IPsec

Название службы раздела IPsec: ideco-ipsec-backend; strongswan. Список служб для других разделов доступен по ссылке.

Особенность работы некоторых Cisco: Если в подключении site2site активную сторону представляет Cisco и Child_SA закрывается, то пассивная сторона не сможет отправить пакет в сторону Cisco, пока Cisco не создаст новый Child_SA.

В Туннельном режиме работы для создания туннелей используются все внешние интерфейсы со шлюзом по умолчанию и все Адреса удаленного устройства, указанные при создании IPsec-подключений.

Выбор конкретного туннеля для обмена трафиком зависит от приоритета внешнего интерфейса в таблице раздела Балансировка и резервирование. Приоритет интерфейса определяется местом в таблице: чем выше интерфейс, тем больше у него приоритет.

Интерфейсы без выхода в интернет имеют меньший приоритет по сравнению с интерфейсами с доступом в интернет.

Устройства

Подключение устройств по IPsec позволит обеспечить безопасность сетевых соединений и защитить данные, передаваемые между устройствами.

Воспользуйтесь конфигураторами подключений для MikroTik или Cisco. Они позволяют сгенерировать конфиг, запуск которого на удаленном устройстве установит заранее подготовленные настройки IPsec.

Исходящие подключения

Настройте исходящее подключение, если Ideco NGFW является инициатором подключения, а удаленное устройство - принимающей стороной.

Для настройки исходящего подключения подготовьте:

Тип аутентификации
Требуемые параметры

Сертификат

- Корневой сертификат удаленного устройства;

- Список домашних локальных сетей NGFW, которые будут видны противоположной стороне;

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ. Генерируется на NGFW при создании подключения;

- Идентификатор ключа, который потребуется удаленному устройству для идентификации подключения;

- Список локальных сетей NGFW, которые будут видны противоположной стороне;

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Входящие подключения

Настройте входящее подключение, если удаленное устройство является инициатором подключения, а Ideco NGFW - принимающей стороной.

Для настройки входящего подключения подготовьте:

Тип аутентификации
Требуемые параметры

Сертификат

- Запрос на подпись сертификата (.csr), полученный от удаленного устройства;

- Список домашних локальных сетей NGFW, которые будут видны противоположной стороне;

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ, сгенерированный на удаленном устройстве;

- Идентификатор удаленной стороны для идентификации входящего подключения;

- Список локальных сетей NGFW, которые будут видны противоположной стороне;

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Выбор алгоритмов шифрования на удаленных устройствах

При настройке сторонних устройств необходимо явно указать алгоритмы шифрования, используемые для подключения. Ideco NGFW не поддерживает устаревшие и небезопасные алгоритмы (MD5, SHA1, AES128, DES, 3DES, blowfish и др.). При конфигурировании сторонних устройств можно указать несколько поддерживаемых алгоритмов одновременно, так как не все устройства поддерживают современные алгоритмы.

Список алгоритмов и пример использования
  • Phase 1 (IKE):

    • encryption (шифрование):

      • AES256-GCM;

      • AES256.

    • integrity (hash, целостность):

      • для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;

      • для AES256 - по приоритету: SHA512, SHA256.

    • prf (функция генерации случайных значений):

      • как правило, настраивается автоматически в зависимости от выбора алгоритмов integrity (поэтому в примере ниже значение prf: PRF-HMAC-SHA512);

      • для AES-GCM может потребоваться указать явно. В этом случае по приоритету: AESXCBC, SHA512, SHA384, SHA256.

    • DH (Группа Diffie-Hellman):

      • Curve25519 (group 31);

      • ECP256 (group 19);

      • modp4096 (group 16);

      • modp2048 (group 14);

      • modp1024 (group 2).

    • Таймауты:

      • Lifetime: 14400 сек;

      • DPD Timeout (для L2TP/IPsec): 40 сек;

      • DPD Delay: 30 сек.

  • Phase 2 (ESP):

    • encryption (шифрование):

      • AES256-GCM;

      • AES256.

    • integrity (целостность):

      • для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы;

      • для AES-256 - по приоритету: SHA512, SHA384, SHA256.

    • DH (Группа Diffie-Hellman, PFS). ВНИМАНИЕ! Если не указать, подключаться будет, но не сработает rekey через некоторое время:

      • Curve25519 (group 31);

      • ECP256 (group 19);

      • modp4096 (group 16);

      • modp2048 (group 14);

      • modp1024 (group 2).

    • Таймаут:

      • Lifetime: 3600 сек.

Пример:

  • Phase 1 (IKE) (нужна одна из строк):

    • AES256-GCM\PRF-HMAC-SHA512\Curve25519;

    • AES256\SHA512\PRF-HMAC-SHA512\ECP384;

    • AES256\SHA256\PRF-HMAC-SHA256\MODP2048.

  • Phase 2 (ESP) (нужна одна из строк):

    • AES256-GCM\ECP384;

    • AES256\SHA256\MODP2048.

Пример настройки подключения pfSense к Ideco NGFW по IPsec:

Изменение настроек созданных IPsec-подключений

Начиная с 16 версии в Ideco NGFW появилась возможность изменять настройки Домашних локальных сетей и Удаленных локальных сетей для IPsec-подключений. После редактирования подсетей произойдет перезапуск всех IPsec-соединений, в которых использовались измененные подсети:

Изменить настройки подсетей можно в настройках IPsec-подключения и в разделе Правила трафика -> Объекты -> Подсеть.

Last updated