SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Informação
  • Parâmetro VPN IPSec – Fase 1 e Fase 2
31/05/2025

Parâmetro VPN IPSec – Fase 1 e Fase 2

Parâmetro VPN IPSec – Fase 1 e Fase 2

by André Ortega / terça-feira, 06 maio 2025 / Published in Informação, Security

Para uma VPN site-to-site IPsec funcionar corretamente, os parâmetros das Fases 1 e 2 precisam estar perfeitamente alinhados nos dois lados da conexão. Se houver qualquer divergência, o túnel pode não subir — ou até subir, mas sem passar tráfego.

VPN Site to Site - Protocolos

Neste post, vamos revisar o que precisa dar match nas duas fases.

Fase 1 – IKE (Internet Key Exchange)

Nesta etapa, os dois dispositivos (firewalls, roteadores ou appliances VPN) estabelecem um canal seguro para negociar os parâmetros da Fase 2. É aqui que ocorre a autenticação inicial e o acordo sobre os métodos de segurança.

Parâmetros obrigatórios que precisam dar match:

Livro CCNA
  • IKE Version: Ambos os lados devem a mesma versão (v1 ou v2).
  • Modo de negociação: Main Mode (mais seguro, com 6 mensagens) ou Aggressive Mode (mais rápido, com 3 mensagens, mas menos seguro). O modo deve ser o mesmo nos dois lados.
  • Método de Autenticação: Pode ser uma chave pré-compartilhada (Pre-Shared Key) ou certificados digitais. Se usar uma chave pré-compartilhada, ela deve ser idêntica em ambos os lados. No caso de certificados, eles devem ser configurados corretamente.
  • Algoritmo de Criptografia: Define como os dados do canal IKE serão criptografados. Exemplos comuns incluem AES-128, AES-256 ou o mais antigo 3DES. Ambos os lados devem usar o mesmo algoritmo.
  • Algoritmo de Autenticação (HASH): Garante a integridade dos dados. Opções típicas são SHA-1, SHA-256. Certifique-se de que ambos os dispositivos estão configurados com o mesmo.
  • Diffie-Hellman Group: Usado para a troca segura de chaves. Exemplos incluem Grupo 2 (1024 bits), Grupo 5 (1536 bits) ou Grupo 14 (2048 bits). Esse parâmetro deve ser igual.

Se qualquer um desses parâmetros estiver diferente, a Fase 1 não será concluída com sucesso.

Embora não seja obrigatório que coincida, é recomendado configurar o tempo de vida do Security Association (SA) IKE com o mesmo valor, para evitar renegociações desnecessárias. A configuração geralmente é em segundos.

Fase 2 – IPsec

Depois da Fase 1, os dispositivos negociam os parâmetros para proteger o tráfego de dados real.

Parâmetros obrigatórios que precisam dar match:

  • Protocolo de Segurança: Escolha entre ESP (Encapsulating Security Payload), que oferece criptografia e autenticação, ou AH (Authentication Header), que fornece apenas autenticação. Ambos os lados devem usar o mesmo protocolo.
  • Algoritmo de Criptografia (para ESP): Se usar ESP, o algoritmo de criptografia (ex.: AES-128, AES-256, 3DES) deve ser o mesmo nos dois lados.
  • Algoritmo de Autenticação (para ESP ou AH): Assim como na Fase 1, opções como SHA-1, SHA-256 ou MD5 devem coincidir.
  • Perfect Forward Secrecy (PFS) (opcional): Se ativado, o grupo Diffie-Hellman (ex.: Grupo 2, 5, 14) deve ser o mesmo em ambos os lados para garantir a segurança das chaves.
  • Modo de Encapsulamento: Geralmente, para VPNs site-to-site, usa-se o Tunnel Mode, que encapsula todo o pacote IP. O Transport Mode é mais comum em cenários host-to-host. Ambos os lados devem usar o mesmo modo.
  • Proxy-IDs (Traffic Selectors): Define quais sub-redes ou IPs serão protegidos pelo túnel (ex.: 192.168.1.0/24 para um lado e 10.0.0.0/24 para o outro). Esses seletores de tráfego devem ser espelhados corretamente, ou seja, a sub-rede local de um lado deve corresponder à sub-rede remota do outro.

Assim como na Fase 1, o Lifetime do SA (em segundos ou kilobytes) não precisa ser o mesmo dos dois lados, mas deve preferencialmente ser igual para evitar renegociações frequentes.

Outros Fatores Importantes

Além dos parâmetros das fases 1 e 2, há outros pontos que podem impactar o funcionamento da VPN:

  • Endereços IP dos Peers: Os IPs públicos dos dispositivos devem estar corretamente configurados e acessíveis.
  • NAT Traversal (NAT-T): Se houver NAT entre os dispositivos, o NAT-T (UDP 4500) deve estar habilitado.
  • Firewall: Libere as portas UDP 500 (IKE), UDP 4500 (NAT-T) e o protocolo ESP (ou AH) nas regras de firewall se houver um firewall entre os peers.

IKEv2

Para uma VPN site-to-site IPsec IKEv2 funcionar, os parâmetros que precisam coincidir (dar “match”) em ambas as extremidades nas fases 1 e 2 são semelhantes aos do IKEv1, mas com algumas diferenças devido à natureza simplificada e mais flexível do IKEv2.

O IKEv2 combina as fases em menos trocas de mensagens, mas ainda podemos pensar em termos de “Fase 1” (IKE_SA_INIT e IKE_AUTH) e “Fase 2” (CREATE_CHILD_SA). Vamos detalhar os parâmetros necessários.

