Qual versão do IKE devo selecionar ao criar uma conexão de VPN?
A Huawei Cloud recomenda o IKEv2 porque o IKEv1 não é seguro. Além disso, o IKEv2 supera o IKEv1 na negociação e estabelecimento de conexão, métodos de autenticação, processamento de tempo limite de detecção de par inativo (DPD) e processamento de tempo limite de associação de segurança (AS).
A Huawei Cloud não suportará o IKEv1 em breve.
Introdução ao IKEv1 e IKEv2
- Como um protocolo híbrido, o IKEv1 traz alguns defeitos de segurança e desempenho devido à sua complexidade. Como tal, tornou-se um gargalo no sistema de IPsec.
- IKEv2 aborda os problemas de IKEv1 mantendo funções básicas de IKEv1. O IKEv2 é mais simplificado, eficiente, seguro e robusto que o IKEv1. Além disso, o IKEv2 é definido pelo RFC 4306 em um único documento, enquanto o IKEv1 é definido em vários documentos. Ao minimizar as funções principais e os algoritmos de senha padrão, o IKEv2 melhora significativamente a interoperabilidade entre diferentes VPNs IPsec.
Riscos de segurança do IKEv1
- Os algoritmos criptográficos suportados pelo IKEv1 não foram atualizados por mais de 10 anos. Além disso, o IKEv1 não oferece suporte a algoritmos criptográficos fortes, como AES-GCM e ChaCha20-Poly1305. Para IKEv1, o bit E (criptografia) no cabeçalho ISALMP especifica que as cargas úteis seguintes ao cabeçalho ISALMP são criptografadas, mas qualquer verificação de integridade de dados dessas cargas úteis é tratada por uma carga útil hash separada. Essa separação entre criptografia e proteção de integridade de dados impede o uso de criptografia autenticada (AES-GCM) com o IKEv1.
- O IKEv1 é vulnerável a ataques de amplificação de DoS e ataques de conexão semiaberta. Depois de responder a pacotes falsificados, o respondedor mantém relações iniciador-responder, consumindo um grande número de recursos do sistema.
- O modo agressivo do IKEv1 não é seguro. Nesse modo, os pacotes de informações não são criptografados, apresentando riscos de vazamento de informações. Há também ataques de força bruta visando o modo agressivo, como ataques man-in-the-middle.
Diferenças entre IKEv1 e IKEv2
- Processo de negociação
- O IKEv1 é complexo e consome uma grande quantidade de largura de banda. Negociação de AS de IKEv1 consiste em duas fases. No IKEv1 fase 1, uma AS de IKE é estabelecida em modo principal ou modo agressivo. O modo principal requer três trocas entre pares, totalizando seis mensagens ISAKMP, enquanto o modo agressivo requer duas trocas, totalizando três mensagens ISAKMP. O modo agressivo é mais rápido, mas não fornece proteção de identidade para pares, pois a troca de chaves e a autenticação de identidade são realizadas simultaneamente. Na fase 2 do IKEv1, as ASs de IPsec são estabelecidas por meio de três mensagens ISAKMP no modo rápido.
- Comparado com o IKEv1, o IKEv2 simplifica o processo de negociação de AS. O IKEv2 requer apenas duas trocas, totalizando quatro mensagens, para estabelecer uma AS de IKE e um par de ASs de IPsec. Para criar vários pares de ASs de IPsec, apenas uma troca adicional é necessária para cada par adicional de ASs.
Para negociação de IKEv1, o seu modo principal envolve nove (6+3) mensagens, e seu modo agressivo envolve seis (3+3) mensagens. Em contraste, a negociação de IKEv2 requer apenas quatro (2+2) mensagens.
- Métodos de autenticação
- Somente o IKEv1 (que exige um cartão de criptografia) suporta autenticação de envelope digital (HSS-DE).
- O IKEv2 oferece suporte à autenticação EAP (Extensible Authentication Protocol). O IKEv2 pode usar um servidor AAA para autenticar remotamente usuários de dispositivos móveis e de PC e atribuir endereços IP privados a esses usuários. O IKEv1 não fornece essa função e deve usar o L2TP para atribuir endereços IP privados.
- Apenas o IKEv2 suporta algoritmos de integridade de AS de IKE.
- Processamento de tempo limite da DPD
- Somente o IKEv1 suporta o parâmetro retry-interval. Se um dispositivo envia um pacote de DPD, mas não recebe nenhuma resposta dentro do intervalo de repetição especificado, o dispositivo grava um evento de falha de DPD. Quando o número de eventos de falha de DPD atinge 5, ambas ASs de IKE e IPsec são excluídas. A negociação da AS de IKE será iniciada novamente somente quando houver tráfego a ser transmitido pelo túnel de IPsec.
