Konfigurieren von IKEv2 auf dem Router der Serie RV34x

Ziel

In diesem Dokument wird erläutert, wie Sie IPsec-Profile mit IKEv2 auf Routern der RV34x-Serie konfigurieren.

Einleitung

Die Firmware-Version 1.0.02.16 für Router der RV34x-Serie unterstützt jetzt Internet Key Exchange Version 2 (IKEv2) für Site-to-Site-VPN und Client-to-Site-VPN. IKE ist ein Hybridprotokoll, das den Oakley-Schlüsselaustausch und den Skeme-Schlüsselaustausch innerhalb des ISAKMP-Frameworks (Internet Security Association and Key Management Protocol) implementiert. IKE stellt die Authentifizierung der IPsec-Peers bereit, verhandelt IPsec-Schlüssel und verhandelt IPsec-Sicherheitszuordnungen.

IKEv2 nutzt weiterhin den UDP-Port 500, es sind jedoch einige Änderungen zu beachten. Dead Peer Detection (DPD) wird anders verwaltet und ist nun integriert. Die Aushandlung der Sicherheitszuordnung (Security Association, SA) wird auf ein Minimum von 4 Nachrichten reduziert. Dieses neue Update unterstützt auch die EAP-Authentifizierung (Extensible Authentication Protocol), die nun einen AAA-Server und den Schutz vor Denial-of-Service-Angriffen nutzen kann.

Die nachfolgende Tabelle veranschaulicht die Unterschiede zwischen IKEv1 und IKEv2.

IPsec stellt sicher, dass Sie über eine sichere private Kommunikation über das Internet verfügen. Es bietet zwei oder mehr Hosts Datenschutz, Integrität und Authentizität für die Übertragung vertraulicher Informationen über das Internet. IPsec wird häufig in einem Virtual Private Network (VPN) verwendet und auf der IP-Ebene implementiert, wodurch vielen unsicheren Anwendungen mehr Sicherheit geboten wird. Ein VPN wird verwendet, um einen sicheren Kommunikationsmechanismus für vertrauliche Daten und IP-Informationen bereitzustellen, die über ein unsicheres Netzwerk wie das Internet übertragen werden. Sie bietet auch eine flexible Lösung für Remote-Benutzer und das Unternehmen, um vertrauliche Informationen von anderen Parteien im gleichen Netzwerk zu schützen.

Damit die beiden Enden eines VPN-Tunnels erfolgreich verschlüsselt und eingerichtet werden können, müssen sie sich auf die Verfahren zur Verschlüsselung, Entschlüsselung und Authentifizierung einigen. Ein IPsec-Profil ist die zentrale Konfiguration in IPsec, die die Algorithmen wie Verschlüsselung, Authentifizierung und DH-Gruppe (Diffie-Hellman) für Phase I und II-Aushandlung im Auto-Modus sowie im manuellen Schlüsselungsmodus definiert. In Phase I werden die Pre-Shared Keys für eine sichere authentifizierte Kommunikation eingerichtet. In Phase II wird der Datenverkehr verschlüsselt. Sie können die meisten IPsec-Parameter wie Protokoll (Encapsulation Security Payload (ESP)), Authentifizierungsheader (AH), Modus (Tunnel, Transport), Algorithmen (Verschlüsselung, Integrität, Diffie-Hellman), Perfect Forward Secrecy (PFS), SA-Lebensdauer und Schlüsselverwaltungsprotokoll (Internet Key Exchange (IKE) - IKEv1 und IKEv2) konfigurieren.

Weitere Informationen zur Cisco IPsec-Technologie finden Sie unter diesem Link: Einführung in die Cisco IPSec-Technologie.

Beachten Sie, dass der Remote-Router bei der Konfiguration des Site-to-Site-VPN dieselbe IPsec-Profilkonfiguration wie der lokale Router benötigt.

