Doel
Het doel van dit document is om u te tonen hoe u IPsec Profile met IKEv2 kunt configureren op RV34x Series routers.
Inleiding
Firmware versie 1.0.02.16 voor RV34x Series routers ondersteunt nu Internet Key Exchange versie 2 (IKEv2) voor site-to-site VPN en client-to-site VPN. IKE is een hybride protocol ter uitvoering van de Oakley-uitwisseling en de Skeme-sleuteluitwisseling binnen het kader van Internet Security Association en Key Management Protocol (ISAKMP). IKE biedt verificatie van de IPsec-peers, onderhandelt over IPsec-toetsen en onderhandelt over IPsec-beveiligingsassociaties.
IKEv2 gebruikt nog steeds UDP-poort 500, maar er zijn een aantal wijzigingen om op te merken. Dead Peer Detection (DPD) wordt anders beheerd en is nu ingebouwd. Security Association (SA) onderhandeling wordt geminimaliseerd tot 4 berichten. Deze nieuwe update ondersteunt ook de MAP-verificatie (Extensible Authentication Protocol), waarmee nu een AAA-server en de Denial of Service-beveiliging kunnen worden aangesproken.
De onderstaande tabel illustreert de verschillen tussen IKEv1 en IKEv2
IKEv1 |
IKEv2 |
SA twee fasen onderhandeling (Main Mode vs Aggressive Mode) |
SA Enkelfaseonderhandeling (vereenvoudigd) |
|
Ondersteuning van lokaal/extern certificaat |
|
Verbeterde botsingsbehandeling |
|
Verbeterde rekendemocultuur |
|
NAT ingebouwde traversal |
|
EAP-ondersteuning voor AAA-servers |
IPsec garandeert dat u beveiligde privé-communicatie via het internet hebt. Het geeft twee of meer hosts privacy, integriteit en authenticiteit voor het verzenden van gevoelige informatie via het internet. IPsec wordt algemeen gebruikt in een Virtual Private Network (VPN) en wordt op de IP-laag geïmplementeerd waardoor beveiliging aan veel onveilige toepassingen wordt toegevoegd. Een VPN wordt gebruikt om een veilig communicatiemechanisme voor gevoelige gegevens en IP-informatie te bieden die door een onveilig netwerk zoals het internet wordt doorgegeven. Het biedt ook een flexibele oplossing voor gebruikers op afstand en de organisatie om gevoelige informatie van andere partijen op hetzelfde netwerk te beschermen.
Om de twee extremen van een VPN-tunnel te kunnen versleutelen en opzetten, moeten ze het allebei eens worden over de methoden voor encryptie, decryptie en authenticatie. Een IPsec-profiel is de centrale configuratie in IPsec die de algoritmen definieert zoals encryptie, verificatie en Diffie-Hellman (DH) groep voor Fase I- en II-onderhandeling in automatische modus evenals handmatige modus. Fase I stelt de vooraf gedeelde sleutels in om een veilige geauthentiseerde communicatie te creëren. Fase II is waar het verkeer versleuteld wordt. U kunt de meeste IPsec-parameters configureren, zoals protocol (Encapsulation Security Payload (ESP), Verificatieheader (AH), modus (tunnel, transport), algoritmen (encryptie, integriteit, Diffie-Hellman), Perfect Forward SecRITY (PFS), SA Life, en sleutelbeheerprotocol (Internet Key Exchange (IKE) - IKEv1 en IKEv2).
Aanvullende informatie over Cisco IPsec-technologie is te vinden in deze link: Inleiding tot Cisco IPSec-technologie.
Het is belangrijk om op te merken dat wanneer u site-to-site VPN configureren de externe router dezelfde IPsec-profielconfiguratie nodig heeft als uw lokale router.
Hieronder staat een tabel met de configuratie voor zowel de lokale router als de externe router. In dit document zullen we de lokale router configureren met behulp van router A.
Velden |
Lokale router (router A) |
Remote-router (router B) |
Profielnaam |
Thuis |
RemoteOffice |
Bedieningsmodus |
Automatisch |
Automatisch |
IKE-versie |
IKEv2 |
IKEv2 |
Opties fase I |
Opties fase I |
Opties fase I |
DH-groep |
Group2 - 1024-bits |
Group2 - 1024-bits |
Versleuteling |
AES-192 |
AES-192 |
Verificatie |
SHA2-256 |
SHA2-256 |
SA Lifetime |
28800 |
28800 |
Fase II-opties |
Fase II-opties |
Fase II-opties |
Protocolselectie |
ESP |
ESP |
Versleuteling |
AES-192 |
AES-192 |
Verificatie |
SHA2-256 |
SHA2-256 |
SA Lifetime |
3600 |
3600 |
Perfect voorwaartse geheimhouding |
Ingeschakeld |
Ingeschakeld |
DH-groep |
Group2 - 1024-bits |
Group2 - 1024-bits |
Klik op de link om te leren hoe u site-to-site VPN op RV34x kunt configureren: Het configureren van site-to-site VPN op RV34x.
