O negocjacjach IPSec VPN (2024)

Table of Contents
Faza 1 Negocjacje Faza 2 Negocjacje FAQs

Urządzenia na obu końcach tunelu IPSec VPN są urządzeniami równorzędnymi IPSec. Aby zbudować tunel VPN, partnerzy IPSec wymieniają serię komunikatów dotyczących szyfrowania i uwierzytelniania oraz próbują uzgodnić wiele różnych parametrów. Ten proces jest znany jako negocjacje VPN. Jedno urządzenie w sekwencji negocjacji jest inicjatorem, a drugie urządzeniem odpowiadającym.

Negocjacje VPN odbywają się w dwóch odrębnych fazach:Faza 1IFaza 2.

Faza 1

Głównym celem fazy 1 jest ustanowienie bezpiecznego, zaszyfrowanego kanału, za pośrednictwem którego dwaj partnerzy mogą negocjować fazę 2. Po pomyślnym zakończeniu fazy 1 uczestnicy szybko przechodzą do negocjacji fazy 2. Jeśli faza 1 zakończy się niepowodzeniem, urządzenia nie będą mogły rozpocząć fazy 2.

Faza 2

Celem negocjacji fazy 2 jest uzgodnienie przez dwóch partnerów zestawu parametrów, które określają, jaki ruch może przechodzić przez VPN oraz jak szyfrować i uwierzytelniać ruch. Ta umowa nosi nazwę Stowarzyszenia zabezpieczeń.

Konfiguracje fazy 1 i fazy 2 muszą być zgodne dla urządzeń na obu końcach tunelu.

See Also
What's the difference between GRE and IPsec tunnels? | TechTargetAggressive mode - VPN and IPSec tutorialIKE VPN Vulnerability in Aggressive Mode — RaxisQuick Mode - Configure IPSec Tunnel, VPN guide

Faza 1 Negocjacje

W fazie 1 negocjacji dwa urządzenia bramy sieci VPN wymieniają poświadczenia. Urządzenia identyfikują się nawzajem i negocjują, aby znaleźć wspólny zestaw ustawień fazy 1 do użycia. Po zakończeniu negocjacji fazy 1 oba urządzenia mają skojarzenie zabezpieczeń fazy 1 (SA). To SA jest ważne przez określony czas. Jeśli dwie bramy sieci VPN nie zakończą negocjacji w fazie 2 przed wygaśnięciem SA w fazie 1, muszą ponownie zakończyć negocjacje w fazie 1.

Proces negocjacji fazy 1 zależy od wersji IKE używanej przez punkty końcowe bramy. IKE uwierzytelnia elementy równorzędne IPSec i negocjuje zabezpieczenia IKE w tej fazie, tworząc bezpieczny kanał komunikacyjny do negocjowania zabezpieczeń IPSec w fazie 2.

Negocjacje fazy 1 obejmują następujące kroki:

  1. Urządzenia zgadzają się co do używanej wersji IKE (IKEv1 lub IKEv2). Każde urządzenie może korzystać z IKEv1 lub IKEv2. Wersja IKE dla obu urządzeń musi być taka sama.
  2. Urządzenia wymieniają się danymi uwierzytelniającymi.

    Poświadczenia mogą być certyfikatem lub kluczem wstępnym. Oba punkty końcowe bramy muszą używać tej samej metody poświadczeń, a poświadczenia muszą być zgodne.

  3. Urządzenia identyfikują się nawzajem.

    Każde urządzenie zapewnia identyfikator fazy 1, którym może być adres IP, nazwa domeny, informacje o domenie lub nazwa X500. Konfiguracja VPN na każdym urządzeniu określa identyfikator fazy 1 urządzenia lokalnego i zdalnego. Konfiguracje muszą się zgadzać.

  4. W przypadku IKEv1 bramy VPN decydują, czy użyć trybu głównego, czy trybu agresywnego do negocjacji w fazie 1.

    Brama sieci VPN, która rozpoczyna negocjacje IKE, wysyła propozycję trybu głównego lub propozycję trybu agresywnego. Druga brama VPN może odrzucić propozycję, jeśli nie jest skonfigurowana do korzystania z tego trybu.

