¿Qué versión de IKE debo seleccionar al crear una conexión de VPN?
Huawei Cloud recomienda IKEv2 porque IKEv1 no es seguro. Además, IKEv2 supera a IKEv1 en negociación y establecimiento de conexiones, métodos de autenticación, procesamiento de tiempo de espera de detección de pares muertos (DPD) y procesamiento de tiempo de espera de asociación de seguridad (SA).
Huawei Cloud no será compatible con IKEv1 pronto.
Introducción a IKEv1 e IKEv2
- Como protocolo híbrido, IKEv1 trae algunos defectos de seguridad y rendimiento debido a su complejidad. Como tal, se ha convertido en un cuello de botella en el sistema IPsec.
- IKEv2 resuelve los problemas de IKEv1 mientras conserva las funciones básicas de IKEv1. IKEv2 es más simplificado, eficiente, seguro y robusto que IKEv1. Adicionalmente, IKEv2 se define por RFC 4306 en un único documento, mientras que IKEv1 se definen en múltiples documentos. Al minimizar las funciones principales y los algoritmos de contraseña predeterminados, IKEv2 mejora en gran medida la interoperabilidad entre diferentes VPN IPsec.
Riesgos de seguridad de IKEv1
- Los algoritmos criptográficos soportados por IKEv1 no se han actualizado durante más de 10 años. Además, IKEv1 no admite algoritmos criptográficos fuertes como AES-GCM y ChaCha20-Poly1305. Para IKEv1, el bit E (Encryption) en la cabecera ISALMP especifica que las cargas útiles que siguen a la cabecera ISALMP están cifradas, pero cualquier verificación de integridad de datos de esas cargas útiles es manejada por una carga útil hash separada. Esta separación de la encriptación de la protección de la integridad de los datos impide el uso de encriptación autenticada (AES-GCM) con IKEv1.
- IKEv1 es vulnerable a ataques de amplificación DoS y ataques de conexión semiabierta. Después de responder a paquetes falsificados, el respondedor mantiene relaciones iniciador-respondedor, consumiendo un gran número de recursos del sistema.
- El modo agresivo de IKEv1 no es seguro. En este modo, los paquetes de información no están cifrados, lo que plantea riesgos de fuga de información. También hay ataques de fuerza bruta dirigidos al modo agresivo, como los ataque de intermediario.
Diferencias entre IKEv1 e IKEv2
- Proceso de negociación
- IKEv1 es complejo y consume una gran cantidad de ancho de banda. La negociación IKEv1 SA consta de dos fases. En IKEv1 fase 1, se establece un IKE SA en modo principal o modo agresivo. El modo principal requiere tres intercambios entre pares que suman seis mensajes ISAKMP, mientras que el modo agresivo requiere dos intercambios que suman tres mensajes ISAKMP. El modo agresivo es más rápido, pero no proporciona protección de identidad para los pares, ya que el intercambio de claves y la autenticación de identidad se realizan simultáneamente. En IKEv1 fase 2, las SA IPsec se establecen con tres mensajes ISAKMP en modo rápido.
- En comparación con IKEv1, IKEv2 simplifica el proceso de negociación de SA. IKEv2 requiere solamente dos intercambios, totalizando cuatro mensajes, para establecer una SA IKE y un par de SA IPsec. Para crear varios pares de SA IPsec, solo se necesita un intercambio adicional para cada par adicional de SA.
Para la negociación IKEv1, su modo principal implica nueve (6+3) mensajes, y su modo agresivo implica seis (3+3) mensajes. Por el contrario, la negociación IKEv2 requiere solamente cuatro (2+2) mensajes.
- Métodos de autenticación
- Solo IKEv1 (que requiere una tarjeta de encriptación) admite la autenticación de envolvente digital (HSS-DE).
- IKEv2 admite la autenticación del Extensible Authentication Protocol (EAP). IKEv2 puede utilizar un servidor AAA para autenticar remotamente a los usuarios móviles y de PC y asignar direcciones IP privadas a estos usuarios. IKEv1 no proporciona esta función y debe usar L2TP para asignar direcciones IP privadas.
- Solo IKEv2 admite algoritmos de integridad de IKE SA.
- Procesamiento de tiempo de espera de DPD
- Solo IKEv1 admite el parámetro retry-interval. Si un dispositivo envía un paquete DPD pero no recibe respuesta dentro del intervalo de reintento especificado, el dispositivo registra un evento de fallo de DPD. Cuando el número de eventos de error de DPD llega a 5, se eliminan tanto las SA IKE como las SA IPsec. La negociación IKE SA se iniciará de nuevo solo cuando haya tráfico que se transmita a través del túnel IPsec.
- En IKEv2, el intervalo de retransmisión aumenta de 1, 2, 4, 8, 16, 32 a 64, en segundos. Si no se recibe respuesta dentro de ocho transmisiones consecutivas, el extremo par se considera muerto, y se eliminan las SA IKE y las SA IPsec.
- Procesamiento del tiempo de espera de IKE SA y del tiempo de espera de IPsec SA
En IKEv2, la vida útil suave de IKE SA es 9/10 de la vida útil dura de IKE SA más o menos un número aleatorio. Esto reduce la probabilidad de que dos extremos inicien la renegociación simultáneamente. Por lo tanto, no se establece manualmente la vida útil de software en IKEv2.
Ventajas de IKEv2 sobre IKEv1
- Simplifica el proceso de negociación de SA, mejorando la eficiencia.
- Corrige muchas vulnerabilidades de seguridad criptográfica, mejorando la seguridad.
- Admite la autenticación de EAP, lo que mejora la flexibilidad y la escalabilidad de la autenticación.
- EAP es un protocolo de autenticación que admite múltiples métodos de autenticación. La mayor ventaja de EAP es su escalabilidad. Es decir, se pueden agregar nuevos métodos de autenticación sin cambiar el sistema de autenticación original. La autenticación EAP ha sido ampliamente utilizada en redes de acceso telefónico.
- Emplea una carga útil cifrada sobre la base de ESP. Esta carga útil contiene tanto un algoritmo de encriptación como un algoritmo de integridad de datos. AES-GCM garantiza la confidencialidad, integridad y autenticación, y funciona bien con IKEv2.