¿Qué versión de IKE debo seleccionar al crear una conexión de VPN?
Huawei Cloud recomienda IKEv2 para la negociación porque IKEv1 no es seguro. Además, IKEv2 funciona mejor que IKEv1 en términos de negociación y establecimiento de conexión, métodos de autenticación, tiempo de espera de DPD y tiempo de espera de SA.
Huawei Cloud no será compatible con IKEv1 pronto.
Introducción a IKEv1 e IKEv2
- La complejidad de IKEV1, un protocolo híbrido, trae inevitablemente algunos defectos de seguridad y rendimiento. Esto se ha convertido en el cuello de botella para el sistema IPsec actual.
- El protocolo IKEv2 reserva las funciones básicas de IKEv1 y supera algunos problemas traídos por IKEv1. Además, por simplicidad, eficiencia, seguridad y robustez, RFC 4306, un documento describe la versión 2 de IKE, combina el contenido de lo que eran documentos IKEv1 previamente separados. Al minimizar las funciones principales y los algoritmos de contraseña predeterminados, IKEv2 mejora en gran medida la capacidad de interoperación entre diferentes VPN IPsec.
Vulnerabilidades de seguridad de IKEv1
- Los algoritmos criptográficos soportados por IKEv1 no se han actualizado durante más de 10 años. Además, IKEv1 no admite algoritmos criptográficos fuertes como AES-GCM y ChaCha20-Poly1305. Para IKEv1, el bit E (Encryption) en la cabecera ISALMP especifica que las cargas útiles que siguen a la cabecera ISALMP están cifradas, pero cualquier verificación de integridad de datos de esas cargas útiles es manejada por una carga útil hash separada. Esta separación de la encriptación de la protección de la integridad de los datos impide el uso de encriptación autenticada (AES-GCM) con IKEv1.
- El protocolo IKEv1 es vulnerable a ataques de amplificación DoS. IKEv1 es vulnerable a conexiones semiabiertas.
- El modo agresivo IKEv1 no es lo suficientemente seguro. En modo agresivo, los paquetes de información no están cifrados. También hay ataques de fuerza bruta dirigidos al modo agresivo, como los ataque de intermediario.
Diferencias entre IKEv1 e IKEv2
- Proceso de negociación
- La negociación IKEv1 SA consta de dos fases. IKEv1 es complejo y ocupa una gran cantidad de ancho de banda. La negociación IKEv1 fase 1 tiene como objetivo establecer la IKE SA. Este proceso soporta el modo principal y el modo agresivo. El modo principal utiliza seis mensajes ISAKMP para establecer el IKE SA, pero el modo agresivo utiliza solo tres. Por lo tanto, el modo agresivo es más rápido en el establecimiento de IKE SA. Sin embargo, el modo agresivo no proporciona protección de identidad de pares porque el intercambio de claves y la autenticación de identidad se realizan al mismo tiempo. La negociación de la fase 2 de IKEv1 tiene como objetivo establecer la SA IPsec para la transmisión de datos. Este proceso utiliza el modo de intercambio rápido (3 mensajes de ISAKMP) para completar la negociación.
- En comparación con IKEv1, IKEv2 simplifica el proceso de negociación de SA. IKEv2 utiliza dos intercambios (un total de 4 mensajes) para crear una SA IKE y un par de SA IPsec. Para crear varios pares de SA IPsec, solo se necesita un intercambio adicional para cada par adicional de SA.
Para la negociación IKEv1, su modo principal requiere nueve (6+3) paquetes en total y su modo agresivo requiere 6 (3+3) paquetes. La negociación IKEv2 requiere solo 4 (2+2) paquetes.
- Métodos de autenticación
- Solo IKEv1 (que requiere una tarjeta de encriptación) admite la autenticación de envolvente digital (HSS-DE).
- IKEv2 admite la autenticación del Extensible Authentication Protocol (EAP). IKEv2 puede utilizar un servidor AAA para autenticar remotamente a los usuarios móviles y de PC y asignar direcciones IP privadas a estos usuarios. IKEv1 no proporciona esta función y debe usar L2TP para asignar direcciones IP privadas.
- Solo IKEv2 admite algoritmos de integridad de IKE SA.
- Timeout de DPD
- Solo IKEv1 admite el parámetro retry-interval. Si un dispositivo envía un paquete DPD pero no recibe respuesta dentro del intervalo de reintento especificado, el dispositivo registra un evento de fallo DPD. Cuando el número de eventos de error alcanza cinco, se eliminan tanto el SA IKE como el SA IPsec. La negociación IKE SA se iniciará de nuevo cuando el dispositivo tenga tráfico IPsec para manejar.
- En el modo IKEv2, el intervalo de retransmisión aumenta de 1, 2, 4, 8, 16, 32 a 64 segundos. Si no se recibe ninguna respuesta dentro de ocho transmisiones consecutivas, el extremo par se considera muerto, y el SA IKE y el SA IPsec se eliminarán.
