Cisco – ASA/PIX – Mettre en oeuvre un VPN IPSEC Site à site

 

L’implémentation du protocole IPSEC n’est pas complexe en soit (plus facile à dire lorsqu’on connait le sujet). La bonne intégration de cette technologie sur une infrastructure nécessite de connaitre en amont les différents mécanismes et la logique d’implémentation du constructeur ou éditeur. Dans le contexte de cet article, il sera présenté la logique d’implémentation d’un tunnel ipsec de type L2L (Lan to Lan ou site à site) en prenant comme exemple la gamme de pare-feu ASA / PIX de Cisco.

La documentation sur le fonctionnent du modèle IPSEC ainsi que les protocoles associées est suffisamment abondante sur internet. Je vous conseille simplement et fortement la lecture des RFC (disponible sur le site de l’IETF) sur le sujet « http://www.ietf.org/rfc.html ».

Les étapes de la mise en œuvre:

  1. Créer une ou plusieurs règles ISAKMP
  2. Configurer une méthode d’authentification
  3. Configurer les paramètres ipsec
  4. Configurer une crypto map
  5. Associer la crypo map à une interface
  6. Activer isakmp sur une interface

La topologie :

Configuration d’un VPN IPSEC en mode Lan to Lan

Configuration des paramètres de la phase 1:

On spécifie le type d’authentification de la phase 1. L’exemple suivant est basé sur une clé partagée. D’autres moyens permettent de réaliser cette étape, on peut notamment faire allusion à l’authentification par certificat.

hostname(config)# isakmp policy 1

ciscoasa(config-isakmp-policy)# authentication pre-share

Spécifier la méthode de chiffrement. Pour l’exemple suivant, la méthode de chiffrement est l’aes 128, mais il est également possible de spécifier un chiffrement autre que de l’AES (préconisé).

ciscoasa(config-isakmp-policy)# encryption aes-128

On spécifie la methode HMAC (méthode de hachage). L’exemple suivant permet d’indiquer la mise en œuvre du contrôle d’intégrité basé sur SHA-1.

ciscoasa(config-isakmp-policy)# hash sha

On spécifie le groupe diffie-hellman. Dans l’exemple ci-dessous la valeur est 5. Le groupe diffie-hellman permet de sécuriser l’échange de clé par-dessus un média non sécurisé.

hostname(config)# group 5

Indiquer la durée de vie du chiffrement de la clé. L’exemple suivant spécifie 43,200 seconds (soit 12 heures).

ciscoasa(config-isakmp-policy)# lifetime 43200

Création du Transform Set

Le transform set est l’association d’une méthode de chiffrement et d’authentification. Cette phase va permettre durant l’établissement d’une association (basée sur ISAKMP) de se mettre d’accord durant les échanges afin de fixer la méthode de sécurisation des données. Les paramètres du transform set devrons être les mêmes des deux côtés.

Le transform set va permettre de sécuriser les flux déterminés à partir d’une access-list associée à une crypto map. Il est possible de spécifier des transform set et d’appliquer 11 crypto map et dynamic map.

La syntaxe de base:

crypto ipsec {transform-set} {transform-set-name} {encryption-method } { authentication-method }

Dans l’exemple suivant un transform set nommé FirstSet a été créé, un chiffrement basé sur une encapsulation esp-aes-128 et une authentification basée sur sha1 esp-sha1-hmac et mis en œuvre:

hostname(config)# crypto ipsec transform set  myset esp-aes esp-sha-hmac
hostname(config)#

Définir un Tunnel Group

Il existe par défaut deux types de tunnel group au sein des appliances ASA & PIX, le groupe DefaultRAGroup mis en œuvre dans le cadre des tunnels en mode accès distant et le Tunnel Group de type DefaultL2Lgroup correspondant par défaut à la mise en œuvre de tunnels IPSec LAN-to-LAN.

Afin d’établir une connexion Lan to Lan, il est nécessaire d’intégrer au minimum 2 attributs à un Tunnel Group:

  • Spécifier que le type de connexion.
  • Spécifier une méthode d’authentification, dans notre cas de figure, la mise en œuvre d’une clé partagée.

