Configurar um perfil da segurança de protocolo do Internet (IPsec) em um roteador do RV34x Series

Objetivo

A segurança de protocolo do Internet (IPsec) fornece túneis seguros entre dois pares, tais como dois Roteadores. Os pacotes que são considerados sensíveis e devem ser enviados através destes túneis seguros, assim como os parâmetros que devem ser usados para proteger estes pacotes sensíveis devem ser definidos especificando as características destes túneis. Então, quando o ipsec peer vê um pacote tão sensível, ajusta-se - acima do túnel seguro apropriado e envia-se o pacote através deste túnel ao peer remoto.

Quando o IPsec é executado em um Firewall ou em um roteador, fornece o forte segurança que pode ser aplicado a todo o tráfego que cruza o perímetro. O tráfego dentro de uma empresa ou de um grupo de trabalho não incorre as despesas gerais do processamento relacionado à segurança.

O objetivo deste documento é mostrar-lhe como configurar o perfil IPSec em um roteador do RV34x Series.

Dispositivos aplicáveis

• RV34x Series

Versão de software

• 1.0.1.16

Configurar o perfil IPSec

Crie um perfil IPSec

Etapa 1. Entre à utilidade com base na Web do roteador e escolha VPN > perfis IPSec.

Etapa 2. A tabela dos perfis IPSec mostra os perfis existentes. O clique adiciona para criar um perfil novo.

Etapa 3. Crie um nome para o perfil no campo de nome de perfil. O nome de perfil deve conter somente caráteres alfanuméricos e um relevo (_) para caracteres especiais.

Nota: Neste exemplo, IPSec_VPN é usado como o nome do perfil IPSec.

Etapa 4. Clique um botão de rádio para determinar o método que das trocas de chave o perfil se usará para autenticar. As opções são:

• Auto — Os parâmetros da política são ajustados automaticamente. Esta opção usa uma política do Internet Key Exchange (IKE) para trocas da integridade de dados e da chave de criptografia. Se isto é escolhido, os ajustes de configuração sob a auto área de parâmetros da política estão permitidos. Clique aqui para configurar as configurações automáticas.
• Manual — Esta opção permite que você configure manualmente as chaves para a criptografia de dados e a integridade para o túnel do Virtual Private Network (VPN). Se isto é escolhido, os ajustes de configuração sob a área de parâmetros manual da política estão permitidos. Clique aqui para configurar os ajustes manuais.

Nota: Para este exemplo, o automóvel foi escolhido.

Configurar as configurações automáticas

Etapa1. Na área das opções da fase 1, escolha o grupo apropriado do Diffie-Hellman (DH) a ser usado com a chave na fase 1 da lista de drop-down do grupo DH. Diffie-Hellman é um protocolo de intercâmbio da chave criptográfica que seja usado na conexão para trocar grupos da chave pré-compartilhada. A força do algoritmo é determinada por bit. As opções são:

• O grupo2 - 1024 mordidos — computa o mais lento chave, mas é mais seguro do que o grupo1.
• Group5 - 1536-bit — computa a chave o mais lento, mas é o mais seguro.

Nota: Neste exemplo, o bit Group2-1024 é escolhido.

Etapa 2. Da lista de drop-down da criptografia, escolha o método de criptografia apropriado cifrar e decifrar o Encapsulating Security Payload (ESP) e o Internet Security Association and Key Management Protocol (ISAKMP). As opções são:

• 3DES — Triple Data Encryption Standard.
• AES-128 — O Advanced Encryption Standard usa uma chave do 128-bit.
• AES-192 — O Advanced Encryption Standard usa uma chave do 192-bit.
• AES-256 — O Advanced Encryption Standard usa uma chave do 256-bit.

Nota: O AES é o método padrão da criptografia sobre o DES e o 3DES para seus maiores desempenho e Segurança. Alongar a chave AES aumentará a Segurança com um desempenho da reunião informal. Para este exemplo, o AES-256 é escolhido.

Etapa 3. Do menu suspenso da autenticação, escolha um método de autenticação que determine como o ESP e o ISAKMP são autenticados. As opções são:

• MD5 — O algoritmo de message digest tem um valor de hash do 128-bit.
• SHA-1 — O algoritmo de mistura segura tem um valor de hash do 160-bit.
• SHA2-256 — Algoritmo de mistura segura com um valor de hash do 256-bit.

Nota: O MD5 e o SHA são ambas as funções de mistura criptograficamente. Tomam uma parte de dados, comprimem-na, e criam-nos uma saída hexadecimal original que não seja tipicamente reprodutível. Neste exemplo, SHA2-256 é escolhido.

Etapa 4. No campo da vida SA, incorpore um valor que varia entre 120 a 86400. Este é o intervalo de tempo que a associação de segurança do Internet Key Exchange (IKE) (SA) permanecerá ativa nesta fase. O valor padrão é 28800.

Nota: Neste exemplo, 28801 é usado.

Verificação (opcional) de etapa 5. a caixa de verificação do discrição perfeita adiante da possibilidade para gerar uma chave nova para a criptografia e a autenticação do tráfego de IPSec.

Etapa 6. Do menu suspenso da seleção de protocolo na área das opções da fase II, escolha um tipo de protocolo aplicar-se à segunda fase da negociação. As opções são:

• ESP — Se isto é escolhido, salte para pisar 7 para escolher um método de criptografia em como os pacotes ESP serão cifrados e decifrados. Um protocolo de segurança que forneça serviços da privacidade de dados e a autenticação de dados opcional, e a anti-repetição prestam serviços de manutenção. O ESP encapsula os dados a ser protegidos.
• AH — O Authentication Header (AH) é um protocolo de segurança que proporcione a autenticação de dados e serviços opcionais da anti-repetição. O AH é encaixado nos dados a ser protegidos (um IP datagram completo). Salte a etapa 8 se isto foi escolhido.

