IPsec | Miftah Rahman (Go)-Blog

IPSec Site2Site with VTI (Virtual Tunnel Interface)

September 10, 2015

Kemaren kita bahas tentang salah satu varian Cisco VPN, yaitu DMVPN

Sekarang kita bahas tentang varian lainnya, yaitu VTI (Virtual Tunnel Interface)

Pre-requisite:

GRE (knowledge about DMVPN dan Secure DMVPN much preferred)

———————————————————————

Why VTI?

Kelemahan dari DMVPN adalah dalam pemakaian tunnel-nya, klo kita mau konek ke branch, kita pointing ke IP tunnel-nya (tul gak?!?), bikin IP baru lagi dong (taro di tunnel), dan yang pasti management IP lebih berat lagi dong, belum lagi ga terlalu “routable” itu IP di tunnel (fungsi IP tunnel-nya itu kan buat konekin tunnel satu ke yang lain…itu tok)

Nah, kelemahan ini yang VTI eliminasi, di interface tunnel ga perlu ada IP, pointing tunnel-nya ke IP “beneran” (biasa ke loopback)

Kok bisa? Lets take a look at the network diagram and configuration below

Take a look at “int tunnel 1” with no ip address and replaced by “ip unnumbered loopback 1” command alias R1 akan pointing IP Address tunnel-nya ke loopback

Untuk maksud “tunnel mode ipsec ipv4” dan “tunnel protection ipsec profile [nama]” sudah dijelaskan di Secure DMVPN (artinya lu harus setting sendiri profile-nya…liat aja caranya di link yang gw kasih)

Untuk routing bisa sendirilah…gw pake default route aja

Lets verify is VTI tunnel kita dapet IP apa engga

Take a look at IP address Tunnel1…IP-nya adalah 1.1.1.1, method TFTP…artinya VTI Tunnel kita dapet IP

Lets ping to the R3 tunnel (which is 3.3.3.3)

Done…

——————————————————-

Bonus…

Advantages of VTI

Karena kita pake interface “beneran” (yang IP-nya routable), berarti kita juga bisa taro QoS di VTI

Contohnya…klo ada traffic make IP loopback untuk koneksi normal kita kasi precedence 4 (semakin tinggi nilai semakin di prioritaskan), sedangkan klo ada traffic make IP looback buat VPN-an kita kasi precedence 2 (that’s great!!!)

Nyok kita liat…

Bikin Klasifikasi Traffic (Class-map) dulu …untuk misahin traffic biasa (FastEth-Class) dan traffic VTI (VTI-Class)

Trus bikin Policy untuk masing2 traffic (Policy-map), lalu taro de di interface tunnel dengan service policy output [nama policy-map] seperti yang kita lihat dibawah ini

Nah, klo trafficnya pake VTI Tunnel (buat ke branch misalkan), nanti akan di kasi prioritas rendah (precedence 2), sisanya normal

Untuk lebih jelas tentang Traffic Classification, Traffic Policing, dan Traffic Shaping bisa dilihat disini

Verifikasi:

———————————————

References:

VPN Differences @Ciscozine.com – http://www.ciscozine.com/ipsec-vpn-ezvpn-gre-dmvpn-vti-getvpn/

Comparing VPN @Firewall.cx – http://www.firewall.cx/cisco-technical-knowledgebase/cisco-services-tech/945-cisco-comparing-vpn-technologies.html

Advantages using VTI by Paul Stewart #26009 (Security) – http://www.packetu.com/2012/05/01/avantages-of-using-svti-based-vpns/

Advantages using VTI @Cisco Support Forum – https://supportforums.cisco.com/blog/149426/advantages-vti-configuration-ipsec-tunnels

IPSec WAN Design Review @Cisco whitepaper – http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008074f22f.pdf

Securing DMVPN

July 13, 2015

Sebenernya article ini tentang IPSec Site2Site VPN, Cuma karena IPSec ini bisa dipasang ke DMVPN…so let try to secure this VPN using it

