Objectif
L'objectif de ce document est de vous montrer comment configurer le profil IPsec avec IKEv2 sur les routeurs de la gamme RV34x.
Introduction
La version 1.0.02.16 du micrologiciel pour les routeurs de la gamme RV34x prend désormais en charge Internet Key Exchange Version 2 (IKEv2) pour le VPN site à site et le VPN client à site. IKE est un protocole hybride qui implémente l'échange de clés Oakley et Skeme dans le cadre de l'association de sécurité Internet et du protocole ISAKMP (Key Management Protocol). IKE fournit l'authentification des homologues IPsec, négocie les clés IPsec et négocie les associations de sécurité IPsec.
IKEv2 utilise toujours le port UDP 500, mais il y a quelques modifications à noter. La détection DPD (Dead Peer Detection) est gérée différemment et est désormais intégrée. La négociation de l'association de sécurité (SA) est réduite à 4 messages. Cette nouvelle mise à jour prend également en charge l'authentification EAP (Extensible Authentication Protocol), qui est désormais capable d'utiliser un serveur AAA et la protection par déni de service.
Le tableau ci-dessous illustre les différences entre IKEv1 et IKEv2
IKEv1 |
IKEv2 |
Négociation en deux phases de SA (Mode principal et mode agressif) |
Négociation en une seule phase SA (simplifié) |
|
Support des certificats locaux/distants |
|
Gestion améliorée des collisions |
|
Mécanismes de reprise améliorés |
|
NAT traversal intégré |
|
Prise en charge EAP des serveurs AAA |
IPsec vous garantit une communication privée sécurisée sur Internet. Elle garantit la confidentialité, l’intégrité et l’authenticité de deux hôtes ou plus pour la transmission d’informations sensibles sur Internet. IPsec est couramment utilisé dans un réseau privé virtuel (VPN) et est mis en oeuvre au niveau de la couche IP, ce qui permet d'ajouter la sécurité à de nombreuses applications non sécurisées. Un VPN est utilisé pour fournir un mécanisme de communication sécurisé pour les données sensibles et les informations IP transmises via un réseau non sécurisé tel qu'Internet. Il offre également une solution flexible pour les utilisateurs distants et l'entreprise afin de protéger les informations sensibles des autres parties du même réseau.
Pour que les deux extrémités d'un tunnel VPN soient correctement chiffrées et établies, elles doivent toutes deux s'accorder sur les méthodes de chiffrement, de déchiffrement et d'authentification. Un profil IPsec est la configuration centrale dans IPsec qui définit les algorithmes tels que le chiffrement, l'authentification et le groupe Diffie-Hellman (DH) pour la négociation de phase I et II en mode auto et en mode de frappe manuelle. La phase I établit les clés pré-partagées pour créer une communication authentifiée sécurisée. La phase II consiste à chiffrer le trafic. Vous pouvez configurer la plupart des paramètres IPsec tels que protocole (ESP), en-tête d'authentification (AH), mode (tunnel, transport), algorithmes (cryptage, intégrité, Diffie-Hellman), Perfect Forward Secrecy (PFS), durée de vie de SA et protocole de gestion des clés (IKE) - IKEv1 et IKEv2).
Pour plus d'informations sur la technologie Cisco IPsec, cliquez sur ce lien : Présentation de la technologie Cisco IPSec.
Il est important de noter que lorsque vous configurez un VPN site à site, le routeur distant nécessite la même configuration de profil IPsec que votre routeur local.
Vous trouverez ci-dessous un tableau de la configuration du routeur local et du routeur distant. Dans ce document, nous allons configurer le routeur local à l’aide du routeur A.
Champs |
Routeur local (Routeur A) |
Routeur distant (Routeur B) |
Nom du profil |
Bureau à domicile |
Bureau à distance |
Mode Clé |
« Auto » |
« Auto » |
Version IKE |
IKEv2 |
IKEv2 |
Options de la phase I |
Options de la phase I |
Options de la phase I |
Groupe DH |
Groupe2 - 1 024 bits |
Groupe2 - 1 024 bits |
Chiffrement |
AES-192 |
AES-192 |
Authentification |
SHA2-256 |
SHA2-256 |
Durée de vie SA |
28800 |
28800 |
Options de la phase II |
Options de la phase II |
Options de la phase II |
Sélection de protocole |
ESP |
ESP |
Chiffrement |
AES-192 |
AES-192 |
Authentification |
SHA2-256 |
SHA2-256 |
Durée de vie SA |
3600 |
3600 |
Secret de transfert parfait |
Activée |
Activée |
Groupe DH |
Groupe2 - 1 024 bits |
Groupe2 - 1 024 bits |
Pour savoir comment configurer un VPN de site à site sur le RV34x, cliquez sur le lien suivant : Configuration du VPN site à site sur le RV34x.
