ASA Failover - klucze RSA + certyfikaty dla VPN

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
Awatar użytkownika
krisator
wannabe
wannabe
Posty: 446
Rejestracja: 06 maja 2005, 18:35

ASA Failover - klucze RSA + certyfikaty dla VPN

#1

#1 Post autor: krisator »

Panowie,

mam nastepujacy scenariusz do przeanalizowania:
2 x ASA (5510) w konfiguracji Failover Active/Standby i na nich terminowane VPN'y.
W dokumentacji Cisco online nie znalazlem nic nt. zwiazku Failover'a z kluczami RSA oraz certyfikatami. Chodzi o nastepujace kwestie:

* czy klucze (prywatny i publiczny) z urzadzenia Active sa kopiowane na urzadzenie Standby?? klucz prywatny rowniez???? przy konfiguracji jako exportable de facto mozna wyeksportowac klucz publiczny, ale prywatny?? a moze sam sie przegrywa z konfigiem??
* znalazlem w dokumentacji ze w trybie Failover przegrywane sa info dot. IKE + IPSec, tzn. tunel teoretycznie nie powinien sie polozyc gdy nastapi przelaczenie...
* nie znalazlem informacji dot. certyfikatu(ow) w Failover. Czy rowniez sa przegrywane wraz z konfiguracja??

Niestety nie mam mozliwosci przeprowadzenia testow - brak dwoch 5510... - stad tez licze na Wasze doswiadczenie i pomoc/wskazowki dot. nurtujacych mnie kwestii.

Pozdrawiam,
Krzysiek.
Na górę
Awatar użytkownika
Misiekm
wannabe
wannabe
Posty: 518
Rejestracja: 29 lis 2005, 17:31
Lokalizacja: Londyn

Re: ASA Failover - klucze RSA + certyfikaty dla VPN

#2

#2 Post autor: Misiekm »

krisator pisze:Panowie,

* czy klucze (prywatny i publiczny) z urzadzenia Active sa kopiowane na urzadzenie Standby?? klucz prywatny rowniez???? przy konfiguracji jako exportable de facto mozna wyeksportowac klucz publiczny, ale prywatny?? a moze sam sie przegrywa z konfigiem??
* znalazlem w dokumentacji ze w trybie Failover przegrywane sa info dot. IKE + IPSec, tzn. tunel teoretycznie nie powinien sie polozyc gdy nastapi przelaczenie...
* nie znalazlem informacji dot. certyfikatu(ow) w Failover. Czy rowniez sa przegrywane wraz z konfiguracja??

Pozdrawiam,
Krzysiek.
Witam
Z tego co mozna wyczytac na temat failover, nie obsluguje on pki, jedynie pre-shared.
http://www.cisco.com/en/US/products/ps6 ... #wp1092310

Certyfikat jest kopiowany razem z konfigiem - wystarczy podejrzec konfig na tftp.
Klucze nie są kopiowane, jesli są eksportowalne mozna je wyeksportować , oba .prv i .pub będą wyeksportowane. Nastepnie zaimportowac z wiersza polecen (kopiowanie do flasha itp nic nie daje). Nie testowalem czy dziala w ten sposob stateful failover,ale np 2x IOS CA mozna na hspr postawić.

Pozdrawiam
Na górę
Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#3

#3 Post autor: kktm »

Dodatkowo pod redundantne konfiguracje certy trzeba robic z glowa :).

tzn, nie wrzucac do nich numerow seryjnych i adresow ip interfejsow.
W ios te wpisy mozna wykluczyc w definicji trustopointa
"Trust no one"
Na górę
ODPOWIEDZ

Wróć do „Security”