Ideco NGFW
Скачать PDF
v15
v15
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Cистемные требования и источники обновления данных Ideco UTM
    • Техническая поддержка
      • Режим удаленного помощника
      • Информация о поддержке версий Ideco NGFW
  • Установка
    • Рекомендации при первоначальной настройке
    • Личный кабинет my.ideco
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Пользователи терминального сервера
        • Личный кабинет пользователя
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Личный кабинет пользователя
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Двухфакторная аутентификация
      • Ideco агент
      • Интеграция с Active Directory/Samba DC
        • Ввод сервера в домен
        • Авторизация пользователей AD/Samba DC
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи и VPN-пользователи
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий Контент-фильтра
        • Настройка фильтрации HTTPS
        • Изменение страницы блокировки Контент-фильтра
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
        • NextDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Филиалы и главный офис
        • Устройства
          • Подключение Ideco UTM и Mikrotik
          • Подключение Cisco IOS к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение Kerio Control к Ideco UTM по IPsec
          • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Трафик
      • Журнал событий
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Центральная консоль
        • Установка
        • Политики и объекты
          • Политики безопасности
          • Объекты
        • Сервисы
          • Сертификаты
        • Управление сервером
      • Кластеризация
      • Автоматическое обновление сервера
      • Резервное копирование
      • Терминал
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция UTM и SkyDNS
  • Популярные инструкции и диагностика проблем
    • Обслуживание сервера
      • Тестирование оперативной памяти сервера
      • Разрешить интернет всем: диагностика неполадок
      • Удаленный доступ к серверу
      • Регистрация сервера
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Ubuntu
        • Создание подключения в Astra Linux
        • Автоматическое создание подключений
        • Создание подключения в Windows 10
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco UTM
      • Как восстановиться на прошлую версию после обновления Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Настройка автоматической веб-аутентификации на Ideco UTM на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco UTM
      • Интеграция Ideco UTM и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco UTM
      • Блокировка чат-ботов
      • Таблица портов Ideco UTM, доступных из локальной и внешних сетей
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает Интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание хендлеров
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила Forward
  • changelog
    • Ideco UTM 15.X
    • ФСТЭК Ideco UTM 15.Х
    • Ideco Center 15.Х
Powered by GitBook
On this page
  • Исходящие подключения
  • Входящие подключения
  • Выбор алгоритмов шифрования на удалённых устройствах

Was this helpful?

  1. Настройка
  2. Сервисы

IPsec

PreviousNTP-серверNextФилиалы и главный офис

Last updated 12 months ago

Was this helpful?

Название службы раздела IPsec: ideco-ipsec-backend; strongswan. Список служб для других разделов доступен по .

Особенность работы некоторых Cisco: Если в подключении site2site активную сторону представляет Cisco и Child_SA закрывается, то пассивная сторона не сможет отправить пакет в сторону Cisco, пока Cisco не создаст новый Child_SA.

Выбор внешних интерфейсов для IPsec-подключений зависит от приоритета интерфейса в таблице раздела Балансировка и резервирование. Приоритет интерфейса определяется местом в таблице: чем выше интерфейс, тем больше у него приоритет.

Интерфейсы без выхода в интернет имеют меньший приоритет по сравнению с интерфейсами с доступом в интернет.

Туннели создаются на всех интерфейсах со шлюзом по умолчанию.

При обновлении на версию 15.Х может пропасть соединение IPsec с типом аутентификации PSK. Для настройки соединения перейдите в режим редактирование и подберите тип идентификатора.

Исходящие подключения

Настройте исходящее подключение, если Ideco UTM является инициатором подключения, а удаленное устройство - принимающей стороной.

Для настройки исходящего подключения подготовьте:

Тип аутентификации
Требуемые параметры

Сертификат

- Корневой сертификат удаленного устройства;

- Список домашних локальных сетей UTM, которые будут видны противоположной стороне;

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ. Генерируется на UTM при создании подключения;

- Идентификатор ключа, который потребуется удаленному устройству для идентификации подключения;

- Список локальных сетей UTM, которые будут видны противоположной стороне;

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Входящие подключения

Настройте входящее подключение, если удаленное устройство является инициатором подключения, а Ideco UTM - принимающей стороной.

Для настройки входящего подключения подготовьте:

Тип аутентификации
Требуемые параметры

Сертификат

- Запрос на подпись сертификата (.csr), полученный от удаленного устройства;

- Список домашних локальных сетей UTM, которые будут видны противоположной стороне;

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ, сгенерированный на удаленном устройстве;

- Идентификатор удаленной стороны для идентификации входящего подключения;

- Список локальных сетей UTM, которые будут видны противоположной стороне;

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Выбор алгоритмов шифрования на удалённых устройствах

При настройке сторонних устройств необходимо явно указать алгоритмы шифрования, используемые для подключения. Ideco UTM не поддерживает устаревшие и небезопасные алгоритмы (MD5, SHA1, AES128, DES, 3DES, blowfish и др.). При конфигурировании сторонних устройств можно указать несколько поддерживаемых алгоритмов одновременно, так как не все устройства поддерживают современные алгоритмы.

Список алгоритмов и пример использования

  • Phase 1 (IKE):

    • encryption (шифрование):

      • AES256-GCM;

      • AES256.

    • integrity (hash, целостность):

      • для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;

      • для AES256, по приоритету: SHA512, SHA256.

    • prf (функция генерации случайных значений):

      • как правило, настраивается автоматически, в зависимости от выбора алгоритмов integrity (поэтому в примере ниже значение prf: PRF-HMAC-SHA512);

      • для AES-GCM может потребоваться указать явно. В этом случае по приоритету: AESXCBC, SHA512, SHA384, SHA256.

    • DH (Группа Diffie-Hellman):

      • Curve25519 (group 31);

      • ECP256 (group 19);

      • modp4096 (group 16);

      • modp2048 (group 14);

      • modp1024 (group 2).

    • Таймауты:

      • Lifetime: 14400 сек;

      • DPD Timeout (для L2TP/IPsec): 40 сек;

      • DPD Delay: 30 сек.

  • Phase 2 (ESP):

    • encryption (шифрование):

      • AES256-GCM;

      • AES256.

    • integrity (целостность):

      • для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;

      • для AES-256, по приоритету: SHA512, SHA384, SHA256.

    • DH (Группа Diffie-Hellman, PFS). ВНИМАНИЕ! если не указать, подключаться будет, но не сработает rekey через некоторое время:

      • Curve25519 (group 31);

      • ECP256 (group 19);

      • modp4096 (group 16);

      • modp2048 (group 14);

      • modp1024 (group 2).

    • Таймаут:

      • Lifetime: 3600 сек.

Пример:

  • Phase 1 (IKE) (нужна одна из строк):

    • AES256-GCM\PRF-HMAC-SHA512\Curve25519;

    • AES256\SHA512\PRF-HMAC-SHA512\ECP384;

    • AES256\SHA256\PRF-HMAC-SHA256\MODP2048.

  • Phase 2 (ESP) (нужна одна из строк):

    • AES256-GCM\ECP384;

    • AES256\SHA256\MODP2048.

Пример настройки подключения pfSense к Ideco UTM по IPsec:

- Подписанный удаленным устройством Запрос на подпись сертификата. Файл запроса скачивается из веб-интерфейса UTM при создании подключения (), отправляется удаленному устройству и подписанный возвращается для настройки UTM;

ссылке
Филиалы и главный офис