Qual versão do IKE devo selecionar ao criar uma conexão de VPN?
A Huawei Cloud recomenda o IKEv2 para negociação porque o IKEv1 não é seguro. Além, IKEv2 executa melhor do que IKEv1 em termos da negociação da conexão e do estabelecimento, métodos de autenticação, tempo limite de DPD e tempo limite de AS.
A Huawei Cloud não suportará o IKEv1 em breve.
Introdução ao IKEv1 e IKEv2
- A complexidade do IKEV1, um protocolo híbrido, inevitavelmente traz alguns defeitos de segurança e desempenho. Isso se tornou o gargalo para o atual sistema de IPsec.
- O protocolo IKEv2 reserva funções básicas do IKEv1 e supera alguns problemas trazidos pelo IKEv1. Além disso, para a simplicidade, eficiência, segurança e robustez, RFC 4306, um documento descreve a versão 2 do IKE, combina o conteúdo do que eram anteriormente separados documentos de IKEv1. Ao minimizar as funções principais e os algoritmos de senha padrão, o IKEv2 melhora muito a interoperabilidade entre diferentes VPNs IPsec.
Vulnerabilidades de segurança de IKEv1
- Os algoritmos criptográficos suportados pelo IKEv1 não foram atualizados por mais de 10 anos. Além disso, o IKEv1 não oferece suporte a algoritmos criptográficos fortes, como AES-GCM e ChaCha20-Poly1305. Para IKEv1, o bit E (criptografia) no cabeçalho ISALMP especifica que as cargas úteis seguintes ao cabeçalho ISALMP são criptografadas, mas qualquer verificação de integridade de dados dessas cargas úteis é tratada por uma carga útil hash separada. Essa separação entre criptografia e proteção de integridade de dados impede o uso de criptografia autenticada (AES-GCM) com o IKEv1.
- O protocolo IKEv1 é vulnerável a ataques de amplificação de DoS. O IKEv1 é vulnerável a conexões semi-abertas.
- O modo agressivo de IKEv1 não é suficientemente seguro. No modo agressivo, os pacotes de informações não são criptografados. Há também ataques de força bruta visando o modo agressivo, como ataques man-in-the-middle.
Diferenças entre IKEv1 e IKEv2
- Processo de negociação
- Negociação de AS de IKEv1 consiste em duas fases. O IKEv1 é complexo e consome uma grande quantidade de largura de banda. A negociação da fase 1 do IKEv1 visa estabelecer a AS de IKE. Este processo suporta o modo principal e o modo agressivo. O modo principal usa seis mensagens ISAKMP para estabelecer a AS de IKE, mas o modo agressivo usa apenas três. Portanto, o modo agressivo é mais rápido no estabelecimento da AS de IKE. No entanto, o modo agressivo não fornece proteção de identidade de par porque a troca de chaves e a autenticação de identidade são realizadas ao mesmo tempo. A negociação da fase 2 do IKEv1 visa configurar a AS do IPsec para transmissão de dados. Esse processo usa o modo de troca rápida (3 mensagens de ISAKMP) para concluir a negociação.
- Comparado com o IKEv1, o IKEv2 simplifica o processo de negociação de AS. O IKEv2 usa duas trocas (um total de 4 mensagens) para criar uma AS de IKE e um par de ASs de IPsec. Para criar vários pares de ASs de IPsec, apenas uma troca adicional é necessária para cada par adicional de ASs.
Para a negociação de IKEv1, seu modo principal requer nove (6+3) pacotes no total e seu modo agressivo requer 6 (3+3) pacotes. A negociação de IKEv2 exige somente 4 (2+2) pacotes.
- Métodos de autenticação
- Somente o IKEv1 (que exige um cartão de criptografia) suporta autenticação de envelope digital (HSS-DE).
- O IKEv2 oferece suporte à autenticação EAP (Extensible Authentication Protocol). O IKEv2 pode usar um servidor AAA para autenticar remotamente usuários de dispositivos móveis e de PC e atribuir endereços IP privados a esses usuários. O IKEv1 não fornece essa função e deve usar o L2TP para atribuir endereços IP privados.
- Apenas o IKEv2 suporta algoritmos de integridade de AS de IKE.