Die nachfolgende Tabelle enthält die Konfiguration für den lokalen Router und den Remote-Router. In diesem Dokument wird der lokale Router mit Router A konfiguriert.

Klicken Sie auf den folgenden Link, um zu erfahren, wie Sie Site-to-Site-VPN auf dem RV34x konfigurieren: Konfigurieren des Site-to-Site-VPN auf dem RV34x.

Unterstützte Geräte

・       RV34x

Software-Version

·1.0.02.16

Konfigurieren des IPsec-Profils mit IKEv2

Schritt 1: Melden Sie sich auf der Webkonfigurationsseite Ihres lokalen Routers (Router A) an.

Schritt 2: Navigieren Sie zu VPN > IPSec Profiles (VPN > IPSec-Profile).

Schritt 3: Klicken Sie in der Tabelle IPSec-Profile auf Hinzufügen, um ein neues IPsec-Profil zu erstellen. Außerdem stehen Optionen zum Bearbeiten, Löschen oder Klonen eines Profils zur Verfügung. Durch das Klonen eines Profils können Sie schnell ein Profil duplizieren, das bereits in der IPsec-Profiltabelle vorhanden ist. Wenn Sie jemals mehrere Profile mit derselben Konfiguration erstellen müssen, können Sie durch das Klonen Zeit sparen.

Schritt 4: Geben Sie einen Profilnamen ein, und wählen Sie den Schlüsselmodus aus (Auto oder Manuell). Der Profilname muss nicht mit dem Namen Ihres anderen Routers übereinstimmen, aber der Schlüsselmodus muss übereinstimmen.

HomeOffice wird als Profilname eingegeben.

Auto ist für den Schlüsselmodus ausgewählt.

Schritt 5: Wählen Sie IKEv1 oder IKEv2 als IKE-Version. IKE ist ein Hybridprotokoll, das den Oakley-Schlüsselaustausch und den Skeme-Schlüsselaustausch innerhalb des ISAKMP-Frameworks implementiert. Oakley und Skeme definieren beide, wie authentifiziertes Schlüsselmaterial abgeleitet werden kann, aber Skeme umfasst auch schnelle Schlüsselerfrischung. IKEv2 ist effizienter, da für den Schlüsselaustausch weniger Pakete benötigt werden und mehr Authentifizierungsoptionen unterstützt werden, während IKEv1 nur die auf gemeinsamen Schlüsseln und Zertifikaten basierende Authentifizierung unterstützt.

In diesem Beispiel wurde IKEv2 als IKE-Version ausgewählt.

Anmerkung: Wenn Ihre Geräte IKEv2 unterstützen, wird IKEv2 empfohlen. Wenn Ihre Geräte IKEv2 nicht unterstützen, verwenden Sie IKEv1.

Schritt 6. Phase I richtet die Schlüssel ein und tauscht sie aus, um Daten in Phase II zu verschlüsseln. Wählen Sie im Abschnitt Phase I eine DH-Gruppe aus. DH ist ein Schlüsselaustauschprotokoll mit zwei Gruppen mit unterschiedlichen Primärschlüssellängen, Group 2 - 1024 Bit und Group 5 - 1536 Bit.

Gruppe 2 - 1024 Bit wurde für diese Demonstration ausgewählt.

Anmerkung: Wählen Sie für schnellere Geschwindigkeit und niedrigere Sicherheit Gruppe 2. Für langsamere Geschwindigkeit und höhere Sicherheit wählen Sie Gruppe 5. Gruppe 2 ist standardmäßig ausgewählt.

