Настройка профилей безопасности VPN

ID статьи: 1722
Последнее обновление: 18 ноя, 2024
Product: DCFW
Version: 8.x
Technology: VPN

Начиная с версии nodename 7.1.0 определены два типа профилей безопасности VPN — серверные и клиентские. 

Профили безопасности VPN настраиваются на уровне vpn server-security-profiles и vpn client-security-profiles.

Создание серверного профиля безопасности VPN

Для создания серверного профиля безопасности VPN предназначена следующая команда:

Admin@nodename# create vpn server-security-profiles <parameters>

Настраиваемые параметры серверного профиля безопасности VPN:

Параметр

Описание

name

Название профиля безопасности VPN.

description

Описание профиля безопасности VPN.

protocol

Версия протокола, используемого для создания защищённого канала связи между двумя сетями. Возможны следующие варианты:

  • ipsec — IPsec(IKEv1).  

  • ipsec-l2tp — IPsec(IKEv1)/L2TP.

  • ikev2 — IPsec(IKEv2).

ike-mode

Режим IKE:

  • main — основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.

  • aggressive — агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

local-id-type

Тип параметра IKE local ID. Необходим для валидации peer-узла при установлении VPN-соединения с оборудованием некоторых вендоров. Возможные значения параметра:

  • none — значение поля по умолчанию. Используется в случае, когда для установления VPN-соединения не требуется использовать параметр IKE local ID. Например, для установления VPN-соединения между двумя узлами UserGate.

  • IPv4IP-адрес узла.

  • FQDN — Адрес узла в формате полностью определенного доменного имени (FQDN).

  • CIDR — Адрес узла в формате бесклассовой адресации (CIDR).

local-id-value

Значение параметра IKE local ID в формате выбранного ранее типа. 

psk

Общий ключ. Для аутентификации удаленного узла с использованием общего ключа (Pre-shared key). Строка, которая должна совпадать на сервере и клиенте для успешного подключения.

certificate

Сертификат VPN сервера для аутентификации посредством сертификатов.

authentication-mode

Метод аутентификации. Возможна аутентификация с помощью логина и пароля посредством метода EAP (AAA) или посредством сертификатов (PKI). 

user-certificate-profile

При выборе метода аутентификации с PKI необходимо указать сконфигурированный ранее профиль клиентских сертификатов.

phase1-key-lifetime

Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

dpd-state

Режимы работы механизма Dead Peer Detection, реализующего проверку работоспособности VPN канала и его своевременного отключения/переподключения при обрыве связи. Возможны 3 режима работы механизма:

  • off — Механизм отключен. DPD запросы не отсылаются. 

  • always — DPD запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если ответ есть, работа механизма возвращается к изначальному интервалу отправки DPD запросов, если нет ни одного ответа, соединение завершается.

  • idle — DPD запросы не отсылаются, пока есть ESP трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, тогда производится отсылка DPD запроса. При ответе новый DPD запрос будет отправлен снова через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если нет ни одного ответа, соединение завершается.  

dpd-interval

Интервал проверки механизма Dead Peer Detection. Минимальный интервал: 10 секунд.

Для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа (по умолчанию: 60 с.).

dpd-max-failures

Максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным (по умолчанию: 5).

dh-groups

Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

  • Group 1 Prime 768 bit.

  • Group 2 Prime 1024 bit.

  • Group 5 Prime 1536 bit.

  • Group 14 Prime 2048 bit.

  • Group 15 Prime 3072 bit.

  • Group 16 Prime 4096 bit.

  • Group 17 Prime 6144 bit.

  • Group 18 Prime 8192 bit.

phase1-security

Алгоритмы аутентификации и шифрования.

Для указания алгоритмов аутентификации и шифрования:

Admin@nodename# create vpn server-security-profiles ... phase1-security new auth-alg <auth-alg-name> encrypt-alg <encrypt-alg-name>

Доступны:

  • auth-alg: выбор алгоритма аутентификации.

    • MD5.

    • SHA1.

    • SHA256.

    • SHA384.

    • SHA512.

  • encrypt-alg: выбор алгоритма шифрования.

    • DES.

    • 3DES.

    • AES128.

    • AES192.