Périphériques pertinents
· RV34x
Version du logiciel
·1.0.02.16
Configuration du profil IPsec avec IKEv2
Étape 1. Connectez-vous à la page de configuration Web de votre routeur local (Routeur A).
Étape 2. Accédez à VPN > Profils IPSec.
Étape 3. Dans le tableau Profils IPSec, cliquez sur Ajouter pour créer un profil IPsec. Vous pouvez également modifier, supprimer ou cloner un profil. Le clonage d'un profil vous permet de dupliquer rapidement un profil qui existe déjà dans la table Profils IPsec. Si vous avez besoin de créer plusieurs profils avec la même configuration, le clonage vous fera gagner du temps.
Étape 4. Entrez un nom de profil et sélectionnez le mode de frappe (Auto ou Manual). Le nom du profil ne doit pas correspondre à celui de votre autre routeur, mais le mode de frappe doit correspondre.
HomeOffice est entré en tant que nom de profil.
Auto est sélectionné pour le mode Clé.
Étape 5. Choisissez IKEv1 ou IKEv2 comme version IKE. IKE est un protocole hybride qui implémente l'échange de clé Oakley et l'échange de clé Skeme dans le cadre ISAKMP. Oakley et Skeme définissent tous deux comment dériver le matériel de clé authentifié, mais Skeme inclut également un rafraîchissement rapide des clés. IKEv2 est plus efficace car il prend moins de paquets pour effectuer les échanges de clés et prend en charge plus d'options d'authentification, tandis qu'IKEv1 ne partage que l'authentification basée sur les clés et les certificats.
Dans cet exemple, IKEv2 a été sélectionné comme version IKE.
Note: Si vos périphériques prennent en charge IKEv2, il est recommandé d'utiliser IKEv2. Si vos périphériques ne prennent pas en charge IKEv2, utilisez IKEv1.
Étape 6. La phase I configure et échange les clés que vous utiliserez pour chiffrer les données de la phase II. Dans la section Phase I, sélectionnez un groupe DH. DH est un protocole d'échange de clés, avec deux groupes de longueurs de clés principales différentes, Groupe 2 - 1024 bit et Groupe 5 - 1536 bit.
Groupe 2 - 1024 bits a été sélectionné pour cette démonstration.
Note: Pour une vitesse et une sécurité plus rapides, sélectionnez Groupe 2. Pour une vitesse plus lente et une sécurité plus élevée, sélectionnez Groupe 5. Le groupe 2 est sélectionné par défaut.
Étape 7. Sélectionnez une option de cryptage (3DS, AES-128, AES-192 ou AES-256) dans la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer et déchiffrer les paquets ESP/ISAKMP. La norme 3DES (Triple Data Encryption Standard) utilise le chiffrement DES trois fois, mais est désormais un algorithme hérité et ne doit être utilisé que lorsqu'il n'existe pas d'autre alternative, car elle fournit toujours un niveau de sécurité marginal mais acceptable. Les utilisateurs ne doivent l'utiliser que s'il est nécessaire pour assurer une compatibilité descendante, car il est vulnérable à certaines attaques ” de collision “. La norme AES (Advanced Encryption Standard) est un algorithme cryptographique conçu pour être plus sécurisé que DES. AES utilise une taille de clé plus grande qui garantit que la seule approche connue pour déchiffrer un message est qu'un intrus tente toutes les clés possibles. Il est recommandé d'utiliser AES si votre périphérique peut le prendre en charge.
Dans cet exemple, nous avons sélectionné AES-192 comme option de chiffrement.
Note: Cliquez sur les liens hypertexte pour plus d'informations sur Configuration de la sécurité pour les VPN avec IPsec ou Cryptage nouvelle génération.
Étape 8. La méthode d'authentification détermine la manière dont les paquets d'en-tête ESP sont validés. C'est l'algorithme de hachage utilisé dans l'authentification pour valider que les côtés A et B sont vraiment ceux qu'ils disent être. Le MD5 est un algorithme de hachage unidirectionnel qui produit un résumé de 128 bits et est plus rapide que le SHA1. SHA1 est un algorithme de hachage unidirectionnel qui produit un résumé de 160 bits tandis que SHA2-256 produit un résumé de 256 bits. SHA2-256 est recommandé car il est plus sécurisé. Assurez-vous que les deux extrémités du tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une authentification (MD5, SHA1 ou SHA2-256).
SHA2-256 a été sélectionné pour cet exemple.
