Configuración en dispositivo Firebox WatchGuard para conectividad IPsec con VPC de AWS:
Entorno:
XTM SO 11.11.2, Basic Security Suite + DLP + Dimension Command
Enlace de Internet para conectividad con IPsec - VPC con AWS: Dedicado de 8 MBPS
Entorno de red avanzado: Switch Core, MPLS conectividad a nivel nacional con sedes, conectividad con sedes vía IPsec (BOVPN), MultiWAN, DMZ, Static Routing, Servicios publicados (SAP), Concentrador de redes móviles (SSL)
Necesidad:
Es requerido cerrar en los servidores de AWS accesos no autorizados desde Internet, mitigando de esta forma la exposición de servicios y cierre de posibles brechas de seguridad en los mismos a publicar, recientemente contratados en Amazon y necesarios para integrar servicios hibridos en la infraestructura empresarial.
Planteamiento:
Creación de una conectividad IPsec a través de VPC (Virtual Provate Cloud) de Amazon Web Services desde la red corporativa. Medición y bases de estabilidad en la misma (performance) y disponibilidad. Cierre de servicios publicados desde Internet.
Solución:
Configuración y puesta en marcha de conectividad VPN desde Firebox WatchGuard con VPC de AWS
Paso 1: De acuerdo a la configuración generada desde el servidor AWS (archivo TXT con la información del túnel llamado VPN Connection Configuration) establecemos en el dispositivo WatchGuard a través del Policy Manager la configuración #1:
1.- Lo colocamos un nombre a este gateway
2.- Aplicamos el Pre-Shared Key.
3.- Establecemos los gateway endpoints (el local corresponde a la dirección IP pública desde el ISP previa y debidamente configurada en el Firebox. la dirección IP remota, corresponde al gateway de AWS para el VPC)
 |
| Opciones generales previo a fase I |
Paso 2: Procedemos con la configuración y parametrización generada desde el mismo archivo, esta vez con la fase I de negociación para establecimiento del túnel, por ejemplo, el archivo TXT nos muestra la siguiente información en el VPC:
- Authentication Algorithm : sha1
- Encryption Algorithm : aes-128-cbc
- Lifetime : 28800 seconds
- Phase 1 Negotiation Mode : main
- Perfect Forward Secrecy : Diffie-Hellman Group 2
IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:
- DPD Interval : 10
- DPD Retries : 3
En el Policy Manager del Firebox lo trasladamos de la siguiente forma:
 |
| Configuración de fase I autenticación, encriptación y SA |
Tips: la sugerencia del VPC es habilitar NAT-T (NAT Traversal) en caso de que el gateway endpoint local este ubicado detrás de otro dispositivo Firewall o capa 3 y tener habilitado el puerto UDP 4500, en caso contrario, bien puede deshabilitar NAT-T. En nuestro caso, no es requerida la habilitación del NAT-T
Paso 3: Aceptamos los cambios de configuración en el Polícy Manager del Firebox (recuerde que esto corresponde a la sección: VPN - Branch Office Gateways).
Hasta este momento hemos configurado los gateways y la fase de negociación I, procederemos con la fase II a continuación:
1.- En el Polícy Manager: VPN - Branch Office Tunnels - Add.
2.- Le colocamos un nombre o ID a esta configuración. Seleccionamos el Gateway (el configurado previamente en el paso 1)
3.- Agregamos el direccionamiento IP (listas de acceso Ipsec) origen/ destino. El origen corresponde al direccionamiento IP de nuestra red local, el destino corresponde al direccionamiento IP privado correspondiente a los servidores en el segmento de AWS (servidores remotos).
 |
| Estableciendo AL y configuración de fase I |
Tips: Recuerde que puede seleccionar el sentido de tráfico, unidireccional o bidireccional, también puede agregar en el origen del túnel el segmento 0.0.0.0/0 donde índica que cualquier segmento de red local puede llegar al segmento remoto de los servidores en AWS, en nuestro ejemplo, el segmento IP de los servidores en AWS es 192.168.22.0/24
Recuerde tildar la opción (en caso contrario): Add this tunnel to the BOVPN-Allow policies, establecido de manera predeterminada.
Paso 4: Estableciendo parametrización generada desde archivo TXT del VPC, tal y como nos menciona:
Configure the IPSec SA as follows:
Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 1,2, 5, 14-18, 22, 23, and 24.
- Protocol : esp
- Authentication Algorithm : hmac-sha1-96
- Encryption Algorithm : aes-128-cbc
- Lifetime : 3600 seconds
- Mode : tunnel
- Perfect Forward Secrecy : Diffie-Hellman Group 2
Procedemos a través del Policy Manager del Firebox:
 |
| Configuración de fase II del túnel Ipsec para VPC |
Tips: Recuerde que ambos extremos deben estar configurados exactamente iguales, y aunque hay parametros con nombres diferentes, debemos trasladar algunos valores con los que trabaja nuestro dispositivo WatchGuard, por ejemplo: el Lifetime en el VPC es de 3600 segundos, en WatchGuard es una hora (haciendo la conversión respectiva)
Tips: la configuración del VPC de AWS hace enfásis en que debe ser configurado en modo transparente la fragmentación de paquetes Ipsec desde la interfaz externa utilizada como gateway, así como otras referencias:
IPSec ESP (Encapsulating Security Payload) inserts additional
headers to transmit packets. These headers require additional space,
which reduces the amount of space available to transmit application data.
To limit the impact of this behavior, we recommend the following
configuration on your Customer Gateway:
- TCP MSS Adjustment : 1387 bytes
- Clear Don't Fragment Bit : enabled
- Fragmentation : Before encryption
 |
| Configuración de la interfaz externa (gateway) ajustes adicionales. |
Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
It was really a nice post and I was really impressed by reading this
ResponderEliminarAWS Online Training