Configurando um túnel de VPN em dois routers da Linksys RV042
13
Configurando um túnel de VPN em dois routers da Linksys RV042 Publié 09/25/2008 03:16 PM | Mis à jour 09/26/2008 12:57 PM Como configurar um túnel de VPN em dois routers da Linksys ? Uma Rede privada virtual (VPN) é uma ligação entre dois pontos finais - Routers VPN, por exemplo - em redes diferentes e que permite enviar dados privados de modo seguro através de uma rede partilhada ou pública, como, por exemplo, a Internet. Uma rede privada, que envia dados de modo seguro entre estas duas localizações ou redes, é estabelecida criando um túnel. Um túnel de VPN liga dois computadores ou redes e permite que os dados sejam transmitidos através da Internet como se os pontos finais se encontrassem numa rede. Literalmente, não se trata de um túnel; é uma ligação protegida pela encriptação dos dados enviados entre as duas redes. Este artigo explica os quatro passos necessários para configurar um túnel de VPN utilizando dois routers da Linksys e apresenta também uma descrição geral da VPN. Seleccione uma hiperligação abaixo para ir directamente para uma secção: Descrição geral da VPN Verificar a ligação à Internet Verificar as definições de VPN nos dois routers Configurar as definições do túnel de VPN no Router A Configurar as definições do túnel de VPN no Router B Descrição geral da VPN O conjunto de protocolos IPSec foi concebido para suportar vários modos de funcionamento para proteger as comunicações
-
Upload
marcelo-cavalcante -
Category
Documents
-
view
88 -
download
2
Transcript of Configurando um túnel de VPN em dois routers da Linksys RV042
Configurando um túnel de VPN em dois routers da Linksys RV042Publié 09/25/2008 03:16 PM | Mis à jour 09/26/2008 12:57 PM
Como configurar um túnel de VPN em dois routers da Linksys ?
Uma Rede privada virtual (VPN) é uma ligação entre dois pontos finais - Routers VPN, por exemplo - em redes diferentes e que permite enviar dados privados de modo seguro através de uma rede partilhada ou pública, como, por exemplo, a Internet. Uma rede privada, que envia dados de modo seguro entre estas duas localizações ou redes, é estabelecida criando um túnel. Um túnel de VPN liga dois computadores ou redes e permite que os dados sejam transmitidos através da Internet como se os pontos finais se encontrassem numa rede. Literalmente, não se trata de um túnel; é uma ligação protegida pela encriptação dos dados enviados entre as duas redes.
Este artigo explica os quatro passos necessários para configurar um túnel de VPN utilizando dois routers da Linksys e apresenta também uma descrição geral da VPN. Seleccione uma hiperligação abaixo para ir directamente para uma secção:
Descrição geral da VPN Verificar a ligação à Internet Verificar as definições de VPN nos dois routers Configurar as definições do túnel de VPN no Router A Configurar as definições do túnel de VPN no Router B
Descrição geral da VPN
O conjunto de protocolos IPSec foi concebido para suportar vários modos de funcionamento para proteger as comunicações numa rede de protocolo IP (Internet Protocol). Um túnel de VPN entre dois routers interligados através da Internet é apenas um dos modos suportados. Este tipo de túnel de VPN fornece os seguintes serviços à rede:
Privacidade - Encriptação do tráfego (Cabeçalhos de protocolos e Payload) de modo a que não possa ser lido por entidades que não aquelas a que se destina.
Integridade - Validação que garante que o tráfego não é modificado no caminho de transporte entre os dispositivos de túnel.
Autenticação - Garantia de que os dispositivos de ponto final (os routers) são as origens fidedignas correctas.
Anti-reprodução - Garantia de que as sessões estão protegidas contra ataques de reprodução por dispositivos intermediários.
Estes serviços são activados pelo administrador na configuração inicial através da selecção de parâmetros específicos a partir dos protocolos criptográficos disponíveis que asseguram fluxos de pacotes seguros e a autenticação mútua de dispositivos. O IPSec cria um túnel seguro através da criação de uma Associação de segurança (SA) entre os dois dispositivos a serem configurados. Nominalmente, a SA é a lista de
selecções que definem os parâmetros de encriptação e autenticação escolhidos pelo administrador para esta configuração de túnel em particular.
