O negocjacjach IPSec VPN (2024)

Table of Contents
Faza 1 Negocjacje Faza 2 Negocjacje

Urządzenia na obu końcach tunelu IPSec VPN są urządzeniami równorzędnymi IPSec. Aby zbudować tunel VPN, partnerzy IPSec wymieniają serię komunikatów dotyczących szyfrowania i uwierzytelniania oraz próbują uzgodnić wiele różnych parametrów. Ten proces jest znany jako negocjacje VPN. Jedno urządzenie w sekwencji negocjacji jest inicjatorem, a drugie urządzeniem odpowiadającym.

Negocjacje VPN odbywają się w dwóch odrębnych fazach:Faza 1IFaza 2.

Faza 1

Głównym celem fazy 1 jest ustanowienie bezpiecznego, zaszyfrowanego kanału, za pośrednictwem którego dwaj partnerzy mogą negocjować fazę 2. Po pomyślnym zakończeniu fazy 1 uczestnicy szybko przechodzą do negocjacji fazy 2. Jeśli faza 1 zakończy się niepowodzeniem, urządzenia nie będą mogły rozpocząć fazy 2.

Faza 2

Celem negocjacji fazy 2 jest uzgodnienie przez dwóch partnerów zestawu parametrów, które określają, jaki ruch może przechodzić przez VPN oraz jak szyfrować i uwierzytelniać ruch. Ta umowa nosi nazwę Stowarzyszenia zabezpieczeń.

Konfiguracje fazy 1 i fazy 2 muszą być zgodne dla urządzeń na obu końcach tunelu.

See Also
What's the difference between GRE and IPsec tunnels? | TechTargetAggressive mode - VPN and IPSec tutorialQuick Mode - Configure IPSec Tunnel, VPN guideIKE VPN Vulnerability in Aggressive Mode — Raxis

Faza 1 Negocjacje

W fazie 1 negocjacji dwa urządzenia bramy sieci VPN wymieniają poświadczenia. Urządzenia identyfikują się nawzajem i negocjują, aby znaleźć wspólny zestaw ustawień fazy 1 do użycia. Po zakończeniu negocjacji fazy 1 oba urządzenia mają skojarzenie zabezpieczeń fazy 1 (SA). To SA jest ważne przez określony czas. Jeśli dwie bramy sieci VPN nie zakończą negocjacji w fazie 2 przed wygaśnięciem SA w fazie 1, muszą ponownie zakończyć negocjacje w fazie 1.

Proces negocjacji fazy 1 zależy od wersji IKE używanej przez punkty końcowe bramy. IKE uwierzytelnia elementy równorzędne IPSec i negocjuje zabezpieczenia IKE w tej fazie, tworząc bezpieczny kanał komunikacyjny do negocjowania zabezpieczeń IPSec w fazie 2.

Negocjacje fazy 1 obejmują następujące kroki:

  1. Urządzenia zgadzają się co do używanej wersji IKE (IKEv1 lub IKEv2). Każde urządzenie może korzystać z IKEv1 lub IKEv2. Wersja IKE dla obu urządzeń musi być taka sama.
  2. Urządzenia wymieniają się danymi uwierzytelniającymi.

    Poświadczenia mogą być certyfikatem lub kluczem wstępnym. Oba punkty końcowe bramy muszą używać tej samej metody poświadczeń, a poświadczenia muszą być zgodne.

  3. Urządzenia identyfikują się nawzajem.

    Każde urządzenie zapewnia identyfikator fazy 1, którym może być adres IP, nazwa domeny, informacje o domenie lub nazwa X500. Konfiguracja VPN na każdym urządzeniu określa identyfikator fazy 1 urządzenia lokalnego i zdalnego. Konfiguracje muszą się zgadzać.

  4. W przypadku IKEv1 bramy VPN decydują, czy użyć trybu głównego, czy trybu agresywnego do negocjacji w fazie 1.

    Brama sieci VPN, która rozpoczyna negocjacje IKE, wysyła propozycję trybu głównego lub propozycję trybu agresywnego. Druga brama VPN może odrzucić propozycję, jeśli nie jest skonfigurowana do korzystania z tego trybu.

