IPsec

O IPsec fornece uma implementação de VPN baseada em padrões que é compatível com uma ampla gama de clientes para conectividade móvel e outros firewalls e roteadores para conectividade site a site. Suporta inúmeros dispositivos de terceiros e está sendo usado na produção com dispositivos que vão desde roteadores Linksys de uso comum até os mainframes IBM z / OS e tudo o mais que se possa imaginar. Este capítulo descreve as opções de configuração disponíveis e como configurar vários cenários comuns.

Para uma discussão geral dos vários tipos de VPNs disponíveis no software pfSense e seus prós e contras, consulte Redes Privadas Virtuais.

O software pfSense suporta IPsec com IKEv1 e IKEv2, várias definições de fase 2 para cada túnel, além de NAT traversal, definições de NAT na Fase 2, um grande número de opções de criptografia e hash e muitas outras opções para clientes móveis, incluindo xauth e EAP.

Terminologia IPsec

Antes de se aprofundar muito na configuração, há alguns termos usados ​​ao longo do capítulo que exigem explicação. Outros termos são explicados com mais detalhes sobre seu uso nas opções de configuração.

IKE

IKE significa Internet Key Exchange e vem em duas variedades diferentes: IKEv1 e IKEv2. Quase todos os dispositivos que suportam IPsec usam IKEv1. Um número crescente de dispositivos também suporta o protocolo IKEv2 mais recente, que é uma versão atualizada do IKE que resolve algumas das dificuldades presentes na versão anterior. Por exemplo, o IKEv2 possui o MOBIKE, que é um padrão para clientes móveis que permite alternar endereços dinamicamente. Ele também possui mecanismos de passagem NAT e mecanismos padrão para confiabilidade semelhantes ao DPD. Em geral, o IKEv2 fornece uma experiência mais estável e confiável, desde que ambas as extremidades o suportem suficientemente.

Associação de Segurança ISAKMP

ISAKMP significa Associação de Segurança da Internet e Protocolo de Gerenciamento de Chaves. Ele fornece a ambas as partes um mecanismo pelo qual elas podem configurar um canal de comunicação seguro, incluindo troca de chaves e fornecimento de autenticação.

Uma Associação de Segurança ISAKMP (ISAKMP SA) é uma política unidirecional que define como o tráfego será criptografado e manipulado. Cada túnel IPsec ativo terá duas associações de segurança, uma para cada direção. As associações de segurança do ISAKMP são configuradas entre os endereços IP públicos de cada terminal. O conhecimento dessas associações de segurança ativas é mantido no banco de dados de associação de segurança (SAD).

Política de segurança

Uma Política de Segurança gerencia as especificações completas do túnel IPsec. Assim como as Associações de Segurança, elas são unidirecionais, portanto, para cada túnel, haverá uma em cada direção. Essas entradas são mantidas no banco de dados de diretivas de segurança (SPD). O SPD é preenchido com duas entradas para cada conexão de túnel, assim que um túnel é adicionado. Por contraste, as entradas do SAD existem somente após a negociação bem-sucedida da conexão.

No software pfSense, as Políticas de Segurança controlam qual tráfego será interceptado pelo kernel para entrega via IPsec.

Fase 1

Existem duas fases de negociação para um túnel IPsec. Durante a fase 1, os dois terminais de um túnel configuram um canal seguro entre o uso do ISAKMP para negociar as entradas SA e trocar chaves. Isso também inclui autenticação, verificação de identificadores e verificação de chaves pré-compartilhadas (PSK) ou certificados. Quando a fase 1 é concluída, as duas extremidades podem trocar informações com segurança, mas ainda não decidiram qual tráfego atravessará o túnel ou sua criptografia.

Fase 2

Na fase 2, os dois pontos de extremidade negociam como criptografar e enviar os dados para os hosts privados com base nas diretivas de segurança. Esta parte cria o encapsulamento usado para transferir dados entre os nós de extremidade e clientes cujo tráfego é manipulado por esses nós de extremidade. Se as políticas de ambos os lados concordarem e a fase 2 for estabelecida com sucesso, o túnel estará ativo e pronto para uso para o tráfego que corresponda às definições da fase 2.