Parametri IPSec supportati
Questo argomento elenca i parametri di configurazione della fase 1 (ISAKMP) e della fase 2 (IPSec) supportati per la VPN da sito a sito. Oracle ha scelto questi valori per massimizzare la sicurezza e coprire una vasta gamma di dispositivi CPE. Se il dispositivo CPE non è presente nella lista di dispositivi verificati, utilizzare le informazioni qui per configurare il dispositivo.
È anche possibile utilizzare l'applicazione di supporto per la configurazione CPE per raccogliere informazioni utilizzate da un tecnico di rete durante la configurazione del dispositivo CPE.
Oracle utilizza l'instradamento asimmetrico tra i tunnel che compongono la connessione IPSec. Anche se configuri un tunnel come primario e un altro come backup, il traffico da una VCN a una rete in locale può utilizzare qualsiasi tunnel "attivo" su un dispositivo. Configurare i firewall in base alle esigenze. In caso contrario, i test di ping o il traffico delle applicazioni attraverso la connessione non funzionano in modo affidabile.
Dominio di cifratura o ID proxy supportati
I valori per il dominio di cifratura (noto anche come ID proxy, SPI (Security Parameter Index) o selettore di traffico) dipendono dal fatto che un CPE supporti tunnel basati su instradamenti o tunnel basati su criteri. Per ulteriori informazioni sui valori corretti del dominio di cifratura da utilizzare, vedere Dominio di cifratura o ID proxy supportati.
Parametri IKE e IPSec personalizzati
Quando si utilizzano parametri IKE (Custom Internet Key Exchange) o IPSec, se si selezionano proposte personalizzate della fase 1, il CPE deve essere configurato per accettare la proposta esatta. Una mancata corrispondenza impedisce a IKE di impostare l'associazione di sicurezza di fase uno del tunnel IPSec.
Per le proposte personalizzate della fase 2 IPSec, prevedere il seguente comportamento:
- Quando Oracle avvia una nuova associazione di sicurezza IPSec fase 2, IKE propone solo i valori personalizzati.
- Quando il CPE avvia una nuova associazione di sicurezza IPSec fase 2, l'associazione di sicurezza fase 2 viene stabilita finché Oracle supporta i parametri.
Avvio di Oracle IKE e frammenti IP
Il set predefinito di proposte di parametri Oracle IKE è troppo grande per essere inserito in un singolo pacchetto UDP, pertanto l'estremità Oracle della connessione IPSec frammenta la richiesta di avvio. Per avviare correttamente una nuova associazione di sicurezza IKE, qualsiasi firewall o lista di sicurezza tra l'IP pubblico VPN Oracle e il CPE deve consentire i frammenti IP.
Parametri supportati per Commercial Cloud
Questa sezione elenca i parametri supportati per la VPN da sito a sito nel cloud commerciale. Per un elenco delle region cloud commerciali, consulta Regioni e domini di disponibilità.
Per alcuni parametri, Oracle supporta diversi valori e viene indicato quello consigliato.
Oracle supporta i seguenti parametri per IKEv1 o IKEv2. Controllare la documentazione relativa a un CPE specifico per confermare i parametri supportati dal CPE per IKEv1 o IKEv2.
Fase 1 (ISAKMP)
| Parametro | Opzioni |
|---|---|
| Protocollo ISAKMP |
Versione 1 |
| Tipo di cambio |
Modalità principale |
| Metodo di autenticazione |
Chiavi precondivise * |
| Algoritmo di cifratura |
AES-256-CBC (consigliato) AES-192-CBC AES-128-CBC |
| Algoritmo di autenticazione |
SHA-2 384 (consigliato) SHA-2 256 SHA-1 (denominato anche SHA o SHA1-96) ** |
| Gruppo Diffie-Hellman |
gruppo 2 (MODP 1024-bit) gruppo 5 (MODP 1536-bit) group 14 (MODP 2048-bit) gruppo 19 (ECP a 256 bit casuale) gruppo 20 (ECP a 384 bit casuale) (consigliato) |
| Durata della chiave di sessione IKE |
28800 secondi (8 ore) |
|
* Nelle chiavi precondivise sono consentiti solo numeri, lettere e spazi. ** Si consiglia l'uso di SHA-1. L'uso formalmente deprecato di SHA-1 nel 2011 da parte del NIST e nel 2013 non ne ha consentito l'uso per le firme digitali. |
|
Fase 2 (IPSec)
| Parametro | Opzioni |
|---|---|
| Protocollo IPSec |
ESP, modalità tunnel |
| Algoritmo di cifratura |
AES-256-GCM (consigliato) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Algoritmo di autenticazione |
Se si utilizza GCM, non è necessario alcun algoritmo di autenticazione perché l'autenticazione è inclusa nella cifratura GCM. Se non si utilizza GCM, sono supportate le opzioni riportate di seguito. HMAC-SHA-256-128 (consigliato) HMAC-SHA1-128 * |
| IPSec durata della chiave di sessione |
3600 secondi (1 ora) |
| PFS (Perfect Forward Secrecy) |
Abilitato, gruppo 5 (impostazione predefinita, consigliata) Supporta disabilitati e abilitati per i gruppi 2, 5, 14, 19, 20, 24. |
|
* Si consiglia contro l'uso di SHA-1. L'uso formalmente deprecato di SHA-1 nel 2011 da parte del NIST e nel 2013 non ne ha consentito l'uso per le firme digitali. |
|
Parametri per Government Cloud
Per visualizzare i parametri per la VPN da sito a sito nel cloud del governo degli Stati Uniti, andare a Parametri VPN da sito a sito obbligatori per Government Cloud.
Risorse
Se non si ha già familiarità con i parametri già menzionati, i collegamenti agli standard pertinenti sono forniti nelle seguenti tabelle.
| Opzione | Standard pertinente |
|---|---|
| Acronimo di Advanced Encryption Standard (AES) | Standard FIPS PUB 197 |
| Cipher Block Chaining (CBC) | SP 800-38A standard |
| SHA (Secure Hash Algorithm) | Standard FIPS PUB 180-4 |
| Gruppo Diffie-Hellman (DH) |
RFC 2631: metodo Diffie-Hellman Key Agreement RFC 3526: gruppi Diffie-Hellman (MODP) più modulari Exponential per Internet Key Exchange (IKE) RFC 4306: protocollo Internet Key Exchange (IKEv2) |
| Tipo di gruppo DH: Modular Exponential (MODP) o Elliptic Curve Prime (ECP) |
MODP RFC 3526: gruppi Diffie-Hellman (MODP) più modulari esponenziali per Internet Key Exchange (IKE) ECP RFC 5114: ulteriori gruppi Diffie-Hellman da utilizzare con gli standard IETF |
| Modalità contatore Galois (GCM) | RFC 5288: suite di cifratura GCM (Galois Counter Mode) AES per TLS |
| PFS (Perfect Forward Secrecy) | RFC 2412: protocollo di determinazione chiave OAKLEY |