Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda>
Virtual Private Network>
Preguntas frecuentes>
Operaciones en la consola>
¿Qué versión de IKE debo seleccionar al crear una conexión de VPN?
Actualización más reciente 2023-11-13 GMT+08:00
¿Qué versión de IKE debo seleccionar al crear una conexión de VPN?
Huawei Cloud recomienda IKEv2 porque IKEv1 no es seguro. Además, IKEv2 supera a IKEv1 en negociación y establecimiento de conexiones, métodos de autenticación, procesamiento de tiempo de espera de detección de pares muertos (DPD) y procesamiento de tiempo de espera de asociación de seguridad (SA).
Huawei Cloud no será compatible con IKEv1 pronto.
Introducción a IKEv1 e IKEv2
- Como protocolo híbrido, IKEv1 trae algunos defectos de seguridad y rendimiento debido a su complejidad. Como tal, se ha convertido en un cuello de botella en el sistema IPsec.
- IKEv2 resuelve los problemas de IKEv1 mientras conserva las funciones básicas de IKEv1. IKEv2 es más simplificado, eficiente, seguro y robusto que IKEv1. Adicionalmente, IKEv2 se define por RFC 4306 en un único documento, mientras que IKEv1 se definen en múltiples documentos. Al minimizar las funciones principales y los algoritmos de contraseña predeterminados, IKEv2 mejora en gran medida la interoperabilidad entre diferentes VPN IPsec.
Riesgos de seguridad de IKEv1
- Los algoritmos criptográficos soportados por IKEv1 no se han actualizado durante más de 10 años. Además, IKEv1 no admite algoritmos criptográficos fuertes como AES-GCM y ChaCha20-Poly1305. Para IKEv1, el bit E (Encryption) en la cabecera ISALMP especifica que las cargas útiles que siguen a la cabecera ISALMP están cifradas, pero cualquier verificación de integridad de datos de esas cargas útiles es manejada por una carga útil hash separada. Esta separación de la encriptación de la protección de la integridad de los datos impide el uso de encriptación autenticada (AES-GCM) con IKEv1.
- IKEv1 es vulnerable a ataques de amplificación DoS y ataques de conexión semiabierta. Después de responder a paquetes falsificados, el respondedor mantiene relaciones iniciador-respondedor, consumiendo un gran número de recursos del sistema.
- El modo agresivo de IKEv1 no es seguro. En este modo, los paquetes de información no están cifrados, lo que plantea riesgos de fuga de información. También hay ataques de fuerza bruta dirigidos al modo agresivo, como los ataque de intermediario.
Diferencias entre IKEv1 e IKEv2
- Proceso de negociación
- IKEv1 es complejo y consume una gran cantidad de ancho de banda. La negociación IKEv1 SA consta de dos fases. En IKEv1 fase 1, se establece un IKE SA en modo principal o modo agresivo. El modo principal requiere tres intercambios entre pares que suman seis mensajes ISAKMP, mientras que el modo agresivo requiere dos intercambios que suman tres mensajes ISAKMP. El modo agresivo es más rápido, pero no proporciona protección de identidad para los pares, ya que el intercambio de claves y la autenticación de identidad se realizan simultáneamente. En IKEv1 fase 2, las SA IPsec se establecen con tres mensajes ISAKMP en modo rápido.
- En comparación con IKEv1, IKEv2 simplifica el proceso de negociación de SA. IKEv2 requiere solamente dos intercambios, totalizando cuatro mensajes, para establecer una SA IKE y un par de SA IPsec. Para crear varios pares de SA IPsec, solo se necesita un intercambio adicional para cada par adicional de SA.
Para la negociación IKEv1, su modo principal implica nueve (6+3) mensajes, y su modo agresivo implica seis (3+3) mensajes. Por el contrario, la negociación IKEv2 requiere solamente cuatro (2+2) mensajes.
- Métodos de autenticación
- Solo IKEv1 (que requiere una tarjeta de encriptación) admite la autenticación de envolvente digital (HSS-DE).
- IKEv2 admite la autenticación del Extensible Authentication Protocol (EAP). IKEv2 puede utilizar un servidor AAA para autenticar remotamente a los usuarios móviles y de PC y asignar direcciones IP privadas a estos usuarios. IKEv1 no proporciona esta función y debe usar L2TP para asignar direcciones IP privadas.
- Solo IKEv2 admite algoritmos de integridad de IKE SA.
