Guide IPsec Cato : IKEv1 vs IKEv2

Meilleures pratiques pour les sites IPsec - Migrer vers IKEv2

En général, Cato recommande d'utiliser des sites IPsec IKEv2 comme une bonne pratique. Certaines améliorations avec IKEv2 sont listées ci-dessous :

  1. IKEv2 améliore l'efficacité en réduisant le nombre de messages qui doivent être échangés pour configurer un tunnel VPN. Les tunnels sont configurés plus rapidement et avec moins de bande passante.

  2. IKEv2 est plus fiable. Il y a un contrôle d'activité intégré dans IKEv2 pour détecter quand le tunnel se déconnecte.

  3. IKEv2 protège contre les attaques DoS. Contrairement à IKEv1, un répondeur IKEv2 n'a pas à effectuer un traitement important tant que l'initiateur ne prouve pas qu'il peut recevoir des messages à son adresse IP annoncée.

  4. NAT-T est intégré. NAT-T, ou NAT Traversal, est requis lorsqu'un point d'extrémité VPN se trouve derrière un routeur qui effectue NAT. Les tunnels IPsec envoient des données en utilisant l'Encapsulating Security Payload (ESP) qui n'est pas compatible avec NAT. Par conséquent, NAT-T est utilisé pour encapsuler les paquets ESP dans UDP qui peuvent ensuite être routés par NAT.

Pour plus d'informations sur les avantages de l'utilisation des sites IPsec IKEv2, consultez RFC 4306.

Similitudes entre IKEv2 et IKEv1

Ci-dessous est présentée une comparaison des configurations strongSwan pour les tunnels IKEv1 et IKEv2. strongSwan est une solution IPsec open-source pour plusieurs systèmes d'exploitation, y compris Windows et macOS.

IKEv1

IKEv2

conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev1
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret
conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev2
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret

La seule différence est un seul chiffre. Changer la valeur de keyexchange de ikev1 à ikev2 suffit pour convertir strongSwan de IKEv1 à IKEv2.

Note : Vous pouvez configurer le secret partagé IPSec (PSK) jusqu'à 64 caractères pour les sites IKEv1 et IKEv2.

Changer de IKEv1 à IKEv2 dans l'application de gestion Cato

Les étapes requises pour migrer d'un tunnel IKEv1 à IKEv2 sont listées ci-dessous.

Pour migrer un site d'un tunnel IKEv1 à IKEv2 :

  1. Sur l'écran Réseau > Sites, sélectionnez le site que vous souhaitez passer d'IKEv1 à IKEv2.

  2. Sur l'écran Réseau > Sites > [nom du site] > Configuration du site > Général, dans la liste déroulante Type de connexion, sélectionnez IPsec IKEv2. Quand vous changez le Type de connexion, le Plage native et d'autres réseaux du site sont perdus.

    360002841277-image-0.png
  3. Sur l'écran Réseau > Sites > [nom du site] > Configuration du site > Réseaux, entrez la Plage native et tout autre réseau distant. Ce sont les sélecteurs de trafic distants.

  4. Sur l'écran Réseau > Sites > [nom du site] > Configuration du site > IPsec, sous la section Primaire, sélectionnez le IP de Cato (sortant) et entrez l'IP du site de la passerelle VPN distante.

    360002920918-image-1.png
  5. Entrez le PSK dans le champ Mot de passe sous PSK primaire.

    360002841297-image-2.png
  6. Développez la section Routage, ajoutez l'option de routage pour le site sous les Plages de réseau. Ceux-ci devraient être tous des réseaux déjà configurés sur d'autres sites connectés à Cato ou à la plage VPN de Cato.

    360002841317-image-3.png
  7. Cochez la case Initier la connexion par Cato pour que Cato initie la connexion VPN. Cette configuration est optionnelle mais recommandée car la passerelle VPN distante peut ne pas être configurée pour initier la connexion.

  8. (Optional) Expand the Init Message Parameters section, and configure the settings. As most IPsec IKEv2-supporting solutions implement automatic negotiation of the following Init and Auth parameters, Cato recommends setting them to Automatic unless specifically instructed to by your firewall vendor.

    Vous avez peut-être remarqué que les paramètres des messages Init et Auth sont presque identiques aux paramètres des phases 1 et 2 dans IKEv1, mais il existe à la fois une option de configuration d'algorithme PRF et d'intégrité dans IKEv2. La plupart des vendeurs ne prennent pas en charge différents algorithmes PRF et d'intégrité, donc en cas de doute, réglez-les sur Automatique ou assurez-vous qu'ils sont réglés sur la même valeur.

  9. Cliquez sur Sauvegarder.

IKEv2 : La dernière frontière

De nos jours, il n'y a vraiment qu'une raison de faire la fête comme si c'était 1999, ou pour être précis, 1998, lorsque IKEv1 a été défini pour la première fois par l'IETF : si au moins une partie de la connexion VPN se termine sur un appareil hérité qui ne prend en charge que IKEv1. Les principaux fournisseurs de cloud (AWS, GCP, Azure, Alibaba Cloud) prennent en charge IKEv2. Donc, sauf si vous vous connectez à un point d'extrémité de VPN plus ancien, IKEv2 devrait être votre premier choix lors de la configuration de tunnels VPN.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 3

0 commentaire