Parâmetros IPSec Suportados
Este tópico lista os parâmetros de configuração da fase 1 (ISAKMP) e da fase 2 (IPSec) suportados para a VPN Site a Site. A Oracle escolheu esses valores para maximizar a segurança e abranger uma ampla variedade de dispositivos CPE. Se o dispositivo CPE não estiver na lista de dispositivos verificados, use as informações aqui para configurar o dispositivo.
Você também pode usar o Auxiliar de Configuração de CPE para reunir informações que um engenheiro de rede usa ao configurar o dispositivo CPE.
A Oracle usa o roteamento assimétrico entre os túneis que compõem a conexão IPSec. Mesmo que você configure um túnel como principal e outro como backup, o tráfego de uma VCN para uma rede local poderá usar qualquer túnel "ativo" em um dispositivo. Configure firewalls conforme apropriado. Caso contrário, o ping de testes ou do tráfego de aplicativos na conexão não funcionará de maneira confiável.
Domínio de Criptografia ou ID de Proxy Suportado
Os valores do domínio de criptografia (também conhecidos como ID do proxy, índice do parâmetro de segurança (SPI) ou seletor de tráfego) dependem do fato de um CPE suportar ou não túneis baseados em rota ou túneis baseados em política. Para obter mais informações sobre os valores de domínio de criptografia corretos a serem usados, consulte Domínio de Criptografia ou ID de Proxy Suportado.
Parâmetros IKE e IPSec Personalizados
Ao usar parâmetros IKE (Internet Key Exchange) ou IPSec personalizados, se você selecionar propostas da fase 1 personalizadas, o CPE deverá ser configurado para aceitar a proposta exata. Uma incompatibilidade impede que o IKE configure a associação de segurança da fase um do túnel IPSec.
Para propostas personalizadas da fase 2 do IPSec, espere o seguinte comportamento:
- Quando a Oracle inicia uma nova associação de segurança IPSec de fase 2, o IKE só propõe os valores personalizados.
- Quando o CPE inicia uma nova associação de segurança IPSec de fase 2, essa associação é estabelecida desde que a Oracle suporte os parâmetros.
Inicialização do Oracle IKE e Fragmentos de IP
O conjunto padrão de propostas de parâmetro do Oracle IKE é muito grande para caber em um único pacote UDP; por isso, a extremidade Oracle da conexão IPSec fragmenta a solicitação de iniciação. Para iniciar com sucesso uma nova associação de segurança IKE, qualquer firewall ou lista de segurança entre o IP Público da Oracle VPN e o CPE deve permitir fragmentos de IP.
Parâmetros Suportados para a Nuvem Comercial
Esta seção lista os parâmetros suportados da VPN Site a Site na nuvem comercial. Para obter uma lista das regiões comerciais na nuvem, consulte Regiões e Domínios de Disponibilidade.
Para alguns parâmetros, o sistema Oracle suporta vários valores, e o valor recomendado é especificado.
O sistema Oracle suporta os parâmetros a seguir para IKEv1 ou IKEv2. Verifique a documentação de um CPE específico para confirmar quais parâmetros o CPE suporta para IKEv1 ou IKEv2.
Fase 1 (ISAKMP)
| Parâmetro | Opções |
|---|---|
| Protocolo ISAKMP |
Versão 1 |
| Tipo de intercâmbio |
Modo principal |
| Método de autenticação |
Chaves pré-compartilhadas * |
| Algoritmo de criptografia |
AES-256-CBC (recomendado) AES-192-CBC AES-128-CBC |
| Algoritmo de autenticação |
SHA-2 384 (recomendado) SHA-2 256 SHA-1 (também chamado SHA ou SHA1-96) ** |
| Grupo Diffie-Hellman |
grupo 2 (MODP 1.024 bits) grupo 5 (MODP 1.536 bits) grupo 14 (MODP 2.048 bits) grupo 19 (ECP aleatório de 256 bits) grupo 20 (ECP aleatório de 384 bits) (recomendado) |
| Tempo de vida da chave de sessão IKE |
28800 segundos (8 horas) |
|
* Somente números, letras e espaços são permitidos caracteres em chaves pré-compartilhadas. ** Recomendamos contra o uso de SHA-1. O NIST descontinuou formalmente o uso de SHA-1 em 2011 e proibiu seu uso para assinaturas digitais em 2013. |
|
Fase 2 (IPSec)
| Parâmetro | Opções |
|---|---|
| Protocolo IPSec |
ESP, modo de túnel |
| Algoritmo de criptografia |
AES-256-GCM (recomendado) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| Algoritmo de autenticação |
Se você estiver usando GCM, nenhum algoritmo de autenticação será necessário porque a autenticação está incluída na criptografia GCM. Se não estiver usando GCM, as seguintes opções serão suportadas: HMAC-SHA-256-128 (recomendado) HMAC-SHA1-128 * |
| Tempo de vida da chave de sessão IPSec |
3600 segundos (1 hora) |
| PFS (Perfect Forward Secrecy) |
Ativado, grupo 5 (padrão, recomendado) Suporta desativado e ativado para o grupo 2, 5, 14, 19, 20, 24. |
|
* Recomendamos contra o uso de SHA-1. O NIST descontinuou formalmente o uso de SHA-1 em 2011 e proibiu seu uso para assinaturas digitais em 2013. |
|
Parâmetros para a Nuvem do Governo
Para ver os parâmetros da VPN Site a Site na Nuvem do Governo dos EUA, vá para Parâmetros Obrigatórios da VPN Site a Site para a Nuvem do Governo.
Referências
Se você ainda não está familiarizado com os parâmetros já mencionados, os links para padrões relevantes são fornecidos nas tabelas a seguir.
| Opção | Padrão Relevante |
|---|---|
| AES (Advanced Encryption Standard) | Padrão FIPS PUB 197 |
| CBC (Cipher Block Chaining) | Padrão SP 800-38A |
| SHA (Secure Hash Algorithm) | Padrão FIPS PUB 180-4 |
| Grupos DH (Diffie-Hellman) |
RFC 2631: Método de Acordo de Chave Diffie-Hellman RFC 3526: Mais grupos Diffie-Hellman Exponencial Modular (MODP) para IKE (Internet Key Exchange) RFC 4306: Protocolo IKEv2 (Internet Key Exchange) |
| Tipo de grupo DH: Exponencial Modular (MODP) ou ECP (Elliptic Curve Prime) |
MODP RFC 3526: Mais grupos Diffie-Hellman Exponencial Modular (MODP) para IKE (Internet Key Exchange) ECP RFC 5114: Grupos Diffie-Hellman Adicionais para Uso com Padrões IETF |
| GCM (Galois Counter Mode) | RFC 5288: Suítes de Cifragem AES GCM (Galois Counter Mode) para TLS |
| PFS (Perfect Forward Secrecy) | RFC 2412: O Protocolo de Determinação de Chave OAKLEY |