Configurando IKEv2 no RV34x Series Router
Objetivo
O objetivo deste documento é mostrar como configurar o Perfil IPsec com IKEv2 em RV34x Series Routers.
Introdução
A versão do firmware 1.0.02.16 para os roteadores da série RV34x agora oferece suporte a Internet Key Exchange Version 2 (IKEv2) para VPN site a site e VPN cliente a site. O IKE é um protocolo híbrido que implementa a troca de chaves Oakley e a troca de chaves Skeme dentro da estrutura do Internet Security Association and Key Management Protocol (ISAKMP). O IKE fornece autenticação de pares IPsec, negocia chaves IPsec e negocia associações de segurança IPsec.
O IKEv2 ainda utiliza a porta UDP 500, mas há algumas alterações a serem observadas. A detecção de ponto morto (DPD) é gerenciada de forma diferente e agora é integrada. A negociação da Security Association (SA) é minimizada para até 4 mensagens. Essa nova atualização também suporta a autenticação EAP (Extensible Authentication Protocol), que agora pode aproveitar um servidor AAA e a proteção contra Negação de Serviço.
A tabela abaixo ilustra as diferenças entre IKEv1 e IKEv2
|
IKEv1 |
IKEv2 |
|
Negociação de duas fases do SA (Comparação entre modo principal e modo agressivo) |
Negociação de fase única de SA (Simplificada) |
|
|
Suporte a certificado local/remoto |
|
|
Melhor tratamento de colisão |
|
|
Mecânica de rechaveamento aprimorada |
|
|
NAT traversal embutido |
|
|
Suporte EAP para servidores AAA |
O IPsec garante que você tenha uma comunicação privada segura pela Internet. Ele fornece a dois ou mais hosts privacidade, integridade e autenticidade para a transmissão de informações confidenciais pela Internet. O IPsec é comumente usado em uma Rede Virtual Privada (VPN) e é implementado na camada IP, o que ajuda a adicionar segurança a muitos aplicativos não seguros. Uma VPN é usada para fornecer um mecanismo de comunicação seguro para dados confidenciais e informações IP que são transmitidas por uma rede não segura, como a Internet. Ele também oferece uma solução flexível para usuários remotos e a organização protegerem qualquer informação confidencial de outras partes na mesma rede.
Para que as duas extremidades de um túnel VPN sejam criptografadas e estabelecidas com êxito, ambas precisam concordar com os métodos de criptografia, descriptografia e autenticação. Um perfil IPsec é a configuração central no IPsec que define os algoritmos como criptografia, autenticação e grupo Diffie-Hellman (DH) para a negociação das Fases I e II no modo automático, bem como no modo de chaveamento manual. A Fase I estabelece as chaves pré-compartilhadas para criar uma comunicação autenticada segura. A fase II é onde o tráfego é criptografado. Você pode configurar a maioria dos parâmetros de IPsec, como protocolo (Encapsulation Security Payload (ESP)), cabeçalho de autenticação (AH), modo (túnel, transporte), algoritmos (criptografia, integridade, Diffie-Hellman), Perfect Forward Secrecy (PFS), tempo de vida de SA e protocolo de gerenciamento de chave (Internet Key Exchange (IKE) - IKEv1 e IKEv2).
Informações adicionais sobre a tecnologia Cisco IPsec podem ser encontradas neste link: Introdução à tecnologia Cisco IPSec.
É importante observar que quando você está configurando a VPN site a site, o roteador remoto requer a mesma configuração de perfil IPsec que o roteador local.
Abaixo está uma tabela da configuração para o roteador local e para o roteador remoto. Neste documento, configuraremos o roteador local usando o roteador A.
|
Campos |
Roteador Local (Roteador A) |
Roteador Remoto (Roteador B) |
|
Nome do perfil |
Escritório domiciliar |
EscritórioRemoto |
|
Modo de chaveamento |
Auto |
Auto |
|
Versão do IKE |
IKEv2 |
IKEv2 |
|
Opções da fase I |
Opções da fase I |
Opções da fase I |
|
Grupo DH |
Grupo2 - 1024 bits |
Grupo2 - 1024 bits |
|
Criptografia |
AES-192 |
AES-192 |
|
Autenticação |
SHA2-256 |
SHA2-256 |
|
Vida útil do SA |
28800 |
28800 |
|
Opções da Fase II |
Opções da Fase II |
Opções da Fase II |
|
Seleção de protocolo |
ESP |
ESP |
|
Criptografia |
AES-192 |
AES-192 |
|
Autenticação |
SHA2-256 |
SHA2-256 |
|
Vida útil do SA |
3600 |
3600 |
|
Segredo de encaminhamento perfeito |
Habilitado |
Habilitado |
|
Grupo DH |
Grupo2 - 1024 bits |
Grupo2 - 1024 bits |
Para saber como configurar a VPN site a site no RV34x, clique no link: Configuração da VPN Site a Site no RV34x.
