はじめに
一部のASA5500-X機種のEOLに伴い、ASA5500-XからFirepowerへのリプレースを実施しているお客様が増えています。本ドキュメントでは、ASA5500-XからFirepowerへのリプレース(ソフトウェアのバージョンアップを伴う)を行った後、元々利用できていた IPsec IKEv1 が動作しなくなる事象について紹介します。
本ドキュメントは、ASA5525 バージョン 9.12(1) と Firepower1120 バージョン 9.14(4) を用いて確認、作成しております。
事象の説明
1. リプレースを行う前は、拠点Aと拠点B間で IPsec IKEv1 が正常に利用できます。
拠点A(ASA5525:9.12(1))--- 拠点B(ASA5525:9.12(1))
拠点Aで ASA の設定例:
crypto ikev1 enable outside
crypto ikev1 policy 99
authentication pre-share
encryption aes
hash sha
group 2
lifetime 28800
access-list test extended permit ip host x.x.5.1 host x.x.8.1
crypto ipsec ikev1 transform-set ipsecTS esp-aes-256 esp-sha-hmac
crypto map outside_map 999 match address test
crypto map outside_map 999 set pfs
crypto map outside_map 999 set peer x.x.7.2
crypto map outside_map 999 set ikev1 transform-set ipsecTS
crypto map outside_map interface outside
tunnel-group x.x.7.2 type ipsec-l2l
tunnel-group x.x.7.2 ipsec-attributes
ikev1 pre-shared-key cisco
拠点BでASAの設定例:
crypto ikev1 enable outside
crypto ikev1 policy 99
authentication pre-share
encryption aes
hash sha
group 2
lifetime 28800
access-list test extended permit ip host x.x.8.1 host x.x.5.1
crypto ipsec ikev1 transform-set ipsecTS esp-aes-256 esp-sha-hmac
crypto map outside_map 999 match address test
crypto map outside_map 999 set pfs
crypto map outside_map 999 set peer x.x.6.2
crypto map outside_map 999 set ikev1 transform-set ipsecTS
crypto map outside_map interface outside
tunnel-group x.x.6.2 type ipsec-l2l
tunnel-group x.x.6.2 ipsec-attributes
ikev1 pre-shared-key cisco
2. 拠点BのASAのみに対し、リプレースを実施します。
・リプレース前:ASA5525 9.12(1)
・リプレース後:Firepower1120 9.14(4)
3. 上記リプレースを実施した後、IPsec IKEv1 の Phase2 でエラーが発生し、IPsec SA が正しく生成されません。
エラーメッセージの例:
ASA-1-711001: Group = x.x.6.2, IP = x.x.6.2, Session is being torn down. Reason: Phase 2 Mismatch
事象の発生原因
事象の発生原因は、ASA 9.13(1) 以降のバージョンから、IPsec IKEv1 Phase2 の pfs で使用している Diffie-Hellman アルゴリズムで以下のような仕様変更が発生したためです。
・9.13(1)未満のバージョン:デフォルトで Group 2 を使用
・9.13(1)以降のバージョン:デフォルトで Group 14 を使用
上記の仕様変更については、show run all crypto map コマンドにより確認できます。
9.13(1)未満のバージョンでの確認例:
ciscoasa# show run all crypto map
crypto map outside_map1 999 set pfs group2
9.13(1)以降のバージョンでの確認例:
ciscoasa# show run all crypto map
crypto map outside_map1 999 set pfs group14
対策
拠点Aと拠点Bに対し、IPsec IKEv1 Phase2 の pfs で使用する DH Group を統一してください。Group 2 は今後のリリースで削除されますため、Group 14 の利用を推奨します。
参考情報
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa913/release/notes/asarn913.html