Este documento demonstrará como criar um novo perfil de Internet Protocol Security (IPsec) usando o modo de chaveamento automático nos roteadores das séries RV160 e RV260.
O IPsec garante a comunicação privada segura pela Internet. Ele oferece a dois ou mais hosts privacidade, integridade e autenticidade para a transmissão de informações confidenciais pela Internet. O IPsec é comumente usado na VPN (Virtual Private Network Rede Virtual Privada) e é implementado na camada IP e seu uso pode ajudar muitos aplicativos que não têm segurança. Uma VPN é usada para fornecer um mecanismo de comunicação segura para dados confidenciais e informações IP que são transmitidas por uma rede não segura, como a Internet. Ele oferece uma solução flexível para usuários remotos e para a organização para proteger qualquer informação confidencial de outras partes na mesma rede.
Para que as duas extremidades de um túnel VPN sejam criptografadas e estabelecidas com êxito, ambas precisam concordar com os métodos de criptografia, descriptografia e autenticação. O perfil IPsec é a configuração central no IPsec que define os algoritmos como criptografia, autenticação e grupo Diffie-Hellman (DH) para a negociação nas fases I e II no modo automático e também no modo de chaveamento manual. A fase 1 estabelece as chaves pré-compartilhadas para criar uma comunicação autenticada segura. A fase 2 é onde o tráfego é criptografado. Você pode configurar a maioria dos parâmetros de IPsec, como protocolo, modo, algoritmo, Perfect Forward Secret (PFS), duração da associação de segurança (SA) e protocolo de gerenciamento de chaves.
Observe que quando você está configurando a VPN de site para site, o roteador remoto precisaria ter as mesmas configurações de perfil do roteador local.
Informações adicionais sobre a tecnologia Cisco IPsec podem ser encontradas neste link: Introdução à tecnologia Cisco IPSec.
Para configurar o perfil IPsec e a VPN site a site usando o Assistente para configuração de VPN, clique no link: Configurando o Assistente de configuração de VPN no RV160 e RV260.
Para configurar a VPN site a site, consulte o documento: Configuração de VPN site a site no RV160 e RV260.
· RV160
· RV260
·1.0.00.13
Etapa 1. Faça login na página de configuração da Web do roteador.
Etapa 2. Navegue até VPN > IPSec VPN > IPSec Profiles.
Etapa 3. Na tabela Perfis IPSec, clique em Adicionar para criar um novo perfil IPsec. Também há opções para editar, excluir ou clonar um perfil.
Etapa 4. Insira um nome de perfil e selecione o modo de chaveamento (Automático ou Manual).
O HomeOffice é inserido como o Nome do perfil.
Auto está selecionado para o modo de chave.
Etapa 5. Escolha Internet Key Exchange Version 1 (IKEv1) ou Internet Key Exchange Version 2 (IKEv2) como sua versão IKE. O IKE é um protocolo híbrido que implementa a troca de chaves Oakley e a troca de chaves Skeme dentro da estrutura ISAKMP (Internet Security Association and Key Management Protocol). Oakley e Skeme definem como derivar material de chave autenticado, mas o Skeme também inclui atualização rápida de chave. O IKE fornece autenticação dos peers IPsec, negocia chaves IPsec e negocia associações de segurança IPsec. O IKEv2 é mais eficiente porque leva menos pacotes para fazer a troca de chaves, suporta mais opções de autenticação, enquanto o IKEv1 só faz autenticação baseada em certificado e chave compartilhada. Neste exemplo, IKEv1 foi selecionado como nossa versão IKE.
Note: Se o seu dispositivo suporta IKEv2, então é recomendável usar IKEv2. Se seus dispositivos não suportam IKEv2, use IKEv1.
Etapa 6. A Fase I configura e troca as chaves que você usará para criptografar dados na fase II. Na seção Fase I, selecione um Grupo Diffie-Hellman (DH). DH é um protocolo chave de troca, com dois grupos de diferentes comprimentos de chave primitiva, Grupo 2 - 1024 bits e Grupo 5 - 1536 bits. Selecionamos o Grupo 2 - 1024 bits para esta demonstração.
Note: Para obter velocidade mais rápida e segurança mais baixa, escolha Grupo 2. Para velocidade mais lenta e segurança mais alta, escolha Grupo 5. O grupo 2 está selecionado como padrão.
Passo 7. Selecione uma opção de criptografia (3DES, AES-128, AES-192 ou AES-256) na lista suspensa. Esse método determina o algoritmo usado para criptografar e descriptografar pacotes ESP/ISAKMP. O Triple Data Encryption Standard (3DES) usa a criptografia DES três vezes, mas agora é um algoritmo legado. Isso significa que ele só deve ser usado quando não há alternativas melhores, pois ainda oferece um nível de segurança marginal, mas aceitável. Os usuários só devem usá-lo se for necessário para compatibilidade com versões anteriores, pois ele é vulnerável a alguns ataques de "colisão de bloqueio". Não é recomendado usar 3DES, pois ele não é considerado seguro. O Advanced Encryption Standard (AES) é um algoritmo criptográfico projetado para ser mais seguro que o DES. O AES usa um tamanho de chave maior que garante que a única abordagem conhecida para descriptografar uma mensagem é que um invasor tente todas as chaves possíveis. É recomendável usar AES se o dispositivo puder suportá-lo. Neste exemplo, selecionamos AES-128 como nossa opção de criptografia.
