Red Hat Training

A Red Hat training course is available for RHEL 8

3.10. Configuração de conexões IPsec que optam por não participar das políticas de criptografia de todo o sistema

Políticas criptográficas para uma conexão em todo o sistema

As políticas criptográficas de todo o sistema RHEL criam uma conexão especial chamada fault. Esta conexão contém os valores padrão para as opções ikev2, esp, e ike. Entretanto, é possível anular os valores padrão especificando a opção mencionada no arquivo de configuração da conexão.

Por exemplo, a seguinte configuração permite conexões que usam IKEv1 com AES e SHA-1 ou SHA-2, e IPsec (ESP) com AES-GCM ou AES-CBC:

conn MyExample
  ...
  ikev2=never
  ike=aes-sha2,aes-sha1;modp2048
  esp=aes_gcm,aes-sha2,aes-sha1
  ...

Observe que o AES-GCM está disponível para IPsec (ESP) e para IKEv2, mas não para IKEv1.

Desabilitando políticas de criptografia de todo o sistema para todas as conexões

Para desativar políticas de criptografia em todo o sistema para todas as conexões IPsec, comente a seguinte linha no arquivo /etc/ipsec.conf:

incluir /etc/crypto-policies/back-ends/libreswan.config

Em seguida, adicione a opção ikev2=never ao seu arquivo de configuração de conexão.

Recursos adicionais