  • Tryb główny zapewnia tożsamość obu bram VPN, ale można go używać tylko wtedy, gdy oba urządzenia mają statyczny adres IP. Tryb główny sprawdza adres IP i identyfikator bramy.
  • Tryb agresywny jest szybszy, ale mniej bezpieczny niż tryb główny, ponieważ wymaga mniejszej liczby wymian między dwiema bramami VPN. W trybie agresywnym wymiana opiera się głównie na typach identyfikatorów używanych w wymianie przez obie bramy VPN. Tryb agresywny nie zapewnia tożsamości bramy VPN. Luka w zabezpieczeniach trybu agresywnego IKEv1 opisana w CVE-2002-1623 oznacza, że ​​tryb agresywny jest mniej bezpieczny niż tryb główny, chyba że skonfigurujesz certyfikat.
  1. Bramy VPN uzgadniają parametry fazy 1.
  • Czy używać przechodzenia przez NAT
  • Czy używać IKE Keep-Alive (tylko między Fireboxami)
  • Czy używać wykrywania martwego punktu równorzędnego (RFC 3706)

IKE Keep-Alive to przestarzałe ustawienie. Zamiast tego polecamy DPD.

See Also
Transport and Tunnel Modes in IPsec

W przypadku IKEv2 NAT Traversal i DPD są zawsze włączone, a IKE Keep-Alive nie jest obsługiwane.

  1. Bramy VPN uzgadniają ustawienia transformacji fazy 1. Ustawienia w fazie 1 transformacji na każdym urządzeniu IPSec muszą dokładnie pasować, w przeciwnym razie negocjacje IKE zakończą się niepowodzeniem.

Elementy, które możesz ustawić w fazie 1 transformacji to:

  • Uwierzytelnianie— Typ uwierzytelnienia (SHA-2, SHA-1 lub MD5)
  • Szyfrowanie— Typ algorytmu szyfrowania (DES, 3DES lub AES) i długość klucza
  • W życiu— Czas do wygaśnięcia powiązania zabezpieczeń fazy 1
  • Grupa kluczy— Kluczowa grupa Diffiego-Hellmana

SHA-2 nie jest obsługiwany w XTM21, 22, 23,505, 510, 520, 530, 515, 525, 535, 545, 810, 820, 830, 1050 i 2050 urządzeń. Sprzętowa akceleracja kryptograficzna w tych modelach nie obsługuje SHA-2. Wszystkie inne modele obsługują SHA-2.

Faza 2 Negocjacje

Gdy dwie bramy IPSec VPN pomyślnie zakończą negocjacje w fazie 1, rozpoczynają się negocjacje w fazie 2. Celem negocjacji Fazy 2 jest ustanowienie SA Fazy 2 (czasami nazywanej IPSec SA). IPSec SA to zestaw specyfikacji ruchu, który mówi urządzeniu, jaki ruch ma być wysyłany przez VPN oraz jak szyfrować i uwierzytelniać ten ruch.

Negocjacje fazy 2 obejmują następujące kroki:

  1. Bramy VPN używają zabezpieczenia fazy 1 do zabezpieczenia negocjacji fazy 2. Bramy VPN uzgadniają, czy używać funkcji Perfect Forward Secrecy (PFS).

    Klucze szyfrowania VPN są zmieniane w odstępach czasu określonych przezWymuś wygaśnięcie kluczaustawienie. Interwał wynosi domyślnie osiem godzin. Aby uniemożliwić SA używanie kluczy fazy 1 dla fazy 2, PFS wymusza wykonanie obliczeń DH po raz drugi. Oznacza to, że Faza 1 i Faza 2 zawsze mają różne klucze, co jest trudniejsze do złamania, chyba że wybierzesz grupę DH niższą niż 14.
    Zalecamy korzystanie z PFS w celu zapewnienia bezpieczeństwa danych. Jeśli chcesz używać PFS, musi być włączony w obu bramach VPN, a obie bramy muszą używać tych samych grup kluczy Diffie-Hellmana.

