Buenas 👍, por si no me conocéis soy Mila Jiménez y vengo a ayudaros con: ⤵️
Sugerencia técnica: Repetición de IKE e IPSec SA para túneles de acceso directo ADVPN para IKEv1 e IKEv2
¿Qué es una Asociación de Seguridad (SA)?
El concepto de «Asociación de Seguridad (SA) es fundamental para IPsec. Una Asociación de Seguridad (SA) es un conjunto de políticas de seguridad y claves criptográficas utilizadas para proteger el IKE SA o el IPsec SA.
-Se utiliza la misma SA de IKE para proteger el tráfico entrante y saliente.
-Se utilizan dos SA IPsec distintas (una por dirección) para el tráfico entrante y saliente.
-SA incluye las protecciones de seguridad específicas, criptográficas algoritmos y claves secretas que se aplicarán, así como la tipos específicos de tráfico que deben protegerse.
¿Qué es un SPI (Índice de Parámetros de Seguridad)?
El SPI es el identificador de una SA IPsec. Es un valor que, junto con el la dirección de destino y el protocolo de seguridad (ESP), de forma única
identifica una única SA. Se utiliza para buscar la base de datos de SA de IPsec durante el proceso de descifrado.
¿Qué son las claves SA para IKEv1 e IKEv2?
Para IKEv1, IKE utiliza una única SA y claves únicas para ambas direcciones.
Para IKEv1, IPsec utiliza dos SAs & dos claves por dirección
Para IKEv2, IKE utiliza una única SA & dos claves por dirección
Para IKEv2, IPsec utiliza dos SA y dos claves por dirección
¿Qué es un reajuste de SA (Asociación de Seguridad)?
Las Asociaciones de Seguridad IKE y ESP(IPsec) utilizan claves secretas que deben ser utilizadas sólo durante un tiempo limitado y para proteger una cantidad limitada de
cantidad de datos. Esto limita la vida útil de todo el sistema de seguridad.
Association. La «recodificación» es el proceso de negociación de una nueva SA antes de que expire la vida útil de la SA existente.
¿Cómo maneja FortiOS la reescritura de los túneles de acceso directo de ADVPN?
IKE SA (Phase1) rekey :
- Spoke1 creará un túnel VPN IPSec con Hub1
- Spoke1 también creará un túnel VPN IPSec de acceso directo con Spoke2.
- Cuando se inicia el rekey IKEv1 (Fase1), ambos dispositivos intentarán reautenticar el túnel IKEv1 independientemente de la SA existente. Es la única manera de renovar una SA IKEv1 (lo mismo para los túneles de acceso directo y los túneles padre cuando se reauten).
- Para el rekey de IKEv1 (fase1) entre radios para el túnel de acceso directo, el rekey fallará porque el PSK entre ellos es un PSK temporal y no será guardado. Por lo tanto, el rekey fallará y el IKE negociará el túnel después de recibir una oferta de acceso directo desde el hub cuando el tráfico atraviese el hub. Por lo tanto, pocos paquetes atravesarán siempre el concentrador después de que expire la vida útil de IKEv1 SA.
- Veremos los siguientes eventos en los ‘Eventos VPN’ cuando el rekey IKEv1 falle, pero estos son eventos normales:
date=2021-06-27 time=13:35:59 id=6978575218893651968 itime=»2021-06-27 13:36:00″ euid=2 epid=2 dsteuid=2 dstepid=2 logver=700000066 logid=0101037124 type=»event» subtype=»vpn» level=»error» action=»negotiate» msg=»IPsec phase 1 error» logdesc=»IPsec phase 1 error» user=»N/A» status=»negotiate_error» remip=150.0.0.2 locip=90.0.0.2 remport=500 locport=500 outintf=»port2″ cookies=»5107a9ab098aae35/0000000000000000″ group=»N/A» xauthuser=»N/A» xauthgroup=»N/A» vpntunnel=»N/A» peer_notif=»NOT-APPLICABLE» reason=»la propuesta de SA de pares no coincide con la política local» eventtime=1624826159949362758 tz=»-0700″ useralt=»N/A» devid=»FGVM0TTTTTTTTT» vd=»root» dtime=»2021-06-27 13:35:59″ itime_t=1624826160 devname=»Spoke1-SPLabs»
- El túnel de acceso directo será re-claveado sin ninguna interrupción cuando se utilice IKEv2.
- Para el rekey en IKEv2, la negociación para el nuevo IKE SA se realiza bajo la protección del IKE SA existente, no se realiza ninguna autenticación (PSK o Firma) para el nuevo IKE SA.
- Es el comportamiento por defecto para la renovación de SA IKEv2 de FortiOS: se utiliza un intercambio CREATE_CHILD_SA para negociar la nueva SA IKEv2.
- La SA IKEv1 no puede ser renovada de esta manera, por lo que necesita restablecer el túnel de acceso directo cada vez que la vida de la SA expira.
IPsec SA (Phase2) rekey:
- Cuando se produce el rekey de la fase 2 en IKEv1 e IKEv2, el túnel de acceso directo no se vacía.
☑️ Para terminar, felicitarte por haber leído hasta abajo de esta publicación. Esperamos que haya sido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no consigues llegar a la solución a tu pregunta escribe en la barra de arriba o déjanos tu pregunta en el cuadro de comentarios.
¡Nos vemos!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!