Sierra Wireless IPSec User Manual
  1. Manuals
  2. Brands
  3. Sierra Wireless Manuals
  4. Network Hardware
  5. IPSec
  6. User manual
Sierra Wireless IPSec User Manual

Sierra Wireless IPSec User Manual

Hide thumbs
Table of Contents

Advertisement

Quick Links

IPSec

User Guide

2120028
Rev 2.2

Advertisement

Table of Contents
loading

Related Manuals for Sierra Wireless IPSec

Summary of Contents for Sierra Wireless IPSec

  • Page 1: User Guide

    IPSec User Guide 2120028 Rev 2.2...
  • Page 3 In aircraft, the Sierra Wireless AirLink Product Name MUST  BE POWERED OFF. When operating, the Sierra Wireless  AirLink Product Name can transmit signals that could  interfere with various onboard systems. Note: Some airlines may permit the use of cellular phones while the aircraft is on the ground and the door is open. Sierra Wireless AirLink Product Name may be used at this time. The driver or operator of any vehicle should not operate the  Sierra Wireless AirLink Product Name while in control of a  vehicle. Doing so will detract from the driver or operatorʹs ...
  • Page 4 DIRECT, INDIRECT, SPECIAL, GENERAL, INCIDENTAL,  CONSEQUENTIAL, PUNITIVE OR EXEMPLARY DAMAGES  INCLUDING, BUT NOT LIMITED TO, LOSS OF PROFITS OR  REVENUE OR ANTICIPATED PROFITS OR REVENUE  ARISING OUT OF THE USE OR INABILITY TO USE ANY  SIERRA WIRELESS PRODUCT, EVEN IF SIERRA WIRELESS  AND/OR ITS AFFILIATES HAS BEEN ADVISED OF THE  POSSIBILITY OF SUCH DAMAGES OR THEY ARE  FORESEEABLE OR FOR CLAIMS BY ANY THIRD PARTY. Notwithstanding the foregoing, in no event shall Sierra  Wireless and/or its affiliates aggregate liability arising under or  in connection with the Sierra Wireless product, regardless of  the number of events, occurrences, or claims giving rise to  liability, be in excess of the price paid by the purchaser for the  Sierra Wireless product. Patents Portions of this product may be covered by some or all of the  following US patents: 5,515,013 5,629,960 5,845,216 5,847,553 5,878,234 5,890,057 5,929,815 6,169,884 6,191,741 6,199,168 6,339,405 6,359,591 6,400,336 6,516,204 6,561,851 6,643,501 6,653,979 6,697,030 6,785,830 6,845,249 6,847,830 6,876,697 6,879,585 6,886,049 6,968,171...

  • Page 5: Contact Information

    13811 Wireless Way Richmond, BC Canada V6V 3A4 Fax: 1-510-624-4299 1-604-231-1109 www.sierrawireless.com Web: Consult our website for up‐to‐date product descriptions,  documentation, application notes, firmware upgrades, trouble‐ shooting tips, and press releases: www.sierrawireless.com Revision History Revision Release Changes number date Q2: 2008 IPSec User Guide documentation created. Q2:2008 IPSec User Guide documentation revised and updated. Rev 2.2 Aug.08...

  • Page 6: Table Of Contents

    Key Features of IPSec VPN ........

  • Page 7: Introducing Ipsec

    1: Introducing IPSec • Overview • Scenarios IP protocol that drives the Internet is inherently insecure.  Internet Protocol Security (IPSec), which is a standards‐based  protocol, secures communications of IP packets over public  networks.  Organizations are striving to protect their communication  channels from unauthorized viewing and enforcing authenti‐ cation of the entities at the other side of the channel. Unauthorized access to the sensitive data can be avoided by  using IPSec. By applying security at the IP layer in the OSI  model, communications can be protected. In this manner the  upper layers in the OSI model can leverage the security  services provided at the IP layer.  Sierra Wireless AirLink™ has added IPSec, as a latest addition  to the list of features, in all the ALEOS‐powered AirLink X and  XT platforms of devices.  Overview IPSec is a common network layer security control and is used  to create a virtual private network (VPN).  The advantages of the IPSec feature includes: • Data Protection: Data Content Confidentiality allows users  to protect their data from any unauthorized view, because  the data is encrypted (encryption algorithms are used). • Access Control: Access Control implies a security service  that prevents unauthorized use of a Security Gateway, a  network behind a gateway or bandwidth on that network. • Data Origin Authentication: Data Origin Authentication  verifies the actual sender, thus eliminating the possibility  of forging the actual sender’s identification by a third‐ party. •...