A SA define os algoritmos de encriptação e as chaves criptográficas utilizados para codificar e descodificar o tráfego e quais as capacidades de IKE (Internet Key Exchange - o protocolo utilizado para configurar a SA) utilizadas para gerir essas chaves. Uma vez que existem muitas opções, os dois lados da comunicação têm de chegar a acordo quanto aos parâmetros utilizados para configurar a SA (o que significa que ambos os routers têm de ter os mesmos parâmetros de configuração seleccionados). O IKE ocorre em 2 fases. Na fase 1, é criado um canal de comunicação autenticado e seguro (denominado SA de IKE) entre os dois dispositivos, de modo a que a troca de chaves necessária para configurar o IPSec (e a SA de IPSec) possa ser executada na Fase 2. Os parâmetros a seleccionar incluem:
Keying Mode (Modo de gestão de chaves) - Indica se as chaves de encriptação reais serão introduzidas manualmente pelo administrador (Manual) ou definidas automaticamente (e alteradas periodicamente) pelos dispositivos; o administrador introduzirá uma chave de "inicialização" pré-partilhada que tem de ser introduzida em ambos dos dispositivos (IKE with Pre-Shared Key (IKE com chave pré-partilhada)). IKE with Preshared Key (IKE com chave pré-partilhada) é mais seguro e é recomendado se for suportado pelos dois dispositivos finais (ambos os routers).
Phase 1 (ou 2) DH Group (Grupo DH da fase 1 (ou 2)) - Indica que grupo de protocolos de troca de chaves e comprimento de chave correspondente serão utilizados em cada fase:o Group 1 (768 bits) (Grupo 1 (768 bits))o Group 2 (1024 bits) (Grupo 2 (1024 bits))o Group 5 (1536 bits) (Grupo 5 (1536 bits)). ]
Os comprimentos menores devem ser mais rápidos, mas os maiores são mais seguros. Seleccione um grupo de acordo com a sua preferência administrativa.
Phase 1 (ou 2) Encryption (Encriptação da fase 1 (ou 2)) - Indica que métodos de encriptação padrão disponíveis serão utilizados em cada fase. As opções normais incluem:o Data Encryption Standard (DES) - Chaves de 56 bits; susceptível a ataques de força bruta e, por isso, substituído pelo 3DESo Triple Data Encryption Standard (3DES) -192 bits; substituído subsequentemente pelo AESo Advanced Encryption Standard (AES)
Em geral, o AES é normalmente mais rápido em software e deverá ser seleccionado se estiver disponível. Caso contrário, é recomendado o 3DES (se for suportado pelos dois dispositivos).
Phase 1 (ou 2) Authentication (Autenticação da fase 1 (ou 2)) - Indica que método de autenticação será utilizado para garantir que o tráfego não foi alterado. Normalmente, as opções disponíveis incluem:o Message Digest 5 (MD5) (Resumo de mensagens 5 (MD5))o Security Hash Algorithm (SHA) (Algoritmo hash de segurança (SHA))
O SHA é mais seguro e deve ser utilizado se estiver disponível.
Phase 1 (ou 2) SA Life Time (Duração da SA da fase 1 (ou 2)) - O período de tempo (segundos) durante o qual a SA pode permanecer activa em cada fase. A predefinição é 28.800 segundos (oito horas).
Perfect Forward Secrecy (PFS) - Nominalmente, o PFS significa que as chaves de encriptação são de utilização única; se uma chave for decifrada, não poderá ser utilizada para decifrar chaves subsequentes ou anteriores na sequência.
Preshared Key (Chave pré-partilhada) - O valor baseado em caracteres ou de base hexadecimal definido pelo administrador e utilizado como chave de inicialização pré-partilhada para o IKE.
Nota: Para obter uma explicação mais detalhada sobre a criação de túneis de VPN IPSec, incluindo considerações sobre múltiplos locais, clique aqui.Este tipo de configuração de túnel entre dois dispositivos de rede (routers) cria uma sub-rede IP encaminhada, o que significa que os pacotes que atravessam o túnel entre os locais têm de ser encaminhados por IP (na camada 3, e não em bridge na camada 2) através da rede.
