Группы Cisco ASA VPN DH для AWS VPC
AWS обеспечивает аккуратную функцию в своем VPC, которая предоставляет сервис VPN. Я настроил это и подтвердил, что он работает.
Наш клиент использует устройство ASA Cisco серии 5500 для подключения к сервису AWS VPN. В разделе часто задаваемых вопросов в моем AWS описывается, что следующие фазы Диффи-Хеллмана поддерживаются для фазы 1 и фазы 2:
В. Какие группы Диффи-Хеллмана вы поддерживаете?
Мы поддерживаем следующие группы Диффи-Хеллмана (DH) в Фазе 1 и Фазе 2.
Phase1 DH группы 2, 14-18, 22, 23, 24
Phase2 DH группы 1, 2, 5, 14-18, 22, 23, 24
Взято с http://aws.amazon.com/vpc/faqs/
AWS предоставляет пример конфигурации для устройства Cisco 5500 ASA ( http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco_ASA.html). Я могу подтвердить, что это устанавливает туннель (ы).
Однако представленная примерная конфигурация, по-видимому, использует Группу DH 2 как для Фазы 1, так и для Фазы 2 установления туннеля, а также использует IKEv1, а не IKEv2.
Примечания к выпуску Cisco для микропрограммы 9.1.x для устройства 5500 ASA рекомендуют избегать Групп 1 и Группы 2, и фактически другие источники предлагают также избегать Группу 5 (AWS VPC не поддерживает Группу 5 на Фазе 1, так что это довольно спорный вопрос).
При настройке IKEv2 по соображениям безопасности следует использовать группы 21, 20, 19, 24, 14 и 5. Мы не рекомендуем использовать Diffie Hellman Group1 или Group2. Например, используйте
политика шифрования ikev2 10
группа 21 20 19 24 14 5
взяты из заметок о выпуске Cisco ASA для iOS версии 9.1x
AWS не предлагает конфигурацию Best Practice, их пример - "стартер для десяти". Я предлагаю следующее обновление примера конфигурации AWS, но хотел бы иметь некоторую уверенность в том, что это достигнет того, чего, я думаю, оно достигнет, прежде чем предоставить его нашему клиенту.
Ln 48 - 54 изменено на:
crypto ikev2 policy 10
encryption aes256
authentication pre-share
group 24
lifetime 28800
hash sha256
exit
И Ln 117 изменился на:
crypto map <amzn_vpn_map> 1 set pfs group24
Похоже, что где-то в межпространстве действительно наблюдается засуха проверки этой конфигурации, так что, надеюсь, это сообщение в бутылке дойдет до береговой линии того, кто в курсе событий!