Visão geral do IPsec
Entendendo o Junos VPN Site Secure
O Junos VPN Site Secure é um conjunto de recursos IPsec suportados em placas de linha de multisserviços (MS-DPC, MS-MPC e MS-MIC), e foi referido como serviços IPsec em versão Junos antes de 13.2. No Junos OS Release 13.2 e posteriores, o termo recursos IPsec é usado exclusivamente para se refere à implementação IPsec em PICs de serviços adaptativos e criptografia. Este tópico oferece uma visão geral do Junos VPN Site Secure, e tem as seguintes seções:
- Ipsec
- Associações de segurança
- IKE
- Sem suporte para NAT-T
- Comparação de IPsec em ES PICs e Junos VPN Site Secure em cartões LIne multisserviços
Ipsec
A arquitetura IPsec oferece um pacote de segurança para as camadas de rede IP versão 4 (IPv4) e IP versão 6 (IPv6). O conjunto oferece funcionalidades como autenticação de origem, integridade de dados, confidencialidade, proteção de repetição e nãorepudiação da origem. Além do IPsec, o Junos OS também oferece suporte ao Internet Key Exchange (IKE), que define mecanismos para geração e intercâmbio chave, e gerencia associações de segurança (SAs).
O IPsec também define uma associação de segurança e uma estrutura de gerenciamento chave que pode ser usada com qualquer protocolo de camada de rede. A SA especifica qual política de proteção aplicar ao tráfego entre duas entidades de camada IP. O IPsec fornece túneis seguros entre dois pares.
Associações de segurança
Para usar serviços de segurança IPsec, você cria SAs entre hosts. Uma SA é uma conexão simples que permite que dois hosts se comuniquem entre si com segurança por meio do IPsec. Existem dois tipos de SAs:
As SAs manuais não exigem negociação; todos os valores, incluindo as chaves, estão estáticos e especificados na configuração. As SAs manuais definem estaticamente os valores, algoritmos e chaves do índice de parâmetros de segurança (SPI) a serem usados, e exigem configurações correspondentes em ambas as extremidades do túnel. Cada peer deve ter as mesmas opções configuradas para que a comunicação ocorra.
Os SAs dinâmicos exigem configuração adicional. Com SAs dinâmicos, você configura o IKE primeiro e depois o SA. O IKE cria associações de segurança dinâmicas; negocia SAs para IPsec. A configuração do IKE define os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares. Essa conexão é usada para concordar dinamicamente com as chaves e outros dados usados pela SA IPsec dinâmica. A SA IKE é negociada primeiro e depois usada para proteger as negociações que determinam os SAs IPsec dinâmicos.
IKE
O IKE é um protocolo de gerenciamento chave que cria SAs dinâmicos; negocia SAs para IPsec. Uma configuração de IKE define os algoritmos e as chaves usadas para estabelecer uma conexão segura com um gateway de segurança por pares.
A IKE executa as seguintes tarefas:
Negocia e gerencia parâmetros IKE e IPsec.
Autentica a troca segura de chaves.
Oferece autenticação mútua por pares por meio de segredos compartilhados (não senhas) e chaves públicas.
Oferece proteção de identidade (no modo principal).
Duas versões do protocolo IKE (IKEv1 e IKEv2) agora são suportadas. A IKE negocia atributos de segurança e estabelece segredos compartilhados para formar o IKE SA bidirecional. No IKE, os SAs IPsec de entrada e saída estão estabelecidos e o IKE SA protege as trocas. Começando pelo Junos OS Release 11.4, tanto o IKEv1 quanto o IKEv2 são suportados por padrão em todos os roteadores da Série M, Série MX e Série T. A IKE também gera material de chaveamento, fornece o Perfect Forward Secrecy e troca identidades.
A partir do Junos OS Release 18.2R1, você pode configurar um roteador da Série MX com MS-MPCs ou MS-MICs para agir apenas como um respondente IKE. Neste modo somente de resposta, o roteador da Série MX não inicia negociações de IKE, apenas responde às negociações de IKE iniciadas pelo gateway peer. Isso pode ser necessário ao interoperar com equipamentos de outros fornecedores, como dispositivos Cisco. Como a Série MX não suporta o protocolo e os valores de porta no seletor de tráfego, ele não pode iniciar um túnel IPsec para o gateway peer de outro fornecedor que espera esses valores. Ao configurar o modo somente de resposta na Série MX, o MX pode aceitar o seletor de tráfego na negociação IKE iniciada a partir do gateway peer.
