Ideco NGFW
Скачать PDF
v19
v19
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования и источники данных Ideco NGFW
      • Выбор аппаратной платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Настройка программно-аппаратных комплексов Ideco NGFW
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление учетными записями и группами
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Двухфакторная аутентификация
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
        • Установка и настройка Ideco Client на Linux
        • Настройка Device VPN
        • Создание сертификатов для Device VPN
        • Балансировка VPN-подключений
        • Кастомная настройка Ideco Client
      • Профили устройств
      • Интеграция с Active Directory/Samba DC
        • Импорт пользователей
        • Аутентификация пользователей AD/Samba DC
          • Настройка сервера Active Directory
          • Настройка клиентских машин
          • Скрипты автоматической разавторизации
      • Интеграция с RADIUS-сервером
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Сессии администраторов
      • Сессии пользователей
      • Сессии ЛК
      • Графики загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
      • Netflow
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Примеры создания правил файрвола
        • Логирование
        • Тестирование правил
        • Предварительная фильтрация
        • Аппаратная фильтрация
      • Контент-фильтр
        • Правила
        • Описание категорий контент-фильтра
        • Морфологические словари
        • Настройки
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирус
      • Предотвращение вторжений
        • Группы сигнатур
        • Пользовательские сигнатуры
        • Настройки
      • Исключения
      • Объекты
    • Профили безопасности
      • Web Application Firewall
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
    • Сервисы
      • Сетевые интерфейсы
        • Внешние и локальные интерфейсы
        • Агрегированные интерфейсы (LACP)
        • Туннельные интерфейсы (GRE)
        • VCE-интерфейсы
        • SPAN-интерфейсы
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • ЛК/Портал SSL VPN
      • Защита и управление DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW по IPsec в туннельном режиме
        • Подключение Cisco IOS и Ideco NGFW по IPsec в транспортном режиме
        • Подключение Cisco IOS и Ideco NGFW по route-based IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • ГОСТ VPN
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
      • USB-токены
    • Отчеты и журналы
      • Трафик
      • Системный журнал
      • Журнал веб-трафика
      • Журнал трафика
      • События безопасности
      • Действия администраторов
      • Журнал аутентификации
      • Журнал авторизации ЛК
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Ideco Center
      • VCE
      • Кластеризация
        • Настройка кластера
        • Обновление кластера
      • Обновления
      • Бэкапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам и антивирус
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
    • Полный цикл обработки трафика в Ideco NGFW
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Профили безопасности
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Создание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подлючение к серверу по COM-порту и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Как разрешить доступ к ресурсам в ограниченной сети
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка совместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Как Ideco Client осуществляет обработку запросов с редиректом на сервер Ideco NGFW
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
      • Ошибка 400 Bad Request Request Header Or Cookie Too Large при авторизации в браузерах
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление интеграцией с ALD Pro
    • Управление администраторами
    • Управление пользователями
    • Управление Ideco Client
    • Мониторинг и журналы
    • Управление правилами трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
      • Предотвращение вторжений
      • Исключения
    • Управление профилями безопасности
    • Управление сетевыми интерфейсами
    • Управление VPN
    • Управление обратным прокси
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Управление Ideco Center
    • Бэкапы и возврат к предыдущей версии
    • Почтовый релей
      • Расширенные настройки
      • Антиспам и антивирус
      • Правила
      • Почтовая очередь
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 19.X
    • ФСТЭК Ideco UTM 19.X
    • Ideco Center 19.Х
Powered by GitBook
On this page
  • Особенности подключений IPsec
  • Устройства
  • Исходящие подключения
  • Входящие подключения
  • Выбор алгоритмов шифрования на удаленных устройствах
  • Изменение настроек созданных IPsec-подключений

Was this helpful?

  1. Настройка Ideco NGFW
  2. Сервисы

IPsec

В разделе описывается настройка подключений с помощью защищенного протокола IPsec.

PreviousNTP-серверNextПодключение между двумя Ideco NGFW в туннельном режиме работы

Last updated 13 days ago

Was this helpful?

Название службы раздела IPsec: ideco-ipsec-backend, strongswan. Список служб для других разделов доступен по .

Особенность работы некоторых Cisco: Если в подключении site2site активную сторону представляет Cisco и Child_SA закрывается, то пассивная сторона не сможет отправить пакет в сторону Cisco, пока Cisco не создаст новый Child_SA.

Особенности подключений IPsec

В Туннельном режиме работы для создания туннелей используются все внешние интерфейсы со шлюзом по умолчанию и все Адреса удаленного устройства, указанные при создании IPsec-подключений.

Выбор конкретного туннеля для обмена трафиком зависит от приоритета внешнего интерфейса в таблице раздела Балансировка и резервирование. Приоритет интерфейса определяется местом в таблице: чем выше интерфейс, тем больше у него приоритет.

Интерфейсы без выхода в интернет имеют меньший приоритет по сравнению с интерфейсами с доступом в интернет.

Поддерживается неограниченное число туннелируемых IP-адресов.

Туннельный режим не пропускает широковещательные рассылки, поэтому в таком режиме настроить OSPF не получится.

В Транспортном режиме трафик не ограничивается IPSec-политиками, необходимо настраивать маршрутизацию вручную. Для подключения используется выбранный в настройках сетевой интерфейс.

Транспортный режим пропускает широковещательные рассылки, рекомендуем в данном режиме использовать маршрутизацию на основе . Для резервирования канала можно создать несколько IPSec-подключений через разные внешние интерфейсы и определить приоритет направления трафика настройками .

