Guia IPsec da Cato: IKEv1 vs IKEv2

Melhores Práticas para Sites IPsec - Migrando para IKEv2

Em geral, a Cato recomenda que você use sites IPsec IKEv2 como uma prática recomendada. Algumas das melhorias com IKEv2 estão listadas abaixo:

  1. IKEv2 aumenta a eficiência ao reduzir o número de mensagens que devem ser trocadas para configurar um túnel VPN. Os túneis são configurados mais rapidamente e com menos largura de banda.

  2. IKEv2 é mais confiável. Há uma verificação de atividade integrada no IKEv2 para detectar quando o túnel cai.

  3. IKEv2 protege contra ataques DoS. Ao contrário do IKEv1, um respondedor IKEv2 não precisa realizar processamento significativo até que o iniciador prove que pode receber mensagens no seu Endereço IP anunciado.

  4. NAT-T é embutido. NAT-T, ou NAT Traversal, é necessário quando um ponto final de VPN está atrás de um roteador que realiza NAT. Túneis IPsec enviam dados usando o Encapsulating Security Payload (ESP) que não é compatível com NAT. Portanto, NAT-T é usado para encapsular os pacotes ESP em UDP, que então podem ser roteados via NAT.

Para mais informações sobre os benefícios de usar sites IPsec IKEv2, consulte RFC 4306.

Semelhanças Entre IKEv2 e IKEv1

Abaixo está uma comparação das configurações de strongSwan para túneis IKEv1 e IKEv2. strongSwan é uma solução IPsec de código aberto para vários sistemas operacionais, incluindo Windows e macOS.

IKEv1

IKEv2

conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev1
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret
conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev2
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret

A única diferença é um único número. Alterar o valor de keyexchange de ikev1 para ikev2 é suficiente para converter strongSwan de IKEv1 para IKEv2.

Nota: Você pode definir a Chave Pré-Compartilhada (PSK) IPSec de até 64 caracteres para ambos os sites IKEv1 e IKEv2.

Mudança de IKEv1 para IKEv2 no Aplicativo de Gerenciamento Cato

Os passos necessários para migrar de um túnel IKEv1 para IKEv2 estão listados abaixo.

Para migrar um site de um túnel IKEv1 para IKEv2:

  1. Na tela Rede > Sites, selecione o site que você quer mudar de IKEv1 para IKEv2.

  2. Na tela Rede > Sites > [Nome do Site] > Configurações do Site > Geral, na lista suspensa Tipo de Conexão, selecione IPsec IKEv2. A Faixa Nativa do site e outras redes são perdidas quando você altera o Tipo de Conexão.

    360002841277-image-0.png
  3. Na tela Rede > Sites > [Nome do Site] > Configurações do Site > Redes, insira a Faixa Nativa e quaisquer outras redes remotas. Estes são os seletores de tráfego remotos.

  4. Na tela Rede > Sites > [Nome do Site] > Configurações do Site > IPsec, na seção Principal, selecione o Cato IP (Saída) e insira o IP do Site do gateway VPN remoto.

    360002920918-image-1.png
  5. Insira a PSK no campo Senha sob Chave Primária.

    360002841297-image-2.png
  6. Expanda a seção Roteamento, adicione a opção de roteamento para o site sob Faixas de Rede. Essas devem ser todas redes já configuradas em outros sites conectados à Cato ou ao intervalo VPN da Cato.

    360002841317-image-3.png
  7. Selecione a caixa de seleção Iniciar Conexão por Cato para que a Cato inicie a conexão VPN. Esta configuração é opcional, mas recomendada porque o gateway VPN remoto pode não estar configurado para iniciar a conexão.

  8. (Opcional) Expanda a Seção de Parâmetros da Mensagem de Inicialização e configure as configurações. Como a maioria das soluções que suportam IPsec IKEv2 implementa a negociação automática dos seguintes parâmetros Init e Auth, Cato recomenda configurá-los como Automático, a menos que seja especificamente instruído pelo seu fornecedor de Firewall.

    Você deve ter notado que os parâmetros da mensagem Init e Auth são quase idênticos aos parâmetros de Fase 1 e Fase 2 em IKEv1, mas há uma opção para configurar Algoritmo de PRF e Integridade no IKEv2. A maioria dos fornecedores não suporta algoritmos de PRF e integridade diferentes, então, em caso de dúvida, defina-os como Automático ou certifique-se de que estão configurados com o mesmo valor.

  9. Clique em Salvar.

IKEv2: A Fronteira Final

Hoje em dia, realmente há apenas um motivo para festejar como se fosse 1999, ou para ser preciso, 1998, quando o IKEv1 foi definido pela primeira vez pela IETF: se pelo menos um lado da conexão VPN estiver terminando em um dispositivo legado que só suporte IKEv1. Os principais provedores de nuvem (AWS, GCP, Azure, Alibaba Cloud) suportam IKEv2. Então, a menos que você esteja se conectando a um ponto final de VPN mais antigo, o IKEv2 deve ser sua primeira escolha ao configurar túneis VPN.

Esse artigo foi útil?

Usuários que acharam isso útil: 3 de 3

0 comentário