Red Hat Training
A Red Hat training course is available for RHEL 8
3.7. Métodos de autenticação utilizados em Libreswan
Você pode usar os seguintes métodos para autenticação dos pontos finais:
- Pre-Shared Keys (PSK) é o método de autenticação mais simples. As PSKs devem consistir de caracteres aleatórios e ter um comprimento de pelo menos 20 caracteres. No modo FIPS, as PSKs precisam obedecer a um requisito de força mínima, dependendo do algoritmo de integridade utilizado. Recomenda-se não usar PSKs com menos de 64 caracteres aleatórios.
-
Raw RSA keys são comumente usados para configurações estáticas de host-to-host ou subrede-a-subrede
IPsec. Os hosts são configurados manualmente com a chave pública RSA um do outro. Este método não é bem dimensionado quando dezenas ou mais hosts precisam configurar túneisIPsecuns para os outros. -
X.509 certificates são comumente usados para implantações em larga escala onde há muitos anfitriões que precisam se conectar a um gateway comum
IPsec. Uma central certificate authority (CA) é usada para assinar certificados RSA para hosts ou usuários. Esta central CA é responsável por transmitir confiança, incluindo as revogações de hosts ou usuários individuais. -
NULL authentication é usado para obter criptografia de malha sem autenticação. Ela protege contra ataques passivos, mas não protege contra ataques ativos. Entretanto, como
IKEv2permite métodos de autenticação assimétricos, a autenticação NULL também pode ser usada para IPsec oportunista em escala de Internet, onde os clientes autenticam o servidor, mas os servidores não autenticam o cliente. Este modelo é similar aos sites seguros usandoTLS.
Proteção contra computadores quânticos
Além destes métodos de autenticação, você pode usar o método Postquantum Preshared Keys (PPK) para se proteger contra possíveis ataques de computadores quânticos. Clientes individuais ou grupos de clientes podem usar seu próprio PPK especificando um (PPKID) que corresponde a uma chave pré-partilhada configurada fora da banda.
O uso do site IKEv1 com as Chaves Pré-partilhadas forneceu proteção contra os atacantes quânticos. O redesenho de IKEv2 não oferece esta proteção nativamente. Libreswan oferece o uso de Postquantum Preshared Keys (PPK) para proteger IKEv2 conexões contra ataques quânticos.
Para ativar o suporte opcional PPK, adicione ppk=yes à definição da conexão. Para requerer o PPK, adicione ppk=insist. Então, cada cliente pode receber uma identificação PPK com um valor secreto que é comunicado fora da banda (e de preferência quantum safe). Os PPK's devem ser muito fortes em aleatoriedade e não devem ser baseados em palavras de dicionário. Os PPK ID e os próprios dados PPK são armazenados em ipsec.secrets, por exemplo:
@west @east : PPKS {\i1}"user1}" "thestringismeanttobearandomstr"
A opção PPKS refere-se aos PPKs estáticos. Uma função experimental utiliza PPKs dinâmicos baseados em um único painel. Em cada conexão, uma nova parte de um bloco é usada como PPK. Quando usado, essa parte do PPK dinâmico dentro do arquivo é sobrescrita com zeros para evitar a reutilização. Se não houver mais material de um único bloco, a conexão falha. Consulte a página de manual ipsec.secrets(5) para mais informações.
A implementação de PPKs dinâmicos é fornecida como uma Pré-visualização Tecnológica, e esta funcionalidade deve ser usada com cautela.
