Guía IPsec de Cato: IKEv1 vs IKEv2

Mejores Prácticas para Sitios IPsec - Migrando a IKEv2

En general, Cato recomienda que utilice sitios IPsec IKEv2 como una buena práctica. Algunas de las mejoras con IKEv2 se enumeran a continuación:

  1. IKEv2 aumenta la eficiencia al reducir el número de mensajes que deben intercambiarse para establecer un túnel VPN. Los túneles se configuran más rápido y con menos ancho de banda.

  2. IKEv2 es más confiable. IKEv2 tiene una verificación de actividad incorporada para detectar cuándo el túnel se cae.

  3. IKEv2 protege contra ataques DoS. A diferencia de IKEv1, un respondedor IKEv2 no tiene que realizar un procesamiento significativo hasta que el iniciador demuestre que puede recibir mensajes en su dirección IP anunciada.

  4. NAT-T está incorporado. NAT-T, o Traversal de NAT, es necesario cuando un punto final de VPN reside detrás de un enrutador que realiza NAT. Los túneles IPsec envían datos utilizando el Encapsulating Security Payload (ESP), que no es compatible con NAT. Por lo tanto, se utiliza NAT-T para encapsular los paquetes ESP en UDP que luego se pueden enrutar sobre NAT.

Para obtener más información sobre los beneficios de utilizar sitios IPsec IKEv2, consulte RFC 4306.

Similitudes Entre IKEv2 e IKEv1

A continuación se presenta una comparación de configuraciones de strongSwan para túneles IKEv1 e IKEv2. strongSwan es una solución IPsec de código abierto para múltiples sistemas operativos, incluidos Windows y macOS.

IKEv1

IKEv2

conn cato-vpn
        auto=añadir
        compress=no
        type=túnel
        keyexchange=ikev1
        fragmentation=sí
        forceencaps=sí
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secreto
conn cato-vpn
        auto=añadir
        compress=no
        type=túnel
        keyexchange=ikev2
        fragmentation=sí
        forceencaps=sí
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secreto

La única diferencia es un solo número. Cambiar el valor de keyexchange de ikev1 a ikev2 es suficiente para convertir strongSwan de IKEv1 a IKEv2.

Nota: Puede configurar el secreto compartido de IPSec (PSK) hasta 64 caracteres para ambos sitios IKEv1 e IKEv2.

Cambio de IKEv1 a IKEv2 en la Aplicación de Gestión Cato

Los pasos requeridos para migrar de un túnel IKEv1 a IKEv2 se enumeran a continuación.

Para migrar un sitio de un túnel IKEv1 a IKEv2:

  1. En la pantalla Red > Sitios, seleccione el sitio que desea cambiar de IKEv1 a IKEv2.

  2. En la pantalla Red > Sitios > [nombre del sitio] > Configuración del Sitio > General, en el menú desplegable Tipo de Conexión, seleccione IPsec IKEv2. El Rango Nativo del sitio y otras redes se pierden cuando cambia el Tipo de Conexión.

    360002841277-image-0.png
  3. En la pantalla Red > Sitios > [nombre del sitio] > Configuración del Sitio > Redes, ingrese el Rango Nativo y cualquier otra red remota. Estos son los selectores de tráfico remoto.

  4. En la pantalla Red > Sitios > [nombre del sitio] > Configuración del Sitio > IPsec, en la sección Primaria, seleccione el IP de Cato (Egreso) e ingrese el IP del Sitio de la puerta de enlace VPN remota.

    360002920918-image-1.png
  5. Ingrese el PSK en el campo Contraseña bajo PSK Primario.

    360002841297-image-2.png
  6. Expanda la sección Enrutamiento, añada la opción de enrutamiento para el sitio bajo Rangos de Red. Todas estas deberían ser redes ya configuradas en otros sitios conectados a Cato o al rango VPN de Cato.

    360002841317-image-3.png
  7. Seleccione la casilla Iniciar conexión por Cato para que Cato inicie la conexión VPN. Esta configuración es opcional pero recomendada porque la puerta de enlace VPN remota puede no estar configurada para iniciar la conexión.

  8. (Opcional) Expanda la sección de Parámetros del Mensaje Inicial y configure los ajustes. Como la mayoría de las soluciones que soportan IPsec IKEv2 implementan la negociación automática de los siguientes parámetros de Init y Auth, Cato recomienda ponerlos en Automático a menos que su proveedor de firewall le indique específicamente lo contrario.

    Es posible que haya notado que los parámetros del mensaje Init y Auth son casi idénticos a los parámetros de Fase 1 y Fase 2 en IKEv1, pero hay una opción de configuración de algoritmo PRF e Integridad en IKEv2. La mayoría de los proveedores no soportan diferentes algoritmos PRF e integridad, por lo que, en caso de duda, configúrelos en Automático o asegúrese de que estén configurados con el mismo valor.

  9. Haz clic en Guardar.

IKEv2: La Última Frontera

Hoy en día, realmente solo hay una razón para celebrar como si fuera 1999, o para ser precisos, 1998, cuando IKEv1 fue definido por primera vez por el IETF: si al menos un lado de la conexión VPN está terminando en un dispositivo heredado que solo admite IKEv1. Los principales proveedores de nube (AWS, GCP, Azure, Alibaba Cloud) soportan IKEv2. Así que, a menos que esté conectándose a un punto final de VPN más antiguo, IKEv2 debería ser su primera opción al configurar túneles VPN.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 3

0 comentarios