O negocjacjach IPSec VPN (2024)

Table of Contents
Faza 1 Negocjacje Faza 2 Negocjacje FAQs

Urządzenia na obu końcach tunelu IPSec VPN są urządzeniami równorzędnymi IPSec. Aby zbudować tunel VPN, partnerzy IPSec wymieniają serię komunikatów dotyczących szyfrowania i uwierzytelniania oraz próbują uzgodnić wiele różnych parametrów. Ten proces jest znany jako negocjacje VPN. Jedno urządzenie w sekwencji negocjacji jest inicjatorem, a drugie urządzeniem odpowiadającym.

Negocjacje VPN odbywają się w dwóch odrębnych fazach:Faza 1IFaza 2.

Faza 1

Głównym celem fazy 1 jest ustanowienie bezpiecznego, zaszyfrowanego kanału, za pośrednictwem którego dwaj partnerzy mogą negocjować fazę 2. Po pomyślnym zakończeniu fazy 1 uczestnicy szybko przechodzą do negocjacji fazy 2. Jeśli faza 1 zakończy się niepowodzeniem, urządzenia nie będą mogły rozpocząć fazy 2.

Faza 2

Celem negocjacji fazy 2 jest uzgodnienie przez dwóch partnerów zestawu parametrów, które określają, jaki ruch może przechodzić przez VPN oraz jak szyfrować i uwierzytelniać ruch. Ta umowa nosi nazwę Stowarzyszenia zabezpieczeń.

Konfiguracje fazy 1 i fazy 2 muszą być zgodne dla urządzeń na obu końcach tunelu.

See Also
What's the difference between GRE and IPsec tunnels? | TechTargetAggressive mode - VPN and IPSec tutorialIKE VPN Vulnerability in Aggressive Mode — RaxisQuick Mode - Configure IPSec Tunnel, VPN guide

Faza 1 Negocjacje

W fazie 1 negocjacji dwa urządzenia bramy sieci VPN wymieniają poświadczenia. Urządzenia identyfikują się nawzajem i negocjują, aby znaleźć wspólny zestaw ustawień fazy 1 do użycia. Po zakończeniu negocjacji fazy 1 oba urządzenia mają skojarzenie zabezpieczeń fazy 1 (SA). To SA jest ważne przez określony czas. Jeśli dwie bramy sieci VPN nie zakończą negocjacji w fazie 2 przed wygaśnięciem SA w fazie 1, muszą ponownie zakończyć negocjacje w fazie 1.

Proces negocjacji fazy 1 zależy od wersji IKE używanej przez punkty końcowe bramy. IKE uwierzytelnia elementy równorzędne IPSec i negocjuje zabezpieczenia IKE w tej fazie, tworząc bezpieczny kanał komunikacyjny do negocjowania zabezpieczeń IPSec w fazie 2.

Negocjacje fazy 1 obejmują następujące kroki:

  1. Urządzenia zgadzają się co do używanej wersji IKE (IKEv1 lub IKEv2). Każde urządzenie może korzystać z IKEv1 lub IKEv2. Wersja IKE dla obu urządzeń musi być taka sama.
  2. Urządzenia wymieniają się danymi uwierzytelniającymi.

    Poświadczenia mogą być certyfikatem lub kluczem wstępnym. Oba punkty końcowe bramy muszą używać tej samej metody poświadczeń, a poświadczenia muszą być zgodne.

  3. Urządzenia identyfikują się nawzajem.

    Każde urządzenie zapewnia identyfikator fazy 1, którym może być adres IP, nazwa domeny, informacje o domenie lub nazwa X500. Konfiguracja VPN na każdym urządzeniu określa identyfikator fazy 1 urządzenia lokalnego i zdalnego. Konfiguracje muszą się zgadzać.

  4. W przypadku IKEv1 bramy VPN decydują, czy użyć trybu głównego, czy trybu agresywnego do negocjacji w fazie 1.

    Brama sieci VPN, która rozpoczyna negocjacje IKE, wysyła propozycję trybu głównego lub propozycję trybu agresywnego. Druga brama VPN może odrzucić propozycję, jeśli nie jest skonfigurowana do korzystania z tego trybu.

