IPsec कनेक्शन के लिए सर्वोत्तम प्रथाएं

IPsec कनेक्शन सेट करते समय सबसे आम समस्याओं में से एक है IPsec सेटिंग्स का गलत कॉन्फ़िगरेशन। IPsec टनल कॉन्फ़िगरेशन का मुख्य तत्व यह सुनिश्चित करना है कि सेटिंग्स दोनों सहभागी उपकरणों पर 100% मेल खाती हों। यदि कॉन्फ़िगरेशन सेटिंग्स कनेक्शन के दोनों पक्षों के लिए मेल नहीं खाती हैं, तो कनेक्टिविटी और रूटिंग की समस्याएं उत्पन्न हो सकती हैं। कई मामलों में, टनल चालू हो सकती है, लेकिन यदि रूटिंग सही ढंग से कॉन्फ़िगर नहीं की गई है, तो टनल के जरिए ट्रैफ़िक नहीं भेजा जा सकता है।

इसलिए, हम जोर देकर सुझाव देते हैं कि Cato IPsec कनेक्शन सेटिंग्स कॉन्फ़िगर करने से पहले अपने एज उपकरण (राउटर, फ़ायरवॉल, VM, आदि) पर IPsec सेटिंग्स को सत्यापित करें। फिर IPsec साइट कॉन्फ़िगर करने के लिए बिलकुल समान सेटिंग्स का उपयोग करें।

सबसे आम रूप से होने वाली कॉन्फ़िगरेशन गलतियों में से एक असहयोगी Diffie-Helman (DH) समूह का उपयोग है। DH समूह कनेक्शन सहभागी उपकरणों के बीच Auth और Init संदेशों के लिए उपयोग की गई कुंजियों की ताकत का स्तर निर्धारित करता है। यदि DH समूह दोनों पक्षों पर मेल नहीं खाता है, तो टनल कनेक्ट नहीं हो सकता है। इसलिए, आपको IPsec कनेक्शन के दोनों पक्षों पर मेल खाने वाला DH समूह चुनना चाहिए। Cato प्रबंधन अनुप्रयोग में DH समूह मानक को अपने एज उपकरण कॉन्फ़िगरेशन के अनुरूप कॉन्फ़िगर करें।

एक और महत्वपूर्ण अनुशंसा यह है उन कॉन्फ़िगरेशन्स के लिए जो कुंजी नवीनीकरण के लिए परफेक्ट फॉरवर्ड सिक्रेसी (PFS) का उपयोग करती हैं। जब DH समूह मानक कोई नहीं पर सेट होता है, तो PFS निष्क्रिय है। इसलिए, यदि आप PFS को सक्षम कर रहे हैं, तो यह जांचें कि DH समूह प्रमाणन संदेश पैरामीटर अनुभाग के तहत कॉन्फ़िगर है।

नीचे दिया गया स्क्रीनशॉट प्रमाणन संदेश पैरामीटर और DH समूह विकल्पों का एक उदाहरण दिखाता है:

हम सुझाव देते हैं कि यदि संभव हो, तो कमजोर एन्क्रिप्शन सेटिंग्स से बचें और उच्च स्तर की सुरक्षा प्रदान करने के लिए एक उच्च DH समूह का उपयोग करें।

जब आप Cato प्रबंधन एप्लिकेशन में साइट कॉन्फ़िगर कर रहे हैं, यदि प्रमाणन संदेश पैरामीटर में IKEv2 के लिए कोई DH समूह कॉन्फ़िगर नहीं है, तो भी प्रारंभ संदेश पैरामीटर में बच्चे की सुरक्षा संगठन (SA) के लिए एक DH समूह दिखाई दे सकता है। यह इसलिए है क्योंकि पहला बच्चे की SA हमेशा प्रारंभिक IKE_AUTH विनिमय में बनाया जाता है और IKE SA के समान कुंजी सामग्री का उपयोग करता है। IKE SA प्रारंभ संदेश पैरामीटर अनुभाग में कॉन्फ़िगर किए गए DH समूह का उपयोग करता है। IKE_AUTH में कोई DH समूह विनिमय नहीं है।

यदि DH समूह प्रमाणन संदेश पैरामीटर अनुभाग में कॉन्फ़िगर किया गया है, तो इसका उपयोग केवल CREATE_CHILD_SA विनिमय के दौरान किया जाता है जो या तो अतिरिक्त बच्चे की SA बनाते हैं या मौजूदा को फिर से कुंजी बनाते हैं।

