Profils de configuration d'IPSec (mode de introduction automatique) sur le RV160 et le RV260

Objectif

Ce document expliquera comment créer un nouveau profil d'IPSec (IPsec) utilisant le mode de introduction automatique sur des Routeurs de gammes RV160 et RV260.

Introduction

IPsec s'assure que vous avez la communication privée sécurisée au-dessus de l'Internet. Il donne deux ou plus héberge l'intimité, l'intégrité, et l'authenticité pour les informations confidentielles de transmission au-dessus de l'Internet. IPsec est utilisé généralement dans le réseau privé virtuel (VPN) et est mis en application à la couche IP et son utilisation peut aider beaucoup d'applications qui manquent de la Sécurité. Un VPN est utilisé pour fournir un mécanisme de communication protégée pour les données sensibles et les informations IP qui sont transmises par un réseau unsecure tel que l'Internet. Il fournit une solution flexible pour que des utilisateurs distants et l'organisation protège n'importe quelles informations confidentielles contre d'autres interlocuteurs sur le même réseau.

Afin des deux extrémités d'un tunnel VPN avec succès à chiffrer et être établi, ils chacun des deux doivent convenir sur les méthodes de cryptage, de déchiffrement, et d'authentification. Le profil IPSec est la configuration centrale dans IPsec qui définit les algorithmes tels que le cryptage, l'authentification, et le groupe de Protocole DH (Diffie-Hellman) pour la phase I et II négociation en mode automatique aussi bien que mode de introduction manuel. Le Phase 1 établit les clés pré-partagées pour créer une transmission authentifiée sécurisée. Le Phase 2 est où le trafic obtient chiffré. Vous pouvez configurer la plupart des paramètres d'IPsec tels que le protocole, le mode, l'algorithme, la vie de perfect forward secrecy (PFS), d'association de sécurité (SA), et le protocole de gestion de clés.

Notez que quand vous configurez le site à site VPN, le routeur distant devrait avoir les mêmes paramètres de profil que votre routeur local.

Les informations complémentaires au sujet de la technologie de Cisco IPsec peuvent être trouvées dans ce lien : Introduction à la technologie de Cisco IPSec.

Pour configurer le profil IPSec et le site à site VPN utilisant l'assistant de configuration VPN, cliquez sur s'il vous plaît le lien : Configurer l'assistant de configuration VPN sur le RV160 et le RV260.

Pour configurer le site à site VPN, voyez s'il vous plaît le document : Configurer le site à site VPN sur le RV160 et le RV260.

Périphériques applicables

·       RV160

·       RV260

Version de logiciel

·       1.0.00.13

Profils de configuration d'IPSec

Étape 1. Connectez-vous dans la page de configuration Web sur votre routeur.

Étape 2. Naviguez vers VPN > IPSec VPN > profils IPSecs.

Étape 3. Dans les profils IPSecs ajournez, cliquez sur Add pour créer un nouveau profil IPSec. Il y a également des choix pour éditer, supprimer, ou copier un profil.

Étape 4. Écrivez un nom de profil et sélectionnez le mode de introduction (automatique ou manuel).

HomeOffice est entré comme nom de profil.

L'automatique est sélectionné pour introduire le mode.

Étape 5. Choisissez la version 1 (IKEv1) d'échange de clés Internet (IKE) ou la version 2 (IKEv2) d'échange de clés Internet (IKE) en tant que votre version d'IKE. L'IKE est un protocole hybride qui implémente l'échange de clé d'Oakley et l'échange de clé de Skeme à l'intérieur du cadre de Protocole ISAKMP (Internet Security Association and Key Management Protocol). Oakley et Skeme chacun des deux définit comment dériver le matériel de base authentifié mais Skeme inclut également le rafraîchissement principal rapide. L'IKE fournit l'authentification des pairs d'IPsec, négocie des clés d'IPsec, et négocie des associations de sécurité d'IPsec. IKEv2 est plus efficace parce qu'il prend moins de paquet pour faire l'échange clé, prend en charge plus d'options d'authentification tandis qu'IKEv1 fait seulement clé partagée et authentification basée par certificat. Dans cet exemple, IKEv1 a été sélectionné en tant que notre version d'IKE.

