{"id":1687,"date":"2021-05-24T23:56:20","date_gmt":"2021-05-25T02:56:20","guid":{"rendered":"https:\/\/www.bfnetworks.com.br\/?p=1687"},"modified":"2023-01-15T19:20:32","modified_gmt":"2023-01-15T22:20:32","slug":"um-pouco-sobre-ipsec","status":"publish","type":"post","link":"https:\/\/bfnetworks.com.br\/um-pouco-sobre-ipsec\/","title":{"rendered":"UM POUCO SOBRE IPSEC"},"content":{"rendered":"\n
Os dispositivos nas extremidades de um t\u00fanel VPN IPSec s\u00e3o pares IPSec. Para construir o t\u00fanel VPN, os pares IPSec trocam uma s\u00e9rie de mensagens sobre criptografia e autentica\u00e7\u00e3o e tentam chegar a um acordo sobre muitos par\u00e2metros diferentes. Este processo \u00e9 conhecido como negocia\u00e7\u00f5es VPN. Um dispositivo na sequ\u00eancia de negocia\u00e7\u00e3o \u00e9 o iniciador e o outro dispositivo \u00e9 o respondedor.<\/p>\n\n\n
As negocia\u00e7\u00f5es de VPN acontecem em duas fases distintas: Fase 1<\/em> e Fase 2<\/em> .<\/p>\n\n\n As configura\u00e7\u00f5es da Fase 1 e da Fase 2 devem corresponder aos dispositivos em uma das extremidades do t\u00fanel.<\/p>\n\n\n Nas negocia\u00e7\u00f5es da Fase 1, os dois dispositivos de gateway VPN trocam credenciais. Os dispositivos se identificam e negociam para encontrar um conjunto comum de configura\u00e7\u00f5es da Fase 1 para usar. Quando as negocia\u00e7\u00f5es da Fase 1 s\u00e3o conclu\u00eddas, os dois dispositivos t\u00eam uma Associa\u00e7\u00e3o de Seguran\u00e7a de Fase 1 (SA). Este SA \u00e9 v\u00e1lido por um per\u00edodo de tempo especificado. Se os dois gateways VPN n\u00e3o conclu\u00edrem as negocia\u00e7\u00f5es da Fase 2 antes que o SA da Fase 1 expire, eles dever\u00e3o concluir as negocia\u00e7\u00f5es da Fase 1 novamente.<\/p>\n\n\n O processo de negocia\u00e7\u00e3o da Fase 1 depende de qual vers\u00e3o do IKE os pontos de extremidade do gateway usam. O IKE autentica pares IPSec e negocia SAs IKE durante esta fase, configurando um canal de comunica\u00e7\u00e3o seguro para negociar SAs IPSec na Fase 2.<\/p>\n\n\n As negocia\u00e7\u00f5es da Fase 1 incluem estas etapas:<\/p>\n\n\n Os itens que voc\u00ea pode definir na transforma\u00e7\u00e3o da Fase 1 s\u00e3o:<\/p>\n\n\n Depois que os dois gateways IPSec VPN concluem com \u00eaxito as negocia\u00e7\u00f5es da Fase 1, as negocia\u00e7\u00f5es da Fase 2 come\u00e7am. O objetivo das negocia\u00e7\u00f5es da Fase 2 \u00e9 estabelecer a SA da Fase 2 (\u00e0s vezes chamada de IPSec SA). O IPSec SA \u00e9 um conjunto de especifica\u00e7\u00f5es de tr\u00e1fego que informam ao dispositivo qual tr\u00e1fego enviar pela VPN e como criptografar e autenticar esse tr\u00e1fego.<\/p>\n\n\n As negocia\u00e7\u00f5es da Fase 2 incluem estas etapas:<\/p>\n\n\n IPSec \u00e9 uma cole\u00e7\u00e3o de servi\u00e7os baseados em criptografia e protocolos de seguran\u00e7a que protegem a comunica\u00e7\u00e3o entre dispositivos que enviam tr\u00e1fego por meio de uma rede n\u00e3o confi\u00e1vel. Como o IPSec \u00e9 constru\u00eddo em uma cole\u00e7\u00e3o de protocolos e algoritmos amplamente conhecidos, voc\u00ea pode criar uma VPN IPSec entre seu Firebox e muitos outros dispositivos ou terminais baseados em nuvem que suportam esses protocolos padr\u00e3o.<\/p>\n\n\n Os algoritmos de criptografia protegem os dados para que n\u00e3o possam ser lidos por terceiros durante o tr\u00e2nsito. O Fireware oferece suporte a tr\u00eas algoritmos de criptografia:<\/p>\n\n\nFase 1 Negocia\u00e7\u00f5es<\/h4>\n\n\n
IKE Keep-Alive \u00e9 uma configura\u00e7\u00e3o obsoleta. Em vez disso, recomendamos DPD.\nPara IKEv2, NAT Traversal e DPD est\u00e3o sempre ativados e IKE Keep-Alive n\u00e3o \u00e9 compat\u00edvel.<\/pre>\n\n\n
Fase 2 Negocia\u00e7\u00f5es<\/h4>\n\n\n
Recomendamos que voc\u00ea use o PFS para manter seus dados seguros. Se voc\u00ea deseja usar o PFS, ele deve ser habilitado em ambos os gateways VPN e ambos os gateways devem usar os mesmos grupos de chaves Diffie-Hellman.<\/li>Algoritmos e protocolos IPSec<\/h3>\n\n\n
Algoritmos de criptografia<\/h4>\n\n\n