O objetivo deste documento é mostrar a você como configurar o Perfil IPsec para o modo de Chaveamento Manual nos roteadores das séries RV160 e RV260.
O IPsec garante a comunicação privada segura pela Internet. Ele oferece a dois ou mais hosts privacidade, integridade e autenticidade para a transmissão de informações confidenciais pela Internet. O IPsec é comumente usado em uma VPN (Virtual Private Network), implementada na camada IP, e pode ajudar muitos aplicativos que não têm segurança. Uma VPN é usada para fornecer um mecanismo de comunicação segura para dados confidenciais e informações IP que são transmitidas por uma rede não segura, como a Internet. Ele oferece uma solução flexível para usuários remotos e para a organização para proteger qualquer informação confidencial de outras partes na mesma rede.
O modo de chaveamento manual reduz a flexibilidade e as opções de IPsec. Ele exige que o usuário forneça o material de chaveamento e as informações necessárias de associação de segurança para cada dispositivo que está sendo configurado. A chaveamento manual não é bem escalável, pois geralmente é melhor usada em um pequeno ambiente.
É aconselhável usar esse método somente se a implementação do Internet Key Exchange (IKE)v1 ou IKEv2 neste roteador não for a mesma do roteador remoto ou se um dos roteadores não suportar IKE. Nesses casos, você pode inserir manualmente as teclas. Recomenda-se configurar o modo de chaveamento automático para o perfil IPsec em vez do modo de chaveamento manual se o roteador suportar IKEv1 ou IKEv2 e seguir os mesmos padrões.
Ao usar o modo de chaveamento manual, certifique-se de que sua entrada de chave no roteador local seja a saída de chave no roteador remoto e a entrada de chave no roteador remoto seja a saída de chave no roteador local.
Um exemplo da configuração para os dois roteadores seria:
Campo | Router A | Router B |
Entrada de SPI | 100 | 100 |
Saída de SPI | 100 | 100 |
Criptografia | AES-256 | AES-256 |
Entrada de chave | ...91bb2b489ba0d28c7741b | ...858b8c5ec35505650b16 |
Saída de chave | ...858b8c5ec35505650b16 | ...91bb2b489ba0d28c7741b |
Autenticação | SHA2-256 | SHA2-256 |
Entrada de chave | ...A00997ec3a195061c81e4 | ...2f2de681af020b9ad5f3e3 |
Saída de chave | ...2f2de681af020b9ad5f3e3 | ...A00997ec3a195061c81e4 |
Informações adicionais sobre a tecnologia Cisco IPsec podem ser encontradas neste link: Introdução à tecnologia Cisco IPSec.
Para saber como configurar perfis IPsec usando o modo de chaveamento automático no RV160 e RV260, clique aqui.
Para saber como configurar a VPN site a site no RV160 e RV260, clique aqui.
Para configurar a VPN site a site usando o assistente de configuração, consulte o artigo sobre: Configurando o Assistente de configuração de VPN no RV160 e RV260.
· RV160
· RV260
·1.0.00.15
Etapa 1. Faça login no utilitário de configuração da Web.
Etapa 2. Navegue até VPN > IPSec VPN > IPSec Profiles.
Etapa 3. Pressione o ícone de mais para criar um novo perfil IPsec.
Etapa 4. Digite um nome de perfil no campo Nome do perfil.
Etapa 5. Selecione Manual para o modo de chave.
Etapa 6. Na seção Configuração de IPSec, insira o índice de parâmetros de segurança (SPI) de entrada e saída de SPI. O SPI é uma marca de identificação adicionada ao cabeçalho enquanto usa IPsec para tunelamento do tráfego IP. Essa marca ajuda o kernel a distinguir entre os dois fluxos de tráfego em que diferentes regras de criptografia e algoritmos podem estar em uso. O intervalo hexadecimal é de 100-FFFFFFFF.
Usaremos o valor padrão de 100 para entrada e saída de SPI.
Passo 7. Selecione uma criptografia (3DES, AES-128, AES-192 ou AES-256) na lista suspensa. Esse método determina o algoritmo usado para criptografar ou descriptografar pacotes ESP/ISAKMP. O Triple Data Encryption Standard (3DES) usa a criptografia DES três vezes, mas agora é um algoritmo legado. Isto significa que só deve ser utilizado quando não existem alternativas melhores, uma vez que continua a proporcionar um nível de segurança marginal, mas aceitável. Os usuários só devem usá-lo se for necessário para compatibilidade com versões anteriores, pois ele é vulnerável a alguns ataques de "colisão de bloqueio". Não é recomendado usar 3DES, pois ele não é considerado seguro.
AES (Advanced Encryption Standard) é um algoritmo criptográfico projetado para ser mais seguro que o 3DES. O AES usa um tamanho de chave maior que garante que a única abordagem conhecida para descriptografar uma mensagem é que um invasor tente todas as chaves possíveis. É recomendável usar AES se o dispositivo puder suportá-lo.
Neste exemplo, usaremos AES-256 como criptografia.
Etapa 8. Insira um número hexadecimal de 64 caracteres no campo Key In (Entrada de chave). Essa é a chave para descriptografar pacotes ESP recebidos em formato hexadecimal.
Prática recomendada: Use um gerador hex aleatório para configurar sua chave e chave de entrada. Verifique se o roteador remoto tem o mesmo número hexadecimal.
Etapa 9. Insira um número hexadecimal de 64 caracteres no campo Key Out (Saída de chave). Essa é a chave para criptografar os pacotes simples em formato hexadecimal.
Etapa 10. O método de autenticação determina como os pacotes de cabeçalho ESP são validados. Esse é o algoritmo hash usado na autenticação para validar que o lado A e o lado B realmente são quem dizem ser.
O MD5 é um algoritmo de hash unidirecional que produz um resumo de 128 bits e é mais rápido que o SHA1. O SHA1 é um algoritmo de hash unidirecional que produz um resumo de 160 bits, enquanto o SHA2-256 produz um resumo de 256 bits. SHA2-256 é recomendado porque é mais seguro. Certifique-se de que ambas as extremidades do túnel VPN usem o mesmo método de autenticação. Selecione uma autenticação (MD5, SHA1 ou SHA2-256).
Neste exemplo, selecionaremos SHA2-256.
Etapa 11. Insira um número hexadecimal de 64 caracteres no campo Key In (Entrada de chave). Essa é a chave para descriptografar pacotes ESP recebidos em formato hexadecimal.
Etapa 12. Insira um número hexadecimal de 64 caracteres no campo Key Out (Saída de chave). Essa é a chave para criptografar os pacotes simples em formato hexadecimal.
Etapa 13. Pressione Apply para criar o novo perfil IPsec.
Etapa 14. Na parte superior da página, clique no botão Salvar. Você será direcionado para a página Gerenciamento de configuração.
Etapa 15. Todas as configurações que o roteador está usando no momento estão no arquivo de configuração atual. A configuração será perdida se o dispositivo perder energia ou for reinicializado. Copiar o arquivo de configuração atual para o arquivo de configuração de inicialização garante que a configuração será salva. Em Gerenciamento de configuração, verifique se a fonte está executando a configuração e se o destino é Configuração de inicialização. Clique em Apply.
Agora você deve ter configurado com êxito o perfil IPsec usando o modo de chaveamento manual no RV160 ou RV260.