ADD IPSec Tunnel (Cisco Router) on ADVPN - Part 2
ฝัง
- เผยแพร่เมื่อ 11 ก.ย. 2024
- Túnel IPSec (Internet Protocol Security) é estabelecido através de duas fases principais, conhecidas como Fase 1 e Fase 2. Cada fase tem seu próprio propósito e conjunto de negociações.
Fase 1: Estabelecimento do Canal Seguro (ISAKMP/IKE Phase 1)
O objetivo principal da Fase 1 é criar um canal seguro entre os dois pontos (gateways ou hosts) para proteger a comunicação subsequente usada na Fase 2. Esta fase pode operar no modo Principal (Main Mode) ou Agressivo (Aggressive Mode).
1. Negociação dos Parâmetros de Segurança: Os dois dispositivos negociam e concordam com os parâmetros de segurança, como os algoritmos de criptografia (ex: AES, 3DES), algoritmo de hashing (ex: SHA, MD5), grupo Diffie-Hellman (para troca de chaves), e método de autenticação (ex: PSK - Pre-Shared Key, certificados digitais).
2. Autenticação: Os dispositivos se autenticam um ao outro. Isso pode ser feito usando chaves pré-compartilhadas (PSK), certificados digitais, ou outro método de autenticação.
3. Troca de Chaves: Usando o algoritmo Diffie-Hellman, os dois dispositivos geram uma chave secreta compartilhada, que será usada para proteger a comunicação durante a Fase 2.
4. Estabelecimento do Canal Seguro: Após a troca de chaves e autenticação, é criado o SA (Security Association) de Fase 1, conhecido como IKE SA (Internet Key Exchange Security Association). Este canal seguro é utilizado para proteger as mensagens de gerenciamento durante a Fase 2.
Fase 2: Estabelecimento do Túnel de Dados (ISAKMP/IKE Phase 2)
A Fase 2 utiliza o canal seguro estabelecido na Fase 1 para criar o túnel de dados IPSec, que é responsável por proteger o tráfego real de dados entre os dispositivos.
1. Negociação dos Parâmetros de Segurança da Fase 2: Os dispositivos negociam e estabelecem um novo conjunto de parâmetros de segurança específicos para o tráfego de dados, incluindo os algoritmos de criptografia e hashing a serem usados para proteger o tráfego de dados real.
2. Troca de Chaves: Embora uma nova troca de chaves ocorra, ela é derivada da chave mestra estabelecida na Fase 1.
3. Estabelecimento do Túnel IPSec: Após a negociação, os dispositivos criam o SA de Fase 2, conhecido como IPSec SA. Este SA define os parâmetros sob os quais os pacotes IP serão criptografados e autenticados durante o tráfego normal de rede.
4. Túnel QM_IDLE (Quick Mode Idle): Após o estabelecimento do IPSec SA, o túnel está pronto para enviar e receber dados. O estado “QM_IDLE” indica que a negociação da Fase 2 foi concluída e o túnel está em espera para tráfego de dados.
CONTINUIDADE DO CCNAFORALL 👇🏾
💳IBAN: 0055 0000 4098 8673 1017 9
💳wise IBAN: B52 9672 4850 8606
💳PayPal ndawedua.neto@gmail.com - แนวปฏิบัติและการใช้ชีวิต