  • Tryb główny zapewnia tożsamość obu bram VPN, ale można go używać tylko wtedy, gdy oba urządzenia mają statyczny adres IP. Tryb główny sprawdza adres IP i identyfikator bramy.
  • Tryb agresywny jest szybszy, ale mniej bezpieczny niż tryb główny, ponieważ wymaga mniejszej liczby wymian między dwiema bramami VPN. W trybie agresywnym wymiana opiera się głównie na typach identyfikatorów używanych w wymianie przez obie bramy VPN. Tryb agresywny nie zapewnia tożsamości bramy VPN. Luka w zabezpieczeniach trybu agresywnego IKEv1 opisana w CVE-2002-1623 oznacza, że ​​tryb agresywny jest mniej bezpieczny niż tryb główny, chyba że skonfigurujesz certyfikat.
  1. Bramy VPN uzgadniają parametry fazy 1.
  • Czy używać przechodzenia przez NAT
  • Czy używać IKE Keep-Alive (tylko między Fireboxami)
  • Czy używać wykrywania martwego punktu równorzędnego (RFC 3706)

IKE Keep-Alive to przestarzałe ustawienie. Zamiast tego polecamy DPD.

See Also
Transport and Tunnel Modes in IPsec

W przypadku IKEv2 NAT Traversal i DPD są zawsze włączone, a IKE Keep-Alive nie jest obsługiwane.

  1. Bramy VPN uzgadniają ustawienia transformacji fazy 1. Ustawienia w fazie 1 transformacji na każdym urządzeniu IPSec muszą dokładnie pasować, w przeciwnym razie negocjacje IKE zakończą się niepowodzeniem.

Elementy, które możesz ustawić w fazie 1 transformacji to:

  • Uwierzytelnianie— Typ uwierzytelnienia (SHA-2, SHA-1 lub MD5)
  • Szyfrowanie— Typ algorytmu szyfrowania (DES, 3DES lub AES) i długość klucza
  • W życiu— Czas do wygaśnięcia powiązania zabezpieczeń fazy 1
  • Grupa kluczy— Kluczowa grupa Diffiego-Hellmana

SHA-2 nie jest obsługiwany w XTM21, 22, 23,505, 510, 520, 530, 515, 525, 535, 545, 810, 820, 830, 1050 i 2050 urządzeń. Sprzętowa akceleracja kryptograficzna w tych modelach nie obsługuje SHA-2. Wszystkie inne modele obsługują SHA-2.

Faza 2 Negocjacje

Gdy dwie bramy IPSec VPN pomyślnie zakończą negocjacje w fazie 1, rozpoczynają się negocjacje w fazie 2. Celem negocjacji Fazy 2 jest ustanowienie SA Fazy 2 (czasami nazywanej IPSec SA). IPSec SA to zestaw specyfikacji ruchu, który mówi urządzeniu, jaki ruch ma być wysyłany przez VPN oraz jak szyfrować i uwierzytelniać ten ruch.

Negocjacje fazy 2 obejmują następujące kroki:

  1. Bramy VPN używają zabezpieczenia fazy 1 do zabezpieczenia negocjacji fazy 2. Bramy VPN uzgadniają, czy używać funkcji Perfect Forward Secrecy (PFS).

    Klucze szyfrowania VPN są zmieniane w odstępach czasu określonych przezWymuś wygaśnięcie kluczaustawienie. Interwał wynosi domyślnie osiem godzin. Aby uniemożliwić SA używanie kluczy fazy 1 dla fazy 2, PFS wymusza wykonanie obliczeń DH po raz drugi. Oznacza to, że Faza 1 i Faza 2 zawsze mają różne klucze, co jest trudniejsze do złamania, chyba że wybierzesz grupę DH niższą niż 14.
    Zalecamy korzystanie z PFS w celu zapewnienia bezpieczeństwa danych. Jeśli chcesz używać PFS, musi być włączony w obu bramach VPN, a obie bramy muszą używać tych samych grup kluczy Diffie-Hellmana.

  1. Bramy VPN zgadzają się na propozycję fazy 2.

    Propozycja fazy 2 obejmuje algorytm używany do uwierzytelniania danych, algorytm używany do szyfrowania danych oraz częstotliwość tworzenia nowych kluczy szyfrowania fazy 2.

    Pozycje, które możesz ustawić w propozycji fazy 2, obejmują:

  • Typ— W przypadku ręcznego BOVPN można wybrać typ używanego protokołu: Authentication Header (AH) lub Encapsulating Security Payload (ESP). Zarówno AH, jak i ESP szyfrują dane i chronią przed fałszowaniem i manipulacją pakietami (wykrywanie powtórek). Zalecamy używanie ESP, ponieważ możesz chronić się przed fałszowaniem na inne sposoby. Zarządzane sieci BOVPN, mobilna sieć VPN z IKEv2, mobilna sieć VPN z IPSec i mobilna sieć VPN z L2TP zawsze używają ESP.

