12.12.4. Настройка профилей безопасности VPN

Профили безопасности VPN настраиваются на уровне vpn security-profile.

Для создания профиля безопасности VPN предназначена следующая команда:

Admin@UGOS# create vpn security-profile

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля безопасности VPN.

description

Описание профиля безопасности VPN.

ike-version

Версия протокола IKE (Internet Key Exchange), использующегося для создания защищённого канала связи между двумя сетями. В UserGate используется IKEv1 (IKEv1).

ike-mode

Режим IKE:

  • main -- основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.

  • aggressive -- агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

peer-auth

Аутентификация с пиром:

  • psk - общий ключ -- аутентификация устройств с использованием общего ключа (Pre-shared key).

psk

Общий ключ; должен совпадать на сервере и клиенте для успешного подключения.

phase1-key-lifetime

Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

dpd-interval

Интервал проверки механизма Dead Peer Detection. Минимальный интервал: 10 секунд.

Для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа (по умолчанию: 60 с.).

dpd-max-failures

Максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным (по умолчанию: 5).

dh-groups

Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

  • Group 1 Prime 768 bit.

  • Group 2 Prime 1024 bit.

  • Group 5 Prime 1536 bit.

  • Group 14 Prime 2048 bit.

  • Group 15 Prime 3072 bit.

  • Group 16 Prime 4096 bit.

  • Group 17 Prime 6144 bit.

  • Group 18 Prime 8192 bit.

phase1-security

Алгоритмы авторизации и шифрования.

Для указания алгоритмов авторизации и шифрования:

Admin@UGOS# create vpn security-profile ... phase1-security new auth-alg <auth-alg-name> encrypt-alg <encrypt-alg-name>

Доступны:

  • auth-alg: выбор алгоритма авторизации.

    • MD5.

    • SHA1.

    • SHA256.

    • SHA384.

    • SHA512.

  • encrypt-alg: выбор алгоритма шифрования.

    • DES.

    • 3DES.

    • AES128.

    • AES192.

    • AES256.

phase2-key-lifetime

Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

key-lifesize

Максимальный размер данных, шифруемых одним ключом; указывается в килобайтах. Время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа, phase2-key-lifetime и Максимальный размер данных, шифруемых одним ключом, key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии. Для отключения ограничения: off.

phase2-security

Алгоритмы авторизации и шифрования.

Для указания алгоритмов авторизации и шифрования:

Admin@UGOS# create vpn security-profile ... phase2-security new auth-alg <auth-alg-name> encrypt-alg <encrypt-alg-name>

Доступны:

  • auth-alg: выбор алгоритма авторизации.

    • MD5.

    • SHA1.

    • SHA256.

    • SHA384.

    • SHA512.

  • encrypt-alg: выбор алгоритма шифрования.

    • DES.

    • 3DES.

    • AES128.

    • AES192.

    • AES256.

Установка значений профиля безопасности:

Admin@UGOS# set vpn security-profile <profile-name>

Параметры, доступные для обновления, аналогичны параметрам, доступным для указания при создании профиля безопасности. Для добавления новой пары алгоритмов авторизации и шифрования или группы Диффи-Хеллмана в профиль безопасности используются команды со структурой:

Admin@UGOS# set vpn security-profiles <profile-name> phase1-security new auth-alg <auth-alg-name> encrypt-alg <encrypt-alg-name>

Admin@UGOS# set vpn security-profiles <profile-name> phase2-security new auth-alg <auth-alg-name> encrypt-alg <encrypt-alg-name>

Admin@UGOS# set vpn security-profiles <profile-name> dh-groups + [ <dh-group1> <dh-group2> ... ]

Команда для удаления профиля безопасности:

Admin@UGOS# delete vpn security-profile <profile-name>

Также доступно удаление следующих параметров профиля безопасности VPN:

  • dh-groups.

  • phase1-security.

  • phase2-security.

Для отображения информации о профиле безопасности VPN используется следующая команда:

Admin@UGOS# show vpn security-profile <profile-name>