Dispositivos aplicáveis
· RV34x
Versão de software
·1.0.02.16
Configurando o perfil IPsec com IKEv2
Etapa 1. Efetue login na página de configuração da Web do seu roteador local (Roteador A).
Etapa 2. Navegue até VPN > IPSec Profiles.
Etapa 3. Na tabela IPSec Profiles, clique em Add para criar um novo perfil IPsec. Há também opções para editar, excluir ou clonar um perfil. A clonagem de um perfil permite duplicar rapidamente um perfil que já existe na tabela de perfis IPsec. Se você precisar criar vários perfis com a mesma configuração, a clonagem economizará tempo.
Etapa 4. Informe um nome de perfil e selecione o modo de chaveamento (Automático ou Manual). O nome do perfil não precisa coincidir com o seu outro roteador, mas o modo de chaveamento precisa coincidir.
HomeOffice é inserido como o Nome do perfil.
Auto está selecionado para Modo de Tecla.
Etapa 5. Escolha IKEv1 ou IKEv2 como sua versão do IKE. O IKE é um protocolo híbrido que implementa a troca de chaves Oakley e a troca de chaves Skeme dentro da estrutura ISAKMP. Oakley e Skeme definem como derivar o material de chaveamento autenticado, mas Skeme também inclui a atualização rápida de chaves. O IKEv2 é mais eficiente porque requer menos pacotes para fazer as trocas de chave e suporta mais opções de autenticação, enquanto o IKEv1 faz apenas autenticação baseada em chave compartilhada e certificado.
Neste exemplo, IKEv2 foi selecionado como nossa versão IKE.
Note: Se seus dispositivos oferecem suporte a IKEv2, é recomendável usar IKEv2. Se seus dispositivos não oferecem suporte a IKEv2, use IKEv1.
Etapa 6. A Fase I configura e troca as chaves que você usará para criptografar dados na fase II. Na seção Fase I, selecione um grupo DH. O DH é um protocolo de troca de chave, com dois grupos de diferentes comprimentos de chave primária, Grupo 2 - 1024 bits e Grupo 5 - 1536 bits.
Grupo 2 - 1024 bits foi selecionado para esta demonstração.
Note: Para obter velocidade mais rápida e segurança mais baixa, escolha Grupo 2. Para obter velocidade mais lenta e segurança mais alta, escolha Grupo 5. O Grupo 2 é selecionado como padrão.
Etapa 7. Selecione uma opção de criptografia (3DS, AES-128, AES-192 ou AES-256) na lista suspensa. Esse método determina o algoritmo usado para criptografar e descriptografar pacotes ESP/ISAKMP. O 3DES (Triple Data Encryption Standard) usa a criptografia DES três vezes, mas agora é um algoritmo herdado e só deve ser usado quando não houver outras alternativas, já que ainda oferece um nível de segurança marginal, mas aceitável. Os usuários só devem usá-lo se for necessário para compatibilidade com versões anteriores, pois ele é vulnerável a alguns ataques de "colisão de blocos". O AES (Advanced Encryption Standard) é um algoritmo criptográfico projetado para ser mais seguro que o DES. O AES usa um tamanho de chave maior que garante que a única abordagem conhecida para descriptografar uma mensagem é que um intruso tente todas as chaves possíveis. É recomendável usar o AES se o dispositivo puder suportá-lo.
Neste exemplo, selecionamos AES-192 como nossa opção de criptografia.
Note: Clique nos hiperlinks para obter informações adicionais sobre Configuração de segurança para VPNs com IPsec ou Criptografia de última geração.
Etapa 8. O método de autenticação determina como os pacotes de cabeçalho ESP são validados. Esse é o algoritmo de hash usado na autenticação para validar se o lado A e o lado B realmente são quem dizem ser. O MD5 é um algoritmo de hash unidirecional que produz um digest de 128 bits e é mais rápido que o SHA1. O SHA1 é um algoritmo de hash unidirecional que produz um digest de 160 bits, enquanto o SHA2-256 produz um digest de 256 bits. SHA2-256 é recomendado porque é mais seguro. Certifique-se de que ambas as extremidades do túnel VPN usem o mesmo método de autenticação. Selecione uma autenticação (MD5, SHA1 ou SHA2-256).