- Procesamiento de tiempo de espera de DPD
- Solo IKEv1 admite el parámetro retry-interval. Si un dispositivo envía un paquete DPD pero no recibe respuesta dentro del intervalo de reintento especificado, el dispositivo registra un evento de fallo de DPD. Cuando el número de eventos de error de DPD llega a 5, se eliminan tanto las SA IKE como las SA IPsec. La negociación IKE SA se iniciará de nuevo solo cuando haya tráfico que se transmita a través del túnel IPsec.
- En IKEv2, el intervalo de retransmisión aumenta de 1, 2, 4, 8, 16, 32 a 64, en segundos. Si no se recibe respuesta dentro de ocho transmisiones consecutivas, el extremo par se considera muerto, y se eliminan las SA IKE y las SA IPsec.
- Procesamiento del tiempo de espera de IKE SA y del tiempo de espera de IPsec SA
En IKEv2, la vida útil suave de IKE SA es 9/10 de la vida útil dura de IKE SA más o menos un número aleatorio. Esto reduce la probabilidad de que dos extremos inicien la renegociación simultáneamente. Por lo tanto, no se establece manualmente la vida útil de software en IKEv2.
Ventajas de IKEv2 sobre IKEv1
- Simplifica el proceso de negociación de SA, mejorando la eficiencia.
- Corrige muchas vulnerabilidades de seguridad criptográfica, mejorando la seguridad.
- Admite la autenticación de EAP, lo que mejora la flexibilidad y la escalabilidad de la autenticación.
- EAP es un protocolo de autenticación que admite múltiples métodos de autenticación. La mayor ventaja de EAP es su escalabilidad. Es decir, se pueden agregar nuevos métodos de autenticación sin cambiar el sistema de autenticación original. La autenticación EAP ha sido ampliamente utilizada en redes de acceso telefónico.
- Emplea una carga útil cifrada sobre la base de ESP. Esta carga útil contiene tanto un algoritmo de encriptación como un algoritmo de integridad de datos. AES-GCM garantiza la confidencialidad, integridad y autenticación, y funciona bien con IKEv2.
Tema principal: Operaciones en la consola
Operaciones en la consola Preguntas frecuentes
- ¿Cuáles son las relaciones entre una VPC, un gateway de VPN y una conexión de VPN?
- ¿Cuánto tiempo toma para que las configuraciones de VPN entregadas surtan efecto?
- ¿Por qué una conexión de VPN siempre está en estado no conectado después de completar su configuración?
- ¿Se puede retener la EIP de un gateway de VPN después de que se elimine el gateway de VPN?
- ¿Qué información sobre una VPN creada se puede modificar y qué información no se puede modificar?
- ¿Necesito configurar las reglas de ACL en la consola de gestión de Huawei Cloud después de configurar las reglas de ACL en el dispositivo de gateway local?
- ¿Qué hago si ocurre una excepción cuando agrego una subred de cliente durante la creación de una conexión de VPN?
- ¿Dónde puedo configurar las rutas a las subredes del cliente en la consola de VPN?
- ¿Puedo invocar a las API para gestionar los recursos de Huawei Cloud VPN?
- ¿Qué son un gateway de cliente y una subred de cliente en una conexión de VPN?
- ¿Cómo desactivo PFS al crear una conexión de VPN?
- ¿Cuántas subredes locales y de clientes puedo agregar a una VPN?
- ¿Cuáles son las precauciones para configurar las subredes locales y de cliente para una conexión de VPN?
- ¿Por qué una conexión de VPN está en estado no conectado en la consola de gestión cuando ya está disponible?
- ¿Qué puedo hacer si se muestra un mensaje que indica que la conexión de VPN no existe después de que se modifiquen las políticas de negociación?
- ¿Cuál es el ancho de banda máximo admitido por un gateway de VPN?
- ¿Qué versión de IKE debo seleccionar al crear una conexión de VPN?
- ¿Qué tipos de tickets de servicio VPN hay? ¿Cómo puedo crear un ticket de servicio de VPN?
- ¿Se requiere un nombre de usuario y contraseña para crear una conexión de VPN IPsec?
- ¿Qué recursos de VPN se pueden monitorear?
- ¿Se me notificará si se interrumpe una conexión de VPN?
Comentarios
¿Le pareció útil esta página?
Deje algún comentario
Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.
El sistema está ocupado. Vuelva a intentarlo más tarde.
more
