Parâmetros IPSec Suportados
Este tópico lista os parâmetros de configuração da fase 1 (ISAKMP) e da fase 2 (IPSec) suportados para a VPN Site a Site. A Oracle escolheu esses valores para maximizar a segurança e abranger uma ampla variedade de dispositivos CPE. Se o seu dispositivo CPE não estiver na lista de dispositivos verificados, use as informações apresentadas aqui para configurar o seu dispositivo.
Você também pode usar o Auxiliar de Configuração de CPE para reunir informações que um engenheiro de rede usa ao configurar o dispositivo CPE.
A Oracle usa roteamento assimétrico nos diversos túneis que formam a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego da sua VCN para a sua rede local poderá usar qualquer túnel que esteja "ativo" no seu dispositivo. Configure os seus firewalls de forma adequada. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.
Domínio de Criptografia ou ID de Proxy Suportado
Os valores do domínio de criptografia (também conhecidos como ID do proxy, índice do parâmetro de segurança (SPI) ou seletor de tráfego) dependem do fato de o seu CPE suportar ou não túneis baseados em rota ou túneis baseados em política. Para obter mais informações sobre os valores de domínio de criptografia corretos a serem usados, consulte Domínio de Criptografia ou ID de Proxy Suportado.
Parâmetros IKE e IPSec Personalizados
Ao usar parâmetros IKE (Internet Key Exchange) ou IPSec personalizados, se você selecionar propostas da fase 1 personalizadas, o CPE deverá ser configurado para aceitar a proposta exata. Uma incompatibilidade impede que o IKE configure a associação de segurança da fase um do túnel IPSec.
Para propostas personalizadas da fase 2 do IPSec, espere o seguinte comportamento:
- Quando a Oracle inicia uma nova associação de segurança IPSec de fase 2, o IKE só propõe os valores personalizados.
- Quando o CPE inicia uma nova associação de segurança IPSec de fase 2, essa associação é estabelecida desde que a Oracle suporte os parâmetros.
Inicialização do Oracle IKE e Fragmentos de IP
O conjunto padrão de propostas de parâmetro do Oracle IKE é muito grande para caber em um único pacote UDP; por isso, a extremidade Oracle da conexão IPSec fragmenta a solicitação de iniciação. Para iniciar com sucesso uma nova associação de segurança IKE, qualquer firewall ou lista de segurança entre o IP Público da Oracle VPN e o CPE deve permitir fragmentos de IP.
Parâmetros Suportados para a Nuvem Comercial
Esta seção listará os parâmetros suportados se a VPN Site a Site estiver destinada à nuvem comercial. Para obter uma lista das regiões comerciais na nuvem, consulte Regiões e Domínios de Disponibilidade.
Para alguns parâmetros, o sistema Oracle suporta vários valores, e o valor recomendado é especificado.
O sistema Oracle suporta os parâmetros a seguir para IKEv1 ou IKEv2. Verifique a documentação do seu CPE específico para confirmar quais parâmetros o CPE suporta para IKEv1 ou IKEv2.
Fase 1 (ISAKMP)
| Parâmetro | Opções |
|---|---|
| Protocolo ISAKMP |
Versão 1 |
| Tipo de intercâmbio |
Modo principal |
| Método de autenticação |
Chaves pré-compartilhadas * |
| Algoritmo de criptografia |
AES-256-CBC (recomendado) AES-192-CBC AES-128-CBC |
| Algoritmo de autenticação |
SHA-2 384 (recomendado) SHA-2 256 SHA-1 (também chamado SHA ou SHA1-96) ** |
| Grupo Diffie-Hellman |
grupo 2 (MODP 1.024 bits) grupo 5 (MODP 1.536 bits) grupo 14 (MODP 2.048 bits) grupo 19 (ECP aleatório de 256 bits) grupo 20 (ECP aleatório de 384 bits) (recomendado) |
| Tempo de vida da chave de sessão IKE |
28800 segundos (8 horas) |
|
* Somente números, letras e espaços são permitidos caracteres em chaves pré-compartilhadas. ** A Oracle recomenda enfaticamente o uso de SHA-1. O NIST descontinuou formalmente o uso de SHA-1 em 2011 e proibiu seu uso para assinaturas digitais em 2013. |
|
Fase 2 (IPSec)
| Parâmetro | Opções |
|---|---|
| Protocolo IPSec |
ESP, modo de túnel |
| Algoritmo de criptografia |
AES-256-GCM (recomendado) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Algoritmo de autenticação |
Se você estiver usando GCM, nenhum algoritmo de autenticação será necessário porque a autenticação está incluída na criptografia GCM. Se não estiver usando GCM, as seguintes opções serão suportadas: HMAC-SHA-256-128 (recomendado) HMAC-SHA1-128 * |
| Tempo de vida da chave de sessão IPSec |
3600 segundos (1 hora) |
| PFS (Perfect Forward Secrecy) |
Ativado, grupo 5 (padrão, recomendado) Suporta desativado e ativado para o grupo 2, 5, 14, 19, 20, 24. |
|
* A Oracle recomenda enfaticamente o uso de SHA-1. O NIST descontinuou formalmente o uso de SHA-1 em 2011 e proibiu seu uso para assinaturas digitais em 2013. |
|
Parâmetros Suportados para a Nuvem do Governo
Esta seção listará os parâmetros suportados se a VPN Site a Site for destinada à Nuvem do Governo. Para obter mais informações, consulte Para Todos os Clientes do Cloud do Setor Governamental dos EUA.