  • Tryb główny zapewnia tożsamość obu bram VPN, ale można go używać tylko wtedy, gdy oba urządzenia mają statyczny adres IP. Tryb główny sprawdza adres IP i identyfikator bramy.
  • Tryb agresywny jest szybszy, ale mniej bezpieczny niż tryb główny, ponieważ wymaga mniejszej liczby wymian między dwiema bramami VPN. W trybie agresywnym wymiana opiera się głównie na typach identyfikatorów używanych w wymianie przez obie bramy VPN. Tryb agresywny nie zapewnia tożsamości bramy VPN. Luka w zabezpieczeniach trybu agresywnego IKEv1 opisana w CVE-2002-1623 oznacza, że ​​tryb agresywny jest mniej bezpieczny niż tryb główny, chyba że skonfigurujesz certyfikat.
  1. Bramy VPN uzgadniają parametry fazy 1.
  • Czy używać przechodzenia przez NAT
  • Czy używać IKE Keep-Alive (tylko między Fireboxami)
  • Czy używać wykrywania martwego punktu równorzędnego (RFC 3706)

IKE Keep-Alive to przestarzałe ustawienie. Zamiast tego polecamy DPD.

See Also
Transport and Tunnel Modes in IPsec

W przypadku IKEv2 NAT Traversal i DPD są zawsze włączone, a IKE Keep-Alive nie jest obsługiwane.

  1. Bramy VPN uzgadniają ustawienia transformacji fazy 1. Ustawienia w fazie 1 transformacji na każdym urządzeniu IPSec muszą dokładnie pasować, w przeciwnym razie negocjacje IKE zakończą się niepowodzeniem.

Elementy, które możesz ustawić w fazie 1 transformacji to:

  • Uwierzytelnianie— Typ uwierzytelnienia (SHA-2, SHA-1 lub MD5)
  • Szyfrowanie— Typ algorytmu szyfrowania (DES, 3DES lub AES) i długość klucza
  • W życiu— Czas do wygaśnięcia powiązania zabezpieczeń fazy 1
  • Grupa kluczy— Kluczowa grupa Diffiego-Hellmana

SHA-2 nie jest obsługiwany w XTM21, 22, 23,505, 510, 520, 530, 515, 525, 535, 545, 810, 820, 830, 1050 i 2050 urządzeń. Sprzętowa akceleracja kryptograficzna w tych modelach nie obsługuje SHA-2. Wszystkie inne modele obsługują SHA-2.

Faza 2 Negocjacje

Gdy dwie bramy IPSec VPN pomyślnie zakończą negocjacje w fazie 1, rozpoczynają się negocjacje w fazie 2. Celem negocjacji Fazy 2 jest ustanowienie SA Fazy 2 (czasami nazywanej IPSec SA). IPSec SA to zestaw specyfikacji ruchu, który mówi urządzeniu, jaki ruch ma być wysyłany przez VPN oraz jak szyfrować i uwierzytelniać ten ruch.

Negocjacje fazy 2 obejmują następujące kroki:

  1. Bramy VPN używają zabezpieczenia fazy 1 do zabezpieczenia negocjacji fazy 2. Bramy VPN uzgadniają, czy używać funkcji Perfect Forward Secrecy (PFS).

    Klucze szyfrowania VPN są zmieniane w odstępach czasu określonych przezWymuś wygaśnięcie kluczaustawienie. Interwał wynosi domyślnie osiem godzin. Aby uniemożliwić SA używanie kluczy fazy 1 dla fazy 2, PFS wymusza wykonanie obliczeń DH po raz drugi. Oznacza to, że Faza 1 i Faza 2 zawsze mają różne klucze, co jest trudniejsze do złamania, chyba że wybierzesz grupę DH niższą niż 14.
    Zalecamy korzystanie z PFS w celu zapewnienia bezpieczeństwa danych. Jeśli chcesz używać PFS, musi być włączony w obu bramach VPN, a obie bramy muszą używać tych samych grup kluczy Diffie-Hellmana.