Remarque: Si votre périphérique prend en charge IKEv2 puis il est recommandé d'utiliser IKEv2. Si vos périphériques ne les prend en charge pas IKEv2 alors utilisent IKEv1.

Étape 6. La phase I a installé et permute les clés que vous utiliserez pour chiffrer des données dans la phase II. Pendant la phase où je sectionne, sélectionne un groupe de Protocole DH (Diffie-Hellman). Le CAD est un protocole d'échange de clés, avec deux groupes de différentes longueurs principales principales, le bit 1536 du groupe 2 - 1024 le bit et le groupe 5 -. Nous groupe sélectionné 2 – bit 1024 pour cette démonstration.

Remarque: Pour une vitesse plus rapide et une Sécurité inférieure, choisissez le groupe 2. Pour une Sécurité plus à basse vitesse et plus élevée, choisissez le groupe 5. que le groupe 2 est sélectionné en tant que par défaut.

Étape 7. Sélectionnez une option de chiffrement (3DES, AES-128, AES-192, ou AES-256) de la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer et déchiffrer des paquets ESP/ISAKMP. Le chiffrement DES d'utilisations de Norme 3DES (Triple Data Encryption Standard) trois fois mais est maintenant un algorithme existant. Ceci signifie qu'il devrait seulement être utilisé quand il n'y a aucune meilleure solution de rechange puisqu'il fournit toujours un niveau de Sécurité marginal mais acceptable. Les utilisateurs devraient seulement l'utiliser s'il a exigé pour ascendant la compatibilité car il est vulnérable à quelques attaques « de collision de bloc ». Il n'est pas recommandé pour utiliser 3DES car il n'est pas considéré sécurisé. Le Norme AES (Advanced Encryption Standard) est un algorithme de chiffrement qui est conçu pour être plus sécurisés que le DES. AES utilise une plus grande taille de clé qui s'assure que la seule approche connue pour déchiffrer un message est pour qu'un intrus essaye chaque clé possible. Il est recommandé pour utiliser AES si votre périphérique peut le prendre en charge. Dans cet exemple, nous avons sélectionné AES-128 en tant que notre option de chiffrement.

Remarque: Voici quelques ressources supplémentaires qui peuvent aider : Configurer la Sécurité pour des VPN avec IPsec et cryptage de nouvelle génération.

 

Étape 8. La méthode d'authentification détermine comment les paquets d'en-tête de l'ESP sont validés. C'est l'algorithme de hachage utilisé dans l'authentification pour valider que le côté A et le côté B sont vraiment qui ils disent qu'ils sont. Le MD5 est un algorithme de hachage à sens unique qui produit un condensé 128-bit et est plus rapide que SHA1. Le SHA1 est un algorithme de hachage à sens unique qui produit un condensé 160-bit tandis que SHA2-256 produit un condensé 256-bit. SHA2-256 est recommandé parce qu'il est plus sécurisé. Assurez-vous que les deux extrémités du tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une authentification (MD5, SHA1, ou SHA2-256).

SHA2-256 a été sélectionné pour cet exemple.

Étape 9. La vie SA (sec) vous indique que la durée IKE SA est en activité dans cette phase. Quand les expires afters SA la vie respective, une nouvelle négociation commence pour un neuf. La plage est de 120 à 86400 et le par défaut est 28800.

Nous utiliserons la valeur par défaut de 28800 secondes en tant que notre vie SA pour la phase I.

Remarque: L'il est recommandé que votre vie SA dans la phase I est plus long que votre vie SA de la phase II. Si vous rendez votre phase I plus courte que la phase II, alors vous devrez renégocier le tunnel dans les deux sens fréquemment par opposition au tunnel de données. Le tunnel de données est ce qui a besoin de plus de Sécurité ainsi il vaut mieux d'avoir la vie dans la phase II à être plus court que la phase I.