Fundamentalmente, isto significa que:
Cada local tem de ter um endereço de sub-rede IP exclusivo na respectiva interface de LAN (ou seja, 192.168.1.x para o local 1, 192.168.2.x para o local 2, etc.). Especificamente, o mesmo endereço de sub-rede (tal como 192.168.1.x) NÃO pode ser utilizado em mais de um local.
Em cada dispositivo, é necessário configurar não apenas o respectivo endereço de sub-rede de LAN local, mas também a informação do endereçamento de LAN utilizado no local remoto.
Em cada dispositivo, é necessário configurar as informações que permitem ao dispositivo determinar o endereço IP da WAN do local remoto:
Os endereços IP da WAN podem ser determinados manualmente pelo administrador durante a configuração do local remoto através do endereço da WAN configurado estaticamente pelo administrador (na realidade, o endereço é atribuído pelo ITSP) ou indicado dinamicamente ao dispositivo a partir do serviço DHCP do ITSP.Nota: Neste cenário, se o endereço IP do dispositivo remoto for alterado (por exemplo, após uma reinicialização e nova atribuição de DHCP), a configuração de IPSec do dispositivo local deixará de funcionar (uma vez que o endereço do dispositivo remoto foi alterado e é desconhecido actualmente).o Em alternativa, os endereços IP de WAN dos dispositivos remotos podem ser determinados dinamicamente fazendo com que o dispositivo remoto comunique qualquer actualização ao respectivo endereço IP de WAN configurado através da utilização do DNS dinâmico. Se o D-DNS estiver activado num dispositivo, ao ser informado do respectivo endereço IP da WAN (configurado manualmente ou atribuído por DHCP), o dispositivo actualiza o novo endereço IP no sistema DNS da Internet. O D-DNS permite o mapeamento de nomes de domínio para endereços IP e, assim, qualquer dispositivo (tal como o router local) pode determinar o endereço IP actual de
um dispositivo remoto efectuando uma consulta de DNS baseada no nome do dispositivo remoto (por exemplo, 'www.abc.com'). Desta forma, é necessário que o dispositivo remoto esteja activado para D-DNS e que o dispositivo local esteja configurado para resolver o endereço IP da WAN do dispositivo remoto utilizando o sistema DNS.
Voltar ao início
Verificar a ligação à Internet
Antes de ligar a um túnel de VPN, certifique-se de que tem uma ligação à Internet activa que permite aos dois routers comunicarem. Para obter instruções, clique em aqui. Quando tiver verificado a conexão com a Internet, siga as instruções abaixo para verificar as definições sobre os routers VPN.
Verificar as definições de VPN nos dois routers
A configuração com êxito de um túnel de VPN requer definições específicas. Seguem-se as instruções.
Passo 1:Acessar à página de configuração baseada na Web do router. Para obter instruções, clique em aqui.
Passo 2:Seleccione o separador System Summary (Resumo do sistema) e reveja o Network Setting Status (Estado de definição da rede).
No estado de definição da rede do Router A:
O endereço IP da WAN1 é o IP do gateway de segurança remoto do Router B
O endereço IP da LAN é o grupo de segurança local do Router A O endereço IP da LAN é também o IP do grupo de segurança remoto do
Router B
No estado de definição da rede do Router B:
O endereço IP da WAN1 é o IP do gateway de segurança remoto do Router A
O endereço IP da LAN é o grupo de segurança local do Router B O endereço IP da LAN é também o IP do grupo de segurança remoto do
Router A
Passo 3:Certifique-se de que os endereços IP locais dos dois routers são diferentes. Não se esqueça de que o endereço IP local do Router A será o grupo de segurança remoto do Router B.
NOTA: Para obter instruções sobre a alteração do endereço IP local de um router da Linksys, clique aqui
Neste exemplo, será utilizado o seguinte:
Passo 4:Depois de verificar as definições de VPN nos dois routers, configure as definições do túnel de VPN no Router A.
Voltar ao início
Configurar as definições do túnel de VPN no Router A
Passo 1:Acesse à página de configuração baseada na Web do router. Para obter instruções, clique em aqui.
Passo 2:Quando a página de configuração baseada na Web do router for apresentada, seleccione o separador VPN e, em seguida, seleccione o subseparador Gateway to Gateway (Gateway para gateway).