A partir do Junos OS Release 18.2R1, você pode configurar o roteador da Série MX com MS-MPCs ou MS-MICs para enviar apenas o certificado de entidade final para autenticação de IKE baseada em certificados em vez da cadeia completa de certificados. Isso evita a fragmentação do IKE.
Começando pelo Junos OS Release 19.1R1, o suporte de nome distinto é adicionado à identificação de IKE (IKE ID) que é usada para validação de dispositivos peer VPN durante a negociação do IKE. O ID IKE recebido por um roteador da Série MX de um peer remoto pode ser um IPv4 ou um endereço IPv6, um nome de host, um nome de domínio totalmente qualificado (FQDN) ou um nome distinto (DN). O ID IKE enviado pelo peer remoto precisa corresponder ao esperado pelo roteador da Série MX. Caso contrário, a validação do IKE ID falha e a VPN não está estabelecida.
Sem suporte para NAT-T
Antes da versão 17.4R1 do Junos OS, o Network Address Translation-Traversal (NAT-T) não é compatível com o pacote Junos VPN Site Secure de recursos IPsec nos roteadores da Série MX, e você deve desabilitar o NAT-T no roteador da Série MX para evitar executar NAT-T sem suporte (veja DESativação do NAT-T em roteadores da Série MX para lidar com NAT com pacotes protegidos por IPsec). O NAT-T é um método para contornar problemas de tradução de endereço IP encontrados quando dados protegidos pelo IPsec passam por um dispositivo NAT para tradução de endereços.
Comparação de IPsec em ES PICs e Junos VPN Site Secure em cartões LIne multisserviços
A Tabela 1 compara a configuração de alto nível dos recursos IPsec nas interfaces ES PIC e o IPsec nos PICs de serviços adaptativos e no Junos VPN Site Secure nas placas de linha de multisserviços.
Configuração do ES PIC |
Configuração de placas de linha de AS e multisserviços |
---|---|
[edit security ipsec] proposal {...} |
[edit services ipsec-vpn ipsec] proposal {...} |
[edit security ipsec] policy {...} |
[edit services ipsec-vpn ipsec] policy {...} |
[edit security ipsec] security-association sa-dynamic {...} |
[edit services ipsec-vpn rule rule-name] term term-name match-conditions {...} then dynamic {...}] |
[edit security ipsec] security-association sa-manual {...} |
[edit services ipsec-vpn rule rule-name] term term-name match-conditions {...} then manual {...}] |
[edit security ike] proposal {...} |
[edit services ipsec-vpn ike] proposal {...} |
[edit security ike] policy {...} |
[edit services ipsec-vpn ike] policy {...} |
Não está disponível |
[edit services ipsec-vpn] rule-set {...} |
Não está disponível |
[edit services ipsec-vpn] service-set {...} |
[edit interfaces es-fpc/pic/port] tunnel source address |
[edit services ipsec-vpn service-set set-name ipsec-vpn local-gateway address] |
[edit interfaces es-fpc/pic/port] tunnel destination address |
[edit services ipsec-vpn rule rule-name] remote-gateway address |
Embora muitas das mesmas declarações e propriedades sejam válidas em ambas as plataformas (MultiServices e ES), as configurações não são intercambiáveis. Você deve confirmar uma configuração completa para o tipo PIC que está instalado em seu roteador.
Algoritmos de autenticação
Autenticação é o processo de verificar a identidade do remetente. Os algoritmos de autenticação usam uma chave compartilhada para verificar a autenticidade dos dispositivos IPsec. O Junos OS usa os seguintes algoritmos de autenticação:
O Message Digest 5 (MD5) usa uma função de hash de ida para converter uma mensagem de comprimento arbitrário em um digestão de mensagem de comprimento fixo de 128 bits. Devido ao processo de conversão, é matematicamente inviável calcular a mensagem original computando-a para trás a partir do digestão resultante da mensagem. Da mesma forma, uma mudança para um único caractere na mensagem fará com que ele gere um número de digestão de mensagem muito diferente.
