Firewall Cisco ASA - Configurando uma VPN IPsec Site-to-Site

Para a configuração de uma VPN Site-to-Site utilizando o IPsec é necessário cumprirmos algumas etapas. Você precisará criar um perfil de conexão onde serão definidos os parâmetros para o estabelecimento do túnel VPN. Serão indicados os algoritmos de criptografia e hash, os endereços dos dispositivos envolvidos, entre outros. Para a autenticação dos equipamentos nós utilizaremos uma chave pré-compartilhada (PSK).

ETAPAS

1. Criação de uma política ISAKMP (Definição dos parâmetros da fase 1);
2. Habilitar a ISAKMP Policy na interface outside;
3. Criação do IPsec Transform (Definição dos parâmetros da fase 2);
4. Criação de um Tunnel Group;
5. Criação de uma accessACL (Definição do tráfego de interesse);
6. Configuração do Crypto Map;

......................................................

CONFIGURAÇÃO

1. Criação da política ISAKMP (Fase 1)

 #  crypto isakmp policy  <priority>

Na criação de uma política ISAKMP são definidos os parâmetros de criptografia, hash, autenticação, Diffie-Hellman e lifetime. Uma vez criada a política ela poderá ser utilizada em outros perfis de conexão VPN.

 # authentication pre-share 

Esse comando indica que o política criada utilizará uma chave pré-compartilhada (PSK).

 # encryption [3des | aes | aes-192 | aes-256 | des]

Você deve especificar um algoritmo de criptografia entre as opções disponíveis para a proteção dos dados.

 # hash [md5 | sha]

Nesse ponto é preciso especificar um algoritmo de hash que será utilizado pelos pares para garantir que as mensagens não tenham sido modificadas durante a transmissão.

 # group [1 | 2 | 5]

Você deve especificar o ID do grupo Diffie-Hellman entre as opções disponíveis. O Firewall ASA utiliza esse algoritmo para derivar as chaves de criptografia e hash.

 # lifetime <valor em segundos>

Você deve especificar o valor do lifetime para a Secure Association. Esse valor corresponde ao período de tempo para o uso das chaves de criptografia. Ao término desse período a chave é substituída. Se os valores definidos não forem correspondentes entre os dispositivos envolvidos, será escolhido o menor valor.

EXEMPLO
(config)# crypto isakmp policy 1
(config-isakmp-policy)# authentication pre-share
(config-isakmp-policy)# encryption aes-256
(config-isakmp-policy)# hash sha
(config-isakmp-policy)# group 2
(config-isakmp-policy)# lifetime 28800


2. Habilitar a ISAKMP Policy na interface outside

 # crypto isakmp enable  <nome da interface outside>

O comando permite habilitar o ISAKMP na interface de saída do firewall.


3. Criação do IPsec Transform (Fase 2)

 # crypto ipsec transform-set  <Nome do IPsec> [Opção de criptografia] [Opção de hash]

O transform-set é utilizado pelos pares durante as negociações de uma associação de segurança para o estabelecimento de uma VPN IPsec. Você precisará indicar um nome para a identificação do transform-set e definir os algoritmos de criptografia e hash utilizados para esse túnel.

Opções:
esp-3des - esp 3des encryption
esp-aes - esp aes 128 encryption
esp-aes-192 - esp aes 192 encryption
esp-aes-256 - esp aes 256 encryption
esp-des - esp des encryption
esp-md5-hmac - esp md5 authentication
esp-sha-hmac - esp sha authentication

EXEMPLO
(config)# crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac


4. Criação de um Tunnel Group 

 # tunnel-group   <endereço IP do peer> type ipsec-l2l
 # tunnel-group   <endereço IP do peer> ipsec-attributes
 # pre-shared-key  <chave compartilhada>

Nessa etapa é realizada a configuração do Tunnel Group onde você informará o endereço IP do dispositivo remoto definindo um nome para a conexão e indicará a chave pré-compartilhada utilizada para o estabelecimento da VPN.


5. Criação de uma Access-list ( Utilizada pra a identificação do tráfego de interesse)

 # access-list <nome da ACL> line <número> extended permit <protocolo> <endereço de origem> <endereço de destino>

Nessa etapa é criada uma access-list para a definição do tráfego que será encriptado no túnel VPN. No firewall ASA podem ser criados grupos de objetos para auxiliar nessa atividade. Essa access-list será vinculada na Crypto Map que será configurada na etapa seguinte.

EXEMPLO
access-list ACL_CryptoMap_1 line 1 extended permit ip object-group Rede-Local object-group Rede-Remota


6. Configuração do Crypto Map

 # crypto map <Nome do Crypto Map> <número/id> set peer <endereço ip do peer>

Nessa etapa você configurará o Crypto Map, definirá um nome, o ID e informará o endereço IP do par remoto.

 # crypto map <Nome do Crypto Map> <número/id> set transform-set <Nome do transform-set>

Nesse comando você indicará o nome do perfil do ipsec transform-set configurado anteriormente (Passo 3).

 # crypto map <Nome do Crypto Map> <número/id> match address <Nome da access-list>

Aqui você indicará o nome da access-list criada anteriormente (Passo 5).

 # crypto map <Nome do Crypto Map> interface <interface outside>

Nesse comando você informará a interface de saída utilizada para o estabelecimento da VPN.

EXEMPLO
crypto map crypto_map 1 set peer <endereço ip do peer>
crypto map crypto_map 1 set transform-set ESP-AES-256-SHA
crypto map crypto_map 1 match address ACL_CryptoMap_1
crypto map crypto_map interface outside

________________________________________________

As informações contidas acima foram baseadas em documentos oficiais publicados no site da Cisco Systems e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall ASA modelo 5510 com versão de IOS 8.2 (5).