Toepasselijke apparaten
・ RV348x
Softwareversie
·1.0.02.16
IPsec-profiel configureren met IKEv2
Stap 1. Meld u aan bij de webconfiguratie van uw lokale router (router A).
Stap 2. Navigeer naar VPN > IPSec profielen.
Stap 3. In de tabel met IPSec-profielen klikt u op Add om een nieuw IPsec-profiel te maken. Er zijn ook opties om een profiel te bewerken, te verwijderen of af te sluiten. Met het klonen van een profiel kunt u snel een profiel dupliceren dat al bestaat in de tabel met IPsec-profielen. Als je ooit meerdere profielen moet maken met dezelfde configuratie, dan zou klonen je wat tijd besparen.
Stap 4. Voer een profielnaam in en selecteer de modus (Auto of Handmatig). De profielnaam hoeft niet met uw andere router aan te passen, maar de modus voor het weergeven moet overeenkomen.
HomeOffice wordt ingevoerd als profielnaam.
Auto is geselecteerd voor Keying Mode.
Stap 5. Kies IKEv1 of IKEv2 als uw IKE versie. IKE is een hybride protocol ter uitvoering van de Oakley-sleuteluitwisseling en de Skeme-sleuteluitwisseling binnen het ISAKMP-kader. Oakley en Skeme definiëren allebei hoe geauthentificeerd keying materiaal af te leiden, maar Skeme omvat ook snelle basisverfrissing. IKEv2 is efficiënter omdat het minder pakketten nodig heeft om de belangrijkste uitwisselingen te doen, en ondersteunt meer authenticatieopties, terwijl IKEv1 alleen gedeelde sleutel en op certificaat gebaseerde authenticatie doet.
In dit voorbeeld werd IKEv2 geselecteerd als onze IKE-versie.
Opmerking: Als uw apparaten IKEv2 ondersteunen, wordt het gebruik van IKEv2 aanbevolen. Als uw apparaten IKEv2 niet ondersteunen, gebruik dan IKEv1.
Stap 6. Fase I stelt de toetsen in die u wilt gebruiken om gegevens in fase II te versleutelen. Selecteer in het gedeelte Fase I een DH-groep. DH is een belangrijk uitwisselingsprotocol, met twee groepen van verschillende primaire sleutellengtes, groep 2 - 1024 bit en groep 5 - 1536 bit.
Groep 2 - 1024 bit geselecteerd voor deze demonstratie.
Opmerking: Voor snellere en lagere veiligheid, kies Groep 2. Voor langzamere snelheid en hogere veiligheid, kies Groep 5. Groep 2 wordt geselecteerd als standaard.
Stap 7. Selecteer een coderingsoptie (3DS, AES-128, AES-192 of AES-256) in de vervolgkeuzelijst. Deze methode bepaalt het algoritme dat wordt gebruikt om ESP/ISAKMP pakketten te versleutelen en te decrypteren. Triple Data Encryption Standard (3DES) gebruikt DES-encryptie drie keer, maar is nu een legacy-algoritme en mag alleen worden gebruikt als er geen andere alternatieven zijn, omdat dit nog steeds een marginaal maar acceptabel beveiligingsniveau biedt. Gebruikers mogen het alleen gebruiken als het vereist is voor achterwaartse compatibiliteit omdat het kwetsbaar is voor een of andere "blokbotsing"-aanvallen. Advanced Encryption Standard (AES) is een cryptografisch algoritme dat ontworpen is om veiliger te zijn dan DES. AES gebruikt een grotere key size die ervoor zorgt dat de enige bekende benadering om een bericht te decrypteren voor een indringer is om elke mogelijke sleutel te proberen. Het wordt aanbevolen AES te gebruiken als uw apparaat dit kan ondersteunen.
In dit voorbeeld hebben we AES-192 als onze encryptie optie geselecteerd.
Opmerking: Klik op de hyperlinks voor aanvullende informatie over het configureren van beveiliging voor VPN's met IPsec of encryptie van de volgende generatie.
Stap 8. De verificatiemethode bepaalt hoe de ESP-headerpakketten worden gevalideerd. Dit is het hashing algoritme dat gebruikt wordt in de authenticatie om ze te valideren... dat kant A en kant B echt zijn wie ze zijn. De MD5 is een one-way hashing algoritme dat een 128-bits vertering produceert en sneller is dan SHA1. SHA1 is een one-way hashing algoritme dat een 160-bits digest produceert terwijl SHA2-256 een 256-bits vertering produceert. SHA2-256 wordt aanbevolen omdat het veiliger is. Zorg ervoor dat beide uiteinden van de VPN-tunnel dezelfde authenticatiemethode gebruiken. Selecteer een verificatie (MD5, SHA1 of SHA2-256).
