cuando el paquete ipsec del router get se ve en el mapa de crypto acl

Navega tus respuestas
-1

Tengo una pregunta sobre IPSec.

Por ejemplo, tenemos una ACL extendida con una línea 10.10.10.0/24 10.20.20.0/24 en un lado (R1) y 10.20.20.0/24 10.10.10.0/24 en el otro (R2).

Cuando vemos tráfico proveniente de un canal encriptado, ¿qué hace primero el enrutador (además de correlacionar el SPI del paquete con una conexión)?

También me cuesta entender la parte de ACL del mapa criptográfico. ¿Lo investigamos cuando obtenemos tráfico IPSec y, si lo hacemos? ¿Por qué solo hay una línea para 10.10.10.0 a 10.20.20.0 y no 10.20.20.0 a 10.10.10.0 para el tráfico de ingreso (R1)?

upd:

Estaba hablando de ACL que forma parte del mapa criptográfico probablemente se deba a mi horrendo inglés . Aquí está la configuración de Cisco: 

int fa0/0
    ip 1.2.3.4
    crypto map myIPsecMap

crypto map myIPsecMap
    set transform-set ...
    match address myACL

myACL
    permit ip 10.10.10.0/24 10.20.20.0/24

Cuando enviamos tráfico desde ese enrutador, verificamos si es del 10.10.10.0/24 y vamos al 10.20.20.0/24 y luego lo ciframos (solo IPsec, no GRE), pero cuando recibimos tráfico cifrado, escuché que también examinamos esa ACL (p. ej., myACL) para verificar si es del 10.20.20.0/24 y pasar al 10.10.10.0/24 (supongo que es más una pregunta sobre ACL en lugar de El propio IPsec)

..

Ok, lo comprobé yo mismo y de hecho se ve en mi ACL y si no agrego IP en ambos lados, el túnel Isakmp se cuelga en la negociación, lo tengo, para mí fue muy contradictorio pensar en ACL de esa manera

    
pregunta azeko 19.10.2015 - 07:30
fuente

1 respuesta

0

El enrutador debe procesar el paquete a nivel de IP. Un paquete cifrado tiene dos direcciones IP diferentes. Las direcciones IP de la puerta de enlace que crean el túnel seguro y las direcciones IP de origen / destino reales a las redes privadas que protege el túnel.

Ve que el tráfico ingresa en un canal cifrado y busca una Asociación de seguridad (SA) con la IP de origen entrante. Si encuentra un SA, el paquete se descifra y luego se vuelve a introducir en la pila de la red. Luego se procesa la capa IP desencriptada.

En este punto es donde se aplican las listas de control de acceso extendido más allá del canal cifrado porque las direcciones de origen y destino ahora están en claro.

Para explicar cómo funciona la configuración, debes comenzar con myACL . Luego creará mapa criptográfico que contiene los parámetros que desea para su túnel IPSec. El match address myACL simplemente significa que el tráfico debe coincidir con su regla para que se cifre. Asigna la ACL a un conjunto de parámetros IPSec.

Lo último que debes hacer es aplicar el mapa criptográfico a una interfaz . Esto es lo que hace el crypto map myIPsecMap . Esto le indica al enrutador que, para cualquier paquete que se envíe o reciba en esta interfaz, debe intentar aplicar el mapa criptográfico. "Aplicar el mapa criptográfico" primero comprueba su ACL para ver si el tráfico entrante o saliente coincide. Si lo hace, aplicará los parámetros IPSec descritos por myIPsecMap . Si no, continuará en la pila de manera normal.

    
respondido por el RoraΖ 19.10.2015 - 16:47
fuente

Lea otras preguntas en las etiquetas

Idea de tesis de seguridad de la información [cerrado] ¿Microsoft EMET protege contra el último ataque de Adobe Flash Team Hacking Team de 0 días?