    • AES256.

phase2-key-lifetime

Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

key-lifesize-enabled

Включение режима настройки максимальный размер данных, шифруемых одним ключом.

key-lifesize

Максимальный размер данных, шифруемых одним ключом; указывается в килобайтах. Если заданы оба значения (Время жизни ключа, phase2-key-lifetime и Максимальный размер данных, шифруемых одним ключом, key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии. Для отключения ограничения: off.

nat-keepalive

Период отправки пакетов NAT kepalive в секундах (возможные значения 0 или больше 4). Применяется в сценариях, когда IPsec трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону peer-узла для поддержания сесси NAT активной. 

phase2-security

Алгоритмы аутентификации и шифрования.

Для указания алгоритмов аутентификации и шифрования:

Admin@nodename# create vpn server-security-profiles ... phase2-security new auth-alg <auth-alg-name> encrypt-alg <encrypt-alg-name>

Доступны:

  • auth-alg: выбор алгоритма аутентификации.

    • MD5.

    • SHA1.

    • SHA256.

    • SHA384.

    • SHA512.

  • encrypt-alg: выбор алгоритма шифрования.

    • DES.

    • 3DES.

    • AES128.

    • AES192.

    • AES256.

Создание клиентского профиля безопасности VPN

Для создания клиентского профиля безопасности VPN предназначена следующая команда:

Admin@nodename# create vpn client-security-profiles <parameter>

Настраиваемые параметры клиентского профиля безопасности VPN:

Параметр

Описание

name

Название профиля безопасности VPN.

description

Описание профиля безопасности VPN.

protocol

Протокол установления VPN канала. Возможны следующие варианты выбора поля:

  • ipsec-l2tp — IPsec(IKEv1)/L2TP VPN.  

  • ipsec — IPsec(IKEv1) VPN с оборудованием сторонних производителей.

  • ikev2 — IPsec(IKEv2) VPN.

ike-mode

Режим IKE:

  • main — основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.

  • aggressive — агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

local-id-type

Тип параметра IKE local ID. Необходим для валидации peer-узла при установлении VPN-соединения с оборудованием некоторых вендоров. Возможные значения параметра:

  • none — значение поля по умолчанию. Используется в случае, когда для установления VPN-соединения не требуется использовать параметр IKE local ID. Например, для установления VPN-соединения между двумя узлами UserGate.

  • IPv4IP-адрес узла.

  • FQDN — Адрес узла в формате полностью определенного доменного имени (FQDN).

  • CIDR — Адрес узла в формате бесклассовой адресации (CIDR).

local-id-value

Значение параметра IKE local ID в формате выбранного ранее типа. 

psk

Общий ключ. Для аутентификации удаленного узла с использованием общего ключа (Pre-shared key). Строка, которая должна совпадать на сервере и клиенте для успешного подключения.

authentication-login

Логин, созданный ранее на VPN-сервере для аутентификации узла, работающего как VPN-клиент.

authentication-password

Пароль, созданный ранее на VPN-сервере для аутентификации узла, работающего как VPN-клиент.

certificate

Сертификат VPN сервера для аутентификации посредством сертификатов.

vpn-local-network

IP-адрес разрешенной локальной подсети для организации VPN с узлом Cisco.

vpn-remote-network

IP-адрес разрешенной подсети со стороны удаленного VPN-сервера для организации VPN с узлом Cisco.

phase1-key-lifetime

Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

dpd-state

Режимы работы механизма Dead Peer Detection, реализующего проверку работоспособности VPN канала и его своевременного отключения/переподключения при обрыве связи. Возможны 3 режима работы механизма:

  • off — Механизм отключен. DPD запросы не отсылаются. 

  • always — DPD запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если ответ есть, работа механизма возвращается к изначальному интервалу отправки DPD запросов, если нет ни одного ответа, соединение завершается.

  • idle — DPD запросы не отсылаются, пока есть ESP трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, тогда производится отсылка DPD запроса. При ответе новый DPD запрос будет отправлен снова через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если нет ни одного ответа, соединение завершается. 

dpd-interval

Интервал проверки механизма Dead Peer Detection. Минимальный интервал: 10 секунд.