  1. Bramy VPN zgadzają się na propozycję fazy 2.

    Propozycja fazy 2 obejmuje algorytm używany do uwierzytelniania danych, algorytm używany do szyfrowania danych oraz częstotliwość tworzenia nowych kluczy szyfrowania fazy 2.

    Pozycje, które możesz ustawić w propozycji fazy 2, obejmują:

  • Typ— W przypadku ręcznego BOVPN można wybrać typ używanego protokołu: Authentication Header (AH) lub Encapsulating Security Payload (ESP). Zarówno AH, jak i ESP szyfrują dane i chronią przed fałszowaniem i manipulacją pakietami (wykrywanie powtórek). Zalecamy używanie ESP, ponieważ możesz chronić się przed fałszowaniem na inne sposoby. Zarządzane sieci BOVPN, mobilna sieć VPN z IKEv2, mobilna sieć VPN z IPSec i mobilna sieć VPN z L2TP zawsze używają ESP.

Proces uwierzytelniania IPSec sprawdza kolejność zaszyfrowanych pakietów, aby zapobiec atakom polegającym na powtórce. Rozmiar okna zapobiegającego powtórkom dla połączeń VPN jest ustalony na 32 pakiety i nie można go modyfikować. W oprogramowaniu Fireware w wersji 12.2 lub nowszej można wyłączyć funkcję zapobiegającą odtwarzaniu w interfejsie wiersza poleceń (CLI) Fireware, aby rozwiązać problemy z połączeniem. Jeśli wyłączysz funkcję zapobiegającą powtórkom, będziesz podatny na ataki powtórkowe. Aby uzyskać więcej informacji, zobaczzdiagnozować VPNkomenda wFireware CLIRreference Guide.

  • Uwierzytelnianie— Uwierzytelnianie zapewnia, że ​​otrzymane informacje są dokładnie takie same, jak informacje wysłane. Możesz użyć algorytmu SHA-1, SHA-2 lub MD5 jako algorytmu używanego przez bramy sieci VPN do wzajemnego uwierzytelniania wiadomości IKE. SHA-2 to jedyna bezpieczna opcja.
  • Szyfrowanie— Szyfrowanie zapewnia poufność danych. Możesz wybrać DES, 3DES, AES lub AES-GCM. Warianty AES i AES-GCM to jedyne bezpieczne opcje.
  • Wymuś wygaśnięcie klucza— Aby upewnić się, że klucze szyfrowania fazy 2 zmieniają się okresowo, określ okres ważności klucza. Ustawienie domyślne to 8 godzin. Im dłużej używany jest klucz szyfrowania fazy 2, tym więcej danych osoba atakująca może zebrać w celu przeprowadzenia ataku na ten klucz. Zalecamy, aby nie wybierać opcjiRuch drogowyopcja, ponieważ powoduje wysokie obciążenie Fireboxa, problemy z przepustowością, utratę pakietów i częste, przypadkowe przerwy w działaniu. TheRuch drogowyopcja nie działa z większością urządzeń innych firm.

  1. Bramy VPN wymieniają selektory ruchu fazy 2 (trasy tunelowe).

    Możesz określić selektory ruchu fazy 2 dla lokalnej i zdalnej bramy VPN jako adres IP hosta, adres IP sieci lub zakres adresów IP. Selektory ruchu fazy 2 są zawsze wysyłane jako para w propozycji fazy 2: jeden wskazuje, które adresy IP za urządzeniem lokalnym mogą wysyłać ruch przez VPN, a drugi wskazuje, które adresy IP za zdalnym urządzeniem mogą wysyłać ruch przez VPN. Jest to również znane jako trasa tunelowa.

Zobacz też

Jak działają sieci VPN IPSec

©2023WatchGuard Technologies, Inc. Wszelkie prawa zastrzeżone. WatchGuard i logo WatchGuard są zastrzeżonymi znakami towarowymi lub znakami towarowymi firmy WatchGuard Technologies w Stanach Zjednoczonych i innych krajach. Różne inne znaki towarowe są własnością ich odpowiednich właścicieli.

