GETVPN: GROUP ENCRYPTED TRANSPORT VIRTUAL PRIVATE

NETWORK

•  Nueva generación de VPNs para WAN que no utiliza los tradicionales túneles punto a punto.
• Se basa en un modelo de seguridad de miembros confiables. 
• Los miembros de un grupo de GETVPN pueden comunicarse entre sí utilizando una política común, por lo que no es necesario la negociación de IPSec entre los GMs.
• Escalable (conexión cualquier-a-cualquier)
• Preserva la dirección IP de origen y destino en el encabezado del paquete.
• Provee seguridad a conexiones WAN privadas.
• Cifra tráfico sobre redes de MPLS.

 CONCEPTOS BASICO

GDOI. (Group Domain of Interpretation). Protocolo de ISAKMP utilizado para la administración de llaves. Se utiliza en la comunicación entre el KS y los GMs a través del puerto UDP 848.

Key Server. Controla y establece las Asociaciones de Seguridad (SAs.) Mantenimiento de las políticas y llaves del grupo. 

Group Member. Se registra con el Key Server para obtener las IPSEC SAs (Asociaciones de Seguridad) que son necesarias para cifrar el tráfico. 

KEK (Key Encryption Key). Cifra el mensaje de rekey entre el Key Server y los Group Members.

Tiempo de vida KEK. Al menos 3 veces el tiempo TEK. 

crypto gdoi group GDOI-GROUP1
server local

rekey lifetime seconds 86400 

TEK (Traffic Encryption Key). IPSEC SA utilizadas para la comunicación de los Group Members. 

• Tiempo de vida TEK. Valor recomendo: 2 horas: 

crypto IPSec profile profile1
set security-association lifetime seconds 7200

GETVPN utiliza los siguientes pasos: 

1. Registro del GM al Key Server
2. Autenticación del KS y envió de las políticas de cifrado (SAs) (KEK)
3. Envió de tráfico cifrado entre los GMs. (TEK)
4. Envió de Rekey (KEK)

CONFIGURACION DE KEY SERVER

Instalar llave RSA para el rekey. Ejemplo:
crypto key generate rsa modulus 1024 label REKEYRSA
Verificar el estado de la llave
show crypto key mypubkey rsa
Si se tendrá KS en modo cooperativo se debe hacer “exportable”.
crypto key generate rsa modulus 1024 label REKEYRSA exportable

REKEY (DISTRIBUCIÓN DE LAS LLAVES)

• Sirve para el envío de políticas. 
• El KS monitorea el tiempo de vida (lifetime) del SA, manda un rekey antes de que expire.
• Las llaves se pueden distribuir de manera unicast o multicast. 
• Multicast. Utilizado en una implementación grande. Es escalable pero requiere una infraestructura que soporte ruteo multicast. 
• Unicast. El GM requiere confirmar de recibido al KS. 

REKEY (DISTRIBUICIÓN DEL LAS LLAVES)

Los siguientes cambios generarán un rekey por parte del Key Server.

• Modificar la ACL del crypto 
• Modificar el IPSec transform set. 
• Cambiar el tipo de rekey (unicast a multicast viceversa). 
• Cambiar la dirección multicast del rekey. 
• Cambiar la llave RSA para el rekey. 
• Modificar la configuración del perfil del crypto 
• Habilitar o deshabilitar detección de anti-replay 

IMPLEMENTACIÓN DE GETVPN

Instalar los KS en sitios separados geográficamente.

• Se puede utilizar rekey en unicast en implementaciones de hasta 2000 GMs. 
• Usar certificados en lugar de llave pre-shared para mayor escalabilidad y seguridad.
• Cuando existen más de 1000 GMs y políticas largas, los mensajes de rekey pueden ser muy grandes. En ocasiones se recomienda incrementar el tamaño del buffer en el KS (buffers huge size 64000) 
• La red debe ser alcanzable entre los Key Servers y Group Members. 
• El router CE (Customer Edge) debe tener el hardware de cifrado apropiado para manejar la cantidad de tráfico esperado. 
• Si existe un firewall en el medio, verificar que no estén bloqueados los siguientes puertos: 
• GDOI (UDP 848). 
• ESP (IP 50). 
• NTP y la Autoridad Certificadora (CA) deben ser alcanzables. 
• Se puede balancear el registro entre los Key Server cambiando el órden en la Configuración del GMs. 

Se recomienda tener la configuración lo más reducida posible. 

• Colocar entradas de permit y al final tener el deny any any implícito. 
• No utilizar puertos para definir el ACL. 
• Configurar entradas de deny y tener un permit any any. Existe un límite de 100, sin embargo, se ha visto problemas de rendimiento en configuraciones menores. 
• Utilizar una configuración simétrica y sumarizar redes para evitar consumo de la memoria. 
• Ejemplo: permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 

Con todo lo aprendido en el enunciado, ahora nos queda configurar la topología propuesta en un inicio.