Schritt 7: Wählen Sie eine Verschlüsselungsoption (3DS, AES-128, AES-192 oder AES-256) aus der Dropdown-Liste aus. Diese Methode bestimmt den Algorithmus, der zum Verschlüsseln und Entschlüsseln von ESP-/ISAKMP-Paketen verwendet wird. Triple Data Encryption Standard (3DES) verwendet DES-Verschlüsselung dreimal, ist aber jetzt ein Legacy-Algorithmus und sollte nur verwendet werden, wenn es keine anderen Alternativen gibt, da es immer noch eine marginale, aber akzeptable Sicherheitsstufe bietet. Benutzer sollten es nur verwenden, wenn es aus Gründen der Abwärtskompatibilität erforderlich ist, da es anfällig für einige "Blockkollisionsangriffe" ist. Advanced Encryption Standard (AES) ist ein Verschlüsselungsalgorithmus, der sicherer als DES ist. AES verwendet einen größeren Schlüssel, der sicherstellt, dass der einzige bekannte Ansatz zum Entschlüsseln einer Nachricht für einen Eindringling darin besteht, jeden möglichen Schlüssel auszuprobieren. Es wird empfohlen, AES zu verwenden, wenn Ihr Gerät es unterstützen kann.

In diesem Beispiel haben wir AES-192 als Verschlüsselungsoption ausgewählt.

Anmerkung: Klicken Sie auf die Hyperlinks, um weitere Informationen zum Konfigurieren der Sicherheit für VPNs mit IPsec oder Verschlüsselung der nächsten Generation zu erhalten.

Schritt 8: Die Authentifizierungsmethode legt fest, wie die ESP-Header-Pakete validiert werden. Dies ist der Hashing-Algorithmus, der bei der Authentifizierung verwendet wird, um zu überprüfen, ob Seite A und Seite B wirklich die sind, die sie angeblich sind. MD5 ist ein unidirektionaler Hash-Algorithmus, der einen 128-Bit-Digest erzeugt und schneller ist als SHA1. SHA1 ist ein unidirektionaler Hash-Algorithmus, der einen 160-Bit-Digest erzeugt, während SHA2-256 einen 256-Bit-Digest erzeugt. SHA2-256 wird empfohlen, da es sicherer ist. Stellen Sie sicher, dass beide Enden des VPN-Tunnels die gleiche Authentifizierungsmethode verwenden. Wählen Sie eine Authentifizierung aus (MD5, SHA1 oder SHA2-256).

SHA2-256 wurde für dieses Beispiel ausgewählt.

Schritt 9: Die SA-Lebensdauer (Sec) gibt an, wie lange die IKE-SA in dieser Phase aktiv ist. Wenn die SA nach der jeweiligen Lebensdauer abläuft, beginnt eine neue Verhandlung für eine neue. Der Bereich liegt zwischen 120 und 86400, der Standardwert ist 28800.

Wir verwenden den Standardwert von 28800 Sekunden als SA-Lebenszeit für Phase I.

Anmerkung: Es wird empfohlen, dass Ihre SA-Lebenszeit in Phase I länger ist als Ihre SA-Lebenszeit in Phase II. Wenn Sie Phase I kürzer als Phase II machen, müssen Sie den Tunnel im Gegensatz zum Datentunnel häufig neu verhandeln. Der Datentunnel erfordert mehr Sicherheit. Daher ist es besser, die Lebensdauer in Phase II kürzer als in Phase I zu halten.

Schritt 10: Phase II zeigt an, wie Sie die Daten verschlüsseln, die hin und her gereicht werden. Wählen Sie in den Phase 2-Optionen ein Protokoll aus der Dropdown-Liste aus:

・ Encapsulating Security Payload (ESP) - Wählen Sie ESP für die Datenverschlüsselung aus, und geben Sie die Verschlüsselung ein.

・ Authentifizierungsheader (AH) - Wählen Sie diese Option für die Datenintegrität in Situationen, in denen Daten nicht geheim sind, d. h. nicht verschlüsselt sind, aber authentifiziert werden müssen. Es wird nur zur Validierung von Quelle und Ziel des Datenverkehrs verwendet.

In diesem Beispiel wird ESP als Protokollauswahl verwendet.

