×

Mensaje de advertencia

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

VPN ASA 5515-X - Problema con Diffie-Hellman

Pregunta respondida
Ene 26th, 2015
User Badges:

Hola a [email protected],

Estoy configurando una VPN Site-2-Site pero en el site remoto (que yo no gestiono) han configurado el DH group 14 (2048 bits) tanto en IKEv1 como en la parte IPSec

El problema es que a la hora de intentar configurarlo, mi ASA únicamente me permite los grupos 1, 2 y 5 ¿qué puedo hacer? Entiendo que necesitaré instalar una actualización o similar, pero estoy algo perdido ya que no tengo mucha esperiencia con ASA. Por cierto, si es necesario actualizar el firmware o similar, ¿podríais decirme cual es el procedimiento correcto para actualizar 2 ASA en clúster?

Os paso algunos datos de mi ASA:

Cisco Adaptive Security Appliance Software Version 8.6(1)2
Device Manager Version 6.6(1)

Compiled on Fri 01-Jun-12 02:16 by builders
System image file is "disk0:/asa861-2-smp-k8.bin"
Config file at boot was "startup-config"

 

Hardware:   ASA5515, 8192 MB RAM, CPU Clarkdale 3058 MHz, 1 CPU (4 cores)
            ASA: 4096 MB RAM, 1 CPU (1 core)
Internal ATA Compact Flash, 4096MB
BIOS Flash MX25L6445E @ 0xffbb0000, 8192KB

Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x1)
                             Boot microcode        : CNPx-MC-BOOT-2.00
                             SSL/IKE microcode     : CNPx-MC-SSL-PLUS-0014
                             IPSec microcode       : CNPx-MC-IPSEC-MAIN-0014
                             Number of accelerators: 1

Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

Licensed features for this platform:

Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 100            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
VPN-DES                           : Enabled        perpetual
VPN-3DES-AES                      : Enabled        perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : 250            perpetual
Other VPN Peers                   : 250            perpetual
Total VPN Peers                   : 250            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Enabled        perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual
IPS Module                        : Disabled       perpetual

This platform has an ASA 5515 Security Plus license.

Failover cluster licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 100            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
VPN-DES                           : Enabled        perpetual
VPN-3DES-AES                      : Enabled        perpetual
Security Contexts                 : 4              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 4              perpetual
AnyConnect Essentials             : 250            perpetual
Other VPN Peers                   : 250            perpetual
Total VPN Peers                   : 250            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Enabled        perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 4              perpetual
Total UC Proxy Sessions           : 4              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual
IPS Module                        : Disabled       perpetual

This platform has an ASA 5515 Security Plus license.

 

Gracias de antemano y un saludo,

Jose

 

 

Correct Answer by David Johan Cas... about hace 2 años 5 meses

Buenas Jose,

 

Despues de hacer una investigación en relación a esto, proceda a leer lo siguiente: 

Next Generation Encryption(NGE)

La Asociación Nacional de Normalización (NSA) especifica un conjunto de algoritmos criptográficos que los dispositivos deben apoyar para cumplir con los estándares estadounidenses federales para la fuerza criptográfica. RFC 6379 define la suite B suites criptográficas. Debido a que el conjunto colectivo de algoritmos definidos como NSA Suite B están convirtiendo en un estándar, el AnyConnect VPN IPsec (IKEv2 solamente) y la infraestructura de clave pública (PKI) subsistemas ahora admite. El cifrado de próxima generación (ESN) incluye un superconjunto más grande de este conjunto añadiendo algoritmos criptográficos para IPsec VPN V3, Diffie-Hellman Grupos 14 y 24 para IKEv2 y RSA certificados con claves de 4096 bits para DTLS y IKEv2.

 

No todas las versiones del producto apoyan SHA-256 o IKE Grupo 14, 19, 20, o 24. lanzamientos recientes del software Cisco IOS y algunos otros lanzamientos de la versión del producto han incorporado soporte para algunas de estas características.

 

Para futuras referencias con respecto ver siguiente articulo:

http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html

 

El soporte esta en versiones de 9.0.X ASAs en IKEv2 solamente en ASAs de siguiente generación.

 

Por Favor Proceda a Calificar y marcar como respuesta correcta este Post si le ayudo!

 

David castro,

 

Saludos

Loading.
Correct Answer
David Johan Cas... Sáb, 03/21/2015 - 17:52
User Badges:
  • Silver, 250 points or more

Buenas Jose,

 

Despues de hacer una investigación en relación a esto, proceda a leer lo siguiente: 

Next Generation Encryption(NGE)

La Asociación Nacional de Normalización (NSA) especifica un conjunto de algoritmos criptográficos que los dispositivos deben apoyar para cumplir con los estándares estadounidenses federales para la fuerza criptográfica. RFC 6379 define la suite B suites criptográficas. Debido a que el conjunto colectivo de algoritmos definidos como NSA Suite B están convirtiendo en un estándar, el AnyConnect VPN IPsec (IKEv2 solamente) y la infraestructura de clave pública (PKI) subsistemas ahora admite. El cifrado de próxima generación (ESN) incluye un superconjunto más grande de este conjunto añadiendo algoritmos criptográficos para IPsec VPN V3, Diffie-Hellman Grupos 14 y 24 para IKEv2 y RSA certificados con claves de 4096 bits para DTLS y IKEv2.

 

No todas las versiones del producto apoyan SHA-256 o IKE Grupo 14, 19, 20, o 24. lanzamientos recientes del software Cisco IOS y algunos otros lanzamientos de la versión del producto han incorporado soporte para algunas de estas características.

 

Para futuras referencias con respecto ver siguiente articulo:

http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html

 

El soporte esta en versiones de 9.0.X ASAs en IKEv2 solamente en ASAs de siguiente generación.

 

Por Favor Proceda a Calificar y marcar como respuesta correcta este Post si le ayudo!

 

David castro,

 

Saludos

eltote1982 Lun, 03/23/2015 - 01:43
User Badges:

Muchas gracias David,

 

Justo el sábado actualicé a la versión 9.3 y funciona correctamente, iba a postear hoy con el resultado... de todas formas, muchas gracias no sólo por la solución sino por la explicación ;)

Este fué el procedimiento que seguí (pasando antes por la versión 9.1(2)) http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/upgrade/upgrade9...

Un saludo,

Jose

Acciones

Este Discusión