- Tempo limite de DPD
- Somente o IKEv1 suporta o parâmetro retry-interval. Se um dispositivo envia um pacote de DPD, mas não recebe nenhuma resposta dentro do intervalo de repetição especificado, o dispositivo grava um evento de falha de DPD. Quando o número de eventos de falha de DPD atinge 5, ambas ASs de IKE e de IPsec são excluídas. A negociação de AS de IKE será iniciada novamente quando o dispositivo tiver tráfego IPsec para lidar.
- No modo de IKEv2, o intervalo de retransmissão aumenta de 1, 2, 4, 8, 16, 32 para 64, em segundos. Se nenhuma resposta for recebida dentro de oito transmissões consecutivas, a extremidade do par será considerada inativa e as ASs de IKE e de IPsec serão excluídas.
- Processamento de tempo limite da AS de IKE e processamento de tempo limite da AS de IPsec
No IKEv2, a vida útil da AS de IKE é 9/10 da vida útil da AS de IKE mais ou menos um valor aleatório para reduzir a probabilidade de que duas extremidades iniciem a renegociação ao mesmo tempo. Portanto, a vida útil do soft não requer configurações manuais no IKEv2.
Vantagens do IKEv2 em relação ao IKEv1
- Processo de negociação de AS simplificado e eficiência de negociação aprimorada.
- Fechou muitas brechas criptográficas, melhorando a segurança.
- Suporta autenticação EAP, melhorando a flexibilidade e escalabilidade da autenticação.
- O EAP é um protocolo de autenticação que suporta vários métodos de autenticação. A maior vantagem de EAP é a escalabilidade. Ou seja, novos modos de autenticação podem ser adicionados sem alterar o sistema de autenticação original. A autenticação EAP tem sido amplamente utilizada em redes de acesso de discagem.
- O IKEv2 emprega uma carga útil criptografada baseada no projeto do ESP. A carga útil criptografada de IKEv2 associa criptografia e proteção de integridade de dados de uma forma que torna possível o uso de algoritmos de criptografia autenticados. O AES-GCM garante confidencialidade, integridade e autenticação.
Operações relacionadas no console Perguntas frequentes
- Quais são as relações entre uma VPC, um gateway de VPN e uma conexão de VPN?
- Quanto tempo demora para que as configurações de VPN entregues entrem em vigor?
- Por que a conexão de VPN está sempre no estado Not Connected depois que sua configuração é concluída?
- Um endereço IP de um gateway de VPN pode ser retido após o gateway de VPN ser excluído?
- Preciso criar um gateway de VPN ou uma conexão de VPN para criar uma VPN? Quais informações sobre uma VPN criada podem ser modificadas?
- Preciso configurar regras de ACL no console de gerenciamento da Huawei Cloud após configurar regras de ACL no dispositivo de gateway local?
- O que fazer se ocorrer uma exceção quando adicionar uma sub-rede remota durante a criação da conexão de VPN?
- Onde posso adicionar rotas no console da VPN para alcançar as sub-redes remotas?
- Posso chamar APIs para gerenciar os recursos da VPN da Huawei Cloud?
- O que é um gateway remoto e uma sub-rede remota em uma conexão de VPN?
- Como desativar o PFS ao criar uma conexão de VPN?
- Quantas sub-redes locais e remotas posso adicionar a uma VPN? Por que uma mensagem de erro é exibida quando atualizar a sub-rede local especificando um bloco CIDR?
- Quais são as precauções para configurar as sub-redes locais e remotas de uma conexão de VPN?
- Por que o status de uma conexão de VPN é Not Connected no console de gerenciamento quando ele já está disponível?
- O que fazer se uma mensagem for exibida indicando que a conexão de VPN não existe depois que as políticas de negociação forem modificadas?
- O que fazer se não conseguir criar conexões para um gateway de VPN que não tenha informações de largura de banda?
- Como redefinir uma conexão de VPN?
- Qual é a largura de banda máxima suportada por um gateway de VPN?
- Qual versão do IKE devo selecionar ao criar uma conexão de VPN?
- Quais são as categorias de tíquetes de serviço de VPN? Como criar um tíquete de serviço de VPN?
- Um nome de usuário e senha são necessários para criar uma conexão de VPN IPsec?
- Quais recursos de VPN podem ser monitorados?
- Será notificado se uma conexão de VPN for interrompida?
Feedback
Esta página foi útil?
Deixar um comentáriomore