Para verificar se a mensagem não foi adulterada, o Junos OS compara a digestão calculada da mensagem com um digestão de mensagem que é descriptografado com uma chave compartilhada. O Junos OS usa a variante de código de autenticação de mensagens de hashed MD5 (HMAC) que fornece um nível adicional de hashing. O MD5 pode ser usado com cabeçalho de autenticação (AH), Encapsulando Security Payload (ESP) e Internet Key Exchange (IKE).
O Algoritmo de Hash Seguro 1 (SHA-1) usa um algoritmo mais forte que o MD5. A SHA-1 leva uma mensagem de menos de 264 bits de comprimento e produz um digestão de mensagem de 160 bits. A grande digestão da mensagem garante que os dados não foram alterados e que eles se originam da fonte correta. O Junos OS usa a variante SHA-1 HMAC que oferece um nível adicional de hashing. O SHA-1 pode ser usado com AH, ESP e IKE.
SHA-256, SHA-384 e SHA-512 (às vezes agrupados sob o nome SHA-2) são variantes do SHA-1 e usam digestões de mensagens mais longas. O Junos OS oferece suporte à versão SHA-256 do SHA-2, que pode processar todas as versões do Advanced Encryption Standard (AES), Data Encryption Standard (DES) e criptografia Triple DES (3DES).
Algoritmos de criptografia
A criptografia codifica dados em um formato seguro para que não possa ser decifrado por usuários não autorizados. Como algoritmos de autenticação, uma chave compartilhada é usada com algoritmos de criptografia para verificar a autenticidade dos dispositivos IPsec. O Junos OS usa os seguintes algoritmos de criptografia:
O encadeamento padrão de blocos de criptografia de dados (DES-CBC) é um algoritmo simétrico de blocos secretos. O DES usa um tamanho chave de 64 bits, onde 8 bits são usados para detecção de erros e os 56 bits restantes fornecem criptografia. O DES realiza uma série de operações lógicas simples na chave compartilhada, incluindo permutações e substituições. A CBC tira o primeiro bloco de 64 bits de saída do DES, combina esse bloco com o segundo bloco, alimenta isso de volta ao algoritmo DES e repete esse processo para todos os blocos subsequentes.
O DES-CBC triplo (3DES-CBC) é um algoritmo de criptografia que é semelhante ao DES-CBC, mas fornece um resultado de criptografia muito mais forte porque usa três chaves para criptografia de 168 bits (3 x 56 bits). O 3DES funciona usando a primeira chave para criptografar os blocos, a segunda chave para descriptografar os blocos e a terceira chave para recriptografar os blocos.
Advanced Encryption Standard (AES) é um método de criptografia de próxima geração baseado no algoritmo Rijndael desenvolvido pelos criptógrafos belgas Dr. Joan Daemen e Dr. Vincent Rijmen. Ele usa um bloco de 128 bits e três tamanhos de chave diferentes (128, 192 e 256 bits). Dependendo do tamanho chave, o algoritmo realiza uma série de cálculos (10, 12 ou 14 rounds) que incluem substituição de byte, mistura de colunas, mudança de linha e adição de chave. O uso da AES em conjunto com o IPsec é definido no RFC 3602, no algoritmo de cifraS AES-CBC e em seu uso com IPsec.
A partir do Junos OS Release 17.3R1, o Advanced Encryption Standard no modo Galois/Counter (AES-GCM) é compatível com MS-MPCs e MS-MICs. No entanto, no modo Junos FIPS, o AES-GCM não é suportado no Junos OS Release 17.3R1. A partir do Junos OS Release 17.4R1, o AES-GCM tem suporte no modo Junos FIPS. AES-GCM é um algoritmo de criptografia autenticado projetado para fornecer autenticação e privacidade. A AES-GCM usa hashing universal em um campo binário de Galois para fornecer criptografia autenticada e permite criptografia autenticada a taxas de dados de dezenas de Gbps.
Veja também
Protocolos IPsec
Os protocolos IPsec determinam o tipo de autenticação e criptografia aplicada a pacotes que são protegidos pelo roteador. O Junos OS oferece suporte aos seguintes protocolos IPsec:
AH — Definida em RFC 2402, a AH oferece integridade sem conexão e autenticação de origem dos dados para pacotes IPv4 e IPv6. Ele também fornece proteção contra replays. A AH autentica o máximo possível do cabeçalho IP, bem como os dados de protocolo de nível superior. No entanto, alguns campos de cabeçalho IP podem mudar em trânsito. Como o valor desses campos pode não ser previsível pelo remetente, eles não podem ser protegidos pela AH. Em um cabeçalho de IP, a AH pode ser identificada com um valor no
51
Protocol
campo de um pacote IPv4 e noNext Header
campo de um pacote IPv6. Um exemplo da proteção IPsec oferecida pela AH é mostrado na Figura 1.Nota:A AH não é compatível com os roteadores T Series, M120 e M320.