Afin de configurer le Tunnel Group il suffit de saisir la commande suivante

La syntaxe de base:

Tunnel-group {nom} type {type}, on affecte un nom au Tunnel group et le type.
  • ipsec-ra (IPSec remote access)
  • ipsecl2l (IPSec LAN to LAN)

Dans l’exemple suivant le nom du Tunnel group utilisé est testgroup.

hostname(config)# tunnel-group 90.1.1.1 type ipsec-l2l
hostname(config)#

L’étape suivante consiste à affecter la valeur de la clé partagée au Tunnel Group 90.1.1.1 qui devra être connu des deux personnes, ceux afin de valider l’authentification lors de la mise en œuvre du tunnel IPSec. Pour cela il faut insérer cette information dans le mode ipsec-attributes du Tunnel group.

La clé partagée doit posséder une valeur alphanumérique comprise entre 1 et 128 caractères. Dans l’exemple suivant la clé a pour valeur @Bc5*+-op.

hostname(config)# tunnel-group 90.1.1.1 ipsec-attributes
hostname(configipsec)# pre-shared-key @Bc5*+-op

 

Configuration d’une crypto map :

L’appliance utilise les crypto maps afin de permettre la mise en œuvre de modèles de stratégies. Une crypto map (sens Cisco) correspond dans le langage standard IPSEC à la phase 2.

Appliquer un transform set à la map:

Spécifier le nom de l’entrée de la crypto map dynamique via la commande suivante, crypto map set transform-set .

La syntaxe est crypto map nom_map seq-num set transform-set nom_du_transformset

Voir l’exemple ci-dessous.

hostname(config)#crypto map mymap 10 set transform-set myset

Appliquer une policy et indiquer l’access-list identifiant le trafic à sécuriser:

Définir le traffic intéressant. Est défini comme étant le trafic intéressant les flux devant appartenir à la stratégie de sécurité du tunnel. Il sera appliqué

La syntaxe de base:

crypto map nom_map seq_num match address acess_list

Exemple:

hostname(config)# crypto map mymap 10 match address L2LAccessList

 

Spécifier l’adresse IP du peer distant:

Il est nécessaire de spécifier l’adresse IP de l’équipement de terminaison distant du tunnel IPSEC.

La syntaxe de base:

crypto map map-name set peer adresse_ip

Exemple:

hostname(config)# crypto map mymap 10 set peer 80.1.1.1
hostname(config)#

 

Activier le mode RRI (Reverse Route Injection):

La syntaxe de base:

crypto map nom-map  seq-num set reverse-route

Exemple:

hostname(config)# crypto map mymap 10 set reverse-route

Activer ISAKMP sur l’interface concernée (dans notre cas outside):

On applique la crypto map à l’interface outside, sachant que l’interface outside (dans mon exemple) est l’interface par laquelle la connexion distante IPSec sera collectée.

La syntaxe de base:

crypto map map-name interface interface-name

Exemple:

hostname(config)# crypto map mymap interface outside
hostname(config)#

Activer ISAKMP sur l’interface .

hostname(config)# isakmp enable outside
hostname(config)#

 

Ce qui donne les fichiers de configuration suivants:

ASA1

hostname ASA1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
! Configuration des interfaces:  inside et outside
interface Ethernet0/0
nameif outside
security-level 0
ip address 90.1.1.1 255.255.255.0
!
interface Ethernet0/1
no nameif
no security-level
no ip address
!
interface Ethernet0/2
nameif inside
security-level 100
ip address 192.168.0.254 255.255.255.0
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot config disk0:/startup-config
ftp mode passive
!
! Créer les access-list identifiant le trafic à sécuriser
!
access-list L2LAccessList extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list L2LAccessList extended permit icmp 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list nonat extended permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list nonat extended permit icmp 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

!

global (outside) 1 interface
route outside 0.0.0.0 0.0.0.0 90.1.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!
! Implémenter la stratégie du tunnel IPSEC
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto map mymap 10 match address L2LAccessList
crypto map mymap 10 set peer 80.1.1.1
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set reverse-route
crypto map mymap interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
tunnel-group 80.1.1.1 type ipsec-l2l
tunnel-group 80.1.1.1 ipsec-attributes
pre-shared-key LANTOLANIPSEC
prompt hostname context

 

ASA2

hostname ASA2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.50 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 80.1.1.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot config disk0:/startup-config
ftp mode passive
access-list L2LAccessList extended permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log
access-list L2LAccessList extended permit icmp 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log
access-list nonat extended permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list nonat extended permit icmp 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0
pager lines 24
logging enable
logging monitor debugging
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
route inside 0.0.0.0 0.0.0.0 192.168.1.254 1
route outside 90.1.1.0 255.255.255.0 80.1.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto map mymap 10 match address L2LAccessList
crypto map mymap 10 set peer 90.1.1.1
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set reverse-route
crypto map mymap interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
username aghiles password 2qBkk77f6Weje2uL encrypted
tunnel-group 90.1.1.1 type ipsec-l2l
tunnel-group 90.1.1.1 ipsec-attributes
pre-shared-key *
Sh

 

Commandes de diagnostique

Un ensemble de commandes permet de réaliser le diagnostique de la technologie. Ces commandes permettent de donner des informations précieuse sur l’implémentation du ou des tunnels IPSEC.