एक बात जिसे ध्यान में रखना चाहिए वह है Cato प्रबंधन एप्लिकेशन और IKEv2 साथी में कॉन्फ़िगर किए गए DH समूहों का असंतुलन। इस स्थिति में, टनल शुरू में IKE_AUTH विनिमय का पालन करती है लेकिन CREATE_CHILD_SA विनिमय का उपयोग करके पुनः कुंजी करने में असफल रहती है। IKE_SA_INIT और IKE_AUTH विनिमय टनल को फिर से वापस लाने के पहले थोड़ी सी बाधा हो सकती है।

यह बहुत जरूरी है कि दोनों कनेक्शन साथियों के लिए समान एन्क्रिप्शन एल्गोरिदम का उपयोग करें। कभी-कभी उपयोगकर्ता एकल एल्गोरिदम चुनने के बजाय अपने किनारे के उपकरणों पर कई एन्क्रिप्शन एल्गोरिदम सक्रिय करते हैं। बहुत अधिक एल्गोरिदम को सक्षम करने पर उपकरण के लिए कनेक्शन स्थापित करने में अधिक समय लगता है। इसलिए, हम सुझाव देते हैं कि आप टनल के दोनों साइड्स में उपयोग किए जाने वाले एल्गोरिदम को ही सक्षम करें – कम अधिक अच्छा होता है।

IPsec साइट्स के लिए जिनकी बैंडविड्थ 100Mbps से अधिक है, केवल AES 128 GCM-16 या AES 256 GCM-16 एल्गोरिदम का ही उपयोग करें। AES CBC एल्गोरिदम का उपयोग केवल उन साइट्स पर किया जाता है जिनकी बैंडविड्थ 100Mbps से कम है।

हम सुझाव देते हैं कि आप प्राथमिक और द्वितीयक IPsec कनेक्शन को दोनों ही कॉन्फ़िगर करें ताकि निश्चितता बनी रहे। इसके अतिरिक्त, आपको कनेक्शन के लिए अलग-अलग स्रोत IP पतों और अलग-अलग गंतव्य PoP का उपयोग करना चाहिए। यदि कोई एक स्रोत या गंतव्य कनेक्ट होने में असफल होता है, और टनल बंद हो जाती है, तो दूसरा टनल ट्रैफ़िक को दूसरे PoP पर स्थानांतरित करता है। यदि आप प्राथमिक और द्वितीयक कनेक्शन में समान स्रोत IP पता कॉन्फ़िगर करते हैं और यदि इस स्रोत IP में कोई विफलता होती है, तो ट्रैफ़िक को स्थानांतरित करने के लिए कोई अन्य उपलब्ध कनेक्शन नहीं होते हैं।

दोनों कनेक्शन साथियों के बीच विनिमय के लिए Cato IKEv1 और IKEv2 का समर्थन करता है। जब आप Cato प्रबंधन एप्लिकेशन में एक IPsec साइट बनाते हैं, तो अपना किनारे का उपकरण के मिलान के लिए समर्थित इंटरनेट कुंजी विनिमय संस्करण (IKEv1 या IKEv2) का चयन करें। यदि IKEv2 समर्थित है, तो आम तौर पर हम इसे उपयोग करने की सलाह देते हैं हालांकि, कुछ उपकरण ऐसे हैं जो Cato प्रबंधन एप्लिकेशन में उपलब्ध IKEv2 पैरामीटर का समर्थन नहीं करते हैं। उस स्थिति में, IKEv1 का उपयोग करें। उदाहरण के लिए, यदि आपकी फ़ायरवॉल AES CBC 256 एन्क्रिप्शन का समर्थन नहीं करती है, तो इसे अपनी IPsec कॉन्फ़िगरेशन में उपयोग न करें। IKEv1 और IKEv2 के बारे में अधिक जानकारी के लिए, देखें Cato IPsec गाइड: IKEv1 बनाम IKEv2

यदि आपके पास एक IKEv2 साइट सक्रिय है, तो हम अत्यधिक अनुशंसा करते हैं कि आप Cato द्वारा कनेक्शन प्रारंभ करें विकल्प चुनें। अधिकांश मामलों में, किनारे के उपकरणों को फिर से कनेक्ट करने के प्रयासों के बीच एक लंबे विलंब के साथ कॉन्फ़िगर किया जाता है। जब ये उपकरण कनेक्शन प्रारंभ करते हैं, तो VPN वार्ता प्रक्रिया में लंबा समय लगता है। विपरीत रूप से, जब Cato कनेक्शन प्रारंभ करता है, तो वार्ता बहुत तेजी से होती है।