  • Page 8: Key Features Of Ipsec Vpn

    IPsec User Guide other end. The remote gateway is connected to a Remote  network and the VPN is connected to the Local network. The  communication of data is secure through the IPSec protocols. Figure 1-1: IPSec Architecture Key Features of IPSec VPN • IPsec is compatible with a wide range of applications  • Provides enhanced data security for all applications  connected through a compatible Airlink gateway • No additional installation required  • Simple wizard‐based setup  • Remote management, control and configuration via  AceWare tools and utilities • Secure two‐way communication channel with data  encryption • Can be downloaded, configured and installed over‐the‐air  for currently deployed AirLink Raven X, PinPoint X and  Raven XT device Sections in this document, that provide further information  about IPSec, are:  User scenarios with graphic illustration of the IPSec  feature.  VPN configuration settings and VPN parameters.   IPsec configuration settings. It is assumed that audience ...

  • Page 9: Scenarios

    Introducing IPSec Scenarios Sierra Wireless AirLink modems with IPSec are designed to  support the gateway‐to‐gateway security model. IPsec is the most general security model, in that it allows either  side to initiate a VPN session. Some user scenario’s are  discussed in this section.  In these examples, the term “VPN tunnel” is used to indicate a  secure IPSec connection. Remote Access Scenarios This scenario shows three remote access activities: AVL Application Server (one way transmission of  secure data):  AirLink modem has GPS capability  (PinPoint model). The modem has set up a VPN tunnel  with a corporate VPN box and is configured to send  GPS location data to the corporate network. Figure 1-2: AVL Application Server scenario Corporate Email Server (two way transmission of  secure data): AirLink modem is connected to a laptop.  The modem setup has a VPN tunnel with the  corporate VPN box. Through the modem, the laptop  can securely access the corporate email server. Rev 2.2 Aug.08...
  • Page 10 IPsec User Guide Figure 1-3: Corporate Email Server scenario Google (two way transmission of insecure data): The  laptop user wants to access Google. The Google access  can be performed while the corporate VPN tunnel is  active. Figure 1-4: Web Server scenario Pass‐through (two way transmission of secure data):  The AirLink modem has regular data connection with  the laptop (VPN Client) and the VPN gateway. 2120028...
  • Page 11 Introducing IPSec Figure 1-5: Pass through mode The next chapter walks you through the installation and  configuration steps of establishing an IPSec set‐up on your  modem to connect to the test servers at Sierra Wireless. You  can follow the same process for connecting to your own VPN  gateway. Rev 2.2 Aug.08...

  • Page 12: Installation And Configuration

    2: Installation and Configuration • Set-Up • Installation • Configuration Settings This chapter covers installation and configuration steps (Sierra  Wireless test set‐up), to use the IPSec feature. The illustration below shows the user being connected to the  Note: Factory default settings Sierra Wireless test environment set up. The user laptop  allow you to connect to Sierra connected to an AirLink modem, communicates with the web  Wireless test equipment. server over the internet and through the Sierra Wireless VPN  Gateway (Cisco and Netgear). Figure 2-1: User set up Once the tunnel is established and you are connected to the  web server, the web browser displays connectivity to the  Sierra Wireless IPSec test server. Figure 2-2: Connection to the web browser...

  • Page 13: Set-Up

    IPsec User Guide Set-Up IPSec has a wide variety of user configuration options. When  IPSec is enabled, it must be done for the purpose of creating a  VPN tunnel with a corporate VPN box. In order for the Sierra  Wireless AirLink modem to communicate with the VPN box,  the modem must be configured to support at least one of the  security policies of the VPN box. Hence, the VPN box security  configuration must be available as a reference before config‐ uring the AirLink modem for IPSec. The installation steps are as follows: For Static IP: Using your modem’s static IP, configure your  Cisco VPN to allow a tunnel to be established with your  modem’s IP address. For Dynamic IP: Configure your Cisco VPN to allow a  tunnel to be established dynamically with your modem’s  current IP address Connect your PC to the modem, and launch AceManager.   Navigate to the IPSec configuration screen.  Select the  parameters that correspond to your Cisco configuration,  and press the Write button on the top. Close AceManager. Open a browser or other application and attempt to  communicate with your enterprise network. Modem Configuration Requirements The modem should be provisioned and capable of passing  traffic over the carrier network.  If the modem is not provi‐ sioned, you will need to activate it in order to configure the  account parameters.  The Quick Start Guide for your modem  will lead you through the steps to activate or configure your  modem. You can access the Quick Start Guides on the support  page for your modem. For 1x or EV‐DO modems, you will also  need a Setup Wizard, which is available on the support page as  well.   The modem can have a static or dynamic IP address, which  can be obtained from AceManager. The IP address is listed as  the first displayed entry on the Status page.