O negocjacjach IPSec VPN (2024)

FAQs

What is the IPSec VPN? ›

An IPSec VPN is a VPN software that uses the IPSec protocol to create encrypted tunnels on the internet. It provides end-to-end encryption, which means data is scrambled at the computer and unscrambled at the receiving server.

Read On
What is IPSec negotiation? ›

When two IPSec peers want to make a VPN between them, they exchange a series of messages about encryption and authentication, and attempt to agree on many different parameters. This process is known as VPN negotiations. One device in the negotiation sequence is the initiator and the other device is the responder.

Discover More Details
Is IPSec a good VPN? ›

IPsec is secure because it adds encryption* and authentication to this process. *Encryption is the process of concealing information by mathematically altering data so that it appears random. In simpler terms, encryption is the use of a "secret code" that only authorized parties can interpret.

Continue Reading
Which is better, SSL or IPSec VPN? ›

IPsec provides network-layer security, encrypting entire data packets, making it a popular choice for full network communications. On the other hand, SSL VPNs focus on application-layer security, ensuring only specific application data is encrypted. The "more secure" label depends on the context.

See Details
Should I disable IPsec? ›

Without IPsec Passthrough enabled, your traffic will be blocked if firewall restrictions are in place. This is not an issue if you have a modern router, but it can be an issue if you have an outdated router.

Find Out More
How do I connect to IPsec VPN? ›

How to Set Up an IPsec VPN Client
  1. Right-click on the wireless/network icon in your system tray.
  2. Select Open Network and Sharing Center. ...
  3. Click Set up a new connection or network.
  4. Select Connect to a workplace and click Next.
  5. Click Use my Internet connection (VPN).
  6. Enter Your VPN Server IP in the Internet address field.
Aug 26, 2021

Tell Me More
What does IPsec protect against? ›

IPsec is used for protecting sensitive data, such as financial transactions, medical records and corporate communications, as it's transmitted across the network. It's also used to secure virtual private networks (VPNs), where IPsec tunneling encrypts all data sent between two endpoints.

Show Me More
What is an example of IPsec? ›

IPsec can be used on many different devices, it's used on routers, firewalls, hosts and servers. Here are some examples how you can use it: Between two routers to create a site-to-site VPN that “bridges” two LANs together. Between a firewall and windows host for remote access VPN.

Explore More
What ports does IPsec VPN use? ›

IPSec VPN is a layer 3 protocol that communicates over IP protocol 50, Encapsulating Security Payload (ESP). It might also require UDP port 500 for Internet Key Exchange (IKE) to manage encryption keys, and UDP port 4500 for IPSec NAT-Traversal (NAT-T).

Continue Reading
What is the major drawback of IPsec? ›

Disadvantages of an IPSec VPN

CPU overheads: IPsec uses a large amount of computing power to encrypt and decrypt data moving through the network. This can degrade network performance.

Show Me More

Is IPsec VPN still secure? ›

It works by authenticating and encrypting each packet of a communication session, ensuring the entire data flow between two points on the internet is secure. IPsec is effective for creating virtual private networks (VPNs) because it can encrypt data transferred between multiple network nodes.

Read The Full Story
What is the secret of IPsec VPN? ›

For some types of (IPsec) VPN, the Preshared Secret (PSK) is an arbitrary alphanumeric string or "passphrase" which is used to encrypt the traffic across the VPN. If you have set up a VPN server you should be able to administer it and, specifically, to create a VPN connection.

See Details
What is the strongest VPN security protocol? ›

OpenVPN is the most secure VPN protocol and the safest choice thanks to its near-unbreakable encryption, which keeps users' data private even when using public Wi-Fi.

Get More Info Here
What is the difference between VPN and IPsec VPN? ›

IPsec is often used to set up virtual private networks (VPNs). A VPN is an Internet security service that allows users to access the Internet as though they were connected to a private network. VPNs encrypt Internet communications as well as providing a strong degree of anonymity.