  1. Bramy VPN zgadzają się na propozycję fazy 2.

    Propozycja fazy 2 obejmuje algorytm używany do uwierzytelniania danych, algorytm używany do szyfrowania danych oraz częstotliwość tworzenia nowych kluczy szyfrowania fazy 2.

    Pozycje, które możesz ustawić w propozycji fazy 2, obejmują:

  • Typ— W przypadku ręcznego BOVPN można wybrać typ używanego protokołu: Authentication Header (AH) lub Encapsulating Security Payload (ESP). Zarówno AH, jak i ESP szyfrują dane i chronią przed fałszowaniem i manipulacją pakietami (wykrywanie powtórek). Zalecamy używanie ESP, ponieważ możesz chronić się przed fałszowaniem na inne sposoby. Zarządzane sieci BOVPN, mobilna sieć VPN z IKEv2, mobilna sieć VPN z IPSec i mobilna sieć VPN z L2TP zawsze używają ESP.

Proces uwierzytelniania IPSec sprawdza kolejność zaszyfrowanych pakietów, aby zapobiec atakom polegającym na powtórce. Rozmiar okna zapobiegającego powtórkom dla połączeń VPN jest ustalony na 32 pakiety i nie można go modyfikować. W oprogramowaniu Fireware w wersji 12.2 lub nowszej można wyłączyć funkcję zapobiegającą odtwarzaniu w interfejsie wiersza poleceń (CLI) Fireware, aby rozwiązać problemy z połączeniem. Jeśli wyłączysz funkcję zapobiegającą powtórkom, będziesz podatny na ataki powtórkowe. Aby uzyskać więcej informacji, zobaczzdiagnozować VPNkomenda wFireware CLIRreference Guide.

  • Uwierzytelnianie— Uwierzytelnianie zapewnia, że ​​otrzymane informacje są dokładnie takie same, jak informacje wysłane. Możesz użyć algorytmu SHA-1, SHA-2 lub MD5 jako algorytmu używanego przez bramy sieci VPN do wzajemnego uwierzytelniania wiadomości IKE. SHA-2 to jedyna bezpieczna opcja.
  • Szyfrowanie— Szyfrowanie zapewnia poufność danych. Możesz wybrać DES, 3DES, AES lub AES-GCM. Warianty AES i AES-GCM to jedyne bezpieczne opcje.
  • Wymuś wygaśnięcie klucza— Aby upewnić się, że klucze szyfrowania fazy 2 zmieniają się okresowo, określ okres ważności klucza. Ustawienie domyślne to 8 godzin. Im dłużej używany jest klucz szyfrowania fazy 2, tym więcej danych osoba atakująca może zebrać w celu przeprowadzenia ataku na ten klucz. Zalecamy, aby nie wybierać opcjiRuch drogowyopcja, ponieważ powoduje wysokie obciążenie Fireboxa, problemy z przepustowością, utratę pakietów i częste, przypadkowe przerwy w działaniu. TheRuch drogowyopcja nie działa z większością urządzeń innych firm.

  1. Bramy VPN wymieniają selektory ruchu fazy 2 (trasy tunelowe).

    Możesz określić selektory ruchu fazy 2 dla lokalnej i zdalnej bramy VPN jako adres IP hosta, adres IP sieci lub zakres adresów IP. Selektory ruchu fazy 2 są zawsze wysyłane jako para w propozycji fazy 2: jeden wskazuje, które adresy IP za urządzeniem lokalnym mogą wysyłać ruch przez VPN, a drugi wskazuje, które adresy IP za zdalnym urządzeniem mogą wysyłać ruch przez VPN. Jest to również znane jako trasa tunelowa.

Zobacz też

Jak działają sieci VPN IPSec

©2023WatchGuard Technologies, Inc. Wszelkie prawa zastrzeżone. WatchGuard i logo WatchGuard są zastrzeżonymi znakami towarowymi lub znakami towarowymi firmy WatchGuard Technologies w Stanach Zjednoczonych i innych krajach. Różne inne znaki towarowe są własnością ich odpowiednich właścicieli.

