Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 3. Configuração de uma VPN com IPsec

No Red Hat Enterprise Linux 8, uma rede privada virtual (VPN) pode ser configurada usando o protocolo IPsec, que é suportado pela aplicação Libreswan.

3.1. Libreswan como uma implementação da VPN IPsec

No Red Hat Enterprise Linux 8, uma Rede Privada Virtual (VPN) pode ser configurada usando o protocolo IPsec, que é suportado pela aplicação Libreswan. Libreswan é uma continuação da aplicação Openswan, e muitos exemplos da documentação Openswan são intercambiáveis com Libreswan.

O protocolo IPsec para uma VPN é configurado usando o protocolo Internet Key Exchange (IKE). Os termos IPsec e IKE são utilizados de forma intercambiável. Uma VPN IPsec também é chamada de IKE VPN, IKEv2 VPN, XAUTH VPN, Cisco VPN ou IKE/IPsec VPN. Uma variante de uma VPN IPsec que também usa o Protocolo de Tunelamento de Nível 2 (L2TP) é normalmente chamada de VPN L2TP/IPsec, que requer a aplicação do canal opcional xl2tpd.

Libreswan é uma implementação open-source, espaço do usuário IKE. IKE v1 e v2 são implementados como um daemon em nível de usuário. O protocolo IKE também é criptografado. O protocolo IPsec é implementado pelo kernel Linux, e Libreswan configura o kernel para adicionar e remover configurações de túneis VPN.

O protocolo IKE utiliza as portas UDP 500 e 4500. O protocolo IPsec consiste em dois protocolos:

  • Encapsulated Security Payload (ESP), que tem o protocolo número 50.
  • Cabeçalho Autenticado (AH), que tem o protocolo número 51.

O protocolo AH não é recomendado para uso. Recomenda-se aos usuários do AH que migrem para ESP com criptografia nula.

O protocolo IPsec oferece dois modos de operação:

  • Tunnel Mode (o padrão)
  • Transport Mode.

Você pode configurar o kernel com IPsec sem o IKE. Isto é chamado Manual Keying. Você também pode configurar a digitação manual usando os comandos ip xfrm, no entanto, isto é fortemente desencorajado por razões de segurança. Libreswan faz interface com o kernel Linux usando o netlink. A criptografia e descriptografia de pacotes acontecem no kernel Linux.

Libreswan utiliza a biblioteca criptográfica Network Security Services (NSS). Tanto Libreswan quanto NSS estão certificados para uso com a Federal Information Processing Standard (FIPS) Publicação 140-2.

Importante

IKE/IPsec VPNs, implementadas por Libreswan e pelo kernel Linux, é a única tecnologia VPN recomendada para uso no Red Hat Enterprise Linux 8. Não utilize nenhuma outra tecnologia VPN sem compreender os riscos de fazê-lo.

No Red Hat Enterprise Linux 8, Libreswan segue system-wide cryptographic policies por default. Isto assegura que Libreswan usa configurações seguras para os modelos de ameaça atuais, incluindo IKEv2 como um protocolo default. Veja Usando políticas de criptografia em todo o sistema para mais informações.

Libreswan não usa os termos "fonte" e "destino" ou "servidor" e "cliente" porque IKE/IPsec são protocolos peer to peer. Em vez disso, usa os termos "esquerda" e "direita" para se referir aos pontos finais (os anfitriões). Isto também permite utilizar a mesma configuração em ambos os pontos finais na maioria dos casos. Entretanto, os administradores geralmente optam por usar sempre "esquerda" para o host local e "direita" para o host remoto.