ESP — Definido em RFC 2406, o ESP pode fornecer criptografia e confidencialidade limitada do fluxo de tráfego, ou integridade sem conexão, autenticação de origem dos dados e um serviço anti-replay. Em um cabeçalho IP, o ESP pode ser identificado como um valor no
50
Protocol
campo de um pacote IPv4 e noNext Header
campo de um pacote IPv6. Um exemplo da proteção IPsec oferecida pelo ESP é mostrado na Figura 2.
Bundle — Quando você compara AH com ESP, existem alguns benefícios e deficiências em ambos os protocolos. O ESP oferece um nível decente de autenticação e criptografia, mas o faz apenas para parte do pacote IP. Por outro lado, embora a AH não forneça criptografia, ela fornece autenticação para todo o pacote IP. Por causa disso, o Junos OS oferece uma terceira forma de protocolo IPsec chamada de pacote de protocolo. A opção de pacote oferece uma combinação híbrida de autenticação AH com criptografia ESP.
Veja também
Encaminhamento multicaminho IPsec com encapsulamento de UDP
O IPsec oferece túneis seguros entre dois pares e pacotes encapsulados de IPsec têm cabeçalhos IP que contêm IPs de endpoint de túnel que não mudam. Isso resulta na seleção de um único caminho de encaminhamento entre os pares, conforme mostrado na Figura 3. Quando o tráfego IPsec está fluindo entre data centers com milhares de hosts, essa seleção de caminho único limita a taxa de transferência.
Você pode superar esse problema permitindo o encapsulamento de UDP dos pacotes IPsec, que anexa um cabeçalho UDP após o cabeçalho ESP, conforme mostrado na Figura 4. Isso fornece informações de Camada 3 e 4 para os roteadores intermediários, e os pacotes IPsec são encaminhados por vários caminhos, como mostrado na Figura 5. Você habilita o encapsulamento de UDP para o conjunto de serviços.
Você pode configurar a porta de destino UDP ou usar o valor padrão do 4565. Você não pode configurar o 4500 como a porta de destino porque é uma porta bem conhecida para travessias de NAT.
O Junos OS gera a porta UDP de origem por meio de uma função de hash que opera com os seguintes dados:
Endereço IP de origem
Endereço IP de destino
Protocolo de transporte
Porta de origem do transporte
Porta de destino de transporte
Um número aleatório
Apenas os dois últimos bytes do hash resultante são usados, de modo que os detalhes internos do cabeçalho IP estão ocultos.
Quando o NAT-T é detectado, ocorre apenas o encapsulamento NAT-T UDP, não o encapsulamento de UDP para pacotes IPsec.
Veja também
Padrões IPsec e IKE suportados
Em roteadores equipados com um ou mais MS-MPCs, MS-MICs ou DPCs, a versão canadense e americana do Junos OS suporta substancialmente os seguintes RFCs, que definem padrões de segurança IP (IPsec) e troca de chave internet (IKE).