Étape 10. La phase II est où vous chiffreriez les données qui sont passées dans les deux sens. Dans les options de Phase 2, sélectionnez un protocole de la liste déroulante, les options sont :

·       Protocole ESP (Encapsulating Security Payload) – L'ESP choisi pour le chiffrement de données et écrivent le cryptage.

·       En-tête d'authentification (AH) – Sélectionnez ceci pour l'intégrité des données dans les situations où les données ne sont pas secrètes, en d'autres termes, elles ne sont pas chiffrées mais doivent être authentifiées. Il est seulement utilisé pour valider la source et la destination de trafic.

Dans cet exemple, nous utiliserons l'ESP en tant que notre sélection de Protocol.

Étape 11. Sélectionnez une option de chiffrement (3DES, AES-128, AES-192, ou AES-256) de la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer et déchiffrer des paquets ESP/ISAKMP.

Dans cet exemple, nous utiliserons AES-128 en tant que notre option de chiffrement.

Remarque: Voici quelques ressources supplémentaires qui peuvent aider : Configurer la Sécurité pour des VPN avec IPsec et cryptage de nouvelle génération.

Étape 12. La méthode d'authentification détermine comment les paquets s'encapsulants d'en-tête de Protocol de charge utile de Sécurité (ESP) sont validés. Sélectionnez une authentification (MD5, SHA1, ou SHA2-256).

SHA2-256 a été sélectionné pour cet exemple.

Étape 13. Écrivez la durée qu'un tunnel VPN (IPsec SA) est en activité dans cette phase. La valeur par défaut pour le Phase 2 est de 3600 secondes. Nous utiliserons la valeur par défaut pour cette démonstration.

Étape 14. Enable de contrôle pour activer le perfect forward secrecy. Quand le perfect forward secrecy (PFS) est activé, la négociation de Phase 2 d'IKE génère le nouvel élément de clé pour le cryptage et l'authentification du trafic d'IPsec. Le PFS est utilisé pour améliorer la Sécurité des transmissions transmises à travers l'Internet utilisant la cryptographie à clé publique. Ceci est recommandé si votre périphérique le prend en charge.

Étape 15. Sélectionnez un groupe de Protocole DH (Diffie-Hellman). Le CAD est un protocole d'échange de clés, avec deux groupes de différentes longueurs principales principales, le bit 1536 du groupe 2 - 1024 le bit et le groupe 5 -. Nous groupe sélectionné 2 – bit 1024 pour cette démonstration.

Remarque: Pour une vitesse plus rapide et une Sécurité inférieure, choisissez le groupe 2. Pour une Sécurité plus à basse vitesse et plus élevée, choisissez le groupe 5. que le groupe 2 est sélectionné par défaut.

Étape 16. Cliquez sur Apply pour ajouter un nouveau profil IPSec.

Conclusion

Vous devriez avoir maintenant avec succès créé un nouveau profil IPSec. Continuez s'il vous plaît ci-dessous à vérifier que votre profil IPSec est ajouté. Vous pouvez également suivre les étapes pour copier votre fichier de configuration en cours sur le fichier de configuration de démarrage ainsi toute votre configuration est retenue entre les réinitialisations.

Étape 1. Après avoir cliqué sur Apply, votre nouveau profil IPSec devrait être ajouté.

Étape 2. En haut de la page, cliquez sur le bouton de sauvegarde pour naviguer vers la gestion de la configuration pour sauvegarder votre configuration en cours à la configuration de démarrage. C'est de retenir la configuration entre les réinitialisations.

Étape 3. En gestion de la configuration, assurez-vous que la source est configuration en cours et la destination est configuration de démarrage. Alors la presse s'appliquent pour sauvegarder votre configuration en cours à la configuration de démarrage. Toute la configuration que le routeur utilise actuellement sont dans le fichier de configuration en cours qui est volatil et n'est pas retenu entre les réinitialisations. Copiant le fichier de configuration en cours sur le fichier de configuration de démarrage retiendra toute la configuration entre les réinitialisations.