Parámetros de IPSec admitidos

En este tema se muestran los parámetros de configuración de fase 1 (ISAKMP) y fase 2 (IPSec) soportados para la VPN de sitio a sitio. Oracle eligió estos valores para maximizar la seguridad y cubrir una amplia gama de dispositivos CPE. Si el dispositivo CPE no está en la lista de dispositivos verificados, utilice esta información para configurar el dispositivo.

También puede utilizar el asistente de configuración de CPE para recopilar la información que utiliza un ingeniero de redes al configurar el dispositivo CPE.

Importante

Oracle utiliza el enrutamiento asimétrico en varios túneles que forman la conexión IPSec. Incluso si configura un túnel como principal y otro como de copia de seguridad, el tráfico de la VCN a la red local puede utilizar cualquier túnel que esté "activo" en el dispositivo. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones en la conexión no funcionarán de manera fiable.

Identificador de servidor proxy o dominio de cifrado admitidos

Los valores del dominio de cifrado (también conocido como "ID de servidor" proxy", "índice de parámetros de seguridad" [SPI] o "selector de tráfico") dependen de si el CPE admite túneles basados en rutas o túneles basados en políticas. Para obtener más información sobre los valores de dominio de cifrado correctos que se deben utilizar, consulte Identificador de servidor proxy o dominio de cifrado admitidos.

Parámetros de IKE e IPSec personalizados

Al utilizar parámetros de intercambio de claves de internet (IKE) o IPSec personalizados, si selecciona propuestas de fase 1 personalizadas, el CPE debe estar configurado para aceptar la propuesta exacta. Una discrepancia impedirá que IKE configure la asociación de seguridad de fase uno del túnel de IPSec.

Para las propuestas personalizadas de IPSec de fase 2, se espera el siguiente comportamiento:

  • Cuando Oracle inicia una nueva asociación de seguridad de IPSec de fase 2, IKE solo propone los valores personalizados.
  • Cuando el CPE inicia una nueva asociación de seguridad de IPSec de fase 2, la asociación de seguridad de fase 2 se establece siempre que Oracle soporte los parámetros.

Inicio de IKE de Oracle y fragmentos de IP

El juego por defecto de propuestas de parámetros de IKE de Oracle es demasiado grande para caber en un único paquete UDP, por lo que el extremo de Oracle de la conexión IPSec fragmenta la solicitud de inicio. Para iniciar correctamente una nueva asociación de seguridad de IKE, cualquier firewall o lista de seguridad entre la IP pública de la VPN de Oracle y el CPE debe permitir fragmentos de IP.

Parámetros admitidos para la nube comercial

En esta sección se muestran los parámetros soportados si su VPN de sitio a sitio es para la nube comercial. Para obtener una lista de las regiones de la nube comercial, consulte Regiones y dominios de disponibilidad.

Para algunos parámetros, Oracle admite varios valores, y el recomendado aparece anotado.

Oracle admite los siguientes parámetros para IKEv1 o IKEv2. Consulte la documentación de su CPE específico para confirmar qué parámetros admite CPE para IKEv1 o IKEv2.

Fase 1 (ISAKMP)

Parámetro Opciones
Protocolo ISAKMP

Versión 1

Tipo de intercambio

Modo principal

Método de autenticación

Claves compartidas previamente *

Algoritmo de cifrado

AES-256-CBC (recomendado)

AES-192-CBC

AES-128-CBC

Algoritmo de autenticación

SHA-2 384 (recomendado)

SHA-2 256

SHA-1 (también denominado SHA o SHA1-96) **

grupo Diffie-Hellman

grupo 2 (MODP de 1024 bits)

grupo 5 (MODP de 1536 bits)

grupo 14 (MODP de 2048 bits)

grupo 19 (ECP aleatorio de 256 bits)

grupo 20 (ECP aleatorio de 384 bits) (recomendado)

Duración de la clave de sesión IKE

28 800 segundos (8 horas)

* Solo se permiten números, letras y espacios en las claves compartidas previamente.

** Oracle recomienda encarecidamente no utilizar SHA-1. NIST dejó formalmente en desuso SHA-1 en 2011 y no permitió su uso para firmas digitales en 2013.