Proces uwierzytelniania IPSec sprawdza kolejność zaszyfrowanych pakietów, aby zapobiec atakom polegającym na powtórce. Rozmiar okna zapobiegającego powtórkom dla połączeń VPN jest ustalony na 32 pakiety i nie można go modyfikować. W oprogramowaniu Fireware w wersji 12.2 lub nowszej można wyłączyć funkcję zapobiegającą odtwarzaniu w interfejsie wiersza poleceń (CLI) Fireware, aby rozwiązać problemy z połączeniem. Jeśli wyłączysz funkcję zapobiegającą powtórkom, będziesz podatny na ataki powtórkowe. Aby uzyskać więcej informacji, zobaczzdiagnozować VPNkomenda wFireware CLIRreference Guide.

  • Uwierzytelnianie— Uwierzytelnianie zapewnia, że ​​otrzymane informacje są dokładnie takie same, jak informacje wysłane. Możesz użyć algorytmu SHA-1, SHA-2 lub MD5 jako algorytmu używanego przez bramy sieci VPN do wzajemnego uwierzytelniania wiadomości IKE. SHA-2 to jedyna bezpieczna opcja.
  • Szyfrowanie— Szyfrowanie zapewnia poufność danych. Możesz wybrać DES, 3DES, AES lub AES-GCM. Warianty AES i AES-GCM to jedyne bezpieczne opcje.
  • Wymuś wygaśnięcie klucza— Aby upewnić się, że klucze szyfrowania fazy 2 zmieniają się okresowo, określ okres ważności klucza. Ustawienie domyślne to 8 godzin. Im dłużej używany jest klucz szyfrowania fazy 2, tym więcej danych osoba atakująca może zebrać w celu przeprowadzenia ataku na ten klucz. Zalecamy, aby nie wybierać opcjiRuch drogowyopcja, ponieważ powoduje wysokie obciążenie Fireboxa, problemy z przepustowością, utratę pakietów i częste, przypadkowe przerwy w działaniu. TheRuch drogowyopcja nie działa z większością urządzeń innych firm.

  1. Bramy VPN wymieniają selektory ruchu fazy 2 (trasy tunelowe).

    Możesz określić selektory ruchu fazy 2 dla lokalnej i zdalnej bramy VPN jako adres IP hosta, adres IP sieci lub zakres adresów IP. Selektory ruchu fazy 2 są zawsze wysyłane jako para w propozycji fazy 2: jeden wskazuje, które adresy IP za urządzeniem lokalnym mogą wysyłać ruch przez VPN, a drugi wskazuje, które adresy IP za zdalnym urządzeniem mogą wysyłać ruch przez VPN. Jest to również znane jako trasa tunelowa.

Zobacz też

Jak działają sieci VPN IPSec

©2023WatchGuard Technologies, Inc. Wszelkie prawa zastrzeżone. WatchGuard i logo WatchGuard są zastrzeżonymi znakami towarowymi lub znakami towarowymi firmy WatchGuard Technologies w Stanach Zjednoczonych i innych krajach. Różne inne znaki towarowe są własnością ich odpowiednich właścicieli.

O negocjacjach IPSec VPN (2024)
Top Articles
When it comes to data on your phone, deleting a text isn't the end of the story
Tracker Meaning & Definition | Brave
Www.att
Chessie Federal Credit Union Online Banking
Latest Posts
Night Vision Drone: Most Comprehensive Guide in 2023
When Does Debt Fall Off Your Credit Report? | Bankrate
Article information

Author: Maia Crooks Jr

Last Updated:

Views: 6295

Rating: 4.2 / 5 (63 voted)

Reviews: 86% of readers found this page helpful

Author information

Name: Maia Crooks Jr

Birthday: 1997-09-21

Address: 93119 Joseph Street, Peggyfurt, NC 11582

Phone: +2983088926881

Job: Principal Design Liaison

Hobby: Web surfing, Skiing, role-playing games, Sketching, Polo, Sewing, Genealogy

Introduction: My name is Maia Crooks Jr, I am a homely, joyous, shiny, successful, hilarious, thoughtful, joyous person who loves writing and wants to share my knowledge and understanding with you.