IPsec

Название службы раздела IPsec: ideco-ipsec-backend; strongswan. Список служб для других разделов доступен по ссылке.

Особенность работы некоторых Cisco: Если в подключении site2site активную сторону представляет Cisco и Child_SA закрывается, то пассивная сторона не сможет отправить пакет в сторону Cisco, пока Cisco не создаст новый Child_SA.

Выбор алгоритмов шифрования на удалённых устройствах

При настройке сторонних устройств необходимо явно указать алгоритмы шифрования, используемые для подключения. Ideco UTM не поддерживает устаревшие и небезопасные алгоритмы (MD5, SHA1, AES128, DES, 3DES, blowfish и др.). При конфигурировании сторонних устройств можно указать несколько поддерживаемых алгоритмов одновременно, так как не все устройства поддерживают современные алгоритмы.

Список алгоритмов и пример использования
  • Phase 1 (IKE):

    • encryption (шифрование):

      • AES256-GCM;

      • AES256.

    • integrity (hash, целостность):

      • для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;

      • для AES256, по приоритету: SHA512, SHA256.

    • prf (функция генерации случайных значений):

      • как правило, настраивается автоматически, в зависимости от выбора алгоритмов integrity (поэтому в примере ниже значение prf: PRF-HMAC-SHA512);

      • для AES-GCM может потребоваться указать явно. В этом случае по приоритету: AESXCBC, SHA512, SHA384, SHA256.

    • DH (Группа Diffie-Hellman):

      • Curve25519 (group 31);

      • ECP256 (group 19);

      • modp4096 (group 16);

      • modp2048 (group 14);

      • modp1024 (group 2).

    • Таймауты:

      • Lifetime: 14400 сек;

      • DPD Timeout (для L2TP/IPsec): 40 сек;

      • DPD Delay: 30 сек.

  • Phase 2 (ESP):

    • encryption (шифрование):

      • AES256-GCM;

      • AES256.

    • integrity (целостность):

      • для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;

      • для AES-256, по приоритету: SHA512, SHA384, SHA256.

    • DH (Группа Diffie-Hellman, PFS). ВНИМАНИЕ! если не указать, подключаться будет, но не сработает rekey через некоторое время:

      • Curve25519 (group 31);

      • ECP256 (group 19);

      • modp4096 (group 16);

      • modp2048 (group 14);

      • modp1024 (group 2).

    • Таймаут:

      • Lifetime: 3600 сек.

Пример:

  • Phase 1 (IKE) (нужна одна из строк):

    • AES256-GCM\PRF-HMAC-SHA512\Curve25519;

    • AES256\SHA512\PRF-HMAC-SHA512\ECP384;

    • AES256\SHA256\PRF-HMAC-SHA256\MODP2048.

  • Phase 2 (ESP) (нужна одна из строк):

    • AES256-GCM\ECP384;

    • AES256\SHA256\MODP2048.

Пример настройки подключения pfSense к Ideco UTM по IPsec:

Филиалы и главный офисУстройстваПодключение офисов (site-to-site)

Last updated