Parámetros de IPSec admitidos
En este tema se muestran los parámetros de configuración de fase 1 (ISAKMP) y fase 2 (IPSec) soportados para la VPN de sitio a sitio. Oracle eligió estos valores para maximizar la seguridad y cubrir una amplia gama de dispositivos CPE. Si el dispositivo CPE no está en la lista de dispositivos verificados, utilice esta información para configurar el dispositivo.
También puede utilizar el asistente de configuración de CPE para recopilar la información que utiliza un ingeniero de redes al configurar el dispositivo CPE.
Oracle utiliza el enrutamiento asimétrico en todos los túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como copia de seguridad, el tráfico de una VCN a una red local puede utilizar cualquier túnel que esté "activo" en un dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
Identificador de servidor proxy o dominio de cifrado admitidos
Los valores del dominio de cifrado (también conocido como ID de proxy, índice de parámetros de seguridad (SPI) o selector de tráfico) dependen de si un CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.
Parámetros de IKE e IPSec personalizados
Al utilizar parámetros de intercambio de claves de internet (IKE) o IPSec personalizados, si selecciona propuestas de fase 1 personalizadas, el CPE debe estar configurado para aceptar la propuesta exacta. Una discrepancia impedirá que IKE configure la asociación de seguridad de fase uno del túnel de IPSec.
Para las propuestas personalizadas de IPSec de fase 2, se espera el siguiente comportamiento:
- Cuando Oracle inicia una nueva Asociación de Seguridad de IPSec de fase 2, IKE solo propone los valores personalizados.
- Cuando el CPE comienza una nueva asociación a la seguridad de IPSec de fase 2, la asociación a la seguridad de fase 2 se establece siempre que el soporte de Oracle los parámetros.
Inicio de IKE de Oracle y fragmentos de IP
El juego por defecto de propuestas de parámetros de IKE de Oracle es demasiado grande para caber en un único paquete UDP, por lo que el extremo de Oracle de la conexión IPSec fragmenta la solicitud de inicio. Para comenzar correctamente una nueva asociación a la seguridad IKE, cualquier firewall o lista del sistema de seguridad entre la IP pública de Oracle VPN y el CPE debe permitir fragmentos de IP.
Parámetros admitidos para la nube comercial
En esta sección se muestran los parámetros soportados para la VPN de sitio a sitio en la nube comercial. Para obtener una lista de las regiones de la nube comercial, consulte Regiones y dominios de disponibilidad.
Para algunos parámetros, Oracle admite varios valores, y el recomendado aparece anotado.
Oracle admite los siguientes parámetros para IKEv1 o IKEv2. Consulte la documentación de un CPE específico para confirmar qué parámetros admite CPE para IKEv1 o IKEv2.
Fase 1 (ISAKMP)
| Parámetro | Opciones |
|---|---|
| Protocolo ISAKMP |
Versión 1 |
| Tipo de intercambio |
Modo principal |
| Método de autenticación |
Claves compartidas previamente * |
| Algoritmo de cifrado |
AES-256-CBC (recomendado) AES-192-CBC AES-128-CBC |
| Algoritmo de autenticación |
SHA-2 384 (recomendado) SHA-2 256 SHA-1 (también denominado SHA o SHA1-96) ** |
| grupo Diffie-Hellman |
grupo 2 (MODP de 1024 bits) grupo 5 (MODP de 1536 bits) grupo 14 (MODP de 2048 bits) grupo 19 (ECP aleatorio de 256 bits) grupo 20 (ECP aleatorio de 384 bits) (recomendado) |
| Duración de la clave de sesión IKE |
28 800 segundos (8 horas) |
|
* Solo se permiten números, letras y espacios en las claves compartidas previamente. ** Recomendamos contra el uso de SHA-1. NIST dejó formalmente en desuso SHA-1 en 2011 y no permitió su uso para firmas digitales en 2013. |
|
Fase 2 (IPSec)
| Parámetro | Opciones |
|---|---|
| Protocolo IPSec |
ESP, modo túnel |
| Algoritmo de cifrado |
AES-256-GCM (recomendado) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Algoritmo de autenticación |
Si utiliza GCM, no es necesario ningún algoritmo de autenticación porque la autenticación está incluida con el cifrado de GCM. Si no se utiliza GCM, las siguientes opciones están soportadas: HMAC-SHA-256-128 (recomendado) HMAC-SHA1-128 * |
| Duración de clave de sesión de IPSec |
3600 segundos (1 hora) |
| Confidencialidad directa perfecta (PFS) |
Activado, grupo 5 (valor por defecto, recomendado) Soporta desactivado y activado para los grupos 2, 5, 14, 19, 20 y 24. |
|
* Recomendamos contra el uso de SHA-1. NIST dejó formalmente en desuso SHA-1 en 2011 y no permitió su uso para firmas digitales en 2013. |
|
Parámetros para Government Cloud
Para ver los parámetros de la VPN de sitio a sitio en la nube del Gobierno de EE. UU. vaya a Parámetros de VPN de sitio a sitio necesarios para Government Cloud.
Referencias
Si aún no está familiarizado con los parámetros ya mencionados, en las siguientes tablas se proporcionan enlaces a los estándares correspondientes.
| Opción | Estándar correspondiente |
|---|---|
| Estándar de cifrado avanzado (AES) | Estándar FIPS PUB 197 |
| Concatenación de bloques de cifrado (CBC) | Estándar SP 800-38A |
| Algoritmo de Comprobación Aleatoria Protegido (SHA) | Estándar FIPS PUB 180-4 |
| Grupos Diffie-Hellman (DH) |
RFC 2631: método de establecimiento de claves de Diffie-Hellman RFC 3526: más grupos Diffie-Hellman exponenciales modulares (MODP) para el intercambio de claves de internet (IKE) RFC 4306: protocolo de intercambio de claves de internet (IKEv2) |
| Tipo de grupo DH: exponencial modular (MODP) o primalidad de curva elíptica (ECP) |
MODP RFC 3526: más grupos Diffie-Hellman exponenciales modulares (MODP) para el intercambio de claves de Internet (IKE) ECP RFC 5114: grupos Diffie-Hellman adicionales para su uso con estándares IETF |
| Modo Galois/contador (GCM) | RFC 5288: conjuntos de cifrado del modo Galois/contador (GCM) AES para TLS |
| Confidencialidad directa perfecta (PFS) | RFC 2412: protocolo de determinación de claves OAKLEY |