Continue Reading
Is IPsec better than OpenVPN? ›

IPsec is typically faster. IPsec also benefits from its integration into the operating system's kernel, allowing for efficient packet processing and less overhead. OpenVPN is slightly slower because of double encryption, but it still offers adequate performance for most enterprise applications.

View More
What is IPsec and why is it used? ›

In computing, Internet Protocol Security (IPsec) is a secure network protocol suite that authenticates and encrypts packets of data to provide secure encrypted communication between two computers over an Internet Protocol network.

View Details
What is the difference between IPsec and IP VPN? ›

In summary , a VPN and an IPSec tunnel are both types of secure connections , but they serve different purposes . A VPN is for remote access , while an IPSec tunnel is for connecting networks . To learn more about these two technologies and their differences , check out the link in the bio .

See More
What is the difference between OpenVPN and IPsec VPN? ›

Both IPSec and OpenVPN combine security and speed, with IPSec offering a slightly faster connection, while OpenVPN is considered the more secure option. IPSec wins for ease of use because it's already built into many platforms, meaning it doesn't require separate installation.

Learn More
Top Articles
Check TCP/IP port availability
How to Open a Port in Firewalld | InMotion Hosting
Walgreens Boots Alliance, Inc. (WBA) Stock Price, News, Quote & History - Yahoo Finance
Bashas Elearning
Celebrity Extra
Is pickleball Betts' next conquest? 'That's my jam'
Mileage To Walmart
Wmu Course Offerings
Vanadium Conan Exiles
2021 Tesla Model 3 Standard Range Pl electric for sale - Portland, OR - craigslist
Cvb Location Code Lookup
Swedestats
Willam Belli's Husband
Sni 35 Wiring Diagram
My Homework Lesson 11 Volume Of Composite Figures Answer Key
Conan Exiles Sorcery Guide – How To Learn, Cast & Unlock Spells
Doublelist Paducah Ky
A Man Called Otto Showtimes Near Cinemark University Mall
Crossword Help - Find Missing Letters & Solve Clues
Mineral Wells Skyward
Helpers Needed At Once Bug Fables
Kimoriiii Fansly
Wrights Camper & Auto Sales Llc
Annapolis Md Craigslist
Criglist Miami
Publix Christmas Dinner 2022
Does Royal Honey Work For Erectile Dysfunction - SCOBES-AR
Sony Wf-1000Xm4 Controls
Experity Installer
Best New England Boarding Schools
Advance Auto Parts Stock Price | AAP Stock Quote, News, and History | Markets Insider
After Transmigrating, The Fat Wife Made A Comeback! Chapter 2209 – Chapter 2209: Love at First Sight - Novel Cool
Rust Belt Revival Auctions
Indiana Immediate Care.webpay.md
No Hard Feelings Showtimes Near Tilton Square Theatre
2008 Chevrolet Corvette for sale - Houston, TX - craigslist
Blasphemous Painting Puzzle
Plead Irksomely Crossword
Japanese Big Natural Boobs
Lcwc 911 Live Incident List Live Status
Firestone Batteries Prices
manhattan cars & trucks - by owner - craigslist
Sofia Franklyn Leaks
Competitive Comparison
Nfhs Network On Direct Tv
Skybird_06
Turning Obsidian into My Perfect Writing App – The Sweet Setup
Ff14 Palebloom Kudzu Cloth
Ok-Selection9999
Ravenna Greataxe
Latest Posts
Authorization for Crypto-Mining on Public Lands | Bureau of Land Management
Does Port Forwarding Bypass Firewall
Article information

Author: Maia Crooks Jr

Last Updated:

Views: 6295

Rating: 4.2 / 5 (63 voted)

Reviews: 86% of readers found this page helpful

Author information

Name: Maia Crooks Jr

Birthday: 1997-09-21

Address: 93119 Joseph Street, Peggyfurt, NC 11582

Phone: +2983088926881

Job: Principal Design Liaison

Hobby: Web surfing, Skiing, role-playing games, Sketching, Polo, Sewing, Genealogy

Introduction: My name is Maia Crooks Jr, I am a homely, joyous, shiny, successful, hilarious, thoughtful, joyous person who loves writing and wants to share my knowledge and understanding with you.