 

La commande « show crypto isakmp sa » permet de consulter l’état des associations de sécurité (SA) IKE.

ASA2# show crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1   IKE Peer: 90.1.1.1
Type    : L2L             Role    : initiator
Rekey   : no              State   : MM_ACTIVE
ASA2#

 

 

La commande « show crypto ipsec sa » permet de consulter l’état des associations de sécurité (SA). Contrairement à la commande similaire basée sur ISAKMP (phase 1 dans notre cas), la commande suivante fournie les informations de la phase 2.

ASA2# show crypto ipsec sa
interface: outside
Crypto map tag: mymap, seq num: 10, local addr: 80.1.1.1
access-list L2LAccessList permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0 log
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
current_peer: 90.1.1.1
#pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 1, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 80.1.1.1, remote crypto endpt.: 90.1.1.1
path mtu 1500, ipsec overhead 74, media mtu 1500
current outbound spi: 00511FB7
inbound esp sas:
spi: 0x1271224D (309404237)
transform: esp-aes esp-sha-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (3825000/28795)
IV size: 16 bytes
replay detection support: Y
outbound esp sas:
spi: 0x00511FB7 (5316535)
transform: esp-aes esp-sha-hmac none
in use settings ={L2L, Tunnel, }
slot: 0, conn_id: 4096, crypto-map: mymap
sa timing: remaining key lifetime (kB/sec): (3824999/28794)
IV size: 16 bytes
replay detection support: Y

 

La commande « show crypto ipsec sa summary » permet de consulter l’état des associations de sécurité (SA) sur la base d’une vue synthétique.

ASA2# show crypto ipsec sa summary
Current IPSec SA’s:            Peak IPSec SA’s:
IPSec            :     2         Peak Concurrent SA  :     2
IPSec over UDP   :     0         Peak Concurrent L2L :     2
IPSec over NAT-T :     0         Peak Concurrent RA  :     0
IPSec over TCP   :     0
IPSec VPN LB     :     0
Total            :     2

 

La commande « show crypto protocol statistics {ikev1 ou ikev2} » permet de consulter différentes statistiques sur le fonctionnement d’IKE (Internet Key Exchange) .

ASA2# show crypto protocol statistics ikev1
[IKEv1 statistics]
Encrypt packet requests: 20
Encapsulate packet requests: 20
Decrypt packet requests: 19
Decapsulate packet requests: 19
HMAC calculation requests: 32
SA creation requests: 1
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 2
Random number generation requests: 23
Failed requests: 0

 

La commande « show crypto protocol statisticsipsec » permet de consulter différentes statistiques sur le fonctionnement des SA .

ASA2# show crypto protocol statistics ipsec
[IPsec statistics]
Encrypt packet requests: 3
Encapsulate packet requests: 3
Decrypt packet requests: 0
Decapsulate packet requests: 0
HMAC calculation requests: 3
SA creation requests: 2
SA rekey requests: 0
SA deletion requests: 0
Next phase key allocation requests: 0
Random number generation requests: 1
Failed requests: 0

 

Réinitialiser un tunnel IPSEC:

  • La commande clear crypto sa permet de réinitialiser les associations de sécurité IPSEC.
  • La commande clear crypto isakmp permet de réinitialiser la phase 1 associée à ISAKMP.

 

Le diagnostique avancée “mode debug”

  • La commande «  show crypto debug-condition » permet de consulter les différents modes de diagnostique activés pour la fonction crypto .
ASA2# show crypto debug-condition
Crypto conditional debug is turned OFF
IKE debug context unmatched flag:  OFF
IPSec debug context unmatched flag:  OFF
IKE debug context error flag:  OFF
IPSec debug context error flag:  OFF

 

  • La commande «  show debug crypto » permet d’activer le mode debug en fonction de la fonctionnalité devant être diagnostiqué .
ASA2# debug crypto ?
ca         Set PKI debug levels
condition  Set IPSec/ISAKMP debug filters
engine     Set crypto engine debug levels
ipsec      Set IPSec debug levels
isakmp     Set ISAKMP debug levels
vpnclient  Set EasyVPN client debug levels