O negocjacjach IPSec VPN (2024)

FAQs

What is the IPSec VPN? ›

An IPSec VPN is a VPN software that uses the IPSec protocol to create encrypted tunnels on the internet. It provides end-to-end encryption, which means data is scrambled at the computer and unscrambled at the receiving server.

Read On
What is IPSec negotiation? ›

When two IPSec peers want to make a VPN between them, they exchange a series of messages about encryption and authentication, and attempt to agree on many different parameters. This process is known as VPN negotiations. One device in the negotiation sequence is the initiator and the other device is the responder.

Discover More Details
Is IPSec a good VPN? ›

IPsec is secure because it adds encryption* and authentication to this process. *Encryption is the process of concealing information by mathematically altering data so that it appears random. In simpler terms, encryption is the use of a "secret code" that only authorized parties can interpret.

Continue Reading
Which is better, SSL or IPSec VPN? ›

IPsec provides network-layer security, encrypting entire data packets, making it a popular choice for full network communications. On the other hand, SSL VPNs focus on application-layer security, ensuring only specific application data is encrypted. The "more secure" label depends on the context.

See Details
Should I disable IPsec? ›

Without IPsec Passthrough enabled, your traffic will be blocked if firewall restrictions are in place. This is not an issue if you have a modern router, but it can be an issue if you have an outdated router.

Find Out More
How do I connect to IPsec VPN? ›

How to Set Up an IPsec VPN Client
  1. Right-click on the wireless/network icon in your system tray.
  2. Select Open Network and Sharing Center. ...
  3. Click Set up a new connection or network.
  4. Select Connect to a workplace and click Next.
  5. Click Use my Internet connection (VPN).
  6. Enter Your VPN Server IP in the Internet address field.
Aug 26, 2021

Tell Me More
What does IPsec protect against? ›

IPsec is used for protecting sensitive data, such as financial transactions, medical records and corporate communications, as it's transmitted across the network. It's also used to secure virtual private networks (VPNs), where IPsec tunneling encrypts all data sent between two endpoints.

Show Me More
What is an example of IPsec? ›

IPsec can be used on many different devices, it's used on routers, firewalls, hosts and servers. Here are some examples how you can use it: Between two routers to create a site-to-site VPN that “bridges” two LANs together. Between a firewall and windows host for remote access VPN.

Explore More
What ports does IPsec VPN use? ›

IPSec VPN is a layer 3 protocol that communicates over IP protocol 50, Encapsulating Security Payload (ESP). It might also require UDP port 500 for Internet Key Exchange (IKE) to manage encryption keys, and UDP port 4500 for IPSec NAT-Traversal (NAT-T).

Continue Reading
What is the major drawback of IPsec? ›

Disadvantages of an IPSec VPN

CPU overheads: IPsec uses a large amount of computing power to encrypt and decrypt data moving through the network. This can degrade network performance.

Show Me More

Is IPsec VPN still secure? ›

It works by authenticating and encrypting each packet of a communication session, ensuring the entire data flow between two points on the internet is secure. IPsec is effective for creating virtual private networks (VPNs) because it can encrypt data transferred between multiple network nodes.

Read The Full Story
What is the secret of IPsec VPN? ›

For some types of (IPsec) VPN, the Preshared Secret (PSK) is an arbitrary alphanumeric string or "passphrase" which is used to encrypt the traffic across the VPN. If you have set up a VPN server you should be able to administer it and, specifically, to create a VPN connection.

See Details
What is the strongest VPN security protocol? ›

OpenVPN is the most secure VPN protocol and the safest choice thanks to its near-unbreakable encryption, which keeps users' data private even when using public Wi-Fi.

Get More Info Here
What is the difference between VPN and IPsec VPN? ›

IPsec is often used to set up virtual private networks (VPNs). A VPN is an Internet security service that allows users to access the Internet as though they were connected to a private network. VPNs encrypt Internet communications as well as providing a strong degree of anonymity.

Continue Reading
Is IPsec better than OpenVPN? ›

IPsec is typically faster. IPsec also benefits from its integration into the operating system's kernel, allowing for efficient packet processing and less overhead. OpenVPN is slightly slower because of double encryption, but it still offers adequate performance for most enterprise applications.