Étape 9. Le SA Lifetime (Sec) vous indique la durée pendant laquelle une SA IKE est active dans cette phase. Lorsque la SA expire après la durée de vie respective, une nouvelle négociation commence pour une nouvelle. La plage est comprise entre 120 et 86400 et la valeur par défaut est 28800.
Nous utiliserons la valeur par défaut de 28800 secondes comme durée de vie SA pour la phase I.
Note: Il est recommandé que votre durée de vie de SA dans la phase I soit plus longue que votre durée de vie de SA de phase II. Si vous raccourcissez la phase I par rapport à la phase II, vous devrez renégocier le tunnel d'un point à l'autre fréquemment, par opposition au tunnel de données. Le tunnel de données est ce qui a besoin de plus de sécurité. Il est donc préférable que la durée de vie de la phase II soit plus courte que celle de la phase I.
Étape 10. La phase II consiste à chiffrer les données transmises et transmises. Dans les options de phase 2, sélectionnez un protocole dans la liste déroulante :
· Encapsulating Security Payload (ESP) : sélectionnez ESP pour le cryptage des données et entrez le cryptage.
· Authentication Header (AH) : sélectionnez cette option pour l'intégrité des données dans les situations où les données ne sont pas secrètes, c'est-à-dire qu'elles ne sont pas chiffrées mais doivent être authentifiées. Elle est uniquement utilisée pour valider la source et la destination du trafic.
Dans cet exemple, nous utiliserons ESP comme notre sélection de protocole.
Étape 11. Sélectionnez une option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer et déchiffrer les paquets ESP/ISAKMP.
Dans cet exemple, nous utiliserons AES-192 comme option de chiffrement.
Note: Cliquez sur les liens hypertexte pour plus d'informations sur Configuration de la sécurité pour les VPN avec IPsec ou Cryptage nouvelle génération.
Étape 12. La méthode d'authentification détermine comment les paquets d'en-tête ESP (Encapsulating Security Payload Protocol) sont validés. Sélectionnez une authentification (MD5, SHA1 ou SHA2-256).
SHA2-256 a été sélectionné pour cet exemple.
Étape 13. Saisissez la durée pendant laquelle un tunnel VPN (IPsec SA) est actif dans cette phase. La valeur par défaut de la phase 2 est 3 600 secondes. Nous utiliserons la valeur par défaut pour cette démonstration.
Étape 14. Cochez Enable pour activer le secret de transfert parfait. Lorsque Perfect Forward Secrecy (PFS) est activé, la négociation IKE de phase 2 génère un nouveau matériel clé pour le chiffrement et l'authentification du trafic IPsec. PFS est utilisé pour améliorer la sécurité des communications transmises sur Internet à l'aide de la cryptographie à clé publique. Ceci est recommandé si votre périphérique peut le prendre en charge.
Étape 15. Sélectionnez un groupe Diffie-Hellman (DH). DH est un protocole d'échange de clés, avec deux groupes de longueurs de clés principales différentes, Groupe 2 - 1024 bit et Groupe 5 - 1536 bit. Nous avons sélectionné Groupe 2 - 1024 bits pour cette démonstration.
Note: Pour une vitesse et une sécurité plus rapides, sélectionnez Groupe 2. Pour une vitesse plus lente et une sécurité plus élevée, sélectionnez Groupe 5. Le groupe 2 est sélectionné par défaut.
Étape 16. Cliquez sur Apply pour ajouter un nouveau profil IPsec.
Étape 17. Après avoir cliqué sur Apply, votre nouveau profil IPsec doit être ajouté.
Étape 18. En haut de la page, cliquez sur l'icône Enregistrer pour accéder à la gestion de la configuration pour enregistrer votre configuration en cours dans la configuration de démarrage. Ceci permet de conserver la configuration entre les redémarrages.
Étape 19. Dans la gestion de la configuration, assurez-vous que la source est Configuration en cours et que la destination est Configuration de démarrage. Appuyez ensuite sur Apply pour enregistrer votre configuration en cours dans la configuration initiale. Toutes les configurations actuellement utilisées par le routeur se trouvent dans le fichier de configuration en cours, qui est volatile et qui n'est pas conservé entre les redémarrages. La copie du fichier de configuration en cours dans le fichier de configuration initiale conserve toute la configuration entre les redémarrages.
Étape 20. Suivez à nouveau toutes les étapes pour configurer le routeur B.
Conclusion
Vous devez maintenant avoir créé un nouveau profil IPsec en utilisant IKEv2 comme version IKE pour les deux routeurs. Vous êtes prêt à configurer un VPN de site à site.