IPsec использует протокол UDP, порты 500 и 4500. По умолчанию они открыты, но если настроено запрещающее правило во вкладке INPUT раздела , не забудьте добавить разрешение для IPsec.

Устройства

Подключение устройств по IPsec позволит обеспечить безопасность сетевых соединений и защитить данные, передаваемые между устройствами.

Воспользуйтесь конфигураторами подключений для или . Они позволяют сгенерировать конфиг, запуск которого на удаленном устройстве установит заранее подготовленные настройки IPsec.

Исходящие подключения

Настройте исходящее подключение, если Ideco NGFW является инициатором подключения, а удаленное устройство - принимающей стороной.

Для настройки исходящего подключения подготовьте:

Тип аутентификации
Требуемые параметры

Сертификат

- Корневой сертификат удаленного устройства.

- Список домашних локальных сетей NGFW, которые будут видны противоположной стороне.

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ. Генерируется на NGFW при создании подключения.

- Идентификатор ключа, который потребуется удаленному устройству для идентификации подключения.

- Список локальных сетей NGFW, которые будут видны противоположной стороне.

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Входящие подключения

Настройте входящее подключение, если удаленное устройство является инициатором подключения, а Ideco NGFW - принимающей стороной.

Для настройки входящего подключения подготовьте:

Тип аутентификации
Требуемые параметры

Сертификат

- Запрос на подпись сертификата (.csr), полученный от удаленного устройства.

- Список домашних локальных сетей NGFW, которые будут видны противоположной стороне.

- Список всех локальных сетей удаленного устройства, которые будут видны противоположной стороне.

PSK

- PSK-ключ, сгенерированный на удаленном устройстве.

- Идентификатор удаленной стороны для идентификации входящего подключения.

- Список локальных сетей NGFW, которые будут видны противоположной стороне.

- Список локальных сетей удаленного устройства, которые будут видны противоположной стороне.

Выбор алгоритмов шифрования на удаленных устройствах

При настройке сторонних устройств необходимо явно указать алгоритмы шифрования, используемые для подключения. Ideco NGFW не поддерживает устаревшие и небезопасные алгоритмы (MD5, SHA1, AES128, DES, 3DES, blowfish и др.). При конфигурировании сторонних устройств можно указать несколько поддерживаемых алгоритмов одновременно, так как не все устройства поддерживают современные алгоритмы.

Список алгоритмов и пример использования

  • Phase 1 (IKE):

    • encryption (шифрование):

      • AES256-GCM.

      • AES256 (AES256-CBC).

    • integrity (hash, целостность):

      • для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы.

      • для AES256 (AES256-CBC) - по приоритету: SHA512, SHA256.

    • prf (функция генерации случайных значений):

      • для AES-GCM может потребоваться указать явно. В этом случае по приоритету: AESXCBC, SHA512, SHA384, SHA256.

    • DH (Группа Diffie-Hellman):

      • Curve25519 (group 31).

      • ECP256 (group 19).

      • modp4096 (group 16).

      • modp2048 (group 14).

      • modp1024 (group 2).

    • Таймауты:

      • Lifetime: 14400 сек.

      • DPD Timeout (для L2TP/IPsec): 40 сек.

      • DPD Delay: 30 сек.

  • Phase 2 (ESP):

    • encryption (шифрование):

      • AES256-GCM.

      • AES256 (AES256-CBC).

    • integrity (целостность):

      • для AES256-GCM - не требуется, поскольку проверка целостности встроена в AEAD-алгоритмы.

      • для AES256 (AES256-CBC) - по приоритету: SHA512, SHA384, SHA256.

    • DH (Группа Diffie-Hellman, PFS). ВНИМАНИЕ! Если не указать группу, то подключение будет установлено, но через некоторое время не сработает параметр rekey:

      • Curve25519 (group 31).

      • ECP256 (group 19).

      • modp4096 (group 16).

      • modp2048 (group 14).

      • modp1024 (group 2).

    • Таймаут:

      • Lifetime: 3600 сек.

Пример:

  • Phase 1 (IKE) (нужна одна из строк):

    • AES256-GCM\PRF-HMAC-SHA512\Curve25519.

    • AES256(AES256-CBC)\SHA512\PRF-HMAC-SHA512\ECP384.

    • AES256(AES256-CBC)\SHA256\PRF-HMAC-SHA256\MODP2048.

  • Phase 2 (ESP) (нужна одна из строк):

    • AES256-GCM\ECP384.

    • AES256(AES256-CBC)\SHA256\MODP2048.

Пример настройки подключения pfSense к Ideco NGFW по IPsec:

Изменение настроек созданных IPsec-подключений

Начиная с 16 версии в Ideco NGFW появилась возможность изменять настройки Домашних локальных сетей и Удаленных локальных сетей для IPsec-подключений. После редактирования подсетей произойдет перезапуск всех IPsec-соединений, в которых использовались измененные подсети:

Изменить настройки подсетей можно в настройках IPsec-подключения и в разделе Правила трафика -> Объекты -> Подсеть.

- Подписанный удаленным устройством Запрос на подпись сертификата. Файл запроса скачивается из веб-интерфейса NGFW при создании подключения (), отправляется удаленному устройству и подписанный возвращается для настройки NGFW.

как правило, настраивается автоматически в зависимости от выбора алгоритмов integrity (поэтому в примере значение prf: PRF-HMAC-SHA512).

ссылке
OSPF
OSPF
Файрвол
MikroTik
Cisco
ниже