Acerca de las Negociaciones VPN de IPSec
Los dispositivos en ambos extremos de un túnel VPN de IPSec son puntos de IPSec. Para construir el túnel VPN, los puntos de IPSec intercambian una serie de mensajes acerca del encryption (cifrado) y autenticación, e intentan aceptar diversos parámetros diferentes. Ese proceso es conocido como negociaciones de VPN. Un dispositivo en la secuencia de negociación es el iniciador mientras que el otro es el respondedor.
Las negociaciones de VPN ocurren en dos fases distintas: Fase 1 y Fase 2.
Fase 1
El principal propósito de la Fase 1 es configurar un canal cifrado seguro a través del cual los dos puntos pueden negociar la Fase 2. Cuando la Fase 1 termina con éxito, los puntos pasan rápidamente hacia las negociaciones de Fase 2. Si la Fase 1 falla, los dispositivos no pueden iniciar la Fase 2.
Fase 2
El propósito de las negociaciones de Fase 2 es que los dos puntos concuerden en un conjunto de parámetros que definen qué tráfico puede pasar por la VPN y cómo encriptar y autenticar el tráfico. Ese acuerdo se llama Asociación de Seguridad.
Las configuraciones de Fase 1 y Fase 2 deben coincidir en los dispositivos en ambos extremos del túnel.
Negociaciones de Fase 1
En las negociaciones de Fase 1, los dos dispositivos de puerta de enlace VPN intercambian credenciales. Los dispositivos se identifican y negocian a fin de encontrar un conjunto común de ajustes de Fase 1 para usar. Cuando se concluyen las negociaciones de Fase 1, los dos dispositivos tienen una Asociación de Seguridad (SA) de Fase 1. Esa SA es válida por un período especificado. Si las dos puertas de enlace VPN no completan las negociaciones de la Fase 2 antes de que expire la SA de la Fase 1, deben completar las negociaciones de Fase 1 nuevamente.
El proceso de negociación de Fase 1 depende de la versión de IKE que utilicen los endpoints de puerta de enlace. IKE autentica a los pares IPSec y negocia las SA de IKE durante esta fase, al establecer un canal de comunicaciones seguro para negociar las SA de IPSec en la Fase 2.
Las negociaciones de Fase 1 incluyen estos pasos:
- Los dispositivos acuerdan la versión de IKE que se va a utilizar (IKEv1 o IKEv2). Cada dispositivo puede utilizar IKEv1 o IKEv2. La versión de IKE para ambos dispositivos debe coincidir.
- Los dispositivos intercambian credenciales.
Las credenciales pueden ser un certificado o una clave precompartida. Ambos endpoints de puerta de enlace deben usar el mismo método de credenciales y las credenciales deben coincidir.
- Los dispositivos se identifican entre ellos.
Cada dispositivo proporciona un identificador de Fase 1, el cual puede ser una dirección IP, un nombre de dominio, una información de dominio o un nombre X500. La configuración de VPN en cada dispositivo especifica el identificador de Fase 1 del dispositivo local y remoto. Las configuraciones deben coincidir.
- Para IKEv1, las puertas de enlace VPN deciden si usar el Modo Principal o el Modo Agresivo para las negociaciones de Fase 1.
La puerta de enlace VPN que inicia las negociaciones IKE envía una propuesta de Modo Principal o una propuesta de Modo Agresivo. La otra puerta de enlace VPN puede rechazar la propuesta si no está configurada para usar ese modo.
- El Modo Principal garantiza la identidad de ambas puertas de enlace VPN, pero solo se puede utilizar si ambos dispositivos tienen una dirección IP estática. El Modo Principal valida la dirección IP y la identificación de la puerta de enlace.
- El Modo Agresivo es más rápido, pero menos seguro que el Modo Principal porque requiere menos intercambios entre dos puertas de enlace VPN. En el Modo Agresivo, el intercambio se basa principalmente en los tipos de identificación que ambas puertas de enlace VPN utilizan en el intercambio. El Modo Agresivo no garantiza la identidad de la puerta de enlace VPN. La vulnerabilidad del Modo Agresivo IKEv1 descrita en CVE-2002-1623 significa que el Modo Agresivo es menos seguro que el Modo Principal, a menos que configure un certificado.
- Las puertas de enlace VPN acuerdan los parámetros de la Fase 1.
- Si usar o no NAT traversal
- Si usar o no IKE Keep-Alive (solo entre Fireboxes)
- Si usar o no Dead Peer Detection (RFC 3706)
IKE Keep-Alive es un ajuste obsoleto. Recomendamos DPD en su lugar.