SHA2-256 foi selecionado para este exemplo.
Etapa 9. O Tempo de Vida de SA (Sec) informa o tempo durante o qual uma SA IKE está ativa nessa fase. Quando o SA expira após o respectivo tempo de vida, uma nova negociação começa para um novo. O intervalo é de 120 a 86400 e o padrão é 28800.
Usaremos o valor padrão de 28800 segundos como tempo de vida de SA para a Fase I.
Note: Recomenda-se que o tempo de vida do SA na Fase I seja maior do que o tempo de vida do SA na Fase II. Se você tornar sua Fase I mais curta que a Fase II, terá que renegociar o túnel para frente e para trás com frequência, ao contrário do túnel de dados. O túnel de dados é o que precisa de mais segurança, portanto, é melhor ter um tempo de vida na Fase II menor do que na Fase I.
Etapa 10. A Fase II é onde você criptografará os dados que estão sendo passados para frente e para trás. Nas Opções da Fase 2, selecione um protocolo na lista suspensa:
· ESP (Encapsulating Security Payload) - Selecione ESP para criptografia de dados e insira a criptografia.
· Cabeçalho de autenticação (AH) - Selecione essa opção para integridade de dados em situações em que os dados não são secretos, ou seja, não estão criptografados, mas devem ser autenticados. Ele é usado apenas para validar a origem e o destino do tráfego.
Neste exemplo, usaremos ESP como nossa Seleção de Protocolo.
Etapa 11. Selecione uma opção de criptografia (3DES, AES-128, AES-192 ou AES-256) na lista suspensa. Esse método determina o algoritmo usado para criptografar e descriptografar pacotes ESP/ISAKMP.
Neste exemplo, usaremos AES-192 como nossa opção de criptografia.
Note: Clique nos hiperlinks para obter informações adicionais sobre Configuração de segurança para VPNs com IPsec ou Criptografia de última geração.
Etapa 12. O método de autenticação determina como os pacotes de cabeçalho do Encapsulating Security Payload Protocol (ESP) são validados. Selecione uma autenticação (MD5, SHA1 ou SHA2-256).
SHA2-256 foi selecionado para este exemplo.
Etapa 13. Digite o tempo que um túnel VPN (IPsec SA) fica ativo nesta fase. O valor padrão para a Fase 2 é 3600 segundos. Usaremos o valor padrão para esta demonstração.
Etapa 14. Marque Enable para ativar o segredo de encaminhamento perfeito. Quando o PFS (Perfect Forward Secrecy) está ativado, a negociação da Fase 2 do IKE gera um novo material-chave para a criptografia e autenticação do tráfego IPsec. O PFS é usado para melhorar a segurança das comunicações transmitidas pela Internet usando criptografia de chave pública. Isso é recomendado se o dispositivo puder suportá-lo.
Etapa 15. Selecione um grupo Diffie-Hellman (DH). O DH é um protocolo de troca de chave, com dois grupos de diferentes comprimentos de chave primária, Grupo 2 - 1024 bits e Grupo 5 - 1536 bits. Selecionamos o Grupo 2 - 1024 bits para esta demonstração.
Note: Para obter velocidade mais rápida e segurança mais baixa, escolha Grupo 2. Para obter velocidade mais lenta e segurança mais alta, escolha Grupo 5. O Grupo 2 é selecionado por padrão.
Etapa 16. Clique em Apply para adicionar um novo perfil IPsec.
Etapa 17. Depois de clicar em Apply, seu novo perfil IPsec deve ser adicionado.
Etapa 18. Na parte superior da página, clique no ícone Save para navegar até o Configuration Management e salvar sua configuração atual na configuração de inicialização. Isso serve para reter a configuração entre as reinicializações.
Etapa 19. No Gerenciamento de configuração, certifique-se de que Source esteja Executando a configuração e que Destination seja Startup Configuration. Em seguida, pressione Apply para salvar sua configuração atual na configuração de inicialização. Todas as configurações que o roteador está usando atualmente estão no arquivo de Configuração de execução, que é volátil e não é retido entre as reinicializações. Copiar o arquivo de configuração atual para o arquivo de configuração de inicialização manterá toda a configuração entre as reinicializações.
Etapa 20. Siga todas as etapas novamente para configurar o roteador B.
Conclusão
Agora você deve ter criado com êxito um novo perfil IPsec usando IKEv2 como sua versão IKE para ambos os roteadores. Você está pronto para configurar uma VPN site a site.
Feedback