Cisco-VPN mit RSA-Signaturen

Aus Knowledgebase
Zur Navigation springen Zur Suche springen

Anstatt mit Pre-shared-keys zu arbeiten, besteht auch die Möglichkeit, die Authentifizierung der VPN-Verbindung über RSA-Signaturen durchzuführen. Dies ist kryptographisch sicherer, siehe Erklärung in der Wikipedia. Dazu sind einige wenige Änderungen notwendig. Eine bestehende Konfiguration mit PSK wird vorausgesetzt.

Schlüssel

Die bereits für ssh generierten Schlüssel können problemlos auch für die Absicherung des VPNs verwendet werden. Bei den 830er Routern wurde bei der Einrichtung meistens aber ein lediglich 768 Bit langes Schlüsselpaar generiert (längere brauchen erheblich mehr Zeit zur Generation, ca. 2,5 Minuten für 2048 Bit). Ggfs. kann das Schlüsselpaar an dieser Stelle neu generiert werden. Vorsicht, wenn man per ssh eingeloggt ist und mit

crypto key zeroize

den Schlüssel verwirft, sperrt man sich wirkungsvoll aus. Ggfs. temporär telnet als gültigen Transport für vty 0 4 freischalten!

crypto key generate rsa general-keys modulus 2048 exportable

ISAKMP Policies

Die vorhandenen und verwendeten ISAKMP-Policies müssen dupliziert werden und statt mit authentication pre-share mit authentication rsa-sig versehen werden (default):

crypto isakmp policy 3
 encr 3des
 hash md5
 authentication rsa-sig
 group 5
!
crypto isakmp policy 4
 encr 3des
 hash md5
 authentication rsa-sig
 group 2

Feststellen der Pubkeys

Mit

show crypto key mypubkey rsa

wird der Public-Key des entsprechenden Routers angezeigt:

% Key pair was generated at: 18:22:28 CEST Apr 13 2010
Key name: router1.mydomain.de
 Usage: General Purpose Key
 Key is exportable.
 Key Data:
  307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00CA658D FA4E8C7F 
  57A174A0 2C4DEE0A 372027EB 83A8F59A E220570D FF7C5F45 77BE05D3 919C37B1 
  1A2DE41F 77302E3D 416333C5 882C6D5F 645574F7 4527842B 74DEA481 94C1C799 
  41165760 184CA89E F5045F6B 664E3934 278760E7 1B87D06F 85090301 0001
% Key pair was generated at: 10:18:07 CEST May 22 2010
Key name: router1.mydomain.de.server
 Usage: Encryption Key
 Key is not exportable.
 Key Data:
  306C300D 06092A86 4886FF0D 01010105 00035B00 30580251 00CEC1BE 5B7CCF76 
  24485286 83ABF472 474616DB 27E8D303 3DCE83C1 6386A0A9 C5C404EA A14795E6 
  255F7D01 AC60FD38 35BA4E31 719C4720 B552C5FC FBDE9AE6 38C1DA48 74A6FE74 
  F436DEEC 31EE31AF A7020301 0001

Den ersten Block (General Purpose Key) muss man ab Key Data kopieren (Textdatei, o. Ä.). Die statische IP-Adresse sollte ebenfalls mit vermerkt werden.

Umstellen auf RSA

Nun wird in den vorhandenen Schlüsselring der General Purpose Key des jeweils anderen Routers kopiert und stattdessen der vorherige PSK gelöscht.

crypto keyring mypsks 
 no pre-shared-key address 217.28.111.222 key zTqXZNAehkxVXAtlAvRpgRth48Wk0YLT1G083x9xFcpcw5QZ2ZBaJILAbb8uMzQM
 rsa-pubkey address 217.28.111.222
  key-string
     307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00CA658D FA4E8C7F 
     57A174A0 2C4DEE0A 372027EB 83A8F59A E220570D FF7C5F45 77BE05D3 919C37B1 
     1A2DE41F 77302E3D 416333C5 882C6D5F 645574F7 4527842B 74DEA481 94C1C799 
     41165760 184CA89E F5045F6B 664E3934 278760E7 1B87D06F 85090301 0001
  quit

Nach einem Neustart der Cryptosession (clear crypto session peer 217.28.111.222) wird per RSA-Schlüssel authentisiert.

Stolperfallen

Falls ein Router neu eingerichtet werden muss, weil er kaputt gegangen ist und die Schlüssel nicht gesichert wurden (crypto key export…), müssen eventuelle Site2Site-VPNs schlüsseltechnisch neu eingerichtet werden.

RSA-Schlüssel sollten generell relativ groß sein. In einem Fall konnte mit dem Originalschlüssel (von vermutlich 768 Bit) keine Verbindung aufgebaut werden. Ein Schlüssel mit 2048 Bit hat indes funktioniert.