 

  • La commande «  debug crypto condition » permet d’activer le mode debug de la crypto en fonction des messages désirés .
ASA2# debug crypto condition ?
error      Display debug error messages regardless of filters
group      Filter on a group name
peer       Filter on a peer address or subnet
reset      Clear the crypto debug filters
spi        Filter on an IPSec SPI
unmatched  Display messages with insufficient context to match a filter
user       Filter on a user name

 

  • La commande «  debug crypto condition » permet d’activer le mode debug de la crypto en fonction des messages désirés .
ASA2# sh debug crypto
debug crypto ipsec is disabled
debug crypto engine is disabled
debug crypto ca is disabled
debug crypto ca messages is disabled
debug crypto ca server is disabled
debug crypto ca transactions is disabled
debug crypto isakmp is disabled
debug crypto isakmp timer is disabled
debug crypto vpnclient is disabled
Crypto conditional debug is turned ON
IKE debug context unmatched flag:  OFF
IPSec debug context unmatched flag:  OFF
IKE debug context error flag:  ON
IPSec debug context error flag:  ON

 

  • La commande «  debug crypto ipsec » permet de diagnostiquer l’ensemble des événements associés à l’établissement des associations de sécurité.
ASA2(config)# %ASA-5-713041: IP = 90.1.1.1, IKE Initiator: New Phase 1, Intf inside, IKE Peer 90.1.1.1  local Proxy Address 192.168.1.0, remote Proxy Address 192.168.0.0,  Crypto map (mymap)
%ASA-6-302015: Built outbound UDP connection 19 for outside:90.1.1.1/500 (90.1.1.1/500) to NP Identity Ifc:80.1.1.1/500 (80.1.1.1/500)
%ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: 1048, limit: 0.
%ASA-6-110002: Failed to locate egress interface for UDP from inside:fe80::1ce5:750d:373c:4267/62814 to ff02::c/1900
%ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: 1048, limit: 0.
%ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: 1048, limit: 0.
%ASA-6-713172: Group = 90.1.1.1, IP = 90.1.1.1, Automatic NAT Detection Status:     Remote end is NOT behind a NAT device     This   end is NOT behind a NAT device
%ASA-4-713903: Group = 90.1.1.1, IP = 90.1.1.1, Freeing previously allocated memory for authorization-dn-attributes
%ASA-6-113009: AAA retrieved default group policy (DfltGrpPolicy) for user = 90.1.1.1
%ASA-3-713119: Group = 90.1.1.1, IP = 90.1.1.1, PHASE 1 COMPLETED
%ASA-5-713049: Group = 90.1.1.1, IP = 90.1.1.1, Security negotiation complete for LAN-to-LAN Group (90.1.1.1)  Initiator, Inbound SPI = 0xc0aca6c9, Outbound SPI = 0x59e6ba74
%ASA-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0x59E6BA74) between 80.1.1.1 and 90.1.1.1 (user= 90.1.1.1) has been created.
%ASA-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0xC0ACA6C9) between 80.1.1.1 and 90.1.1.1 (user= 90.1.1.1) has been created.
%ASA-5-713120: Group = 90.1.1.1, IP = 90.1.1.1, PHASE 2 COMPLETED (msgid=dfe3aea0)
%ASA-6-302020: Built outbound ICMP connection for faddr 192.168.0.254/0 gaddr 192.168.1.100/1 laddr 192.168.1.100/1
%ASA-6-302021: Teardown ICMP connection for faddr 192.168.0.254/0 gaddr 192.168.1.100/1 laddr 192.168.1.100/1
%ASA-6-302020: Built outbound ICMP connection for faddr 192.168.0.254/0 gaddr 192.168.1.100/1 laddr 192.168.1.100/1

 