Для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа (по умолчанию: 60 с.).

dpd-max-failures

Максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным (по умолчанию: 5).

dh-groups

Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

  • Group 1 Prime 768 bit.

  • Group 2 Prime 1024 bit.

  • Group 5 Prime 1536 bit.

  • Group 14 Prime 2048 bit.

  • Group 15 Prime 3072 bit.

  • Group 16 Prime 4096 bit.

  • Group 17 Prime 6144 bit.

  • Group 18 Prime 8192 bit.

phase1-security

Алгоритмы аутентификации и шифрования.

Для указания алгоритмов аутентификации и шифрования:

Admin@nodename# create vpn client-security-profiles ... phase1-security new auth-alg <auth-alg-name> encrypt-alg <encrypt-alg-name>

Доступны:

  • auth-alg: выбор алгоритма аутентификации.

    • MD5.

    • SHA1.

    • SHA256.

    • SHA384.

    • SHA512.

  • encrypt-alg: выбор алгоритма шифрования.

    • DES.

    • 3DES.

    • AES128.

    • AES192.

    • AES256.

phase2-key-lifetime

Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

key-lifesize-enabled

Включение режима настройки максимальный размер данных, шифруемых одним ключом.

key-lifesize

Максимальный размер данных, шифруемых одним ключом; указывается в килобайтах. Если заданы оба значения (Время жизни ключа, phase2-key-lifetime и Максимальный размер данных, шифруемых одним ключом, key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии. Для отключения ограничения: off.

nat-keepalive

Период отправки пакетов NAT kepalive в секундах (возможные значения 0 или больше 4). Применяется в сценариях, когда IPsec трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону peer-узла для поддержания сесси NAT активной. 

phase2-security

Алгоритмы аутентификации и шифрования.

Для указания алгоритмов аутентификации и шифрования:

Admin@nodename# create vpn client-security-profiles ... phase2-security new auth-alg <auth-alg-name> encrypt-alg <encrypt-alg-name>

Доступны:

  • auth-alg: выбор алгоритма аутентификации.

    • MD5.

    • SHA1.

    • SHA256.

    • SHA384.

    • SHA512.

  • encrypt-alg: выбор алгоритма шифрования.

    • DES.

    • 3DES.

    • AES128.

    • AES192.

    • AES256.

Примеры создания и редактирования профилей безопасности VPN

Создание нового профиля безопасности VPN:

Admin@nodename# create vpn server-security-profiles <profile-name> <parameters>
Admin@nodename# create vpn client-security-profiles <profile-name> <parameters>
…

Admin@nodename# create vpn server-security-profiles name "New server VPN profile"

Редактирование параметров профиля безопасности VPN:

Admin@nodename# set vpn server-security-profiles <profile-name> <parameters>
Admin@nodename set vpn client-security-profiles <profile-name> <parameters>
...
Admin@nodename# set vpn server-security-profiles "New server VPN profile" phase1-security [ SHA1/AES128 SHA1/3DES ] phase2-security [ SHA1/AES128 SHA1/3DES ]
Admin@nodename# set vpn server-security-profiles "New server VPN profile" dh-groups [ "Group 16 Prime 4096 bit" ]
Admin@nodename# set vpn server-security-profiles "New server VPN profile" nat-keepalive 20

Удаление параметров профиля безопасности VPN:

Admin@nodename# delete vpn server-security-profiles <profile-name> <parameters>
Admin@nodename# delete vpn client-security-profiles <profile-name> <parameters>
...
Admin@nodename# delete vpn server-security-profiles "New server VPN profile" phase1-security [ MD5/AES128 ]
Admin@nodename# delete vpn server-security-profiles "New server VPN profile" phase2-security [ MD5/AES128 ]
Admin@nodename# delete vpn server-security-profiles "New server VPN profile" dh-groups [ "Group 16 Prime 4096 bit" ]

Просмотр информации о сконфигурированных профилях безопасности VPN:

Admin@nodename# show vpn server-security-profiles <profile-name>
Admin@nodename# show vpn client-security-profiles <profile-name>
...
Admin@nodename# show vpn client-security-profiles "New client VPN profile"
Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 1722
Последнее обновление: 18 ноя, 2024
Ревизия: 1
Просмотры: 2
Комментарии: 0
Теги