Pre-requisite

DMVPN (config can be found here)
Cryptography Fundamental (link can be found here)

————————————————————-

The topology is still the same

Lets show initial DMVPN in the R2 perspective

Only 1 Peer of NBMA Address (which is R1_Hub)…after ping to R3 there goes 35.0.0.3 which is NMBA Addres of R3

Default framework untuk security VPN kita bisa cek dengan cara show crypto isakmp policy

Nah kita bisa liat default yang dikasi klo kita mau VPN-an (klo kita mau config, default-nya ini), nanti ini bakal kita rubah2…

Btw…isakmp itu apa? (Internet Security Association and Key Management Protocol) A framework for negotiation and management of security association between peers

Framework? Jadi klo lo mau masang LCD TV…tentu harus dengan kabel yang sesuai, masang antenna juga harus sesuai, remote-TV nya juga harus sesuai…klo ga, ya jadi ga bisa nonton kan? (Encryption nya harus sesuai, protocol authentication nya harus sesuai, key-password nya harus sesuai), negosiasi antar 2 node sebelum bisa kirim2an data itulah disebut ISAKMP framework

————————————————-

IPSec VPN Site2Site Phases

Untuk bisa konfigurasi IPSec, kita harus melewati (baca: konfig) 2 tahap dulu

Tahap pertama: IKE Phase (Internet Key Exchange Phase), tahap bikin key sama tuker2 key-nya

Tahap kedua: IPSec Phase, ini packet mau di enkripsi “dalemnya” aja atau semuanya

ISAKMP Phase 1

Penjelasan:

Crypto isakmp policy [nomor]: kita bikin IKE-nya dengan nomor 10 (semakin kebawah alias <10 artinya semakin bagus/priority)
Hash [protocol]: Mau pake hashing tipe apa? MD5 (less secure) atau SHA (more secure but little slow)
Authentication [mode]: metode authentikasi-nya mau pake PSK (Pre-shared key), RSA-Encr (RSA Encryption), atau mau pake Digital Certificate (RSA-Sig)
Group [nomor]: Tuker2an key-nya mau pake metode apa? Diffie-Hellman 1 (DH-1), atau DH-2, DH-5, dan seterusnya (banyak soalnya)
Lifetime [second]: key yang kita exchange itu validitasnya berapa lama (86400 itu 1 hari, default)
Encryption [mode] [bit]: data kita mau di enkripsi pake apa? DES, 3DES, atau AES (dan variannya banyak)
Crypto isakmp key [STRING] address [ip address]: nah ini key yang kita bikin (end-to-end harus sama yaks) trus ip mana yang boleh join VPN (0.0.0.0 itu semuanya boleh join VPN ke router ini, not secure, tapi gpp…ini cuma contoh hahaha)

Note: ada kalanya kita harus pake RSA-sig karena ketergantungan dengan address-nya itu (ganti IP, rubah lagi konfig-nya, repot)

Atau pake crypto isakmp key [STRING] hostname [HOSTNAME] untuk resolve via DNS address-nya

ISAKMP Phase 2

Penjelasan:

Crypto ipsec transform-set [STRING] [ESP type] [bit] [HMAC type]: kita mau bikin IPSec dengan nama [STRING] dimana ESP (encapsulating security payload) nya pake, besarnya berapa (128, 192, 256, etc.), dan HMAC (hashing message authentication code) mau pake apa
Mode [tipe]: ada 2 tipe mode untuk IPSec
- Tunnel mode: semua isi berikut header2 IP-nya di enkripsi
- Transport mode: data payload-nya aja di enkripsi, header IP-nya masih kebaca
Trus kita bikin IPSec profile (jadi tiap VPN ke beberapa company bisa kita bedain profile-nya) dengan cara crypto ipsec profile [nama profile]
Trus masukin framework IPSec (yang transform-set itu) ke sini dengan cara set transform-set [STRING]