-
RFC 2085, Autenticação IP HMAC-MD5 com Replay Prevention
-
RFC 2401, Arquitetura de Segurança para o Protocolo de Internet (obsoleta pela RFC 4301)
-
RFC 2402, cabeçalho de autenticação IP (obsoleto pela RFC 4302)
-
RFC 2403, o uso do HMAC-MD5-96 dentro do ESP e AH
-
RFC 2404, o uso do HMAC-SHA-1-96 dentro do ESP e AH (obsoleto pela RFC 4305)
-
RFC 2405, o algoritmo de cifra ESP DES-CBC com iv explícito
-
RFC 2406, Ip Encapsulating Security Payload (ESP) (obsoleto pela RFC 4303 e RFC 4305)
-
RFC 2407, O Domínio de Interpretação de Segurança IP da Internet para ISAKMP (obsoleto pela RFC 4306)
-
RFC 2408, Internet Security Association e Key Management Protocol (ISAKMP) (obsoleto pela RFC 4306)
-
RFC 2409, The Internet Key Exchange (IKE) (obsoleto pela RFC 4306)
-
RFC 2410, o algoritmo de criptografia NULL e seu uso com IPsec
-
RFC 2451, os algoritmos de cifra do modo CBC ESP
-
RfC 2560, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
-
RFC 3193, protegendo L2TP usando IPsec
-
RfC 3280, Internet X.509 Certificado de infraestrutura de chaves públicas e perfil de revogação de certificados (CRL)
-
RFC 3602, o algoritmo de cifraS AES-CBC e seu uso com IPsec
-
RFC 3948, encapsulamento UDP de pacotes IPsec ESP
-
RFC 4106, o uso do modo galois/balcão (GCM) no IPsec encapsulando a carga de segurança (ESP)
-
RFC 4210, Protocolo de gerenciamento de certificados de infraestrutura de chaves públicas (CMP) da Internet X.509
-
RFC 4211, Internet X.509 Formato de mensagem de solicitação de certificados de infraestrutura de chave pública (CRMF)
-
RFC 4301, arquitetura de segurança para o protocolo de Internet
-
RFC 4302, cabeçalho de autenticação de IP
-
RFC 4303, Ip Encapsulating Security Payload (ESP)
-
RFC 4305, requisitos de implementação de algoritmos criptográficos para encapsular a carga de segurança (ESP) e o cabeçalho de autenticação (AH)
-
RfC 4306, Protocolo de troca de chaves de Internet (IKEv2)
-
RFC 4307, algoritmos criptográficos para uso na Internet Key Exchange Versão 2 (IKEv2)
-
RFC 4308, suítes criptográficas para IPsec
Apenas a VPN-A do Suite é suportada no Junos OS.
-
Autenticação RFC 4754, IKE e IKEv2 usando o algoritmo de assinatura digital da curva elíptica (ECDSA)
-
RFC 4835, requisitos de implementação de algoritmos criptográficos para encapsular a carga de segurança (ESP) e cabeçalho de autenticação (AH)
-
RFC 5996, Internet Key Exchange Protocol Versão 2 (IKEv2) (obsoleto pela RFC 7296)
-
RFC 7296, Protocolo de Troca de Chaves da Internet Versão 2 (IKEv2)
-
RFC 8200, Protocolo de Internet, Versão 6 (IPv6) Especificação
O Junos OS oferece suporte parcialmente aos seguintes RFCs para IPsec e IKE:
RFC 3526, grupos Diffie-Hellman mais modulares exponencial (MODP) para Troca de Chaves de Internet (IKE)
RFC 5114, grupos adicionais de Diffie-Hellman para uso com padrões IETF
RFC 5903, Grupos de curva elíptica modulo a Prime (Grupos ECP) para IKE e IKEv2
Os RFCs e o rascunho da Internet a seguir não definem padrões, mas fornecem informações sobre IPsec, IKE e tecnologias relacionadas. O IETF os classifica como "Informativos".
RFC 2104, HMAC: Keyed-Hashing for Message Authentication
RFC 2412, o protocolo de determinação chave oakley
RFC 3706, um método baseado em tráfego para detectar peers de troca de chaves de Internet (IKE) mortos
Rascunho de internet draft-eastlake-sha2-02.txt, algoritmos de hash seguro dos EUA (SHA e HMAC-SHA) (expira em julho de 2006)
Veja também
Termos e siglas IPSec
Padrão triplo de criptografia de dados (3DES)
Um algoritmo de DES aprimorado que fornece criptografia de 168 bits processando dados três vezes com três chaves diferentes.
Serviços adaptativos PIC
Uma placa de interface física (PIC) de próxima geração que oferece serviços IPsec e outros serviços, como a tradução de endereços de rede (NAT) e firewall stateful, em plataformas da Série M e série T.