SHA2-256 is voor dit voorbeeld geselecteerd.
Stap 9. De SA Lifetime (SEC) vertelt u de hoeveelheid tijd die een IKE SA in deze fase actief is. Als de SA na de respectieve levensduur afloopt, begint er een nieuwe onderhandeling voor een nieuwe. Het bereik loopt van 120 tot 86400 en de standaard is 28800.
We gebruiken de standaardwaarde van 28800 seconden als onze SA-levensduur voor fase I.
Opmerking: Aanbevolen wordt dat uw SA-levensduur in fase I langer is dan uw fase II SA-levensduur. Als je fase I korter maakt dan fase II, dan moet je regelmatig opnieuw onderhandelen over de tunnel dan vaak in tegenstelling tot de datunnel. Gegevenstunnel is wat meer veiligheid nodig heeft, zodat het beter is om de levensduur in fase II korter te hebben dan fase I.
Stap 10. Fase II is waar u de gegevens versleutelt die heen en weer worden doorgegeven. Selecteer in Fase 2 Opties een protocol in de vervolgkeuzelijst.
・ Security payload (ESP) insluiten - selecteer ESP voor gegevenscodering en voer de encryptie in.
・ Verificatieheader (AH) - Selecteer dit voor gegevensintegriteit in situaties waar gegevens niet geheim zijn, d.w.z. dat de gegevens niet versleuteld maar echt moeten worden. Het wordt alleen gebruikt om de bron en bestemming van het verkeer te valideren.
In dit voorbeeld zullen we ESP gebruiken als protocolselectie.
Stap 1. Selecteer een coderingsoptie (3DES, AES-128, AES-192 of AES-256) in de vervolgkeuzelijst. Deze methode bepaalt het algoritme dat wordt gebruikt om ESP/ISAKMP pakketten te versleutelen en te decrypteren.
In dit voorbeeld zullen we AES-192 gebruiken als onze encryptie optie.
Opmerking: Klik op de hyperlinks voor aanvullende informatie over het configureren van beveiliging voor VPN's met IPsec of encryptie van de volgende generatie.
Stap 12. De verificatiemethode bepaalt hoe de ESP-headerpakketten (Encapsulation Security Payload Protocol) worden gevalideerd. Selecteer een verificatie (MD5, SHA1 of SHA2-256).
SHA2-256 is voor dit voorbeeld geselecteerd.
Stap 13. Voer de hoeveelheid tijd in dat een VPN-tunnel (IPsec SA) in deze fase actief is. De standaardwaarde voor fase 2 is 3600 seconden. We zullen de standaardwaarde voor deze demonstratie gebruiken.
Stap 14. Controleer of u het perfecte termijngeheim kunt activeren. Wanneer Perfect Forward Security (PFS) is ingeschakeld, genereert IKE Fase 2-onderhandeling nieuw belangrijk materiaal voor IPsec-verkeersencryptie en -verificatie. PFS wordt gebruikt om de beveiliging van communicatie via het internet te verbeteren door middel van openbare sleutelcryptografie. Dit wordt aanbevolen als uw apparaat dit kan ondersteunen.
Stap 15. Selecteer een Diffie-Hellman (DH) groep. DH is een belangrijk uitwisselingsprotocol, met twee groepen van verschillende primaire sleutellengtes, groep 2 - 1024 bit en groep 5 - 1536 bit. We hebben groep 2-1024-bit geselecteerd voor deze demonstratie.
Opmerking: Voor snellere en lagere veiligheid, kies Groep 2. Voor langzamere snelheid en hogere veiligheid, kies Groep 5. Groep 2 wordt door standaard geselecteerd.
Stap 16. Klik op Toepassen om een nieuw IPsec-profiel toe te voegen.
Stap 17. Nadat u op Toepassen hebt geklikt, moet uw nieuwe IPsec-profiel worden toegevoegd.
Stap 18. Klik boven op de pagina op het pictogram Opslaan om in het Configuratiebeheer te navigeren om de actieve configuratie in de opstartconfiguratie op te slaan. Dit is om de configuratie tussen de herstart te behouden.
Stap 19. Controleer in het Configuratiebeheer of de bron de configuratie uitvoert en de bestemming de opstartconfiguratie is. Druk vervolgens op Toepassen om de actieve configuratie op te slaan. Alle configuraties die de router momenteel gebruikt zijn in het bestand Configuration uitvoeren dat vluchtig is en niet tussen de herstart blijft behouden. Het kopiëren van het actieve configuratiebestand naar het opstartconfiguratiebestand blijft alle configuratie tussen de herstart behouden.
Stap 20. Volg alle stappen opnieuw om router B in te stellen.
Conclusie
U hebt nu met succes een nieuw IPsec-profiel gemaakt met behulp van IKEv2 als uw IKE-versie voor beide routers. U bent klaar om een site-to-site VPN te configureren.