View More
What is IPsec and why is it used? ›

In computing, Internet Protocol Security (IPsec) is a secure network protocol suite that authenticates and encrypts packets of data to provide secure encrypted communication between two computers over an Internet Protocol network.

View Details
What is the difference between IPsec and IP VPN? ›

In summary , a VPN and an IPSec tunnel are both types of secure connections , but they serve different purposes . A VPN is for remote access , while an IPSec tunnel is for connecting networks . To learn more about these two technologies and their differences , check out the link in the bio .

See More
What is the difference between OpenVPN and IPsec VPN? ›

Both IPSec and OpenVPN combine security and speed, with IPSec offering a slightly faster connection, while OpenVPN is considered the more secure option. IPSec wins for ease of use because it's already built into many platforms, meaning it doesn't require separate installation.

Learn More
Top Articles
Mortgage Rate Lock Float Down: Meaning, Overview, Examples
MightyFly's new autonomous cargo drone carries 100 lb for 600 miles
English Bulldog Puppies For Sale Under 1000 In Florida
Katie Pavlich Bikini Photos
Gamevault Agent
Pieology Nutrition Calculator Mobile
Hocus Pocus Showtimes Near Harkins Theatres Yuma Palms 14
Hendersonville (Tennessee) – Travel guide at Wikivoyage
Compare the Samsung Galaxy S24 - 256GB - Cobalt Violet vs Apple iPhone 16 Pro - 128GB - Desert Titanium | AT&T
Vardis Olive Garden (Georgioupolis, Kreta) ✈️ inkl. Flug buchen
Craigslist Dog Kennels For Sale
Things To Do In Atlanta Tomorrow Night
Non Sequitur
Crossword Nexus Solver
How To Cut Eelgrass Grounded
Pac Man Deviantart
Alexander Funeral Home Gallatin Obituaries
Energy Healing Conference Utah
Geometry Review Quiz 5 Answer Key
Hobby Stores Near Me Now
Icivics The Electoral Process Answer Key
Allybearloves
Bible Gateway passage: Revelation 3 - New Living Translation
Yisd Home Access Center
Pearson Correlation Coefficient
Home
Shadbase Get Out Of Jail
Gina Wilson Angle Addition Postulate
Celina Powell Lil Meech Video: A Controversial Encounter Shakes Social Media - Video Reddit Trend
Walmart Pharmacy Near Me Open
Marquette Gas Prices
A Christmas Horse - Alison Senxation
Ou Football Brainiacs
Access a Shared Resource | Computing for Arts + Sciences
Vera Bradley Factory Outlet Sunbury Products
Pixel Combat Unblocked
Movies - EPIC Theatres
Cvs Sport Physicals
Mercedes W204 Belt Diagram
Mia Malkova Bio, Net Worth, Age & More - Magzica
'Conan Exiles' 3.0 Guide: How To Unlock Spells And Sorcery
Teenbeautyfitness
Where Can I Cash A Huntington National Bank Check
Topos De Bolos Engraçados
Sand Castle Parents Guide
Gregory (Five Nights at Freddy's)
Grand Valley State University Library Hours
Hello – Cornerstone Chapel
Stoughton Commuter Rail Schedule
Nfsd Web Portal
Selly Medaline
Latest Posts
Mini-Sized Dow Options: Meaning, Pricing, Example
The 3 Ps of Outstanding Customer Experience
Article information

Author: Maia Crooks Jr

Last Updated:

Views: 6295

Rating: 4.2 / 5 (63 voted)

Reviews: 86% of readers found this page helpful

Author information

Name: Maia Crooks Jr

Birthday: 1997-09-21

Address: 93119 Joseph Street, Peggyfurt, NC 11582

Phone: +2983088926881

Job: Principal Design Liaison

Hobby: Web surfing, Skiing, role-playing games, Sketching, Polo, Sewing, Genealogy

Introduction: My name is Maia Crooks Jr, I am a homely, joyous, shiny, successful, hilarious, thoughtful, joyous person who loves writing and wants to share my knowledge and understanding with you.