Padrão avançado de criptografia (AES)
Um método de criptografia de próxima geração que é baseado no algoritmo Rijndael e usa um bloco de 128 bits, três tamanhos de chave diferentes (128, 192 e 256 bits) e várias rodadas de processamento para criptografar dados.
cabeçalho de autenticação (AH)
Um componente do protocolo IPsec usado para verificar se o conteúdo de um pacote não mudou (integridade dos dados) e validar a identidade do remetente (autenticação da fonte de dados). Para obter mais informações sobre a AH, consulte RFC 2402.
autoridade de certificado (CA)
Uma organização de terceiros confiável que gera, inscreve, valida e revoga certificados digitais. A CA garante a identidade de um usuário e emite chaves públicas e privadas para criptografia e descriptografia de mensagens.
lista de revogação de certificados (CRL)
Uma lista de certificados digitais que foram invalidados antes de sua data de validade, incluindo os motivos para sua revogação e os nomes das entidades que os emitiram. Um CRL impede o uso de certificados e assinaturas digitais que foram comprometidos.
encadeamento de blocos de cifra (CBC)
Um método criptográfico que criptografa blocos de texto cifrado usando o resultado de criptografia de um bloco para criptografar o próximo bloco. Após a descriptografia, a validade de cada bloco de texto de cifra depende da validade de todos os blocos de texto de cifras anteriores. Para obter mais informações sobre como usar o CBC com DES e ESP para fornecer confidencialidade, consulte RFC 2405.
Padrão de criptografia de dados (DES)
Um algoritmo de criptografia que criptografa e descriptografa dados de pacotes processando os dados com uma única chave compartilhada. O DES opera em incrementos de blocos de 64 bits e oferece criptografia de 56 bits.
certificado digital
Arquivo eletrônico que usa tecnologia de chave pública e privada para verificar a identidade de um criador de certificados e distribuir chaves aos pares.
ES PIC
Um PIC que oferece serviços de criptografia de primeira geração e suporte de software para IPsec em plataformas da Série M e Série T.
Encapsulando a carga de segurança (ESP)
Um componente do protocolo IPsec usado para criptografar dados em um pacote IPv4 ou IPv6, fornecer integridade de dados e garantir a autenticação da fonte de dados. Para obter mais informações sobre o ESP, consulte RFC 2406.
Código de autenticação de mensagens de hashed (HMAC)
Um mecanismo para autenticação de mensagens usando funções de hash criptográficas. O HMAC pode ser usado com qualquer função de hash criptográfica iterativa, como MD5 ou SHA-1, em combinação com uma chave compartilhada secreta. Para obter mais informações sobre o HMAC, consulte RFC 2104.
Troca de chaves da Internet (IKE)
Estabelece parâmetros de segurança compartilhados para hosts ou roteadores usando IPsec. O IKE estabelece os SAs para IPsec. Para obter mais informações sobre o IKE, consulte RFC 2407.
Message Digest 5 (MD5)
Um algoritmo de autenticação que leva uma mensagem de dados de comprimento arbitrário e produz um digestão de mensagem de 128 bits. Para obter mais informações, veja RFC 1321.
Sigilo de encaminhamento perfeito (PFS)
Oferece segurança adicional por meio de um valor secreto compartilhado pela Diffie-Hellman. Com o PFS, se uma chave for comprometida, as chaves anteriores e subsequentes estarão seguras porque elas não são derivadas das chaves anteriores.
infraestrutura de chave pública (PKI)
Uma hierarquia de confiança que permite aos usuários de uma rede pública trocar dados de forma segura e privada por meio do uso de pares chave criptográficos públicos e privados que são obtidos e compartilhados com pares por meio de uma autoridade confiável.
autoridade de registro (RA)
Uma organização de terceiros confiável que atua em nome de um CA para garantir a identidade de um usuário.
Mecanismo de roteamento
Uma parte de arquitetura baseada em PCI de um roteador baseado em Junos OS que lida com o processo de protocolo de roteamento, o processo de interface, alguns dos componentes do chassi, gerenciamento de sistema e acesso do usuário.
associação de segurança (SA)
Especificações que devem ser acordadas entre dois dispositivos de rede antes que IKE ou IPsec possam funcionar. As SAs especificam principalmente opções de protocolo, autenticação e criptografia.
Banco de dados da Associação de Segurança (SADB)
Um banco de dados onde todos os SAs são armazenados, monitorados e processados pelo IPsec.
Algoritmo de hash seguro 1 (SHA-1)
Um algoritmo de autenticação que leva uma mensagem de dados com menos de 264 bits de comprimento e produz um digestão de mensagem de 160 bits. Para obter mais informações sobre o SHA-1, consulte RFC 3174.