INICIAMOS CONFIGURANDO EL ROUTER KS.

crypto isakmp policy 100

 encr aes 256

 authentication pre-share

 group 2

 lifetime 3600

crypto isakmp key cisco address 0.0.0.0 0.0.0.0

!

crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac

!

crypto ipsec profile PVPN

 set transform-set TS

!

crypto gdoi group VPN

 identity number 1000

 server local

  rekey algorithm aes 256

  rekey lifetime seconds 3600

  rekey retransmit 10 number 2

  rekey authentication mypubkey rsa KEYGET

  rekey transport unicast

  sa ipsec 10

   profile PVPN

   match address ipv4 FILTRAR_LAN

   replay counter window-size 64

  address ipv4 20.0.0.1

!

crypto map MY_GETVPN 10 gdoi

 set group VPN

!

interface FastEthernet0/0

 ip address 20.0.0.1 255.255.255.252

 duplex auto

 speed auto

 crypto map MY_GETVPN

!

router eigrp 10

 network 0.0.0.0

 no auto-summary

!

ip access-list extended FILTRAR_LAN

 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

CONFIGURACION DE ROUTER GM_01

crypto isakmp policy 100

 encr aes 256

 authentication pre-share

 group 2

 lifetime 3600

crypto isakmp key cisco address 20.0.0.1

!

crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac

!

crypto ipsec profile PVPN

 set transform-set TS

!

crypto gdoi group VPN

 identity number 1000

 server address ipv4 20.0.0.1

!       

crypto map MY_GETVPN 10 gdoi

 set group VPN

interface FastEthernet0/0

 ip address 10.0.0.1 255.255.255.252

 duplex auto

 speed auto

 crypto map MY_GETVPN

interface FastEthernet0/1

 ip address 192.168.1.1 255.255.255.0

 duplex auto

 speed auto

router eigrp 10

 network 0.0.0.0

 no auto-summary

CONFIGURACION DE ROUTER GM_02

crypto isakmp policy 100

 encr aes 256

 authentication pre-share

 group 2

crypto isakmp key cisco address 20.0.0.1

!

crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac

!

crypto ipsec profile PVPN

 set transform-set TS

!

crypto gdoi group VPN

 identity number 1000

 server address ipv4 20.0.0.1

!       

crypto map MY_GETVPN 10 gdoi

 set group VPN

!

interface FastEthernet0/0

 ip address 30.0.0.1 255.255.255.252

 duplex auto

 speed auto

 crypto map MY_GETVPN

!

interface FastEthernet0/1

 ip address 192.168.2.1 255.255.255.0

 duplex auto

 speed auto

!

router eigrp 10

 network 0.0.0.0

 no auto-summary

CONFIGURACION DE ROUTER CORE

interface FastEthernet0/0

 ip address 10.0.0.2 255.255.255.252

 duplex auto

 speed auto

interface FastEthernet0/1

 ip address 20.0.0.2 255.255.255.252

 duplex auto

 speed auto

interface FastEthernet1/0

 ip address 30.0.0.2 255.255.255.252

 duplex auto

 speed auto

!

router eigrp 10

 network 0.0.0.0

 no auto-summary

Después de configurar los equipos ahora solo nos queda validar y probar el servicio:

Verificamos que el tunel ISAKMP se encuentre dado de alta y que se encuentre en el estado GDOI_IDLE de igual menera verificaremos los GM.

KS#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

20.0.0.1        10.0.0.1        GDOI_IDLE         1061    0 ACTIVE

20.0.0.1        30.0.0.1        GDOI_IDLE         1062    0 ACTIVE

IPv6 Crypto ISAKMP SA

KS#

GM_01#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

20.0.0.1        10.0.0.1        GDOI_IDLE         1039    0 ACTIVE

10.0.0.1        20.0.0.1        GDOI_REKEY        1040    0 ACTIVE

IPv6 Crypto ISAKMP SA

GM_01#

GM_02#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

20.0.0.1        30.0.0.1        GDOI_IDLE         1038    0 ACTIVE

30.0.0.1        20.0.0.1        GDOI_REKEY        1039    0 ACTIVE

IPv6 Crypto ISAKMP SA

GM_02#

Hasta ahora todo va bien, solo nos queda verificar que el protocolo GDOI se encuentre funcionando, verificamos en los tres equipos.

KS#show crypto gdoi

GROUP INFORMATION

    Group Name               : VPN (Unicast)

    Group Identity           : 1000

    Group Members            : 2

    IPSec SA Direction       : Both

    Active Group Server      : Local

    Group Rekey Lifetime     : 3600 secs

    Group Rekey

        Remaining Lifetime   : 2150 secs

    Rekey Retransmit Period  : 10 secs

    Rekey Retransmit Attempts: 2

    Group Retransmit

        Remaining Lifetime   : 0 secs

      IPSec SA Number        : 10

      IPSec SA Rekey Lifetime: 3600 secs

      Profile Name           : PVPN

      Replay method          : Count Based

      Replay Window Size     : 64

      SA Rekey

         Remaining Lifetime  : 2151 secs

      ACL Configured         : access-list FILTRAR_LAN

    Group Server list        : Local

                               

KS#

Seguimos verificando en los GM.