- Procesamiento del tiempo de espera de IKE SA y del tiempo de espera de IPsec SA
En IKEv2, la vida útil suave de IKE SA es 9/10 de la vida útil dura de IKE SA más o menos un valor aleatorio para reducir la probabilidad de que dos extremos inicien la renegociación al mismo tiempo. Por lo tanto, la vida útil suave no requiere ajustes manuales en IKEv2.
Ventajas de IKEv2 sobre IKEv1
- Proceso de negociación de SA simplificado y mayor eficiencia de negociación.
- Se han cerrado muchas lagunas criptográficas, mejorando la seguridad.
- Admite la autenticación de EAP, lo que mejora la flexibilidad y la escalabilidad de la autenticación.
- EAP es un protocolo de autenticación que admite múltiples métodos de autenticación. La mayor ventaja de EAP es la escalabilidad. Es decir, se pueden agregar nuevos modos de autenticación sin cambiar el sistema de autenticación original. La autenticación EAP ha sido ampliamente utilizada en redes de acceso telefónico.
- IKEv2 emplea una carga útil cifrada que se basa en el diseño de ESP. La carga útil cifrada IKEv2 asocia la encriptación y la protección de la integridad de los datos de una manera que permite utilizar los algoritmos de encriptación autenticados. AES-GCM garantiza la confidencialidad, integridad y autenticación.
Consulta sobre productos Preguntas frecuentes
- ¿Cuáles son los escenarios típicos de IPsec VPN?
- ¿Qué son una VPC, un gateway de VPN y una conexión de VPN?
- ¿Cuáles son las relaciones entre una VPC, un gateway de VPN y una conexión de VPN?
- ¿Qué es una conexión de VPN? ¿Cómo configuro el número de conexiones de VPN al comprar un gateway de VPN?
- ¿Qué es un gateway remoto y una subred remota en una conexión de VPN?
- ¿Cómo planifico el bloque CIDR de una VPC a la que se accede por una conexión de VPN?
- ¿Se establecerá automáticamente una conexión de VPN IPsec?
- ¿Cuáles son las categorías de los tickets de servicio de VPN? ¿Cómo puedo crear un ticket de servicio de VPN?
- ¿Qué son los parámetros de negociación de VPN? ¿Cuáles son sus valores predeterminados?
- ¿Qué dispositivos se pueden conectar a Huawei Cloud por una VPN?
- ¿Se requiere un nombre de usuario y contraseña para crear una conexión de VPN IPsec?
- ¿Cómo permito que servidores específicos accedan a una subred de VPC por una conexión de VPN creada?
- ¿Qué recursos de VPN se pueden monitorear?
- ¿Se puede usar una EIP como una dirección IP de gateway de VPN?
- ¿Necesito comprar las EIP para servidores que se comunican entre sí a través de una VPN?
- ¿Se admiten las VPN SSL?
- ¿Cuánto tiempo toma para que las configuraciones de VPN entregadas surtan efecto?
- ¿Qué debo hacer si no puedo crear conexiones para un gateway de VPN que no tiene información de ancho de banda?
- ¿Huawei Cloud VPN admite direcciones de IPv6?
- ¿Cómo puedo determinar el tamaño del ancho de banda de mi VPN?
- ¿Una conexión de VPN es compatible con algoritmos de encriptación chinos?
- ¿Qué versión de IKE debo seleccionar al crear una conexión de VPN?
- ¿Cuáles son los bits de los grupos DH utilizados por Huawei Cloud VPN?
- ¿Puedo visitar sitios web internacionales con una VPN?
- ¿Puedo desplegar aplicaciones en la nube, bases de datos en un centro de datos local y luego conectarlas por una VPN?
- ¿Cuáles son las diferencias entre los escenarios de la aplicación y los modos de conexión de IPsec y SSL VPNs?
- ¿Qué me cobrarán por crear una VPN? ¿Se me cobrará por las direcciones IP de gateway de VPN?
- ¿Cuál es la diferencia entre la facturación de un gateway de VPN por ancho de banda y por tráfico?
- ¿Puede una VPN facturada por tráfico usar un paquete de datos compartidos?
- ¿Se puede retener una dirección IP de gateway de VPN después de que se elimine el gateway de VPN?
- ¿Necesito comprar las EIP para servidores que se comunican entre sí a través de una VPN?
- ¿Dónde puedo agregar rutas en la consola de VPN para llegar a las subredes remotas?
- ¿Se me notificará si se interrumpe una conexión de VPN?
- ¿Qué puedo hacer si la configuración de la conexión de VPN falla?
- ¿Qué dirección del ancho de banda es limitado y cuál es la unidad del ancho de banda?
Comentarios
¿Le pareció útil esta página?
Deje algún comentariomore