Fase 2 (IPSec)

Parámetro Opciones
Protocolo IPSec

ESP, modo túnel

Algoritmo de cifrado

AES-256-GCM (recomendado)

AES-192-GCM

AES-128-GCM

AES-256-CBC

AES-192-CBC

AES-128-CBC

Algoritmo de autenticación

Si utiliza GCM, no es necesario ningún algoritmo de autenticación porque la autenticación está incluida con el cifrado de GCM.

Si no se utiliza GCM, las siguientes opciones están soportadas:

HMAC-SHA-256-128 (recomendado)

HMAC-SHA1-128 *

Duración de clave de sesión de IPSec

3600 segundos (1 hora)

Confidencialidad directa perfecta (PFS)

Activado, grupo 5 (valor por defecto, recomendado)

Soporta un valor tanto desactivado como activado para los grupos 2, 5, 14, 19, 20 y 24.

* Oracle recomienda encarecidamente el uso de SHA-1. NIST dejó formalmente en desuso SHA-1 en 2011 y no permitió su uso para firmas digitales en 2013.

Parámetros admitidos para Government Cloud

En esta sección se muestran los parámetros soportados si la VPN de sitio a sitio es para Government Cloud. Para obtener más información, consulte Para todos los clientes de la nube del Gobierno de EE. UU..

Para algunos parámetros, Oracle admite varios valores, y el recomendado aparece resaltado en letra negrita.

Oracle admite los siguientes parámetros para IKEv1 o IKEv2. Consulte la documentación de su CPE específico para confirmar qué parámetros admite CPE para IKEv1 o IKEv2.

Fase 1 (ISAKMP)

Parámetro Opciones
Protocolo ISAKMP

Versión 1

Tipo de intercambio

Modo principal

Método de autenticación

Claves compartidas previamente *

Algoritmo de cifrado

AES-256-CBC (recomendado)

AES-192-CBC

AES-128-CBC

Algoritmo de autenticación

SHA-2 384 (recomendado)

SHA-2 256

SHA-1 (también denominado SHA o SHA1-96)

grupo Diffie-Hellman

grupo 14 (MODP 2048)

grupo 19 (ECP 256)

grupo 20 (ECP 384) (recomendado)

Duración de la clave de sesión IKE

28 800 segundos (8 horas)

* Solo se permiten números, letras y espacios en las claves compartidas previamente.

Fase 2 (IPSec)

Parámetro Opciones
Protocolo IPSec

ESP, modo túnel

Algoritmo de cifrado

AES-256-GCM (recomendado)

AES-192-GCM

AES-128-GCM

AES-256-CBC

AES-192-CBC

AES-128-CBC

Algoritmo de autenticación

Si utiliza GCM (Galois/Counter Mode), no se necesita ningún algoritmo de autenticación porque la autenticación se incluye con el cifrado de GCM.

Si no utiliza GCM, utilice HMAC-SHA-256-128.

Duración de clave de sesión de IPSec

3600 segundos (1 hora)

Confidencialidad directa perfecta (PFS)

Activado, grupo 14 (valor por defecto, recomendado)

Soporta un valor tanto desactivado como activado para los grupos 2, 5, 14, 19, 20 y 24.

Referencias

Si aún no está familiarizado con los parámetros mencionados anteriormente, en las siguientes tablas se proporcionan enlaces a los estándares correspondientes.

Opción Estándar correspondiente
Estándar de cifrado avanzado (AES) Estándar FIPS PUB 197
Concatenación de bloques de cifrado (CBC) Estándar SP 800-38A
Algoritmo de Comprobación Aleatoria Protegido (SHA) Estándar FIPS PUB 180-4
Grupos Diffie-Hellman (DH)

RFC 2631: método de establecimiento de claves de Diffie-Hellman

RFC 3526: más grupos Diffie-Hellman exponenciales modulares (MODP) para el intercambio de claves de internet (IKE)

RFC 4306: protocolo de intercambio de claves de internet (IKEv2)

Tipo de grupo DH: exponencial modular (MODP) o primalidad de curva elíptica (ECP)

MODP RFC 3526: más grupos Diffie-Hellman exponenciales modulares (MODP) para el intercambio de claves de Internet (IKE)

ECP RFC 5114: grupos Diffie-Hellman adicionales para su uso con estándares IETF

Modo Galois/contador (GCM) RFC 5288: conjuntos de cifrado del modo Galois/contador (GCM) AES para TLS
Confidencialidad directa perfecta (PFS) RFC 2412: protocolo de determinación de claves OAKLEY