Objetivo
O objetivo deste documento é mostrar como configurar o perfil IPsec com IKEv2 em roteadores da série RV34x.
Introduction
A versão 1.0.02.16 do firmware para roteadores da série RV34x agora oferece suporte ao Internet Key Exchange Version 2 (IKEv2) para VPN site a site e VPN cliente a site. O IKE é um protocolo híbrido que implementa a troca de chaves Oakley e a troca de chaves Skeme dentro da estrutura ISAKMP (Internet Security Association and Key Management Protocol). O IKE fornece autenticação dos peers IPsec, negocia chaves IPsec e negocia associações de segurança IPsec.
O IKEv2 ainda utiliza a porta UDP 500, mas há algumas alterações a serem observadas. A detecção de peer morto (DPD) é gerenciada de forma diferente e agora está integrada. A negociação de associação de segurança (SA) é minimizada em até 4 mensagens. Esta nova atualização também suporta a autenticação EAP (Extensible Authentication Protocol) que agora pode utilizar um servidor AAA e proteção de negação de serviço.
A tabela a seguir ilustra as diferenças entre IKEv1 e IKEv2
IKEv1 |
IKEv2 |
Negociação SA de duas fases (Modo principal vs Modo agressivo) |
Negociação SA de fase única (simplificado) |
|
Suporte a certificado local/remoto |
|
Melhor tratamento de colisões |
|
Mecanismos de rechaveamento aprimorados |
|
NAT transversal interno |
|
Suporte EAP para servidores AAA |
O IPsec garante a comunicação privada segura pela Internet. Ele oferece a dois ou mais hosts privacidade, integridade e autenticidade para a transmissão de informações confidenciais pela Internet. O IPsec é comumente usado em uma VPN (Virtual Private Network) e é implementado na camada IP, o que ajuda a adicionar segurança a muitos aplicativos não seguros. Uma VPN é usada para fornecer um mecanismo de comunicação segura para dados confidenciais e informações IP que são transmitidas por uma rede não segura, como a Internet. Ele também oferece uma solução flexível para usuários remotos e para a organização para proteger qualquer informação confidencial de outras partes na mesma rede.
Para que as duas extremidades de um túnel VPN sejam criptografadas e estabelecidas com êxito, ambas precisam concordar com os métodos de criptografia, descriptografia e autenticação. Um perfil de IPsec é a configuração central em IPsec que define os algoritmos como criptografia, autenticação e grupo Diffie-Hellman (DH) para a negociação de Fase I e II no modo automático e também no modo de chaveamento manual. A Fase I estabelece as chaves pré-compartilhadas para criar uma comunicação autenticada segura. A fase II é onde o tráfego é criptografado. Você pode configurar a maioria dos parâmetros de IPsec como protocolo (ESP), cabeçalho de autenticação (AH), modo (túnel, transporte), algoritmos (criptografia, integridade, Diffie-Hellman), segredo de encaminhamento perfeito (PFS), vida útil da SA e protocolo de gerenciamento de chave (IKE - Internet Key Exchange) - IKEv1 e IKEv2).
Informações adicionais sobre a tecnologia Cisco IPsec podem ser encontradas neste link: Introdução à tecnologia Cisco IPSec.
É importante observar que quando você está configurando a VPN site a site, o roteador remoto exige a mesma configuração de perfil IPsec do roteador local.
Abaixo está uma tabela da configuração do roteador local e do roteador remoto. Neste documento, configuraremos o roteador local usando o Roteador A.
Campos |
Roteador local (Roteador A) |
Roteador remoto (Roteador B) |
Nome do perfil |
Escritório doméstico |
EscritórioRemoto |
Modo de chave |
Auto |
Auto |
Versão IKE |
IKEv2 |
IKEv2 |
Opções da Fase I |
Opções da Fase I |
Opções da Fase I |
Grupo DH |
Grupo2 - 1024 bits |
Grupo2 - 1024 bits |
Criptografia |
AES-192 |
AES-192 |
Autenticação |
SHA2-256 |
SHA2-256 |
Vida útil SA |
28800 |
28800 |
Opções da Fase II |
Opções da Fase II |
Opções da Fase II |
Seleção de protocolo |
ESP |
ESP |
Criptografia |
AES-192 |
AES-192 |
Autenticação |
SHA2-256 |
SHA2-256 |
Vida útil SA |
3600 |
3600 |
Segredo de encaminhamento perfeito |
Habilitado |
Habilitado |
Grupo DH |
Grupo2 - 1024 bits |
Grupo2 - 1024 bits |
Para saber como configurar a VPN site a site no RV34x, clique no link: Configuração de VPN site a site no RV34x.