  • La commande «  debug crypto isakmp {niveau de verbosité} » permet de diagnostiquer l’ensemble des événements associés au processus IKE .
ASA2# debug crypto isakmp {1-255}
IKE Recv RAW packet dump
82 3e ba 88 9f 4a ba 72 ed 5f af b7 f3 ec 40 94    |  .>…J.r._….@.
08 10 05 01 24 8e 24 1a 00 00 00 5c b3 d3 1f 35    |  ….$.$….\…5
54 2b 70 70 1e fb 8f 82 51 ff f0 f2 69 9b 89 18    |  T+pp….Q…i…
fc cb 3c ed 6c 87 13 bf ec 7f cf 9f 22 65 12 cd    |  ..<.l…. »e..
cb f9 05 d4 d4 0a ab 95 26 3d 71 54 b9 0a 38 91    |  ……..&=qT..8.
95 5b 6c e0 2a cd c3 1a 41 82 98 a2                |  .[l.*…A…
RECV PACKET from 90.1.1.1
ISAKMP Header
Initiator COOKIE: 82 3e ba 88 9f 4a ba 72
Responder COOKIE: ed 5f af b7 f3 ec 40 94
Next Payload: Hash
Version: 1.0
Exchange Type: Informational
Flags: (Encryption)
MessageID: 248E241A
Length: 92
AFTER DECRYPTION
ISAKMP Header
Initiator COOKIE: 82 3e ba 88 9f 4a ba 72
Responder COOKIE: ed 5f af b7 f3 ec 40 94
Next Payload: Hash
Version: 1.0
Exchange Type: Informational
Flags: (Encryption)
MessageID: 248E241A
Length: 92
Payload Hash
Next Payload: Notification
Reserved: 00
Payload Length: 24
Data:
75 c5 31 26 c3 e7 ff a1 59 1f fb bd dc 6a be ee
9c 90 ad 06
Payload Notification
Next Payload: None
Reserved: 00
Payload Length: 32
DOI: IPsec
Protocol-ID: PROTO_ISAKMP
Spi Size: 16
Notify Type: R_U_THERE
SPI:
82 3e ba 88 9f 4a ba 72 ed 5f af b7 f3 ec 40 94
Data: 2a 6f 5e d4
BEFORE ENCRYPTION
RAW PACKET DUMP on SEND
82 3e ba 88 9f 4a ba 72 ed 5f af b7 f3 ec 40 94    |  .>…J.r._….@.
08 10 05 00 3c 83 66 b4 1c 00 00 00 0b 00 00 18    |  ….<.f………
0f 80 1a 80 4e f6 ef 2d bd c9 55 ce 4c 22 6e 94    |  ….N..-..U.L »n.
55 f9 0f c1 00 00 00 20 00 00 00 01 01 10 8d 29    |  U…… …….)
82 3e ba 88 9f 4a ba 72 ed 5f af b7 f3 ec 40 94    |  .>…J.r._….@.
2a 6f 5e d4                                        |  *o^.
ISAKMP Header
Initiator COOKIE: 82 3e ba 88 9f 4a ba 72
Responder COOKIE: ed 5f af b7 f3 ec 40 94
Next Payload: Hash
Version: 1.0
Exchange Type: Informational
Flags: (none)
MessageID: 3C8366B4
Length: 469762048
Payload Hash
Next Payload: Notification
Reserved: 00
Payload Length: 24
Data:
0f 80 1a 80 4e f6 ef 2d bd c9 55 ce 4c 22 6e 94
55 f9 0f c1
Payload Notification
Next Payload: None
Reserved: 00
Payload Length: 32
DOI: IPsec
Protocol-ID: PROTO_ISAKMP
Spi Size: 16
Notify Type: R_U_THERE_ACK
SPI:
82 3e ba 88 9f 4a ba 72 ed 5f af b7 f3 ec 40 94
Data: 2a 6f 5e d4
ISAKMP Header
Initiator COOKIE: 82 3e ba 88 9f 4a ba 72
Responder COOKIE: ed 5f af b7 f3 ec 40 94
Next Payload: Hash
Version: 1.0
Exchange Type: Informational
Flags: (Encryption)
MessageID: B466833C
Length: 92

 

  • La commande «  debug crypto engine {niveau de verbosité compris entre 1 et 255} » permet de diagnostiquer le moteur de chiffrement et déchiffrement des clefs.
ASA2# debug crypto engine 255
ASA2# %ASA-5-111008: User ‘enable_15’ executed the ‘debug crypto engine 255’ command.
ASA2#
CTM: ike session with no priority allocated @ 0xD8DC43C8
CTM: Session 0xD8DC43C8 uses the software engine
CTM: ike context allocated for session 0xD8DC43C8
CTM: ike session with no priority allocated @ 0xD88CFC88
CTM: Session 0xD88CFC88 uses the software engine
CTM: ike context allocated for session 0xD88CFC88
CTM: ike session with no priority allocated @ 0xD88CFBF0
CTM: Session 0xD88CFBF0 uses the software engine
CTM: ike context allocated for session 0xD88CFBF0
CTM: ike session with no priority allocated @ 0xD8DC4460
CTM: Session 0xD8DC4460 uses the software engine
CTM: ike context allocated for session 0xD8DC4460

 

 

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *