{"id":1687,"date":"2021-05-24T23:56:20","date_gmt":"2021-05-25T02:56:20","guid":{"rendered":"https:\/\/www.bfnetworks.com.br\/?p=1687"},"modified":"2023-01-15T19:20:32","modified_gmt":"2023-01-15T22:20:32","slug":"um-pouco-sobre-ipsec","status":"publish","type":"post","link":"https:\/\/bfnetworks.com.br\/um-pouco-sobre-ipsec\/","title":{"rendered":"UM POUCO SOBRE IPSEC"},"content":{"rendered":"\n<h3>Negocia\u00e7\u00f5es de VPN IPSec<\/h3>\n\n\n<p>Os dispositivos nas extremidades de um t\u00fanel VPN IPSec s\u00e3o pares IPSec.&nbsp;Para construir o t\u00fanel VPN, os pares IPSec trocam uma s\u00e9rie de mensagens sobre criptografia e autentica\u00e7\u00e3o e tentam chegar a um acordo sobre muitos par\u00e2metros diferentes.&nbsp;Este processo \u00e9 conhecido como negocia\u00e7\u00f5es VPN.&nbsp;Um dispositivo na sequ\u00eancia de negocia\u00e7\u00e3o \u00e9 o iniciador e o outro dispositivo \u00e9 o respondedor.<\/p>\n\n\n<p>As negocia\u00e7\u00f5es de VPN acontecem em duas fases distintas:&nbsp;<em>Fase 1<\/em>&nbsp;e&nbsp;<em>Fase 2<\/em>&nbsp;.<\/p>\n\n\n<ul><li><strong>Fase 1<\/strong>: O objetivo \u00e9 configurar um canal criptografado seguro por meio do qual os dois pares podem negociar a Fase 2. Quando a Fase 1 termina com sucesso, os pares passam rapidamente para as negocia\u00e7\u00f5es da Fase 2.&nbsp;Se a Fase 1 falhar, os dispositivos n\u00e3o podem iniciar a Fase 2.<\/li><li><strong>Fase 2<\/strong>: O objetivo \u00e9 que os dois pares concordem em um conjunto de par\u00e2metros que definem qual tr\u00e1fego pode passar pela VPN e como criptografar e autenticar o tr\u00e1fego.&nbsp;Este contrato \u00e9 denominado Associa\u00e7\u00e3o de Seguran\u00e7a.<\/li><\/ul>\n\n\n<p>As configura\u00e7\u00f5es da Fase 1 e da Fase 2 devem corresponder aos dispositivos em uma das extremidades do t\u00fanel.<\/p>\n\n\n<h4>Fase 1 Negocia\u00e7\u00f5es<\/h4>\n\n\n<p>Nas negocia\u00e7\u00f5es da Fase 1, os dois dispositivos de gateway VPN trocam credenciais.&nbsp;Os dispositivos se identificam e negociam para encontrar um conjunto comum de configura\u00e7\u00f5es da Fase 1 para usar.&nbsp;Quando as negocia\u00e7\u00f5es da Fase 1 s\u00e3o conclu\u00eddas, os dois dispositivos t\u00eam uma Associa\u00e7\u00e3o de Seguran\u00e7a de Fase 1 (SA).&nbsp;Este SA \u00e9 v\u00e1lido por um per\u00edodo de tempo especificado.&nbsp;Se os dois gateways VPN n\u00e3o conclu\u00edrem as negocia\u00e7\u00f5es da Fase 2 antes que o SA da Fase 1 expire, eles dever\u00e3o concluir as negocia\u00e7\u00f5es da Fase 1 novamente.<\/p>\n\n\n<p>O processo de negocia\u00e7\u00e3o da Fase 1 depende de qual vers\u00e3o do IKE os pontos de extremidade do gateway usam.&nbsp;O IKE autentica pares IPSec e negocia SAs IKE durante esta fase, configurando um canal de comunica\u00e7\u00e3o seguro para negociar SAs IPSec na Fase 2.<\/p>\n\n\n<p>As negocia\u00e7\u00f5es da Fase 1 incluem estas etapas:<\/p>\n\n\n<ol><li>Os dispositivos concordam com a vers\u00e3o IKE a ser usada (IKEv1 ou IKEv2).&nbsp;Cada dispositivo pode usar IKEv1 ou IKEv2.&nbsp;A vers\u00e3o IKE para ambos os dispositivos deve corresponder.<\/li><li>Os dispositivos trocam credenciais.As credenciais podem ser um certificado ou uma chave pr\u00e9-compartilhada.&nbsp;Ambos os n\u00f3s de extremidade do gateway devem usar o mesmo m\u00e9todo de credencial e as credenciais devem corresponder.<\/li><li>Os dispositivos se identificam.Cada dispositivo fornece um identificador de Fase 1, que pode ser um endere\u00e7o IP, nome de dom\u00ednio, informa\u00e7\u00f5es de dom\u00ednio ou um nome X500.&nbsp;A configura\u00e7\u00e3o VPN em cada dispositivo especifica o identificador de Fase 1 do dispositivo local e remoto.&nbsp;As configura\u00e7\u00f5es devem corresponder.<\/li><li>Para IKEv1, os gateways VPN decidem se usar\u00e3o o modo principal(main) ou o modo agressivo para as negocia\u00e7\u00f5es da fase 1.O gateway de VPN que inicia as negocia\u00e7\u00f5es IKE envia uma proposta de modo principal ou uma proposta de modo agressivo.&nbsp;O outro gateway VPN pode rejeitar a proposta se n\u00e3o estiver configurado para usar esse modo.<ul><li>O Modo Principal(main) garante a identidade de ambos os gateways VPN, mas pode ser usado apenas se ambos os dispositivos tiverem um endere\u00e7o IP est\u00e1tico.&nbsp;O Modo Principal valida o endere\u00e7o IP e o ID do gateway.<\/li><li>O modo agressivo \u00e9 mais r\u00e1pido, mas menos seguro do que o modo principal, porque requer menos trocas entre dois gateways VPN.&nbsp;No modo agressivo, a troca depende principalmente dos tipos de ID usados \u200b\u200bna troca por ambos os gateways VPN.&nbsp;O modo agressivo n\u00e3o garante a identidade do gateway VPN.&nbsp;A vulnerabilidade do modo agressivo IKEv1 descrita em CVE-2002-1623 significa que o modo agressivo \u00e9 menos seguro do que o modo principal, a menos que voc\u00ea configure um certificado.<\/li><\/ul><\/li><li>Os gateways VPN concordam com os par\u00e2metros da Fase 1.<ul><li>Se deve usar NAT transversal<\/li><li>Se deve usar IKE Keep-Alive (apenas entre Fireboxes)<\/li><li>Se deve usar a detec\u00e7\u00e3o de ponto morto (RFC 3706)<\/li><\/ul><\/li><li>Os gateways VPN concordam com as configura\u00e7\u00f5es de transforma\u00e7\u00e3o da fase 1.&nbsp;As configura\u00e7\u00f5es na transforma\u00e7\u00e3o da Fase 1 em cada dispositivo IPSec devem corresponder exatamente ou as negocia\u00e7\u00f5es IKE falham.<\/li><\/ol>\n\n\n<p>Os itens que voc\u00ea pode definir na transforma\u00e7\u00e3o da Fase 1 s\u00e3o:<\/p>\n\n\n<ul><li><strong>Autentica\u00e7\u00e3o<\/strong>&nbsp;&#8211; o tipo de autentica\u00e7\u00e3o (SHA-2, SHA-1 ou MD5)<\/li><li><strong>Criptografia<\/strong>&nbsp;&#8211; O tipo de algoritmo de criptografia (DES, 3DES ou AES) e o comprimento da chave<\/li><li><strong>Vida SA<\/strong>&nbsp;&#8211; A quantidade de tempo at\u00e9 que a Associa\u00e7\u00e3o de Seguran\u00e7a da Fase 1 expire<\/li><li><strong>Grupo de chave<\/strong>&nbsp;&#8211; O grupo de chave Diffie-Hellman<\/li><\/ul>\n\n\n<pre class=\"wp-block-preformatted\">IKE Keep-Alive \u00e9 uma configura\u00e7\u00e3o obsoleta.&nbsp;Em vez disso, recomendamos DPD.\nPara IKEv2, NAT Traversal e DPD est\u00e3o sempre ativados e IKE Keep-Alive n\u00e3o \u00e9 compat\u00edvel.<\/pre>\n\n\n<h4>Fase 2 Negocia\u00e7\u00f5es<\/h4>\n\n\n<p>Depois que os dois gateways IPSec VPN concluem com \u00eaxito as negocia\u00e7\u00f5es da Fase 1, as negocia\u00e7\u00f5es da Fase 2 come\u00e7am.&nbsp;O objetivo das negocia\u00e7\u00f5es da Fase 2 \u00e9 estabelecer a SA da Fase 2 (\u00e0s vezes chamada de IPSec SA).&nbsp;O IPSec SA \u00e9 um conjunto de especifica\u00e7\u00f5es de tr\u00e1fego que informam ao dispositivo qual tr\u00e1fego enviar pela VPN e como criptografar e autenticar esse tr\u00e1fego.<\/p>\n\n\n<p>As negocia\u00e7\u00f5es da Fase 2 incluem estas etapas:<\/p>\n\n\n<ol><li>Os gateways VPN usam o SA da Fase 1 para proteger as negocia\u00e7\u00f5es da Fase 2.&nbsp;Os gateways VPN concordam sobre o uso do Perfect Forward Secrecy (PFS).As chaves de criptografia VPN s\u00e3o alteradas no intervalo especificado pela&nbsp;configura\u00e7\u00e3o&nbsp;<strong>For\u00e7ar expira\u00e7\u00e3o de chave<\/strong>&nbsp;.&nbsp;O intervalo \u00e9 de oito horas por padr\u00e3o.&nbsp;Para evitar que os SAs usem as chaves da Fase 1 para a Fase 2, o PFS for\u00e7a o c\u00e1lculo DH a ocorrer uma segunda vez.&nbsp;Isso significa que a Fase 1 e a Fase 2 sempre t\u00eam chaves diferentes, que s\u00e3o mais dif\u00edceis de quebrar, a menos que voc\u00ea selecione um grupo DH inferior a 14.<br \/><br \/>Recomendamos que voc\u00ea use o PFS para manter seus dados seguros.&nbsp;Se voc\u00ea deseja usar o PFS, ele deve ser habilitado em ambos os gateways VPN e ambos os gateways devem usar os mesmos grupos de chaves Diffie-Hellman.<\/li><li>Os gateways VPN concordam com uma proposta da Fase 2.A proposta da Fase 2 inclui o algoritmo a ser usado para autenticar dados, o algoritmo a ser usado para criptografar dados e com que freq\u00fc\u00eancia fazer novas chaves de criptografia da Fase 2.Os itens que voc\u00ea pode definir em uma proposta da Fase 2 incluem:<\/li><\/ol>\n\n\n<ul><li><strong>Type<\/strong>&nbsp;&#8211; Para um BOVPN manual, voc\u00ea pode selecionar o tipo de protocolo a ser usado: Authentication Header (AH) ou Encapsulating Security Payload (ESP).&nbsp;Tanto o AH quanto o ESP criptografam os dados e protegem contra falsifica\u00e7\u00e3o e manipula\u00e7\u00e3o de pacotes (detec\u00e7\u00e3o de repeti\u00e7\u00e3o).&nbsp;Recomendamos que voc\u00ea use o ESP, porque voc\u00ea pode se proteger contra spoofing de outras maneiras.&nbsp;BOVPNs gerenciados, VPN m\u00f3vel com IKEv2, VPN m\u00f3vel com IPSec e VPN m\u00f3vel com L2TP sempre usam ESP.<\/li><li><strong>Autentica\u00e7\u00e3o<\/strong>&nbsp;&#8211; a autentica\u00e7\u00e3o garante que as informa\u00e7\u00f5es recebidas sejam exatamente iguais \u00e0s informa\u00e7\u00f5es enviadas.&nbsp;Voc\u00ea pode usar SHA-1, SHA-2 ou MD5 como o algoritmo que os gateways VPN usam para autenticar mensagens IKE entre si.&nbsp;SHA-2 \u00e9 a \u00fanica op\u00e7\u00e3o segura.<\/li><li><strong>Criptografia<\/strong>&nbsp;&#8211; A criptografia mant\u00e9m os dados confidenciais.&nbsp;Voc\u00ea pode selecionar DES, 3DES ou AES ou AES-GCM.&nbsp;As variantes AES e AES-GCM s\u00e3o as \u00fanicas op\u00e7\u00f5es seguras.<\/li><li><strong>For\u00e7ar expira\u00e7\u00e3o de chave<\/strong>&nbsp;&#8211; para garantir que as chaves de criptografia da Fase 2 mudem periodicamente, especifique um intervalo de expira\u00e7\u00e3o de chave.&nbsp;A configura\u00e7\u00e3o padr\u00e3o \u00e9 8 horas.&nbsp;Quanto mais tempo uma chave de criptografia da Fase 2 est\u00e1 em uso, mais dados um invasor pode coletar para usar para montar um ataque \u00e0 chave.&nbsp;Recomendamos que voc\u00ea n\u00e3o selecione a&nbsp;op\u00e7\u00e3o&nbsp;<strong>Tr\u00e1fego<\/strong>&nbsp;porque causa alta carga do Firebox, problemas de taxa de transfer\u00eancia, perda de pacotes e interrup\u00e7\u00f5es frequentes e aleat\u00f3rias.&nbsp;A&nbsp;op\u00e7\u00e3o&nbsp;<strong>Traffic<\/strong>&nbsp;n\u00e3o funciona com a maioria dos dispositivos de terceiros.<\/li><\/ul>\n\n\n<ol><li>Os gateways VPN trocam seletores de tr\u00e1fego da Fase 2 (rotas de t\u00fanel).Voc\u00ea pode especificar os seletores de tr\u00e1fego da Fase 2 para o gateway VPN local e remoto como um endere\u00e7o IP de host, um endere\u00e7o IP de rede ou um intervalo de endere\u00e7os IP.&nbsp;Os seletores de tr\u00e1fego da Fase 2 s\u00e3o sempre enviados como um par em uma proposta da Fase 2: um indica quais endere\u00e7os IP por tr\u00e1s do dispositivo local podem enviar tr\u00e1fego pela VPN e o outro indica quais endere\u00e7os IP por tr\u00e1s do dispositivo remoto podem enviar tr\u00e1fego pela VPN.&nbsp;Isso tamb\u00e9m \u00e9 conhecido como rota de t\u00fanel.<\/li><\/ol>\n\n\n<h3>Algoritmos e protocolos IPSec<\/h3>\n\n\n<p>IPSec \u00e9 uma cole\u00e7\u00e3o de servi\u00e7os baseados em criptografia e protocolos de seguran\u00e7a que protegem a comunica\u00e7\u00e3o entre dispositivos que enviam tr\u00e1fego por meio de uma rede n\u00e3o confi\u00e1vel.&nbsp;Como o IPSec \u00e9 constru\u00eddo em uma cole\u00e7\u00e3o de protocolos e algoritmos amplamente conhecidos, voc\u00ea pode criar uma VPN IPSec entre seu Firebox e muitos outros dispositivos ou terminais baseados em nuvem que suportam esses protocolos padr\u00e3o.<\/p>\n\n\n<h4>Algoritmos de criptografia<\/h4>\n\n\n<p>Os algoritmos de criptografia protegem os dados para que n\u00e3o possam ser lidos por terceiros durante o tr\u00e2nsito.&nbsp;O Fireware oferece suporte a tr\u00eas algoritmos de criptografia:<\/p>\n\n\n<ul><li><strong>AES (Advanced Encryption Standard)<\/strong>&nbsp;&#8211; AES \u00e9 o algoritmo de criptografia mais forte dispon\u00edvel.&nbsp;O Fireware pode usar chaves de criptografia AES com os seguintes comprimentos: 128, 192 ou 256 bits.&nbsp;AES \u00e9 mais r\u00e1pido que 3DES.<\/li><li><strong>3DES (Triple-DES)<\/strong>&nbsp;&#8211; Um algoritmo de criptografia baseado em DES que usa o algoritmo de criptografia DES tr\u00eas vezes para criptografar os dados.&nbsp;A chave de criptografia \u00e9 de 168 bits.&nbsp;3DES \u00e9 mais lento do que AES.<br \/>A&nbsp;<a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Security%20Issues&amp;SFDCID=kA10H000000g3enSAA&amp;lang=en_US\">vulnerabilidade Sweet32<\/a>&nbsp;afeta 3DES.<\/li><li><strong>DES (Data Encryption Standard)<\/strong>&nbsp;&#8211; Usa uma chave de criptografia de 56 bits.&nbsp;DES \u00e9 o mais fraco dos tr\u00eas algoritmos e \u00e9 considerado inseguro.<\/li><\/ul>\n\n\n<h4>Algoritmos de autentica\u00e7\u00e3o<\/h4>\n\n\n<p>Os algoritmos de autentica\u00e7\u00e3o verificam a integridade dos dados e a autenticidade de uma mensagem.&nbsp;O Fireware oferece suporte a tr\u00eas algoritmos de autentica\u00e7\u00e3o:<\/p>\n\n\n<ul><li>HMAC-MD5 (c\u00f3digo de autentica\u00e7\u00e3o de mensagem hash &#8211; algoritmo 5 do resumo da mensagem)<ul><li>O MD5 produz um resumo da mensagem de 128 bits (16 bytes), o que o torna mais r\u00e1pido do que SHA1 ou SHA2.&nbsp;Este \u00e9 o algoritmo menos seguro.<\/li><\/ul><\/li><li>HMAC-SHA1 (c\u00f3digo de autentica\u00e7\u00e3o de mensagem hash &#8211; algoritmo de hash seguro 1)<ul><li>SHA1 produz um resumo da mensagem de 160 bits (20 bytes).&nbsp;Embora mais lento que o MD5, esse tamanho de digest\u00e3o maior o torna mais forte contra ataques de for\u00e7a bruta.&nbsp;O SHA-1 \u00e9 considerado principalmente inseguro devido a uma vulnerabilidade.<\/li><\/ul><\/li><li>HMAC-SHA2 (c\u00f3digo de autentica\u00e7\u00e3o de mensagem hash &#8211; algoritmo de hash seguro 2)<ul><li>SHA2 \u00e9 o algoritmo mais seguro.&nbsp;O Fireware v11.8 e superior oferece suporte a tr\u00eas variantes de SHA2 com diferentes comprimentos de resumo de mensagem.<ul><li>SHA2-256 &#8211; produz um resumo da mensagem de 265 bits (32 bytes)<\/li><li>SHA2-384 &#8211; produz um resumo da mensagem de 384 bits (48 bytes)<\/li><li>SHA2-512 &#8211; produz um resumo da mensagem de 512 bits (64 bytes)<\/li><\/ul><\/li><\/ul><\/li><\/ul>\n\n\n<p>SHA2 \u00e9 mais forte do que SHA1 ou MD5.&nbsp;Recomendamos que voc\u00ea especifique uma variante SHA2.<\/p>\n\n\n<h4>Protocolo IKE<\/h4>\n\n\n<p>IKE (Internet Key Exchange) \u00e9 um protocolo usado para configurar associa\u00e7\u00f5es de seguran\u00e7a para IPSec.&nbsp;Essas associa\u00e7\u00f5es de seguran\u00e7a estabelecem segredos de sess\u00e3o compartilhada a partir dos quais as chaves s\u00e3o derivadas para criptografia de dados encapsulados.&nbsp;O IKE tamb\u00e9m \u00e9 usado para autenticar os dois pares IPSec.&nbsp;<\/p>\n\n\n<ul><li>IKEv1 \u00e9 definido no RFC 2409.<\/li><li>IKEv2 \u00e9 definido no RFC 7296.<\/li><\/ul>\n\n\n<h4>Algoritmo de troca de chaves Diffie-Hellman<\/h4>\n\n\n<p>O algoritmo de troca de chave Diffie-Hellman (DH) \u00e9 um m\u00e9todo usado para disponibilizar uma chave de criptografia compartilhada para duas entidades sem a troca da chave.&nbsp;A chave de criptografia para os dois dispositivos \u00e9 usada como uma chave sim\u00e9trica para criptografar dados.&nbsp;Apenas as duas partes envolvidas na troca de chave DH podem deduzir a chave compartilhada, e a chave nunca \u00e9 enviada pela rede.<\/p>\n\n\n<p>Um&nbsp;<em>grupo de chaves<\/em>&nbsp;Diffie-Hellman&nbsp;\u00e9 um grupo de inteiros usados \u200b\u200bpara a troca de chaves Diffie-Hellman, veja a seguir.<\/p>\n\n\n<p>Os grupos Diffie-Hellman (DH) determinam a for\u00e7a da chave usada no processo de troca de chave.&nbsp;N\u00fameros de grupo mais altos s\u00e3o mais seguros, mas requerem mais tempo para calcular a chave.<\/p>\n\n\n<ul><li>Grupo DH 1: grupo de 768 bits<\/li><li>Grupo DH 2: grupo de 1024 bits<\/li><li>Grupo DH 5: grupo de 1536 bits<\/li><li>Grupo DH 14: grupo de 2048 bits<\/li><li>Grupo DH 15: grupo de 3072 bits<\/li><li>Grupo DH 19: grupo de curva el\u00edptica de 256 bits<\/li><li>Grupo DH 20: grupo de curva el\u00edptica de 384 bits<\/li><\/ul>\n\n\n<p>Ambos os pares em uma troca VPN devem usar o mesmo grupo DH, que \u00e9 negociado durante a Fase 1 do processo de negocia\u00e7\u00e3o IPSec.&nbsp;<\/p>\n\n\n<h4>Grupos DH e Perfect Forward Secrecy (PFS)<\/h4>\n\n\n<p>Al\u00e9m da Fase 1, voc\u00ea tamb\u00e9m pode especificar o grupo Diffie-Hellman para usar na Fase 2 de uma conex\u00e3o IPSec.&nbsp;A configura\u00e7\u00e3o da fase 2 inclui configura\u00e7\u00f5es para uma associa\u00e7\u00e3o de seguran\u00e7a (SA), ou como os pacotes de dados s\u00e3o protegidos quando s\u00e3o passados \u200b\u200bentre dois terminais.&nbsp;Voc\u00ea especifica o grupo Diffie-Hellman na Fase 2 apenas quando seleciona Perfect Forward Secrecy (PFS).<\/p>\n\n\n<p>O PFS torna as chaves mais seguras porque as novas chaves n\u00e3o s\u00e3o feitas a partir das chaves anteriores.&nbsp;Se uma chave for comprometida, as novas chaves de sess\u00e3o ainda estar\u00e3o seguras.&nbsp;Quando voc\u00ea especifica o PFS durante a Fase 2, uma troca Diffie-Hellman ocorre cada vez que um novo SA \u00e9 negociado.<\/p>\n\n\n<p>O grupo DH escolhido para a Fase 2 n\u00e3o precisa corresponder ao grupo escolhido para a Fase 1.<\/p>\n\n\n<h4>AH<\/h4>\n\n\n<p>Definido no RFC 2402, AH (Authentication Header) \u00e9 um protocolo que voc\u00ea pode usar em negocia\u00e7\u00f5es manuais de VPN de Fase 2 do BOVPN.&nbsp;Para fornecer seguran\u00e7a, o AH adiciona informa\u00e7\u00f5es de autentica\u00e7\u00e3o ao datagrama IP.&nbsp;A maioria dos t\u00faneis VPN n\u00e3o usa AH porque n\u00e3o fornece criptografia.<\/p>\n\n\n<h4>ESP<\/h4>\n\n\n<p>Definido na RFC 2406, ESP (Encapsulating Security Payload) fornece autentica\u00e7\u00e3o e criptografia de dados.&nbsp;O ESP pega a carga original de um pacote de dados e a substitui por dados criptografados.&nbsp;Ele adiciona verifica\u00e7\u00f5es de integridade para garantir que os dados n\u00e3o sejam alterados em tr\u00e2nsito e que tenham vindo da fonte adequada.&nbsp;Recomendamos que voc\u00ea use ESP nas negocia\u00e7\u00f5es Fase 2 porque ESP \u00e9 mais seguro do que AH.&nbsp;VPN m\u00f3vel com IPSec sempre usa ESP.<\/p>\n\n\n<h3>FONTE<\/h3>\n\n\n<p><a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Fireware\/mvpn\/general\/ipsec_vpn_intro_c.html?tocpath=Fireware%7CFireware%20Help%7CConfigure%20Network%20Settings%7CManual%20Branch%20Office%20VPN%20Tunnels%7CAbout%20IPSec%20VPNs%7C_____0\">https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Fireware\/mvpn\/general\/ipsec_vpn_intro_c.html?tocpath=Fireware%7CFireware%20Help%7CConfigure%20Network%20Settings%7CManual%20Branch%20Office%20VPN%20Tunnels%7CAbout%20IPSec%20VPNs%7C_____0<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Negocia\u00e7\u00f5es de VPN IPSec Os dispositivos nas extremidades de um t\u00fanel VPN IPSec s\u00e3o pares IPSec.&nbsp;Para construir o t\u00fanel VPN, os pares IPSec trocam uma s\u00e9rie de mensagens sobre criptografia e autentica\u00e7\u00e3o e tentam chegar a um acordo sobre muitos par\u00e2metros diferentes.&nbsp;Este processo \u00e9 conhecido como negocia\u00e7\u00f5es VPN.&nbsp;Um dispositivo na sequ\u00eancia de negocia\u00e7\u00e3o \u00e9 o [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[72,79,151],"_links":{"self":[{"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/posts\/1687"}],"collection":[{"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/comments?post=1687"}],"version-history":[{"count":1,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/posts\/1687\/revisions"}],"predecessor-version":[{"id":1828,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/posts\/1687\/revisions\/1828"}],"wp:attachment":[{"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/media?parent=1687"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/categories?post=1687"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bfnetworks.com.br\/wp-json\/wp\/v2\/tags?post=1687"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}