Настраиваемые параметры серверного профиля безопасности VPN:
Параметр
Описание
name
Название профиля безопасности VPN.
description
Описание профиля безопасности VPN.
ike-version
Версия протокола IKE (Internet Key Exchange), использующегося для создания защищённого канала связи между двумя сетями. В NGFW поддерерживаются версии IKEv1 и IKEv2. Возможны следующие варианты конфигурации:
IKEv1 — для создания защищенного канала будет использоваться IKEv1.
IKEv2 — для создания защищенного канала будет использоваться IKEv2.
ike-mode
Режим IKE:
main — основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.
aggressive — агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.
local-id-type
Тип параметра IKE local ID. Необходим для валидации peer-узла при установлении VPN-соединения с оборудованием некоторых вендоров. Возможные значения параметра:
none — значение поля по умолчанию. Используется в случае, когда для установления VPN-соединения не требуется использовать параметр IKE local ID. Например, для установления VPN-соединения между двумя узлами UserGate.
IPv4 — IP-адрес узла.
FQDN — Адрес узла в формате полностью определенного доменного имени (FQDN).
CIDR — Адрес узла в формате бесклассовой адресации (CIDR).
local-id-value
Значение параметра IKE local ID в формате выбранного ранее типа.
psk
Общий ключ. Для аутентификации удаленного узла с использованием общего ключа (Pre-shared key). Строка, которая должна совпадать на сервере и клиенте для успешного подключения.
certificate
Сертификат VPN сервера для аутентификации посредством сертификатов.
authentication-mode
Метод аутентификации. Возможна аутентификация с помощью логина и пароля через RADIUS сервер (AAA) или посредством сертификатов (PKI).
user-certificate-profile
При выборе метода аутентификации с PKI необходимо указать сконфигурированный ранее профиль клиентских сертификатов.
phase1-key-lifetime
Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.
dpd-state
Режимы работы механизма Dead Peer Detection, реализующего проверку работоспособности VPN канала и его своевременного отключения/переподключения при обрыве связи. Возможны 3 режима работы механизма:
off — Механизм отключен. DPD запросы не отсылаются.
always — DPD запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если ответ есть, работа механизма возвращается к изначальному интервалу отправки DPD запросов, если нет ни одного ответа, соединение завершается.
idle — DPD запросы не отсылаются, пока есть ESP трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, тогда производится отсылка DPD запроса. При ответе новый DPD запрос будет отправлен снова через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если нет ни одного ответа, соединение завершается.
dpd-interval
Интервал проверки механизма Dead Peer Detection. Минимальный интервал: 10 секунд.
Для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа (по умолчанию: 60 с.).
dpd-max-failures
Максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным (по умолчанию: 5).
dh-groups
Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.
Group 1 Prime 768 bit.
Group 2 Prime 1024 bit.
Group 5 Prime 1536 bit.
Group 14 Prime 2048 bit.
Group 15 Prime 3072 bit.
Group 16 Prime 4096 bit.
Group 17 Prime 6144 bit.
Group 18 Prime 8192 bit.
phase1-security
Алгоритмы аутентификации и шифрования.
Для указания алгоритмов аутентификации и шифрования:
Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.
key-lifesize-enabled
Включение режима настройки максимальный размер данных, шифруемых одним ключом.
key-lifesize
Максимальный размер данных, шифруемых одним ключом; указывается в килобайтах. Если заданы оба значения (Время жизни ключа, phase2-key-lifetime и Максимальный размер данных, шифруемых одним ключом, key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии. Для отключения ограничения: off.
nat-keepalive
Период отправки пакетов NAT kepalive в секундах (возможные значения 0 или больше 4). Применяется в сценариях, когда IPsec трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону peer-узла для поддержания сесси NAT активной.
phase2-security
Алгоритмы аутентификации и шифрования.
Для указания алгоритмов аутентификации и шифрования:
Настраиваемые параметры клиентского профиля безопасности VPN:
Параметр
Описание
name
Название профиля безопасности VPN.
description
Описание профиля безопасности VPN.
protocol
Протокол установления VPN канала. Возможны следующие варианты выбора поля:
IPsec-L2TP — установление L2TP/IPsec VPN.
IPsec — Установление IPsec VPN с оборудованием Cisco.
IKEv2-with-certificate — установление IKEv2 VPN.
ike-mode
Режим IKE:
main — основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.
aggressive — агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.
local-id-type
Тип параметра IKE local ID. Необходим для валидации peer-узла при установлении VPN-соединения с оборудованием некоторых вендоров. Возможные значения параметра:
none — значение поля по умолчанию. Используется в случае, когда для установления VPN-соединения не требуется использовать параметр IKE local ID. Например, для установления VPN-соединения между двумя узлами UserGate.
IPv4 — IP-адрес узла.