Passo 3:No campo Tunnel Name (Nome do túnel), introduza um nome para este túnel. (Neste exemplo, foi utilizado "TúnelTeste".)
Passo 4:Na secção Local Group Setup (Configuração do grupo local):
Seleccione um Local Security Group Type (Tipo de grupo de segurança local) (Subnet (Sub-rede), IP Addr (Endereço IP) ou IP Range (Intervalo IP)) no menu pendente.
No campo IP address (Endereço IP), introduza o endereço IP local do router. (Neste exemplo, foi utilizado 192.168.1.0.)
No campo Subnet Mask (Máscara de sub-rede), introduza a máscara de sub-rede do router.(Neste exemplo, foi utilizado 255.255.255.0.)
O IP address (Endereço IP) do gateway de segurança local será gerado automaticamente. (Neste exemplo, é 22.15.160.53.)
Passo 5:Na secção Remote Group Setup (Configuração do grupo remoto):
Seleccione um Remote Security Group Type (Tipo de grupo de segurança remoto) (Subnet (Sub-rede), IP Addr (Endereço IP) ou IP Range (Intervalo IP)) no menu pendente.
Introduza os valores adequados do router remoto nos campos IP Address (Endereço IP) e Subnet Mask (Máscara de sub-rede). (Neste exemplo, foi seleccionado Subnet (Sub-rede) e introduzido
192.168.2.0 para o IP address (Endereço IP) e 255.255.255.0 para a Subnet Mask (Máscara de sub-rede.)
Seleccione um Remote Security Gateway Type (Tipo de gateway de segurança remoto) (IP Addr (Endereço IP), FQDN ou Any (Qualquer)) no menu pendente.
Introduza o endereço IP da WAN/Internet do router remoto no campo IP Address (Endereço IP) da Remote Group Setup (Configuração do grupo remoto). (Neste exemplo, foi utilizado 10.100.16.60.)
Passo 6:Na secção IPSec Setup (Configuração de IPSec):
Seleccione IKE with PreShared key (IKE com chave pré-partilhada) no menu pendente Keying Mode (Modo de gestão de chaves).
Seleccione o nível de encriptação que pretende activar nos menus pendentes Phase1 Encryption (Encriptação da fase 1) e Phase2 Encryption (Encriptação da fase 2). (Neste exemplo, foi utilizado DES.)
Seleccione o modo de autenticação que pretende activar nos menus pendentes Phase1 Authentication (Autenticação da fase 1) e Phase2 Authentication (Autenticação da fase 2). (Neste exemplo, foi utilizado MD5.)
Seleccione a caixa junto a Perfect Forward Secrecy (PFS) para activar. Deste modo, garantirá que a troca de chaves inicial e as propostas de IKE são seguras.
Introduza a chave que pretende activar no campo Preshared Key (Chave pré-partilhada). (Neste exemplo, foi utilizado "MinhaChave".)
Introduza o período de expiração da chave nos campos Phase1 SA Life Time (Duração da SA da fase 1) e Phase2 SA Life Time (Duração da SA da fase 2). (Neste exemplo, foi utilizado "28800" para a fase 1 e "3600" para a fase 2.)
NOTA: Os campos seguintes têm de ser iguais nos dois routers:
Phase1 Encryption (Encriptação da fase 1) Phase2 Encryption (Encriptação da fase 2) Phase1 Authentication (Autenticação da fase 1) Phase2 Authentication (Autenticação da fase 2)
Preshared Key (Chave pré-partilhada) Phase1 SA Life Time (Duração da SA da fase 1) Phase2 SA Life Time (Duração da SA da fase 2)
Passo 7:Seleccione Save Settings (Guardar definições) e, em seguida, configure as definições do Router B.
Voltar ao início
Configurar as definições do túnel de VPN no Router B
Passo 1:Acesse à página de configuração baseada na Web do router. Para obter instruções, clique em aqui
Passo 2:Quando a página de configuração baseada na Web do router for apresentada, seleccione o separador VPN e, em seguida, seleccione o subseparador Gateway to Gateway (Gateway para gateway).
Passo 3:No campo Tunnel Name (Nome do túnel), introduza um nome para este túnel. (Neste exemplo, foi utilizado "TúnelTeste".)