Para IKEv2, NAT Traversal y DPD siempre están habilitados, e IKE Keep-Alive no es compatible.
- Las puertas de enlace VPN concuerdan con respecto a los ajustes de Transformación de Fase 1. Los ajustes en la transformación de Fase 1 en cada dispositivo IPSec deben coincidir exactamente, de lo contrario, las negociaciones de IKE fracasarán.
Los ítems que puede definir en la transformación de Fase 1 son:
- Autenticación — El tipo de autenticación (SHA-2, SHA-1 o MD5)
- Cifrado — El tipo de algoritmo de cifrado (DES, 3DES o AES) y la longitud de la clave
- Duración de SA — El período de tiempo hasta que caduque la Asociación de Seguridad (SA) de Fase 1
- Grupo de claves — El grupo de claves Diffie-Hellman
SHA-2 no se admite en dispositivos XTM
Negociaciones de Fase 2
Las negociaciones de Fase 2 incluyen estos pasos:
- Las puertas de enlace VPN usan la SA de Fase 1 para proteger las negociaciones de Fase 2. Las puertas de enlace VPN concuerdan con respecto al uso de Perfect Forward Secrecy (PFS).
Las claves de cifrado de VPN se cambian en el intervalo especificado por el ajuste Forzar Vencimiento de la Clave. El intervalo es de ocho horas de manera predeterminada. Para evitar que las SA usen las claves de la Fase 1 para la Fase 2, PFS obliga a que el cálculo de DH se realice una segunda vez. Es decir que la Fase 1 y la Fase 2 siempre tienen claves diferentes, lo cual es más difícil de descifrar, a menos que seleccione un grupo DH menor a 14.
Recomendamos que use PFS para mantener sus datos a salvo. Si desea usar PFS, este debe estar habilitado en ambas puertas de enlace VPN, y ambas puertas de enlace deben utilizar los mismos grupos de claves Diffie-Hellman.
-
Las puertas de enlace VPN acuerdan una propuesta de Fase 2.
La propuesta de Fase 2 incluye el algoritmo que se usa para autenticar datos, el algoritmo para cifrar datos y con qué frecuencia generar nuevas claves de cifrado de Fase 2.
Los ítems que puede definir en una propuesta de Fase 2 incluyen:
- Tipo — Para una BOVPN manual, puede seleccionar el tipo de protocolo que se usará: Encabezado de Autenticación (AH) o Carga de Seguridad Encapsulada (ESP). Tanto AH como ESP cifran los datos y los protegen contra los ataques de suplantación de paquetes y la manipulación de paquetes (detección de reproducción). Recomendamos que use ESP porque puede protegerse contra los ataques de suplantación de paquetes de otras formas. Las BOVPN administradas, Mobile VPN with IKEv2, Mobile VPN with IPSec y Mobile VPN with L2TP siempre usan ESP.
- Autenticación — La autenticación asegura que la información recibida sea exactamente la misma que la información enviada. Puede designar SHA-1, SHA-2 o MD5 como algoritmo para que usen las puertas de enlace VPN a fin de autenticar los mensajes IKE entre sí. SHA-2 es la única opción segura.
- Cifrado — El cifrado mantiene los datos confidenciales. Puede seleccionar el DES, 3DES, AES o AES-GCM. Las variantes AES y AES-GCM son las únicas opciones seguras.
- Forzar Vencimiento de la Clave — Para asegurarse de que las claves de cifrado de Fase 2 cambien periódicamente, especifique un intervalo de vencimiento de la clave. El ajuste predeterminado es de 8 horas. Cuanto más tiempo esté en uso una clave de cifrado de Fase 2, más datos puede recoger un atacante para provocar un ataque contra la clave. Recomendamos que no seleccione la opción de Tráfico porque causa una alta carga en el Firebox, problemas de capacidad de procesamiento, pérdida de paquetes e interrupciones frecuentes y aleatorias. La opción Tráfico no funciona con la mayoría de los dispositivos de terceros.
-
Las puertas de enlace VPN intercambian selectores de tráfico de Fase 2 (rutas de túnel).
Puede especificar los selectores de tráfico de Fase 2 para la puerta de enlace VPN local y remota como una dirección IP del host, una dirección IP de red o un rango de direcciones IP. Los selectores de tráfico de Fase 2 siempre se envían como un par en una propuesta de Fase 2: uno indica cuáles direcciones IP detrás del dispositivo local pueden enviar tráfico por la VPN y el otro indica cuáles direcciones IP detrás del dispositivo remoto pueden enviar tráfico por la VPN. Esto también se conoce como una ruta de túnel.