Fase 1: IKE_SA_INIT e IKE_AUTH (Estabelecimento do SA IKE)

Na Fase 1, o IKEv2 estabelece o canal seguro de gerenciamento (IKE SA) e autentica os peers. Os seguintes parâmetros devem ser idênticos nos dois lados:

  • Algoritmo de Criptografia
  • Algoritmo de Autenticação (Integridade/Hash)
  • Grupo Diffie-Hellman (DH)
  • Método de Autenticação
  • Propostas de Transform Sets

O tempo de vida do IKE SA (em segundos) não precisa ser idêntico, mas é recomendado configurar valores semelhantes para evitar renegociações frequentes.

Notas sobre IKEv2 na Fase 1:

  • IKEv2 não diferencia entre Main Mode e Aggressive Mode (como no IKEv1). Ele usa uma troca inicial mais eficiente (IKE_SA_INIT e IKE_AUTH).
  • NAT Traversal (NAT-T) é nativo no IKEv2 e ativado automaticamente se necessário (UDP 4500).

Fase 2: CREATE_CHILD_SA (Estabelecimento do SA IPsec)

Na Fase 2, o IKEv2 cria os SAs IPsec (Child SAs) para proteger o tráfego de dados. Os parâmetros que devem coincidir incluem:

  • Protocolo de Segurança
  • Algoritmo de Criptografia (para ESP)
  • Algoritmo de Autenticação (para ESP ou AH)
  • Perfect Forward Secrecy (PFS) (opcional, se usado precisa ser o mesmo dos dois lados)
  • Modo de Encapsulamento (Tunnel Mode – padrão para site-to-site, ou Transport Mode)

Lfietime e Traffic Selectors

  • Traffic Selectors (TS): As sub-redes ou IPs de origem e destino (ex.: 192.168.1.0/24 para um lado e 10.0.0.0/24 para o outro) devem corresponder. No IKEv2, os Traffic Selectors são mais flexíveis e podem ser negociados, mas precisam ser compatíveis.
  • Lifetime do SA (opcional): O tempo de vida do Child SA (em segundos ou kilobytes) deve preferencialmente ser igual para evitar renegociações.

Resumo: VPNs não perdoam divergências.

Mesmo uma pequena diferença — como um SHA256 de um lado e um SHA1 do outro — já é suficiente para impedir que o túnel funcione. Por isso, revisar os dois lados da configuração é essencial para o sucesso da VPN.

Até a próxima

Relacionado

Tagged under: IKE, IPSec, VPN

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Lista de conexões VPN no Cisco Anyconnect
HP entra na onda do whitebox switching
Seja um Cisco Insider Champion 2025

You must be logged in to post a comment.

POSTS RECENTES

  • DevNet evolui: novas certificações CCNA, CCNP e CCIE Automation
    DevNet evolui: novas certificações CCNA, CCNP e CCIE Automation
    30/05/2025
  • Novidades na Certificação CCNP Collaboration da Cisco
    Novidades na Certificação CCNP Collaboration da Cisco
    29/05/2025
  • Cisco atualiza nomes das certificações de cibersegurança
    Cisco atualiza nomes das certificações de cibersegurança
    28/05/2025
  • Criminosos Utilizam Site Fake de Antivírus para Propagar Malware
    Criminosos Utilizam Site Fake de Antivírus para Propagar Malware
    28/05/2025
  • Brasil na Operação RapTor: Ação Global na Dark Web
    Brasil na Operação RapTor: Ação Global na Dark Web
    24/05/2025

Tags

#Microsoft #CobaltStrike #Ransomware #AtaquesCibernéticos #SegurançaDigital #Hackers #Fortra #HealthISAC #ProteçãoDeDados #TI #CyberThreats #SegurançaNaNuvem #Tecnologia #MicrosoftSecurity #Broadcom 2324 2010 2015 2017 2022 2023 2024 2350 200-125 25 anos 2560C 2960C 2960X 2975 350-050 3560-X 200-301 2009 200-120 100-101 #Multicloud #VMwareTransformation 1 ano 1.1.1.100 10 anos 10 Gbps 100 empresas 200-101 100 Gigabit 1905 1921 1925 1941 2.0 1900 2800 2900 2013 2011 1800 2960 3750 2960S

Arquivo

Login

  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

X

Blog: Verificando MD5 (hash) de um arquivo no Windows e Linux brainwork.com.br/2023/05/11/v… #Checksum #CiscoChampion #Hash

Hahahahah Muito bom twitter.com/TracketPacer/s…

Blog: Trocar ícone (favicon) da página guest no Cisco ISE brainwork.com.br/2023/04/24/t… #Cisco_Champion #Customização #Favicon

Blog: Cisco Champion 2023 brainwork.com.br/2023/04/10/c… #CiscoChampion

Blog: RFC 2324 (HTCPCP), conhece? brainwork.com.br/2023/04/01/r… #2324 #CiscoChampion #HTCPCP

Seguir @brainworkblog
  1. ./fernando em Aprenda Python e ganhe pontos para renovar as certificações CCNA, CCNP e CCIE
  2. André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)
  3. ALEX LIRA CAMACHO em Reset Cisco FTD (zerar FTD sem reinstalar)
  4. André Ortega em Atualizando Cisco 9300 (Install Mode)
  5. Dominique em Atualizando Cisco 9300 (Install Mode)

Entre em contato:

  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP
Gerenciar o consentimento
Para fornecer as melhores experiências, usamos tecnologias como cookies para armazenar e/ou acessar informações do dispositivo. O consentimento para essas tecnologias nos permitirá processar dados como comportamento de navegação ou IDs exclusivos neste site. Não consentir ou retirar o consentimento pode afetar negativamente certos recursos e funções.
Funcional Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos. O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.
Gerenciar opções Gerenciar serviços Manage {vendor_count} vendors Leia mais sobre esses propósitos
Ver preferências
{title} {title} {title}