Dispositivos aplicáveis
. RV34x
Versão de software
·1.0.02.16
Configurando o perfil IPsec com IKEv2
Etapa 1. Faça login na página de configuração da Web do roteador local (Roteador A).
Etapa 2. Navegue até VPN > IPSec Profiles.
Etapa 3. Na tabela Perfis IPSec, clique em Adicionar para criar um novo perfil IPsec. Também há opções para editar, excluir ou clonar um perfil. A clonagem de um perfil permite duplicar rapidamente um perfil que já existe na Tabela de Perfis IPsec. Se você precisar criar vários perfis com a mesma configuração, a clonagem economizará algum tempo.
Etapa 4. Insira um nome de perfil e selecione o modo de chaveamento (Automático ou Manual). O nome do perfil não precisa ser compatível com o outro roteador, mas o modo de chaveamento precisa ser compatível.
O HomeOffice é inserido como o Nome do perfil.
Auto está selecionado para o modo de chave.
Etapa 5. Escolha IKEv1 ou IKEv2 como sua versão IKE. IKE é um protocolo híbrido que implementa a troca de chaves Oakley e a troca de chaves Skeme dentro da estrutura ISAKMP. Oakley e Skeme definem como derivar material de chave autenticado, mas o Skeme também inclui atualização rápida de chave. O IKEv2 é mais eficiente porque requer menos pacotes para fazer as trocas de chaves e suporta mais opções de autenticação, enquanto o IKEv1 só faz autenticação baseada em certificado e chave compartilhada.
Neste exemplo, IKEv2 foi selecionado como nossa versão IKE.
Note: Se seus dispositivos suportam IKEv2, é recomendável usar IKEv2. Se seus dispositivos não suportam IKEv2, use IKEv1.
Etapa 6. A Fase I configura e troca as chaves que você usará para criptografar dados na fase II. Na seção Fase I, selecione um grupo DH. DH é um protocolo chave de troca, com dois grupos de diferentes comprimentos de chave primária, Grupo 2 - 1024 bits e Grupo 5 - 1536 bits.
Grupo 2 - 1024 bits foi selecionado para esta demonstração.
Note: Para obter velocidade mais rápida e segurança mais baixa, escolha Grupo 2. Para velocidade mais lenta e segurança mais alta, escolha Grupo 5. O grupo 2 está selecionado como padrão.
Passo 7. Selecione uma opção de criptografia (3DS, AES-128, AES-192 ou AES-256) na lista suspensa. Este método determina o algoritmo usado para criptografar e descriptografar pacotes ESP/ISAKMP. O Triple Data Encryption Standard (3DES) usa a criptografia DES três vezes, mas agora é um algoritmo herdado e deve ser usado somente quando não há outras alternativas, já que ele ainda fornece um nível de segurança marginal, mas aceitável. Os usuários só devem usá-lo se for necessário para compatibilidade com versões anteriores, pois ele é vulnerável a alguns ataques de "colisão de bloqueio". O Advanced Encryption Standard (AES) é um algoritmo criptográfico projetado para ser mais seguro que o DES. O AES usa um tamanho de chave maior que garante que a única abordagem conhecida para descriptografar uma mensagem é que um invasor tente todas as chaves possíveis. É recomendável usar AES se o dispositivo puder suportá-lo.
Neste exemplo, selecionamos AES-192 como nossa opção de criptografia.
Note: Clique nos hiperlinks para obter informações adicionais sobre Configuração de Segurança para VPNs com IPsec ou Criptografia de Próxima Geração.
Etapa 8. O método de autenticação determina como os pacotes de cabeçalho ESP são validados. Esse é o algoritmo hash usado na autenticação para validar que o lado A e o lado B realmente são quem dizem ser. O MD5 é um algoritmo de hash unidirecional que produz um resumo de 128 bits e é mais rápido que o SHA1. O SHA1 é um algoritmo de hash unidirecional que produz um resumo de 160 bits, enquanto o SHA2-256 produz um resumo de 256 bits. SHA2-256 é recomendado porque é mais seguro. Certifique-se de que ambas as extremidades do túnel VPN usem o mesmo método de autenticação. Selecione uma autenticação (MD5, SHA1 ou SHA2-256).
SHA2-256 foi selecionado para este exemplo.
