Notebook Murah

Sebuah situs-situs untuk virtual Notebook Murah private network (VPN) memungkinkan Anda untuk menjaga aman "selalu di-" sambungan antara dua secara fisik terpisah menggunakan situs yang sudah ada jaringan Notebook Murah tidak aman seperti Internet umum. Lalu lintas antara dua situs ditularkan melalui terowongan dienkripsi untuk mencegah snooping atau jenis lain data serangan.

Konfigurasi ini memerlukan sebuah perangkat lunak IOS gambar yang mendukung kriptografi. Yang digunakan dalam satu contoh adalah c870-advipservicesk9-mz.124-15.T6.bin.

Ada beberapa protokol yang digunakan pada pembuatan VPN termasuk protokol yang digunakan untuk tombol pertukaran Notebook Murah antara teman, yang digunakan untuk mengenkripsi terowongan, dan teknologi yang menghasilkan hashing pesan digests.

VPN Protokol

IPSec: Keamanan Internet Protocol (IPSec) adalah sebuah kumpulan protokol yang digunakan untuk komunikasi IP aman. IPSec melibatkan kedua tombol pertukaran dan terowongan enkripsi. Anda bisa memikirkan IPSec sebagai kerangka untuk pelaksanaan keamanan. Ketika membuat sebuah IPSec VPN, Anda dapat memilih dari berbagai teknologi keamanan untuk melaksanakan terowongan.

ISAKMP (IKE): Internet Asosiasi Keamanan dan Protokol Manajemen Kunci (ISAKMP) menyediakan cara untuk authenticating dengan teman dalam komunikasi yang aman. Ini biasanya menggunakan Internet Notebook Murah Key Exchange (IKE), tetapi teknologi lainnya dapat juga digunakan. Kunci publik atau pra-berbagi kunci digunakan untuk membuktikan pihak untuk komunikasi.

MD5: Pesan-Digest Algoritma 5 (MD5) adalah sering digunakan, tetapi sebagian memahami fungsi hash kriptografi dengan 128-bit nilai hash. Sebuah fungsi hash kriptografi merupakan salah satu Notebook Murah cara ikut arbitrary blok data tetap kembali dan ukuran-bit string, nilai hash berdasarkan data asli blok. Hashing proses yang dirancang agar perubahan pada data juga akan mengubah nilai hash. Nilai hash nilai yang juga disebut pesan digest.

Setidak: Secure Hash Algoritma (SHA) adalah serangkaian fungsi hash kriptografi yang dirancang oleh Badan Keamanan Nasional (NSA). Ketiga algoritma SHA adalah struktur yang berbeda dan dibedakan sebagai setidak-0, SHA-1, dan setidak-2. Setidak-1 yang umum digunakan adalah algoritma hashing dengan standar panjang kunci 160 bit.

ESP: Encapsulating Keamanan bagian muatan yg menghasilkan untung (ESP) adalah anggota dari protokol IPsec suite yang menyediakan asal keaslian, integritas, kerahasiaan dan perlindungan dari paket. ESP juga mendukung enkripsi dan otentikasi hanya-hanya-konfigurasi, namun Notebook Murah tanpa menggunakan enkripsi otentikasi sangat kecil karena aman. Tidak seperti protokol IPsec lain, Otentikasi Header (AH), ESP tidak melindungi IP header paket. Perbedaan ini membuat ESP pilihan untuk digunakan dalam Network Address Translation konfigurasi. Langsung ESP beroperasi di atas IP, menggunakan protokol IP nomor 50.

DES: The Data Encryption Standard (DES) menyediakan 56-bit enkripsi. Sudah tidak lagi dianggap aman karena protokol singkat tombol-panjang menjadikannya rentan terhadap serangan hewan-paksa.

3DES: Tiga DES dirancang untuk mengatasi keterbatasan dan kelemahan dari DES dengan menggunakan tiga 56-bit kunci dalam Mengenkrip, Mendekripsi, dan kembali Mengenkrip operasi. 3DES kunci adalah 168 bit panjang. Bila menggunakan 3DES, yang pertama adalah data dienkripsi Notebook Murah dengan satu 56-bit kunci, kemudian decrypted yang berbeda dengan 56-bit kunci, output yang kemudian kembali dienkripsi dengan ketiga 56-bit kunci.

AES: The Advanced Encryption Standard (AES) telah dirancang sebagai pengganti DES dan 3DES. Ini tersedia dalam berbagai ukuran dan tombol umumnya dianggap sekitar enam kali lebih cepat dibandingkan 3DES.

HMAC: The Hashing Kode Otentikasi Pesan (HMAC) adalah jenis kode otentikasi pesan (MAC). HMAC dihitung menggunakan Notebook Murah algoritma tertentu yang melibatkan kriptografi fungsi hash dalam kombinasi dengan kunci rahasia.

