VPN Peer-to-Peer
Una VPN Peer-to-Peer, chiamata anche VPN Site-to-Site, offre la possibilità di collegare in modo sicuro due o più sedi geograficamente separate tramite Internet, come se fossero un'unica rete privata. (ad esempio, filiali e sede principale)
Configurare la VPN Peer-to-Peer
- Nel portale del router, sotto la scheda Rete ➜ Peer-to-Peer VPN
- Attivare e salvare la funzione VPN Peer-to-Peer
- Aggiungere una nuova sede VPN e inserire e aggiungere i dati di connessione VPN del peer VPN remoto.
Nota sulla crittografia VPN Peer-to-Peer
VPN tra Centro Business e Centro Business
Quando una VPN viene configurata tra due Centro Business, la scelta della crittografia avviene sempre automaticamente.
Centro Business verso un peer VPN qualsiasi
Quando una VPN viene configurata verso un peer che non utilizza un Centro Business, la crittografia deve essere configurata manualmente. Il Centro Business offre le seguenti opzioni (PFS è sempre raccomandato):
| Profilo | Swisscom-IKEv2-PFS | Swisscom-IKEv2 |
|---|---|---|
| IKE Exchange Mode | Main | Main |
| Phase 1 Encryption Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 1 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 1 DH Transforms | Curve25519, MODP-8192, ECP-384, MODP-2048 | Curve25519 MODP-8192, ECP-384 MODP-2048 |
| Phase 1 SA Lifetime (sec) | 86400 | 86400 |
| Phase 2 Encryption Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 2 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 2 SA Lifetime (sec) | 86400 | 86400 |
| PFS | Curve25519, MODP-8192, ECP-384, MODP-2048 | Disattivato |
Restrizioni
- Non disponibile con contratto BNS/EC-S
FAQ sulla VPN Peer-to-Peer
Cosa bisogna considerare quando si collegano reti tramite VPN?
- Se esistono lacune di sicurezza in una delle sedi VPN, i tunnel VPN offrono a un aggressore la possibilità di accedere ad altre infrastrutture (il rischio di danno aumenta).
- Se non viene utilizzato un router Centro Business presso la sede remota, la configurazione della VPN richiede conoscenze tecniche a causa delle molteplici possibilità diverse.
Cos'è il PFS?
PFS sta per "Perfect Forward Secrecy" ed è una funzionalità di sicurezza utilizzata per garantire la sicurezza della comunicazione. Il vantaggio principale del PFS è che assicura che, anche se le chiavi di un determinato canale di comunicazione vengono compromesse, le sessioni passate non possano essere decifrate.
Perché IKEv1 non è più supportato?
IKEv1 (Internet Key Exchange Version 1) è sempre meno supportato per diversi motivi. Innanzitutto, IKEv2 offre miglioramenti significativi in termini di sicurezza ed efficienza, inclusa una struttura di protocollo semplificata e migliori algoritmi di crittografia. In secondo luogo, IKEv2 include funzionalità come il protocollo MOBIKE per un migliore supporto dei dispositivi mobili e dei cambiamenti di IP dinamici. Inoltre, le vulnerabilità che esistevano in IKEv1 sono state risolte in IKEv2, rendendolo una scelta più sicura. Dati questi vantaggi e il costante sviluppo degli standard di sicurezza di rete, molte soluzioni VPN moderne tendono a non supportare più IKEv1.
Manca qualcosa qui? Fornire un feedback! pilot@swisscom.com Descrivere in quale area cosa è atteso o cosa si potrebbe migliorare.