Руководство Cato IPsec: IKEv1 vs IKEv2

Лучшие практики для сайтов IPsec - переход на IKEv2

В общем, Cato рекомендует использовать сайты IPsec IKEv2 как лучшие практики. Некоторые улучшения с IKEv2 приведены ниже:

  1. IKEv2 увеличивает эффективность за счёт уменьшения количества сообщений, которые необходимо обменять для установки VPN-туннеля. Туннели настраиваются быстрее и с меньшей пропускной способностью.

  2. IKEv2 более надёжен. В IKEv2 встроена проверка активности для обнаружения, когда туннель перестаёт работать.

  3. IKEv2 защищает от атак DoS. В отличие от IKEv1, отвечающий на запрос IKEv2 не обязан выполнять значительную обработку до тех пор, пока инициатор не докажет, что он может принимать сообщения на свой объявленный IP-адрес.

  4. NAT-T встроен. NAT-T или NAT Traversal требуется, когда VPN-узел находится за маршрутизатором, который выполняет NAT. Туннели IPsec отправляют данные с использованием Encapsulating Security Payload (ESP), который несовместим с NAT. Поэтому NAT-T используется для инкапсуляции пакетов ESP в UDP, которые могут быть маршрутизированы через NAT.

Для получения дополнительной информации о преимуществах использования сайтов IPsec IKEv2 см. RFC 4306.

Сходства между IKEv2 и IKEv1

Ниже приведено сравнение конфигураций strongSwan для туннелей IKEv1 и IKEv2. strongSwan — это открытое IPsec-решение для множества операционных систем, включая Windows и macOS.

IKEv1

IKEv2

 
conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev1
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret
 
conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev2
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret

Единственное различие — это одно число. Чтобы преобразовать strongSwan с IKEv1 на IKEv2, достаточно изменить значение keyexchange с ikev1 на ikev2.

Примечание: Вы можете установить предварительно общий ключ IPsec (PSK) до 64 символов как для сайтов IKEv1, так и для IKEv2.

Переход с IKEv1 на IKEv2 в Приложении управления Cato

Шаги, необходимые для перехода с туннеля IKEv1 на IKEv2, перечислены ниже.

Чтобы перенести сайт с туннеля IKEv1 на IKEv2:

  1. На экране Сеть > Сайты выберите сайт, который вы хотите переключить с IKEv1 на IKEv2.

  2. На экране Сеть > Сайты > [название сайта] > Настройки сайта > Общие настройки выберите в выпадающем списке Тип соединения вариант IPsec IKEv2. Собственный диапазон сайта и другие сети теряются при изменении Типа соединения.

    360002841277-image-0.png

  3. На экране Сеть > Сайты > [название сайта] > Настройки сайта > Сети введите Собственный диапазон и любые другие удалённые сети. Это удалённые селекторы трафика.

  4. На экране Сеть > Площадки > [название сайта] > Настройки Сайта > IPsec, в разделе Основной, выберите Cato IP (Исходящий) и введите IP-адрес сайта удаленного VPN шлюза.

    360002920918-image-1.png

  5. Введите ключ предварительного общего ключа (PSK) в поле Пароль под Основной секретный ключ.

    360002841297-image-2.png

  6. Разверните раздел Маршрутизация, добавьте опцию маршрутизации для сайта под Диапазоны сети. Это должны быть все сети, уже настроенные на других сайтах, подключенных к Cato, или диапазон Cato VPN.

    360002841317-image-3.png

  7. Выберите флажок Инициировать соединение Cato, чтобы Cato инициировала VPN соединение. Эта конфигурация не обязательна, но рекомендуется, поскольку удаленный VPN шлюз может быть не настроен для установления соединения.

  8. (Опционально) Разверните раздел Параметры сообщения инициализации и настройте настройки. Поскольку большинство решений, поддерживающих IPsec IKEv2, реализуют автоматическое согласование следующих параметров инициализации и аутентификации, Cato рекомендует оставить их на "Автоматический", если ваш поставщик брандмауэра не указал иное.

    Вы могли заметить, что параметры сообщения инициализации и аутентификации почти идентичны параметрам Фазы 1 и Фазы 2 в IKEv1, но в IKEv2 есть опции конфигурации как PRF, так и алгоритма целостности. Большинство поставщиков не поддерживает разные алгоритмы PRF и целостности, поэтому при сомнениях установите их на "Автоматически" или убедитесь, что они имеют одно и то же значение.

  9. Нажмите Сохранить.

IKEv2: Последняя граница

В наши дни есть только одна причина праздновать как в 1999 году, а точнее, в 1998 году, когда IETF впервые определил IKEv1: если хотя бы одна сторона VPN соединения завершается на устаревшем устройстве, которое поддерживает только IKEv1. Основные облачные провайдеры (AWS, GCP, Azure, Alibaba Cloud) поддерживают IKEv2. Поэтому, если вы не подключаетесь к более старому VPN-узлу, IKEv2 должен быть вашим первым выбором при настройке VPN туннелей.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев