Grupos DH do Cisco ASA VPN para o AWS VPC

Navegue suas respostas
2

O AWS fornece uma função simples em seu VPC que expõe um serviço VPN. Eu configurei isso e confirmei que ele funciona.

Nosso cliente está usando um dispositivo Cisco 5500 Series ASA para se conectar ao serviço AWS VPN. A FAQ fornecida pelo meu AWS descreve que os seguintes grupos Diffie-Hellman são suportados para a Fase 1 e Fase 2:

Q. Which Diffie-Hellman Groups do you support?

We support the following Diffie-Hellman (DH) groups in Phase1 and Phase2.

  • Phase1 DH groups 2, 14-18, 22, 23, 24

  • Phase2 DH groups 1, 2, 5, 14-18, 22, 23, 24

Taken from http://aws.amazon.com/vpc/faqs/

A AWS fornece uma configuração de exemplo para o dispositivo Cisco 5500 ASA ( link ). Posso confirmar que isso estabelece um túnel (s).

No entanto, o exemplo fornecido config parece estar fazendo uso do DH Grupo 2 tanto para a Fase 1 como para a Fase 2 do estabelecimento do túnel, e também está usando IKEv1, não IKEv2.

As notas da versão Cisco para o firmware 9.1.x para o dispositivo 5500 ASA recomendam que o Grupo 1 e o Grupo 2 sejam evitados e, de fato, outras fontes sugerem que o grupo 5 também deve ser evitado (o AWS não suporta o Grupo 5 em Fase 1, de modo que é bastante discutível).

When configuring for IKEv2, for security reasons you should use groups 21, 20, 19, 24, 14, and 5. We do not recommend Diffie Hellman Group1 or Group2. For example, use

crypto ikev2 policy 10

group 21 20 19 24 14 5

taken from Cisco ASA release notes for iOS version 9.1x

O AWS não oferece uma configuração de Prática Recomendada, mas o exemplo deles é um "acionador de partida para dez". Eu proponho a seguinte atualização para a configuração de exemplo da AWS, mas gostaria de ter alguma confiança de que isso vai conseguir o que eu acho que alcança antes de fornecê-lo ao nosso cliente.

Ln 48 - 54 alterado para: 

crypto ikev2 policy 10
  encryption aes256
  authentication pre-share
  group 24
  lifetime 28800
  hash sha256
exit

E o Ln 117 mudou para: 

crypto map <amzn_vpn_map> 1 set pfs group24

Parece realmente haver uma seca de validação dessa configuração em qualquer lugar do espaço, por isso, espero que essa mensagem em uma garrafa seja direcionada para a costa de alguém que saiba!

    
por belial 21.06.2016 / 13:24

0 respostas

Tags

Detectar recurso de slat de cpu quando o hypervisor está em execução Como se pode atualizar o ASN do BGP em um Gateway de Rede Virtual do Azure?