Para alguns parâmetros, o sistema Oracle suporta diversos valores, e o valor recomendado é destacado em texto em negrito.
O sistema Oracle suporta os parâmetros a seguir para IKEv1 ou IKEv2. Verifique a documentação do seu CPE específico para confirmar quais parâmetros o CPE suporta para IKEv1 ou IKEv2.
Fase 1 (ISAKMP)
| Parâmetro | Opções |
|---|---|
| Protocolo ISAKMP |
Versão 1 |
| Tipo de intercâmbio |
Modo principal |
| Método de autenticação |
Chaves pré-compartilhadas * |
| Algoritmo de criptografia |
AES-256-CBC (recomendado) AES-192-CBC AES-128-CBC |
| Algoritmo de autenticação |
SHA-2 384 (recomendado) SHA-2 256 SHA-1 (também chamado de SHA ou SHA1-96) |
| Grupo Diffie-Hellman |
grupo 14 (MODP 2048) grupo 19 (ECP 256) group 20 (ECP 384) (recomendado) |
| Tempo de vida da chave de sessão IKE |
28800 segundos (8 horas) |
|
* Somente números, letras e espaços são permitidos caracteres em chaves pré-compartilhadas. |
|
Fase 2 (IPSec)
| Parâmetro | Opções |
|---|---|
| Protocolo IPSec |
ESP, modo de túnel |
| Algoritmo de criptografia |
AES-256-GCM (recomendado) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Algoritmo de autenticação |
Se você estiver usando GCM (Galois/Modo Contador), nenhum algoritmo de autenticação será necessário porque a autenticação está incluída na criptografia GCM. Se você não estiver usando GCM, use HMAC-SHA-256-128. |
| Tempo de vida da chave de sessão IPSec |
3600 segundos (1 hora) |
| PFS (Perfect Forward Secrecy) |
Ativado, grupo 14 (padrão, recomendado) Suporta desativado e ativado para o grupo 2, 5, 14, 19, 20, 24. |
Referências
Se você ainda não está familiarizado com os parâmetros mencionados anteriormente, os links para padrões relevantes são fornecidos nas tabelas a seguir.
| Opção | Padrão Relevante |
|---|---|
| AES (Advanced Encryption Standard) | Padrão FIPS PUB 197 |
| CBC (Cipher Block Chaining) | Padrão SP 800-38A |
| SHA (Secure Hash Algorithm) | Padrão FIPS PUB 180-4 |
| Grupos DH (Diffie-Hellman) |
RFC 2631: Método de Acordo de Chave Diffie-Hellman RFC 3526: Mais grupos Diffie-Hellman Exponencial Modular (MODP) para IKE (Internet Key Exchange) RFC 4306: Protocolo IKEv2 (Internet Key Exchange) |
| Tipo de grupo DH: Exponencial Modular (MODP) ou ECP (Elliptic Curve Prime) |
MODP RFC 3526: Mais grupos Diffie-Hellman Exponencial Modular (MODP) para IKE (Internet Key Exchange) ECP RFC 5114: Grupos Diffie-Hellman Adicionais para Uso com Padrões IETF |
| GCM (Galois Counter Mode) | RFC 5288: Suítes de Cifragem AES GCM (Galois Counter Mode) para TLS |
| PFS (Perfect Forward Secrecy) | RFC 2412: O Protocolo de Determinação de Chave OAKLEY |