Em geral, a Cato recomenda que você use sites IPsec IKEv2 como uma prática recomendada. Algumas das melhorias com IKEv2 estão listadas abaixo:
-
IKEv2 aumenta a eficiência ao reduzir o número de mensagens que devem ser trocadas para configurar um túnel VPN. Os túneis são configurados mais rapidamente e com menos largura de banda.
-
IKEv2 é mais confiável. Há uma verificação de atividade integrada no IKEv2 para detectar quando o túnel cai.
-
IKEv2 protege contra ataques DoS. Ao contrário do IKEv1, um respondedor IKEv2 não precisa realizar processamento significativo até que o iniciador prove que pode receber mensagens no seu Endereço IP anunciado.
-
NAT-T é embutido. NAT-T, ou NAT Traversal, é necessário quando um ponto final de VPN está atrás de um roteador que realiza NAT. Túneis IPsec enviam dados usando o Encapsulating Security Payload (ESP) que não é compatível com NAT. Portanto, NAT-T é usado para encapsular os pacotes ESP em UDP, que então podem ser roteados via NAT.
Para mais informações sobre os benefícios de usar sites IPsec IKEv2, consulte RFC 4306.
Abaixo está uma comparação das configurações de strongSwan para túneis IKEv1 e IKEv2. strongSwan é uma solução IPsec de código aberto para vários sistemas operacionais, incluindo Windows e macOS.
IKEv1 |
IKEv2 |
conn cato-vpn auto=add compress=no type=tunnel keyexchange=ikev1 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024 esp=aes256-sha1 dpdaction=clear dpddelay=300s rekey=no left=172.16.1.62 leftid=54.183.180.107 leftsubnet=172.16.1.0/24 right=45.62.177.115 rightid=45.62.177.115 rightsubnet=172.17.3.0/24 authby=secret |
conn cato-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024 esp=aes256-sha1 dpdaction=clear dpddelay=300s rekey=no left=172.16.1.62 leftid=54.183.180.107 leftsubnet=172.16.1.0/24 right=45.62.177.115 rightid=45.62.177.115 rightsubnet=172.17.3.0/24 authby=secret |
A única diferença é um único número. Alterar o valor de keyexchange de ikev1 para ikev2 é suficiente para converter strongSwan de IKEv1 para IKEv2.
Nota: Você pode definir a Chave Pré-Compartilhada (PSK) IPSec de até 64 caracteres para ambos os sites IKEv1 e IKEv2.
Os passos necessários para migrar de um túnel IKEv1 para IKEv2 estão listados abaixo.
Para migrar um site de um túnel IKEv1 para IKEv2:
-
Na tela Rede > Sites, selecione o site que você quer mudar de IKEv1 para IKEv2.
-
Na tela Rede > Sites > [Nome do Site] > Configurações do Site > Geral, na lista suspensa Tipo de Conexão, selecione IPsec IKEv2. A Faixa Nativa do site e outras redes são perdidas quando você altera o Tipo de Conexão.
-
Na tela Rede > Sites > [Nome do Site] > Configurações do Site > Redes, insira a Faixa Nativa e quaisquer outras redes remotas. Estes são os seletores de tráfego remotos.
-
Na tela Rede > Sites > [Nome do Site] > Configurações do Site > IPsec, na seção Principal, selecione o Cato IP (Saída) e insira o IP do Site do gateway VPN remoto.
-
Insira a PSK no campo Senha sob Chave Primária.
-
Expanda a seção Roteamento, adicione a opção de roteamento para o site sob Faixas de Rede. Essas devem ser todas redes já configuradas em outros sites conectados à Cato ou ao intervalo VPN da Cato.
-
Selecione a caixa de seleção Iniciar Conexão por Cato para que a Cato inicie a conexão VPN. Esta configuração é opcional, mas recomendada porque o gateway VPN remoto pode não estar configurado para iniciar a conexão.
-
(Opcional) Expanda a Seção de Parâmetros da Mensagem de Inicialização e configure as configurações. Como a maioria das soluções que suportam IPsec IKEv2 implementa a negociação automática dos seguintes parâmetros Init e Auth, Cato recomenda configurá-los como Automático, a menos que seja especificamente instruído pelo seu fornecedor de Firewall.
Você deve ter notado que os parâmetros da mensagem Init e Auth são quase idênticos aos parâmetros de Fase 1 e Fase 2 em IKEv1, mas há uma opção para configurar Algoritmo de PRF e Integridade no IKEv2. A maioria dos fornecedores não suporta algoritmos de PRF e integridade diferentes, então, em caso de dúvida, defina-os como Automático ou certifique-se de que estão configurados com o mesmo valor.
-
Clique em Salvar.
Hoje em dia, realmente há apenas um motivo para festejar como se fosse 1999, ou para ser preciso, 1998, quando o IKEv1 foi definido pela primeira vez pela IETF: se pelo menos um lado da conexão VPN estiver terminando em um dispositivo legado que só suporte IKEv1. Os principais provedores de nuvem (AWS, GCP, Azure, Alibaba Cloud) suportam IKEv2. Então, a menos que você esteja se conectando a um ponto final de VPN mais antigo, o IKEv2 deve ser sua primeira escolha ao configurar túneis VPN.
0 comentário
Por favor, entre para comentar.