GM_01#show crypto gdoi

GROUP INFORMATION

    Group Name               : VPN

    Group Identity           : 1000

    Rekeys received          : 0

    IPSec SA Direction       : Both

    Active Group Server      : 20.0.0.1

    Group Server list        : 20.0.0.1

                              

    GM Reregisters in        : 2035 secs

    Rekey Received           : never

    Rekeys received         

         Cumulative          : 0

         After registration  : 0

    Rekey Acks sent          : 0

 ACL Downloaded From KS 20.0.0.1:

   access-list  permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

KEK POLICY:

    Rekey Transport Type     : Unicast

    Lifetime (secs)          : 3599

    Encrypt Algorithm        : AES

    Key Size                 : 256    

    Sig Hash Algorithm       : HMAC_AUTH_SHA

    Sig Key Length (bits)    : 1024   

TEK POLICY:

  FastEthernet0/0:

    IPsec SA:

        sa direction:inbound

        spi: 0xD9893482(3649647746)

        transform: esp-256-aes esp-sha-hmac

        sa timing:remaining key lifetime (sec): (2096)

        Anti-Replay : Disabled

    IPsec SA:

        sa direction:outbound

        spi: 0xD9893482(3649647746)

        transform: esp-256-aes esp-sha-hmac

        sa timing:remaining key lifetime (sec): (2096)

        Anti-Replay : Disabled

GM_01#

GM_02#show crypto gdoi

GROUP INFORMATION

    Group Name               : VPN

    Group Identity           : 1000

    Rekeys received          : 0

    IPSec SA Direction       : Both

    Active Group Server      : 20.0.0.1

    Group Server list        : 20.0.0.1

                              

    GM Reregisters in        : 1996 secs

    Rekey Received           : never

    Rekeys received         

         Cumulative          : 0

         After registration  : 0

    Rekey Acks sent          : 0

 ACL Downloaded From KS 20.0.0.1:

   access-list  permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

KEK POLICY:

    Rekey Transport Type     : Unicast

    Lifetime (secs)          : 3570

    Encrypt Algorithm        : AES

    Key Size                 : 256    

    Sig Hash Algorithm       : HMAC_AUTH_SHA

    Sig Key Length (bits)    : 1024   

TEK POLICY:

  FastEthernet0/0:

    IPsec SA:

        sa direction:inbound

        spi: 0xD9893482(3649647746)

        transform: esp-256-aes esp-sha-hmac

        sa timing:remaining key lifetime (sec): (2056)

        Anti-Replay : Disabled

    IPsec SA:

        sa direction:outbound

        spi: 0xD9893482(3649647746)

        transform: esp-256-aes esp-sha-hmac

        sa timing:remaining key lifetime (sec): (2055)

        Anti-Replay : Disabled

GM_02

Como podemos observar que el protocolo GDOI esta funcionando de acuerdo a lo esperando.

Solo queda probar conexión de LAN a LAN y con esto estaríamos dando por finalizado el ejemplo.

GM_01#ping 192.168.2.1 source 192.168.1.1 repeat 100 size 1500

Type escape sequence to abort.

Sending 100, 1500-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.1.1

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Success rate is 100 percent (100/100), round-trip min/avg/max = 96/174/244 ms

GM_01#

GM_02#ping 192.168.1.1 source 192.168.2.1 repeat 100 size 1500

Type escape sequence to abort.

Sending 100, 1500-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.2.1

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Success rate is 100 percent (100/100), round-trip min/avg/max = 116/173/240 ms

GM_02#

Como te puede dar cuenta que la conexion de LAN a LAN se encuentra funcionando sin problemas.

y si somos mas exigentes con los datos esperados verificaremos si los paquetes van encryptados  eso lo verificaremos en el protocolo IPSEC.

GM_02#SHow  CRYpto ipsec sa

interface: FastEthernet0/0

    Crypto map tag: MY_GETVPN, local addr 30.0.0.1

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)

   current_peer  port 848

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 400, #pkts encrypt: 400, #pkts digest: 400

    #pkts decaps: 400, #pkts decrypt: 400, #pkts verify: 400

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 0, #recv errors 0

     local crypto endpt.: 30.0.0.1, remote crypto endpt.:

     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0

     current outbound spi: 0xD9893482(3649647746)

Eso es todo, logramos con el objetivo, mil gracias si tienen alguna duda no duden en ponerse en contacto con migo lo cual estaré gustoso respondiendo sus inquietudes