  • Page 14: Installation

    IPsec User Guide Installation Please uninstall any previous versions of AceManager that had  been installed on your PC, prior to installing the latest version  of AceManager.  AceManager is available for free from Sierra Wireless AirLink  and can be downloaded from http://www.sierrawireless.com/ support/AirLink/Wireless_Ace.aspx. Once this new version of AceManager and the new firmware is  installed on your PC,  please perform a factory default reset of  the modem using a AT command: AT*RESETCFG This command will reset the modem with factory defaults and  once the modem comes back up, please connect the modem  with AceManager.   Configuration Settings Once the AceManager application is installed, you can run it  from your Start menu or from the icon on the desktop. 1. Start AceManager Start > All Programs >AirLink Communications > AceManager 2120028...
  • Page 15 IPsec User Guide Figure 2-3: IPSec Pane in AceManager 2. Click on IPSec The desired group tab will show respective parameters and  details on the right side of the pane. Clicking on IPSec will  display list of parameters with default values and user config‐ New Value urable input fields ( Table 2-1: Configuration Parameters in AceManager Name Default Value Description IPSec Interface Select 1-Modem-OTA. Choose “0” fir disabling IPSec. Choose “1” for enabling IPSec.
  • Page 16 IPsec User Guide Table 2-1: Configuration Parameters in AceManager Name Default Value Description IPSec Gateway 64.163.70.30 Fill in the IPSec of the VPN concentrator. Pre-shared Key 1 SierraWireless 8 to 31 case sensitive ASCII characters Negotiation Mode The choices in drop down options are main or aggressive.
  • Page 17 Mask. IPSec Encryption Algorithm You can choose other options like, Blowfish, 3 DES, Cast 128 and AES. The option “0” indicates that IPSec encryption may not be used. 3DES or AES can be used for stronger encryption. IPSec Authentication Algorithm...

  • Page 18: Http Server

    IPSec Gateway Pre-shared Key 1 IKE Encryption Algorithm IKE Authorization Algorithm IKE Key Group IKE SA Life Time Remote Address IPSec Encryption Algorithm IPSec Authentication Algorithm IPSec Key Group IPSec SA Life Time Incoming Out of Band : If you want mobile termination 2120028...

  • Page 19: Application Server

    ”.  Note: In Chapter 1, Remote Access Scenarios section includes the Google web server scenario, where the outgoing Host Out of Band can be set to 1 to access internet outside the IPSec tunnel. Write Click on  , in the top bar. Reset, Click on ...
  • Page 20 IKE Encryption Algorithm IKE Authorization Algorithm IKE Key Group IKE SA Life Time Remote Address IPSec Encryption Algorithm IPSec Authentication Algorithm IPSec Key Group IPSec SA Life Time Incoming Out of Band : If you want mobile termination Outgoing Host Out of Band : To access internet outside the  tunnel, from the modem. Write Click on ...

  • Page 21: Network Behind The Modem

    IPsec User Guide An AVL Application server modem report notification image  is provided as an example. Figure 2-6: Application Server Tunnel Once the tunnel comes up, check AVL Application server  for the update.  An example of a log of the modem, sending data through the  tunnel is provided. Figure 2-7: Log sending data Network behind the modem You can have multiple machines (For example., PC1 and PC2)  behind the modem on the same LAN. The Configuration steps are: In AceManager, click on IPSec option. Local address type “2” Go to   and set it to   (Host Private  Subnet). 2120028...
  • Page 22 Installation and Configuration Figure 2-8: Host Private Subnet PPP ethernet Click on . Set the modem to private mode. Figure 2-9: PPP Ethernet configuration Rev 2.2 Aug.08...
  • Page 23 IKE Encryption Algorithm IKE Authorization Algorithm IKE Key Group IKE SA Life Time Remote Address IPSec Encryption Algorithm IPSec Authentication Algorithm IPSec Key Group IPSec SA Life Time Incoming Out of Band : If you want mobile termination Outgoing Host Out of Band : To access internet outside the  tunnel, from the modem. Make sure the static IP address of PC2 is on the same  subnet as the modem’s host private IP. PC1 picks up the ...