निम्नलिखित स्क्रीनशॉट IKEv2 प्रारंभकर्ता विकल्प दिखाता है:

विभिन्न क्लाउड विक्रेता VPN के लिए IPsec कॉन्फ़िगरेशन असंगत हो सकते हैं। प्रत्येक क्लाउड विक्रेता (उदाहरण: Amazon AWS, Microsoft Azure या GCP) IPsec सुरंगों के लिए विभिन्न डिफ़ॉल्ट कॉन्फ़िगरेशन सेटिंग्स का उपयोग करता है। अपने क्लाउड विक्रेता की IPsec कॉन्फ़िगरेशन की जाँच करें और Cato IPsec साइट से मेल खाने वाली कॉन्फ़िगरेशन का उपयोग करें।

नोट: यदि आप डिफ़ॉल्ट क्लाउड IPsec सेटिंग्स बदलते हैं, तो Cato प्रबंधन अनुप्रयोग IPsec साइट सेटिंग्स में समान सेटिंग्स का उपयोग करना याद रखें।

उदाहरण के लिए, Azure PFS को अलग तरीके से संभालता है इस पर निर्भर करता है कि यह प्रारंभकर्ता है या Child SA (ESP SA) का प्रतिसादकर्ता है। जब यह प्रारंभकर्ता होता है, Azure डिफ़ॉल्ट रूप से DH समूह नहीं भेजता है। जब यह प्रतिसादकर्ता होता है, Azure साथी से DH समूह स्वीकार करता है। इसका अर्थ है यदि Cato प्रबंधन अनुप्रयोग के प्रमाणन संदेश पैरामीटर अनुभाग में एक DH समूह कॉन्फ़िगर किया गया है और Azure CREATE_CHILD_SA Exchange का उपयोग करके एक ESP SA बनाने का प्रयास करता है, तो Cato "कोई प्रस्ताव नहीं चुना" का उत्तर देता है और SA स्थापित होने में विफल होता है। हालांकि, यदि Cato CREATE_CHILD_SA Exchange आरंभ करता है और कॉन्फ़िगर किया गया DH समूह ऐसा है जिसे Azure एक प्रतिसादकर्ता के रूप में स्वीकार करता है, तो ESP SA स्थापित होता है। इसलिए, Azure के साथ अधिकतम संगतता सुनिश्चित करने के लिए, IKEv2 साइट कॉन्फ़िगरेशन के प्रमाणन संदेश पैरामीटर अनुभाग में DH समूह को कोई नहीं पर सेट करें या Azure में एक कस्टम नीति कॉन्फ़िगर करें जो Cato प्रबंधन अनुप्रयोग में कॉन्फ़िगर किए गए DH समूह के समान PFS समूह निर्दिष्ट करता है।

निम्नलिखित स्क्रीनशॉट Azure के कस्टम कॉन्फ़िगरेशन का एक उदाहरण दिखाता है:

Azure VPN पैरामीटर के बारे में अधिक जानकारी के लिए, VPN उपकरण और IPsec पैरामीटर के बारे में देखें।

Cato नेटवर्क आपको एन्क्रिप्शन, RPF और अखंडता एल्गोरिदम जैसे IKEv2 Init और प्रमाणन संदेश पैरामीटर के लिए स्वचालित पैरामीटर चुनने की अनुमति देता है। यदि आप स्वचालित कॉन्फ़िगरेशन का उपयोग करते समय कनेक्टिविटी या रूटिंग समस्याओं का सामना करते हैं, तो हम अनुशंसा करते हैं कि आप सटीक कॉन्फ़िगरेशन चुनें जो आपके किनारे के उपकरण सेटिंग्स से मेल खाता है और स्वचालित का उपयोग करने से बचें।

हालांकि, उन साइट्स के लिए जो एन्क्रिप्शन एल्गोरिथम (AES GCM 128 या AES GCM 256) के लिए GCM के साथ कॉन्फ़िगर की गई हैं, तो अखंडता एल्गोरिथम प्रासंगिक नहीं है क्योंकि GCM भी अखंडता प्रदान करता है। जब आप एक AES GCM एन्क्रिप्शन एल्गोरिथम चुनते हैं, तो अखंडता एल्गोरिथम स्वचालित पर सेट किया जाता है।