FQDN — Адрес узла в формате полностью определенного доменного имени (FQDN).
CIDR — Адрес узла в формате бесклассовой адресации (CIDR).
local-id-value
Значение параметра IKE local ID в формате выбранного ранее типа.
psk
Общий ключ. Для аутентификации удаленного узла с использованием общего ключа (Pre-shared key). Строка, которая должна совпадать на сервере и клиенте для успешного подключения.
authentication-login
Логин, созданный ранее на VPN-сервере для аутентификации узла, работающего как VPN-клиент.
authentication-password
Пароль, созданный ранее на VPN-сервере для аутентификации узла, работающего как VPN-клиент.
certificate
Сертификат VPN сервера для аутентификации посредством сертификатов.
vpn-local-network
IP-адрес разрешенной локальной подсети для организации VPN с узлом Cisco.
vpn-remote-network
IP-адрес разрешенной подсети со стороны удаленного VPN-сервера для организации VPN с узлом Cisco.
phase1-key-lifetime
Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.
dpd-state
Режимы работы механизма Dead Peer Detection, реализующего проверку работоспособности VPN канала и его своевременного отключения/переподключения при обрыве связи. Возможны 3 режима работы механизма:
off — Механизм отключен. DPD запросы не отсылаются.
always — DPD запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если ответ есть, работа механизма возвращается к изначальному интервалу отправки DPD запросов, если нет ни одного ответа, соединение завершается.
idle — DPD запросы не отсылаются, пока есть ESP трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, тогда производится отсылка DPD запроса. При ответе новый DPD запрос будет отправлен снова через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если нет ни одного ответа, соединение завершается.
dpd-interval
Интервал проверки механизма Dead Peer Detection. Минимальный интервал: 10 секунд.
Для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа (по умолчанию: 60 с.).
dpd-max-failures
Максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным (по умолчанию: 5).
dh-groups
Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.
Group 1 Prime 768 bit.
Group 2 Prime 1024 bit.
Group 5 Prime 1536 bit.
Group 14 Prime 2048 bit.
Group 15 Prime 3072 bit.
Group 16 Prime 4096 bit.
Group 17 Prime 6144 bit.
Group 18 Prime 8192 bit.
phase1-security
Алгоритмы аутентификации и шифрования.
Для указания алгоритмов аутентификации и шифрования:
Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.
key-lifesize-enabled
Включение режима настройки максимальный размер данных, шифруемых одним ключом.
key-lifesize
Максимальный размер данных, шифруемых одним ключом; указывается в килобайтах. Если заданы оба значения (Время жизни ключа, phase2-key-lifetime и Максимальный размер данных, шифруемых одним ключом, key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии. Для отключения ограничения: off.
nat-keepalive
Период отправки пакетов NAT kepalive в секундах (возможные значения 0 или больше 4). Применяется в сценариях, когда IPsec трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону peer-узла для поддержания сесси NAT активной.
phase2-security
Алгоритмы аутентификации и шифрования.
Для указания алгоритмов аутентификации и шифрования:
Примеры создания и редактирования профилей безопасности VPN
Cоздание нового профиля безопасности VPN:
Admin@nodename# create vpn server-security-profiles <profile-name> <parameters>
Admin@nodename# create vpn client-security-profiles <profile-name> <parameters>
…
Admin@nodename# create vpn server-security-profiles name "New server VPN profile"
Редактирование параметров профиля безопасности VPN:
Admin@nodename# set vpn server-security-profiles <profile-name> <parameters>
Admin@nodename set vpn client-security-profiles <profile-name> <parameters>
...
Admin@nodename# set vpn server-security-profiles "New server VPN profile" phase1-security [ SHA1/AES128 SHA1/3DES ] phase2-security [ SHA1/AES128 SHA1/3DES ]
Admin@nodename# set vpn server-security-profiles "New server VPN profile" dh-groups [ "Group 16 Prime 4096 bit" ]
Admin@nodename# set vpn server-security-profiles "New server VPN profile" nat-keepalive 20
Удаление параметров профиля безопасности VPN:
Admin@nodename# delete vpn server-security-profiles <profile-name> <parameters>
Admin@nodename# delete vpn client-security-profiles <profile-name> <parameters>
...
Admin@nodename# delete vpn server-security-profiles "New server VPN profile" phase1-security [ MD5/AES128 ]
Admin@nodename# delete vpn server-security-profiles "New server VPN profile" phase2-security [ MD5/AES128 ]
Admin@nodename# delete vpn server-security-profiles "New server VPN profile" dh-groups [ "Group 16 Prime 4096 bit" ]
Просмотр информации о сконфигурированных профилях безопасности VPN:
Admin@nodename# show vpn server-security-profiles <profile-name>
Admin@nodename# show vpn client-security-profiles <profile-name>
...
Admin@nodename# show vpn client-security-profiles "New client VPN profile"