Passo 4:Na secção Local Group Setup (Configuração do grupo local):
Seleccione um Local Security Group Type (Tipo de grupo de segurança local) (Subnet (Sub-rede), IP Addr (Endereço IP) ou IP Range (Intervalo IP)) no menu pendente.
No campo IP address (Endereço IP), introduza o endereço IP local do router. (Neste exemplo, foi utilizado 192.168.2.0.)
No campo Subnet Mask (Máscara de sub-rede), introduza a máscara de sub-rede do router. (Neste exemplo, foi utilizado 255.255.255.0.)
O IP address (Endereço IP) do gateway de segurança local será gerado automaticamente. (Neste exemplo, é 10.100.16.60.)
Passo 5:Na secção Remote Group Setup (Configuração do grupo remoto):
Seleccione um Remote Security Group Type (Tipo de grupo de segurança remoto) (Subnet (Sub-rede), IP Addr (Endereço IP) ou IP Range (Intervalo IP)) no menu pendente.
Introduza os valores adequados do router remoto nos campos IP Address (Endereço IP) e Subnet Mask (Máscara de sub-rede). (Neste exemplo, foi seleccionado Subnet (Sub-rede) e introduzido 192.168.1.0 para o IP address (Endereço IP) e 255.255.255.0 para a Subnet Mask (Máscara de sub-rede).)
Seleccione um Remote Security Gateway Type (Tipo de gateway de segurança remoto) (IP Addr (Endereço IP), FQDN ou Any (Qualquer)) no menu pendente.
Introduza o endereço IP da WAN/Internet do router remoto no campo IP Address (Endereço IP) da Remote Group Setup (Configuração do grupo remoto). (Neste exemplo, foi utilizado 22.15.160.53.)
Passo 6:Na secção IPSec Setup (Configuração de IPSec):
Seleccione IKE with PreShared key (IKE com chave pré-partilhada) no menu pendente Keying Mode (Modo de gestão de chaves).
Seleccione o nível de encriptação que pretende activar nos menus pendentes Phase1 Encryption (Encriptação da fase 1) e Phase2 Encryption (Encriptação da fase 2). (Neste exemplo, foi utilizado DES.)
Seleccione o modo de autenticação que pretende activar nos menus pendentes Phase1 Authentication (Autenticação da fase 1) e Phase2 Authentication (Autenticação da fase 2). (Neste exemplo, foi utilizado MD5.)
Seleccione a caixa junto a Perfect Forward Secrecy (PFS) para activar. Deste modo, garantirá que a troca de chaves inicial e as propostas de IKE são seguras.
Introduza a chave que pretende activar no campo Preshared Key (Chave pré-partilhada). (Neste exemplo, foi utilizado "MinhaChave".)
Introduza o período de expiração da chave nos campos Phase1 SA Life Time (Duração da SA da fase 1) e Phase2 SA Life Time (Duração da SA da fase 2). (Neste exemplo, foi utilizado "28800" para a fase 1 e "3600" para a fase 2.)
NOTA: Os campos seguintes têm de ser iguais nos dois routers:
Phase1 Encryption (Encriptação da fase 1) Phase2 Encryption (Encriptação da fase 2) Phase1 Authentication (Autenticação da fase 1) Phase2 Authentication (Autenticação da fase 2) Preshared Key (Chave pré-partilhada) Phase1 SA Life Time (Duração da SA da fase 1) Phase2 SA Life Time (Duração da SA da fase 2)
Passo 7:Seleccione Save Settings (Guardar definições).
Passo 8Seleccione o subseparador Summary (Resumo) no separador VPN e, em seguida, seleccione o botão Connect (Ligar) para estabelecer o túnel.
Voltar ao início
© 2008 Cisco Systems, Inc. All rights reserved.
Cette réponse a-t-elle été utile ?Oui Non spécifié Votre évaluation a été soumise, veuillez nous indiquer comment nous pouvons rendre cette réponse plus utile.
Adresse électronique *Obligatoire Vos commentaires *Obligatoire
Réponses que les autres trouvent utiles
Accès à la Page de Configuration du Routeur Configuration d’un point d’accès comme Point d’accès
