6 Processo di registrazione Il KS manda l’informazione ai vari GMs. REGISTRAZIONE avviene in tre fasi: –Il GM manda una richiesta di registrazione al KS. Il KS autentica e autorizza il GM e invia la policy IPSEC per crittare e decrittare il traffico. –Dopo la registrazione, I GMs possono direttamente scambiare il traffico crittato. –Il KS manda un messaggio di re-key verso tutti i GMs prima che la SA esistente vada in timeout, contenente le nuove chiavi di fase 1 e 2.

7 Importanti note sulla tecnologia. –La stessa informazione viene usata per crittare e decrittare! Non ho 2 SA ! –L’header e’ preservato, quindi la rete deve essere raggiungibile – ovvero sorgente e destinazione di tutti I router deve essere nota attraverso il routing (topologia nota!) –Questa topologia di solito non funziona in Internet con reti pubbliche.

8 Configurazione KS ISAKMP policy (fase 1) Chiavi pubbliche per ogni altro KS o GM (se uso PSK) Transform set IPSEC profile con TS applicata al profilo IPSEC (fase 2) Ogni KS mantiene un GDOI group. I parametri piu’ importanti sono: –Identity, rekey (con che frequenza faccio il rekey) –Definizione della SA – crypto ACL (quale traffico viene crittato) –Address / Addresses di altri KS in una lista se esiste piu’ di un KS

9 Configurazione GM Isakmp policy (fase 1) Chiavi Isakmp per il KS (se uso PSK) Transform set Applicata la TS ad un profilo IPSEC Definizione del gruppo GDOI –Numero ID, indirizzo/i del KS Applico il gruppo ad una crypto MAP Applico la crypto MAP all’interfaccia

10 Configurazione Esempio di configurazione Andare in doc cd e cercare IOS security config guide Secure connectivity cisco group encryption GET VPN nstallation_and_configuration_guides_list.htmlhttp://www.cisco.com/en/US/products/ps6441/products_i nstallation_and_configuration_guides_list.html ctivity/configuration/guide/12_4t/sec_secure_connectivity _12_4t_book.htmlhttp://www.cisco.com/en/US/docs/ios/sec_secure_conne ctivity/configuration/guide/12_4t/sec_secure_connectivity _12_4t_book.html ctivity/configuration/guide/sec_encrypt_trns_vpn_ps6441 _TSD_Products_Configuration_Guide_Chapter.htmlhttp://www.cisco.com/en/US/docs/ios/sec_secure_conne ctivity/configuration/guide/sec_encrypt_trns_vpn_ps6441 _TSD_Products_Configuration_Guide_Chapter.html


Scaricare ppt "Tecnologia GETVPN Andrea Terren April,2010. Differenze da un tunnel E’ tunnel - less Ho la stessa sorgente e destinazione. –UDP 848 per GDOI ( Group Domain."

Presentazioni simili


Annunci Google