Etapa 9. O SA Lifetime (Sec) informa a quantidade de tempo que um SA IKE está ativo nesta fase. Quando o SA expira após a respectiva vida útil, uma nova negociação começa para um novo. O intervalo é de 120 a 86400 e o padrão é 28800.
Usaremos o valor padrão de 28800 segundos como nosso SA Lifetime para a Fase I.
Note: Recomenda-se que a sua SA Lifetime na Fase I seja mais longa que a sua SA Lifetime de Fase II. Se você tornar sua Fase I mais curta que a Fase II, então terá que renegociar o túnel para frente e para trás frequentemente ao contrário do túnel de dados. O túnel de dados é o que precisa de mais segurança, então é melhor ter a vida na Fase II para ser mais curta que na Fase I.
Etapa 10. A fase II é onde você criptografa os dados que estão sendo passados para frente e para trás. Nas Opções da Fase 2, selecione um protocolo na lista suspensa:
· ESP (Encapsulating Security Payload) - Selecione ESP para criptografia de dados e insira a criptografia.
· AH (Authentication Header, cabeçalho de autenticação) - Selecione para integridade de dados em situações em que os dados não são secretos, ou seja, não são criptografados, mas devem ser autenticados. Ele é usado somente para validar a origem e o destino do tráfego.
Neste exemplo, usaremos o ESP como nossa Seleção de Protocolo.
Etapa 11. Selecione uma opção de criptografia (3DES, AES-128, AES-192 ou AES-256) na lista suspensa. Esse método determina o algoritmo usado para criptografar e descriptografar pacotes ESP/ISAKMP.
Neste exemplo, usaremos AES-192 como nossa opção de criptografia.
Note: Clique nos hiperlinks para obter informações adicionais sobre Configuração de Segurança para VPNs com IPsec ou Criptografia de Próxima Geração.
Etapa 12. O método de autenticação determina como os pacotes de cabeçalho do protocolo de payload de segurança de encapsulamento (ESP - Encapsulating Security Payload Protocol) são validados. Selecione uma autenticação (MD5, SHA1 ou SHA2-256).
SHA2-256 foi selecionado para este exemplo.
Etapa 13. Digite o tempo que um túnel VPN (IPsec SA) está ativo nesta fase. O valor padrão para a Fase 2 é 3600 segundos. Usaremos o valor padrão para esta demonstração.
Etapa 14. Marque Habilitar para habilitar o segredo de encaminhamento perfeito. Quando o Perfect Forward Secret (PFS) está ativado, a negociação de IKE Fase 2 gera um novo material chave para a criptografia e autenticação do tráfego IPsec. O PFS é usado para melhorar a segurança das comunicações transmitidas pela Internet usando criptografia de chave pública. Isso é recomendado se o dispositivo puder suportá-lo.
Etapa 15. Selecione um Grupo Diffie-Hellman (DH). DH é um protocolo chave de troca, com dois grupos de diferentes comprimentos de chave primitiva, Grupo 2 - 1024 bits e Grupo 5 - 1536 bits. Selecionamos o Grupo 2 - 1024 bits para esta demonstração.
Note: Para obter velocidade mais rápida e segurança mais baixa, escolha Grupo 2. Para velocidade mais lenta e segurança mais alta, escolha Grupo 5. O grupo 2 é selecionado por padrão.
Etapa 16. Clique em Apply para adicionar um novo perfil IPsec.
Etapa 17. Depois de clicar em Aplicar, o novo perfil IPsec deve ser adicionado.
Etapa 18. Na parte superior da página, clique no ícone Salvar para navegar até o Gerenciamento de configuração para salvar sua configuração atual na configuração de inicialização. Isso serve para manter a configuração entre as reinicializações.
Etapa 19. No Gerenciamento de configuração, verifique se a fonte está executando a configuração e se o destino está na configuração de inicialização. Em seguida, pressione Apply para salvar sua configuração atual na configuração de inicialização. Todas as configurações que o roteador está usando no momento estão no arquivo Running Configuration, que é volátil e não é retido entre as reinicializações. Copiar o arquivo de configuração atual para o arquivo de configuração de inicialização manterá toda a configuração entre as reinicializações.
Etapa 20. Siga todas as etapas novamente para configurar o Roteador B.
Conclusão
Agora você deve ter criado com êxito um novo perfil IPsec usando IKEv2 como sua versão IKE para ambos os roteadores. Você está pronto para configurar uma VPN site a site.