Algoritmo de hash seguro 2 (SHA-2)
Sucessor do algoritmo de autenticação SHA-1 que inclui um grupo de variantes SHA-1 (SHA-224, SHA-256, SHA-384 e SHA-512). Os algoritmos SHA-2 usam tamanhos de hash maiores e são projetados para trabalhar com algoritmos de criptografia aprimorados, como a AES.
Banco de dados de políticas de segurança (SPD)
Um banco de dados que trabalha com o SADB para garantir a segurança máxima dos pacotes. Para pacotes de entrada, o IPsec verifica o FIREWALL para verificar se o pacote de entrada corresponde à segurança configurada para uma determinada política. Para pacotes de saída, o IPsec verifica o FIREWALL para ver se o pacote precisa ser protegido.
Índice de parâmetros de segurança (SPI)
Um identificador usado para identificar exclusivamente um SA em um host ou roteador de rede.
Protocolo de inscrição de certificados simples (SCEP)
Um protocolo que oferece suporte às consultas de distribuição de chave pública (RA) da autoridade de ca e registro (RA), inscrição de certificados, revogação de certificados, consultas de certificados e lista de revogação de certificados (CRL).
Visão geral da Série ACX para IPsec
O sistema operacional Junos (Junos OS) da Juniper Networks oferece suporte ao IPsec. Este tópico inclui as seguintes seções, que fornecem informações de fundo sobre a configuração de IPsec em roteadores metro universais da Série ACX.
O IPsec é suportado apenas no ACX1100 roteador alimentado por AC e roteadores ACX500. O encadeamento de serviços (GRE, NAT e IPSec) nos roteadores ACX1100-AC e ACX500 não é suportado.
ACX5048 e roteadores ACX5096 não oferecem suporte a configurações IPsec.
Para obter uma lista dos padrões IPsec e IKE suportados pelo Junos OS, veja a Hierarquia do Junos OS e a Referência de RFC.
Ipsec
A arquitetura IPsec oferece um pacote de segurança para a camada de rede IP versão 4 (IPv4). O conjunto oferece funcionalidades como autenticação de origem, integridade de dados, confidencialidade, proteção de repetição e nãorepudiação da origem. Além do IPsec, o Junos OS também oferece suporte ao Internet Key Exchange (IKE), que define mecanismos para geração e troca chave, e gerencia associações de segurança.
O IPsec também define uma associação de segurança e uma estrutura de gerenciamento chave que pode ser usada com qualquer protocolo de camada de transporte. A associação de segurança especifica qual política de proteção aplicar ao tráfego entre duas entidades de camada IP. O IPsec fornece túneis seguros entre dois pares.
Associações de segurança
Para usar serviços de segurança IPsec, você cria associações de segurança entre hosts. Uma associação de segurança é uma conexão simples que permite que dois hosts se comuniquem entre si com segurança por meio do IPsec. Existem dois tipos de associações de segurança:
As associações de segurança manuais não exigem negociação; todos os valores, incluindo as chaves, estão estáticos e especificados na configuração. As associações de segurança manual definem estaticamente os valores, algoritmos e chaves do índice de parâmetros de segurança (SPI) a serem usados e exigem configurações correspondentes em ambas as extremidades do túnel. Cada peer deve ter as mesmas opções configuradas para que a comunicação ocorra.
As associações de segurança dinâmicas exigem configuração adicional. Com associações de segurança dinâmicas, você configura o IKE primeiro e depois a associação de segurança. O IKE cria associações de segurança dinâmicas; negocia associações de segurança para IPsec. A configuração do IKE define os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares. Essa conexão é usada para concordar dinamicamente com as chaves e outros dados usados pela associação dinâmica de segurança IPsec. A associação de segurança IKE é negociada primeiro e depois usada para proteger as negociações que determinam as associações dinâmicas de segurança IPsec.
IKE
O IKE é um protocolo de gerenciamento essencial que cria associações de segurança dinâmicas; negocia associações de segurança para IPsec. Uma configuração de IKE define os algoritmos e as chaves usadas para estabelecer uma conexão segura com um gateway de segurança por pares.
A IKE executa as seguintes tarefas:
Negocia e gerencia parâmetros IKE e IPsec.
Autentica a troca segura de chaves.
Oferece autenticação mútua por pares por meio de segredos compartilhados (não senhas) e chaves públicas.
Oferece proteção de identidade (no modo principal).
Veja também
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.