Konfigurasi-untuk Situs-Situs VPN

Proses mengkonfigurasi sebuah situs-situs untuk VPN melibatkan beberapa langkah:

Tahap Satu konfigurasi melibatkan mengkonfigurasi tombol pertukaran. Proses ini menggunakan ISAKMP untuk mengidentifikasi hashing algoritma dan metode otentikasi. Hal ini juga salah satu dari dua tempat di mana Anda harus mengidentifikasi rekan di bagian akhir terowongan. Dalam Notebook Murah contoh ini, kami memilih setidak sebagai algoritma hashing karena lebih kuat alam, termasuk 160-bit kunci. Tombol "vpnkey" harus identik pada kedua ujung terowongan. Alamat "192.168.16.105" adalah di luar dari antarmuka router di bagian akhir terowongan.

Contoh satu tahap konfigurasi:
tukwila (config) # crypto isakmp kebijakan 10
tukwila (config-isakmp) # hash Sha
tukwila (config-isakmp) # otentikasi pra-berbagi
tukwila (config-isakmp) # crypto isakmp kunci vpnkey alamat 192.168.16.105

Tahap Dua konfigurasi melibatkan mengkonfigurasi dienkripsi terowongan. Pada Tahap Dua konfigurasi, dan Anda membuat sebuah bentuk menetapkan nama yang mengidentifikasi Mengenkrip protokol yang digunakan untuk membuat terowongan yang aman. Anda juga harus membuat crypto dalam peta yang Anda mengidentifikasi rekan di bagian akhir terowongan, menentukan Notebook Murah bentuk-set untuk digunakan, dan menentukan daftar kontrol akses yang akan mengidentifikasi diijinkan arus lalu lintas. Dalam contoh ini, kami memilih AES karena heightened keamanan dan peningkatan kinerja. Pernyataan "menetapkan rekan 192.168.16.25" mengidentifikasi luar dari antarmuka router di bagian akhir terowongan. Pernyataan "mengatur bentuk-menetapkan vpnset" memberitahu router untuk menggunakan parameter ditentukan dalam bentuk-menetapkan vpnset dalam terowongan ini. Yang "sesuai dengan alamat 100" pernyataan digunakan untuk mengasosiasikan terowongan dengan akses 100-daftar yang akan ditetapkan kemudian.

Sampel dua tahap konfigurasi:
tukwila (config) # crypto ipsec mentransformasi-menetapkan vpnset esp-AES esp-Sha-hmac
tukwila (cfg-crypto-trans) # keluar
tukwila (config) # crypto peta vpnset 10 ipsec-isakmp
% PERHATIAN: Ini baru crypto peta akan tetap dinonaktifkan sampai rekan
yang valid dan akses daftar telah dikonfigurasi.
tukwila (config-crypto-peta) # menetapkan Notebook Murah rekan 192.168.16.105
tukwila (config-crypto-peta) # mengatur bentuk-menetapkan vpnset
tukwila (config-crypto-peta) # cocok dengan alamat 100

Crypto peta yang harus diterapkan untuk Anda di luar antarmuka (dalam contoh ini, antarmuka FastEthernet 4):

tukwila (config) # int f4
tukwila (config-jika) # crypto peta vpnset

Anda harus membuat daftar kontrol akses untuk secara eksplisit memungkinkan lalu lintas dari router yang ada di dalam terowongan di LAN ke router lainnya ada di dalam LAN (dalam contoh ini, router tukwila ada di dalam jaringan LAN alamat 10.10.10.0/24 dan router lainnya ada di Notebook Murah dalam jaringan LAN alamat 10.20.0.0/24):

tukwila (config) # akses daftar-100 ijin IP 10.10.10.0 0.0.0.255 10.20.0.0 0.0.0.255

(Untuk informasi lebih lanjut tentang sintaks-kontrol akses dari daftar, saya lihat di artikel lainnya membuat dan mengelola router Cisco akses-kontrol daftar.)

Anda juga harus membuat default gateway (juga dikenal sebagai "gateway terakhir resor"). Dalam contoh ini, default gateway di 192.168.16.1:

tukwila (config) # ip route 0.0.0.0 0.0.0.0 192.168.16.1

Memeriksa sambungan VPN

Berikut adalah dua perintah dapat digunakan Notebook Murah untuk memverifikasi sambungan VPN:

Router # menampilkan crypto ipsec sa
Perintah ini menampilkan pengaturan yang saat ini digunakan oleh Asosiasi Keamanan (SAS).

Router # crypto menunjukkan pada isakmp
Perintah ini akan menampilkan saat ini IKE Keamanan Asosiasi.

Mengatasi masalah sambungan VPN

Setelah konfirmasi konektivitas fisik, audit kedua ujung sambungan VPN untuk memastikan mereka cermin satu sama lain.

Gunakan debug untuk menganalisa koneksi VPN kesulitan:

Router # debug crypto isakmp
Perintah ini memungkinkan Anda untuk mengamati Tahap 1 ISAKMP negosiasi.

Router # debug crypto ipsec
Perintah ini memungkinkan Anda untuk mengamati Tahap 2 IPSec negosiasi.