Note: Aqui estão alguns recursos adicionais que podem ajudar a: Configurando a segurança para VPNs com IPsec e criptografia de última geração.
Etapa 8. O método de autenticação determina como os pacotes de cabeçalho ESP são validados. Esse é o algoritmo hash usado na autenticação para validar que o lado A e o lado B realmente são quem dizem ser. O MD5 é um algoritmo de hash unidirecional que produz um resumo de 128 bits e é mais rápido que o SHA1. O SHA1 é um algoritmo de hash unidirecional que produz um resumo de 160 bits, enquanto o SHA2-256 produz um resumo de 256 bits. SHA2-256 é recomendado porque é mais seguro. Certifique-se de que ambas as extremidades do túnel VPN usem o mesmo método de autenticação. Selecione uma autenticação (MD5, SHA1 ou SHA2-256).
SHA2-256 foi selecionado para este exemplo.
Etapa 9. O SA Lifetime (Sec) informa a quantidade de tempo que um SA IKE está ativo nesta fase. Quando o SA expira após a respectiva vida útil, uma nova negociação começa para um novo. O intervalo é de 120 a 86400 e o padrão é 28800.
Usaremos o valor padrão de 28800 segundos como nosso SA Lifetime para a Fase I.
Note: Recomenda-se que a sua SA Lifetime na Fase I seja mais longa que a sua SA Lifetime de Fase II. Se você tornar sua Fase I mais curta que a Fase II, então terá que renegociar o túnel para frente e para trás frequentemente ao contrário do túnel de dados. O túnel de dados é o que precisa de mais segurança, então é melhor ter a vida na Fase II para ser mais curta que na Fase I.
Etapa 10. A fase II é onde você criptografa os dados que estão sendo passados para frente e para trás. Nas Opções da Fase 2, Selecione um protocolo na lista suspensa, as opções são:
· ESP (Encapsulating Security Payload) - Selecione ESP para criptografia de dados e insira a criptografia.
· AH (Authentication Header, cabeçalho de autenticação) - Selecione para integridade de dados em situações em que os dados não são secretos, ou seja, não são criptografados, mas devem ser autenticados. Ele é usado somente para validar a origem e o destino do tráfego.
Neste exemplo, usaremos o ESP como nossa Seleção de Protocolo.
Etapa 11. Selecione uma opção de criptografia (3DES, AES-128, AES-192 ou AES-256) na lista suspensa. Esse método determina o algoritmo usado para criptografar e descriptografar pacotes ESP/ISAKMP.
Neste exemplo, usaremos AES-128 como nossa opção de criptografia.
Note: Aqui estão alguns recursos adicionais que podem ajudar a: Configurando a segurança para VPNs com IPsec e criptografia de última geração.
Etapa 12. O método de autenticação determina como os pacotes de cabeçalho do protocolo de payload de segurança de encapsulamento (ESP - Encapsulating Security Payload Protocol) são validados. Selecione uma autenticação (MD5, SHA1 ou SHA2-256).
SHA2-256 foi selecionado para este exemplo.
Etapa 13. Digite o tempo que um túnel VPN (IPsec SA) está ativo nesta fase. O valor padrão para a Fase 2 é 3600 segundos. Usaremos o valor padrão para esta demonstração.
Etapa 14. Marque Habilitar para habilitar o segredo de encaminhamento perfeito. Quando o Perfect Forward Secret (PFS) está ativado, a negociação de IKE Fase 2 gera um novo material chave para a criptografia e autenticação do tráfego IPsec. O PFS é usado para melhorar a segurança das comunicações transmitidas pela Internet usando criptografia de chave pública. Isso é recomendado se o dispositivo o suportar.
Etapa 15. Selecione um Grupo Diffie-Hellman (DH). DH é um protocolo chave de troca, com dois grupos de diferentes comprimentos de chave primitiva, Grupo 2 - 1024 bits e Grupo 5 - 1536 bits. Selecionamos o Grupo 2 - 1024 bits para esta demonstração.
Note: Para obter velocidade mais rápida e segurança mais baixa, escolha Grupo 2. Para velocidade mais lenta e segurança mais alta, escolha Grupo 5. O grupo 2 é selecionado por padrão.
Etapa 16. Clique em Apply para adicionar um novo perfil IPsec.
Agora você deve ter criado com êxito um novo perfil IPsec. Continue abaixo para verificar se o perfil IPsec foi adicionado. Você também pode seguir as etapas para copiar o arquivo de configuração atual para o arquivo de configuração de inicialização para que toda a sua configuração seja mantida entre as reinicializações.
Etapa 1. Depois de clicar em Aplicar, o novo perfil IPsec deve ser adicionado.
Etapa 2. Na parte superior da página, clique no botão Salvar para navegar até o Gerenciamento de configuração para salvar sua configuração atual na configuração de inicialização. Isso serve para manter a configuração entre as reinicializações.
Etapa 3. No Gerenciamento de configuração, verifique se a fonte está executando a configuração e se o destino está na configuração de inicialização. Em seguida, pressione Apply para salvar sua configuração atual na configuração de inicialização. Todas as configurações que o roteador está usando no momento estão no arquivo Running Configuration, que é volátil e não é retido entre as reinicializações. Copiar o arquivo de configuração atual para o arquivo de configuração de inicialização manterá toda a configuração entre as reinicializações.