- No IKEv2, o intervalo de retransmissão aumenta de 1, 2, 4, 8, 16, 32 para 64, em segundos. Se nenhuma resposta for recebida dentro de oito transmissões consecutivas, a extremidade do par será considerada inativa e as ASs de IKE e IPsec serão excluídas.
- Processamento de tempo limite da AS de IKE e processamento de tempo limite da AS de IPsec
No IKEv2, a vida útil suave da AS de IKE é 9/10 da vida útil dura da AS de IKE mais ou menos um número aleatório. Isso reduz a probabilidade de que duas extremidades iniciem a renegociação simultaneamente. Portanto, você não definir manualmente a vida útil suave em IKEv2.
Vantagens do IKEv2 em relação ao IKEv1
- Simplifica o processo de negociação de AS, melhorando a eficiência.
- Corrige muitas vulnerabilidades de segurança criptográfica, melhorando a segurança.
- Suporta autenticação EAP, melhorando a flexibilidade e escalabilidade da autenticação.
O EAP é um protocolo de autenticação que suporta vários métodos de autenticação. A maior vantagem do EAP é a sua escalabilidade. Ou seja, novos métodos de autenticação podem ser adicionados sem alterar o sistema de autenticação original. A autenticação EAP tem sido amplamente utilizada em redes de acesso de discagem.
- Emprega uma carga útil criptografada com base no ESP. Essa carga útil contém um algoritmo de criptografia e um algoritmo de integridade de dados. O AES-GCM garante confidencialidade, integridade e autenticação e funciona bem com o IKEv2.
Consultoria geral Perguntas frequentes
- Quais são os cenários típicos da VPN IPsec?
- O que é uma VPC, um gateway de VPN e uma conexão de VPN?
- Quais são as relações entre uma VPC, um gateway de VPN e uma conexão de VPN?
- O que é uma conexão de VPN? Como definir o número de conexões de VPN ao comprar um gateway de VPN?
- O que são um gateway de cliente e uma sub-rede de cliente em uma conexão de VPN?
- Como planejar blocos CIDR para acesso a uma VPC por meio de uma conexão de VPN?
- Uma conexão de VPN IPsec é estabelecida automaticamente?
- Quais são os tipos de tíquetes de serviço de VPN? Como criar um tíquete de serviço de VPN?
- Quais dispositivos podem ser conectados à Huawei Cloud por meio de uma VPN?
- Quais são os parâmetros de negociação de VPN? Quais são seus valores padrão?
- Um nome de usuário e senha são necessários para criar uma conexão de VPN IPsec?
- Como permitir que hosts específicos acessem uma sub-rede da VPC por meio de uma conexão de VPN criada?
- Quais recursos de VPN podem ser monitorados?
- EIPs podem ser usados como endereços IP de gateway de VPN?
- Preciso comprar EIPs para que os hosts se comuniquem entre si por meio de uma VPN?
- As VPNs SSL são suportadas?
- Quanto tempo demora para que as configurações de VPN entregues entrem em vigor?
- A VPN da Huawei Cloud oferece suporte a endereços IPv6?
- Como determinar minha largura de banda da VPN?
- Uma conexão de VPN suporta algoritmos criptográficos da série SM?
- Qual versão do IKE devo selecionar ao criar uma conexão de VPN?
- Quantos bits têm os grupos DH usados pela VPN da Huawei Cloud?
- Posso visitar sites além das fronteiras internacionais usando uma VPN?
- Posso implementar uma aplicação na nuvem, bancos de dados em um data center local e depois conectá-la por meio de uma VPN?
- Quais são as diferenças entre VPN IPsec e VPN SSL em cenários de aplicações e modos de conexão?
- Como será cobrado pelo uso de uma VPN? Será cobrado pelos EIPs do gateway de VPN?
- Quais são as diferenças entre a cobrança da largura de banda de EIP do gateway de VPN por largura de banda e por tráfego?
- Uma VPN cobrada por tráfego pode usar um pacote de dados compartilhados?
- O EIP de um gateway de VPN pode ser retido após o gateway de VPN ser excluído?
- Onde adicionar rotas para sub-redes do cliente no console da VPN?
- Será notificado se uma conexão de VPN for interrompida?
- O que fazer se uma conexão de VPN falha ao ser estabelecida?
- Em que direção a largura de banda da VPN é limitada? Qual é a unidade de largura de banda?
- Posso restaurar um gateway de VPN ou uma conexão de VPN que foi excluída incorretamente?
Feedback
Esta página foi útil?
Deixar um comentáriomore