Schritt 11. Wählen Sie in der Dropdown-Liste eine Verschlüsselungsoption (3DES, AES-128, AES-192 oder AES-256) aus. Diese Methode bestimmt den Algorithmus, der zum Verschlüsseln und Entschlüsseln von ESP-/ISAKMP-Paketen verwendet wird.

In diesem Beispiel wird AES-192 als Verschlüsselungsoption verwendet.

Anmerkung: Klicken Sie auf die Hyperlinks, um weitere Informationen zum Konfigurieren der Sicherheit für VPNs mit IPsec oder Verschlüsselung der nächsten Generation zu erhalten.

Schritt 12: Die Authentifizierungsmethode legt fest, wie die Encapsulating Security Payload Protocol (ESP)-Header-Pakete validiert werden. Wählen Sie eine Authentifizierung aus (MD5, SHA1 oder SHA2-256).

SHA2-256 wurde für dieses Beispiel ausgewählt.

Schritt 13: Geben Sie ein, wie lange ein VPN-Tunnel (IPsec SA) in dieser Phase aktiv ist. Der Standardwert für Phase 2 beträgt 3600 Sekunden. Wir verwenden den Standardwert für diese Demonstration.

Schritt 14: Aktivieren Sie Aktivieren, um die perfekte Weiterleitungsgeheimnis zu aktivieren. Wenn Perfect Forward Secrecy (PFS) aktiviert ist, generiert die IKE Phase 2-Aushandlung neues Schlüsselmaterial für die Verschlüsselung und Authentifizierung von IPsec-Datenverkehr. PFS wird verwendet, um die Sicherheit von Kommunikation zu verbessern, die über das Internet mittels Public-Key-Verschlüsselung übertragen wird. Dies wird empfohlen, wenn Ihr Gerät es unterstützen kann.

Schritt 15: Wählen Sie eine Diffie-Hellman (DH)-Gruppe aus. DH ist ein Schlüsselaustauschprotokoll mit zwei Gruppen unterschiedlicher Hauptschlüssellängen, Group 2 - 1024 Bit und Group 5 - 1536 Bit. Für diese Demonstration wurde Gruppe 2 - 1024 Bit ausgewählt.

Anmerkung: Wählen Sie für schnellere Geschwindigkeit und niedrigere Sicherheit Gruppe 2. Für langsamere Geschwindigkeit und höhere Sicherheit wählen Sie Gruppe 5. Gruppe 2 ist standardmäßig ausgewählt.

Schritt 16: Klicken Sie auf Apply, um ein neues IPsec-Profil hinzuzufügen.

Schritt 17. Nachdem Sie auf Apply geklickt haben, sollte Ihr neues IPsec-Profil hinzugefügt werden.

Schritt 18: Klicken Sie oben auf der Seite auf das Symbol Speichern, um zur Konfigurationsverwaltung zu navigieren und die aktuelle Konfiguration in der Startkonfiguration zu speichern. Auf diese Weise wird die Konfiguration zwischen Neustarts beibehalten.

Schritt 19: Stellen Sie im Konfigurationsmanagement sicher, dass die Quelle die Konfiguration ausführt und das Ziel die Startkonfiguration ist. Drücken Sie anschließend Apply (Übernehmen), um die aktuelle Konfiguration in der Startkonfiguration zu speichern. Alle Konfigurationen, die der Router derzeit verwendet, befinden sich in der laufenden Konfigurationsdatei, die flüchtig ist und zwischen Neustarts nicht beibehalten wird. Durch Kopieren der aktuellen Konfigurationsdatei in die Startkonfigurationsdatei wird die gesamte Konfiguration zwischen den Neustarts beibehalten.

Schritt 20: Führen Sie alle Schritte erneut aus, um Router B einzurichten.

Schlussfolgerung

Sie sollten nun erfolgreich ein neues IPsec-Profil mit IKEv2 als IKE-Version für beide Router erstellt haben. Sie können jetzt ein Site-to-Site-VPN konfigurieren.