Passo 7. Se o ESP foi escolhido na etapa 6, escolha o método de criptografia apropriado cifrar e decifrar o ESP e o ISAKMP da lista de drop-down da criptografia. As opções são:

• 3DES — Triple Data Encryption Standard.
• AES-128 — O Advanced Encryption Standard usa uma chave do 128-bit.
• AES-192 — O Advanced Encryption Standard usa uma chave do 192-bit.
• AES-256 — O Advanced Encryption Standard usa uma chave do 256-bit.

Nota: Neste exemplo, o AES-256 é escolhido.

Etapa 8. Do menu suspenso da autenticação, escolha um método de autenticação que determine como o ESP e o ISAKMP são autenticados. As opções são:

• MD5 — O algoritmo de message digest tem um valor de hash do 128-bit.
• SHA-1 — O algoritmo de mistura segura tem um valor de hash do 160-bit.
• SHA2-256 — Algoritmo de mistura segura com um valor de hash do 256-bit.

Nota: Neste exemplo, SHA2-256 é usado.

Etapa 9. No campo da vida SA, incorpore um valor que varia entre 120 a 28800. Este é o intervalo de tempo que IKE SA permanecerá ativo nesta fase. O valor padrão é 3600.

Nota: Neste exemplo, 28799 são usados.

Etapa 10. Da lista de drop-down do grupo DH, escolha o grupo apropriado do Diffie-Hellman (DH) a ser usado com a chave na fase 2. As opções são:

• O grupo2 – 1024 mordidos — computa o mais lento chave, mas é mais seguro do que o grupo1.
• Group5 – 1536 mordidos — computa a chave o mais lento, mas é o mais seguro.

Nota: Neste exemplo, Group5 – o bit 1536 é escolhido.

Etapa 11. Clique .

Nota: Você será tomado de volta à tabela dos perfis IPSec e o perfil IPSec recém-criado deve agora aparecer.

Etapa 12. (Opcional) para salvar permanentemente a configuração, vá à página de configuração da cópia/salvaguarda ou clique o ícone na parcela superior da página.

Você deve agora com sucesso ter configurado um auto perfil IPSec em um roteador do RV34x Series.

Configurar os ajustes manuais

Etapa1. No campo SPI-entrante, entre em um número hexadecimal que varia de 100 a FFFFFFF para a etiqueta do Security Parameter Index (SPI) para o tráfego de entrada na conexão de VPN. A etiqueta SPI é usada para distinguir o tráfego de uma sessão do tráfego de outras sessões.

Nota: Para este exemplo, 0xABCD é usado.

Etapa 2. No campo SPI-que parte, entre em um número hexadecimal que varia de 100 a FFFFFFF para a etiqueta SPI para o tráfego de saída na conexão de VPN.

Nota: Para este exemplo, 0x1234 é usado.

Etapa 3. Escolha uma opção da lista de drop-down da criptografia. As opções são 3DES, AES-128, AES-192, e AES-256.

Nota: Neste exemplo, o AES-256 é escolhido.

Etapa 4. No Chave-no campo, incorpore uma chave para a política de entrada. O comprimento chave depende do algoritmo escolhido em etapa 3.

• O 3DES usa uma chave 48-character.
• O AES-128 usa uma chave 32-character.
• O AES-192 usa uma chave 48-character.
• O AES-256 usa uma chave 64-character.

Nota: Neste exemplo, 123456789123456789123… são usados.

Etapa 5. No campo da chave-Para fora, incorpore uma chave para a política que parte. O comprimento chave depende do algoritmo escolhido em etapa 3.

Nota: Neste exemplo, 1a1a1a1a1a1a1a121212… é usado.

Etapa 6. Escolha uma opção da lista de drop-down manual do algoritmo da integridade.

• MD5 — Usa um valor de hash do 128-bit para a integridade de dados. O MD5 é menos seguro mas mais rapidamente do que o SHA-1 e o SHA2-256.
• SHA-1 — Usa um valor de hash do 160-bit para a integridade de dados. O SHA-1 é mais lento mas mais seguro do que o MD5, e o SHA-1 é mais rápido mas fixa-se menos do que SHA2-256.
• SHA2-256 — Usa um valor de hash do 256-bit para a integridade de dados. SHA2-256 é mais lento mas fixa-se do que o MD5 e o SHA-1.

Nota: Neste exemplo, o MD5 é escolhido.

Passo 7. No Chave-no campo, incorpore uma chave para a política de entrada. O comprimento chave depende do algoritmo escolhido na etapa 6.

• O MD5 usa uma chave 32-character.
• O SHA-1 usa uma chave 40-character.
• SHA2-256 usa uma chave 64-character.

Nota: Neste exemplo, 123456789123456789123… são usados.

Etapa 8. No campo da chave-Para fora, incorpore uma chave para a política que parte. O comprimento chave depende do algoritmo escolhido na etapa 6.

Nota: Neste exemplo, 1a1a1a1a1a1a1a121212… é usado.

Etapa 9. Clique .

Nota: Você será tomado de volta à tabela dos perfis IPSec e o perfil IPSec recém-criado deve agora aparecer.

Etapa 10. (opcional) para salvar permanentemente a configuração, vai à página de configuração da cópia/salvaguarda ou clica o ícone na parcela superior da página.

Você deve agora com sucesso ter configurado um perfil IPSec manual em um roteador do RV34x Series.