Настройка профилей безопасности VPN

name

Название профиля безопасности VPN.

description

Описание профиля безопасности VPN.

ike-version

Версия протокола IKE (Internet Key Exchange), использующегося для создания защищённого канала связи между двумя сетями. В NGFW используется IKEv1 (IKEv1).

ike-mode

Режим IKE:

• main — основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.

• aggressive — агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

peer-auth

Аутентификация с пиром:

• psk — общий ключ — аутентификация устройств с использованием общего ключа (Pre-shared key).

psk

Общий ключ; должен совпадать на сервере и клиенте для успешного подключения.

phase1-key-lifetime

Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

dpd-interval

Интервал проверки механизма Dead Peer Detection. Минимальный интервал: 10 секунд.

Для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа (по умолчанию: 60 с.).

dpd-max-failures

Максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным (по умолчанию: 5).

dh-groups

Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

• Group 1 Prime 768 bit.

• Group 2 Prime 1024 bit.

• Group 5 Prime 1536 bit.

• Group 14 Prime 2048 bit.

• Group 15 Prime 3072 bit.

• Group 16 Prime 4096 bit.

• Group 17 Prime 6144 bit.

• Group 18 Prime 8192 bit.

phase1-security

Алгоритмы аутентификации и шифрования.

Для указания алгоритмов аутентификации и шифрования:

Доступны:

• auth-alg: выбор алгоритма аутентификации.

  • MD5.

  • SHA1.

  • SHA256.

  • SHA384.

  • SHA512.

• encrypt-alg: выбор алгоритма шифрования.

  • DES.

  • 3DES.

  • AES128.

  • AES192.

  • AES256.

phase2-key-lifetime

Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

key-lifesize

Максимальный размер данных, шифруемых одним ключом; указывается в килобайтах. Время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа, phase2-key-lifetime и Максимальный размер данных, шифруемых одним ключом, key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии. Для отключения ограничения: off.

phase2-security

Алгоритмы аутентификации и шифрования.

Для указания алгоритмов аутентификации и шифрования:

Доступны:

• auth-alg: выбор алгоритма аутентификации.

  • MD5.

  • SHA1.

  • SHA256.

  • SHA384.

  • SHA512.

• encrypt-alg: выбор алгоритма шифрования.

  • DES.

  • 3DES.

  • AES128.

  • AES192.

  • AES256.