В этой вкладке определены наборы политик для защиты соединений IKE, которые предлагаются партнеру для согласования при создании ISAKMP SA.
Рисунок 31
IKE proposals list – упорядоченный список IKE предложений по приоритету. В верхней строчке находится предложение с наивысшим приоритетом.
Encryption – алгоритмы шифрования пакетов. Предлагается только один российский криптографический алгоритм:
· ГОСТ 28147-89 – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как G2814789CPRO1-K256-CBC-65534.
Integrity – алгоритмы проверки целостности пакетов. Предлагаются следующие российские криптографические алгоритмы:
· ГОСТ Р 34.11-94 – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как GR341194CPRO1-65534.
· ГОСТ Р 34.11-2012 256 бит – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как GR341112_256TC26-65128.
· ГОСТ Р 34.11-2012 512 бит – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как GR341112_512TC26-65527.
Имена алгоритмов шифрования пакетов и проверки целостности данных считываются из файла admintool.ini, размещенного в папке Продукта S-Terra Client AdminTool st. Для изменения имен алгоритмов необходимо отредактировать этот файл, описанный в разделе «Формат задания имен алгоритмов в файле admintool.ini», и перезапустить графический интерфейс.
В описании структуры IKETransform конфигурационного файла локальной политики безопасности (Таблица 7) приведены возможные значения хэш-алгоритма в зависимости от используемого алгоритма публичного ключа сертификата.
Group – параметры выработки общего сессионного ключа по алгоритму Диффи-Хеллмана или VKO:
· VKO_1B – используется алгоритм VKO ГОСТ Р 34.10-2001 [RFC4357] (длина ключа 256 бит).
· VKO2_1B – используется алгоритм VKO ГОСТ Р 34.10-2012 (длина ключа 256 бит).
· MODP_768 – группа 1 (768-битовый вариант алгоритма Диффи-Хеллмана).
· MODP_1024 – группа 2 (1024-битовый вариант алгоритма Диффи-Хеллмана).
· MODP_1536 – группа 5 (1536-битовый вариант алгоритма Диффи-Хеллмана).
Mode – режим обмена информацией о параметрах защиты и установления IKE SA. Имеет два значения:
· Main – в этом режиме партнеру высылаются все IKE политики для выбора и согласования.
· Aggresssive – в этом режиме партнеру высылается только первая IKE политика из списка, имеющая самый высокий приоритет. При выборе этого режима выдается об этом предупреждение. Если для аутентификации используется предопределенный ключ и выбран тип идентификатора KeyID, то должен использоваться только режим Aggressive.
LifeTime of IKE SA (sec) – время в секундах, в течение которого ISAKMP SA будет существовать. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение – 28800, которое выставлено при открытии нового проекта. Значение 0 означает, что время действия SA не ограничено. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.
LifeTime of IKE SA (Kb) – указывает объем данных в килобайтах, который могут передать стороны во всех IPsec SA, созданных в рамках одного ISAKMP SA. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение – 0, которое выставлено при открытии нового проекта. Значение 0 означает, что объем данных в килобайтах не ограничен. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.
IPsec SA – количество IPsec SA, созданных в рамках одного ISAKMP SA. Значение 0 означает, что количество IPsec SA не ограничено.
Кнопки Up и Down предназначены для упорядочивания списка предложений по приоритету.