创建VPN连接时如何选择IKE的版本?
推荐您选择IKEv2进行协商,其原因是IKEv1的版本存在一定的安全风险,且IKEv2在连接的协商建立过程,认证方法支持,DPD超时处理,SA超时处理上都优于IKEv1。
云将大力推进IKEv2的使用,逐步停用IKEv1协商策略。
IKEv1与IKEv2的协议介绍
- IKEv1协议是一个混合型协议,其自身的复杂性不可避免地带来一些安全及性能上的缺陷,已经成为目前实现的IPsec系统的瓶颈。
- IKEv2协议保留了IKEv1的基本功能,并针对IKEv1研究过程中发现的问题进行修正,同时兼顾简洁性、高效性、安全性和健壮性的需要,整合了IKEv1的相关文档,由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定,新协议极大地提高了不同IPsec VPN系统的互操作性。
IKEv1存在的安全风险
- IKEv1 支持的密码算法已超过10年未做更新,并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷,但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密(AES-GCM),从而限制了只能使用初期定义的AES算法。
- 协议本身也无法防止报文放大攻击(属于DOS攻击)初始报文交换,IKEv1容易被半连接攻击,响应方响应初始化报文后维护发起-响应的关系,维护了大量的关系会消耗大量的系统资源。
- IKEv1野蛮模式安全性低:野蛮模式开始信息报文不加密,存在用户配置信息泄漏的风险,当前也存在针对野蛮攻击,如:中间人攻击。
IKEv1和IKEv2的区别
- 协商过程不同。
- IKEv1协商安全联盟主要分为两个阶段,其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA,它支持两种协商模式:主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。
- IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA,如果要求建立的IPsec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。
IKEv1协商,主模式需要6+3,共9个报文;野蛮模式需要3+3,共6个报文。IKEv2协商,只需要2+2,共4个报文。
- 认证方法不同。
- 数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。
- IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。
- IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持,IKEv1不支持。
- DPD中超时重传实现不同。
- retry-interval参数仅IKEv1支持。表示发送DPD报文后,如果超过此时间间隔未收到正确的应答报文,DPD记录失败事件1次。当失败事件达到5次时,删除IKE SA和相应的IPsec SA。直到隧道中有流量时,两端重新协商建立IKE SA。
- 对于IKEv2方式的IPsec SA,超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文,则认为对端已经下线,删除IKE SA和相应的IPsec SA。
- IKE SA与IPsec SA超时时间手工调整功能支持不同。
IKEv2的IKE SA软超时为硬超时的9/10±一个随机数,所以IKEv2一般不存在两端同时发起重协商的情况,故IKEv2不需要配置软超时时间。
IKEv2相比IKEv1的优点
- 简化了安全联盟的协商过程,提高了协商效率。
- 修复了多处公认的密码学方面的安全漏洞,提高了安全性能。
- 加入对EAP(Extensible Authentication Protocol)身份认证方式的支持,提高了认证方式的灵活性和可扩展性。
- EAP是一种支持多种认证方法的认证协议,可扩展性是其最大的优点,即如果想加入新的认证方式,可以像组件一样加入,而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。
- IKEv2使用基于ESP设计的加密载荷,v2加密载荷将加密和数据完整性保护关联起来,即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。