  • Page 24: Sample Configuration File

    A: Sample Configuration File VPN Configuration file Two examples of Static IP and Dynamic IP are provided in the  following sections, respectively.  Static IP Example IPSec Configuration for Cisco 1841 Router 1841_ppx2#show run Building configuration... Current configuration : 2202 bytes version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname 1841_ppx2 boot-start-marker boot-end-marker...
  • Page 25 2 lifetime 28000 crypto isakmp key 6 key4567890123477 address 166.213.198.10 crypto isakmp key test address 70.2.190.17 crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac crypto map IPSEC 30 ipsec-isakmp set peer 166.213.198.10 set security-association lifetime seconds 28000...
  • Page 26 Sample Configuration File interface FastEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ip classless ip route 0.0.0.0 0.0.0.0 64.163.70.1 ip route 192.168.3.0 255.255.255.0 70.2.190.17 ip route 192.168.13.0 255.255.255.0 166.213.198.10 no ip http server no ip http secure-server ip nat pool nat 64.163.70.102 64.163.70.102 netmask 255.255.255.252 ip nat inside source list 110 pool nat overload...

  • Page 27: Dynamic Ip

    IPsec User Guide Dynamic IP 1841b_dynamic# 1841b_dynamic#sh run Building configuration... Current configuration : 1479 bytes version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname 1841b_dynamic boot-start-marker boot-end-marker no logging console no aaa new-model...
  • Page 28 3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map MODEM-DYN-MAP 1000 set security-association lifetime seconds 28000 set transform-set 3DES-SHA set pfs group2 match address 101 crypto map IPSEC 65535 ipsec-isakmp dynamic MODEM-DYN-MAP interface FastEthernet0/0 ip address 64.163.70.104 255.255.255.0 ip virtual-reassembly speed 100 full-duplex...
  • Page 29 IPsec User Guide ip route 0.0.0.0 0.0.0.0 64.163.70.1 ip http server no ip http secure-server ip nat pool nat 64.163.70.104 64.163.70.104 netmask 255.255.255.252 ip nat inside source list 110 pool nat overload access-list 101 permit ip 192.168.4.0 0.0.0.255 any access-list 101 permit ip any 192.168.4.0 0.0.0.255...

  • Page 30: Ipsec Architecture

    B: IPsec Architecture Standards of the M2M IPSec Support Sierra Wireless M2M IPSec supports the following standards:  • RFC 1829 – “The ESP DES‐CBC Transform”  • RFC 2401 – “Security Architecture for the Internet  Protocol”   • RFC 2403 – “The Use of HMAC‐MD5‐96 within ESP and  AH”  • RFC 2404 – “The Use of HMAC‐SHA‐1‐96 within ESP and  AH”  • RFC 2405 – “The ESP DES‐CBC Cipher Algorithm With  Explicit IV”   • RFC 2406 – “IP Encapsulating Security Payload (ESP)”  • RFC 2410 – “The NULL Encryption Algorithm and Its Use  With IPSec”   • RFC 2451 – “The ESP CBC‐Mode Cipher Algorithms”   • RFC 3602 – “The AES‐CBC Cipher Algorithm and Its Use  with IPSec” (future enhancement)  Security Algorithms: Internet Key Exchange (IKE)  Authentication for IKE Messages (Hashing  Algorithms)  ·...

  • Page 31: Reference Material

    IPsec User Guide · MODP 4096 (available, but not currently supported)  · MODP 6144 (available, but not currently supported)  · MODP 8192 (available, but not currently supported)  IP Security (IPSec)  IPSec Protocols  · Encapsulating Security Protocol (ESP)  Operational Modes  · Tunnel Mode  Cipher or Encryption Algorithms  · DES   · CAST128  · Blowfish  · AES (future)  · NULL encryption algorithm  Usage Options – Modem can support unencrypted  traffic, and one option below for encryption:  · No authentication or encryption  Authentication only  · · Encryption only  · Authentication and Encryption  Reference Material National Institute of Standards and Technology. Guide to IPsec ...

Table of Contents