Вкладка IKE

В этой вкладке определены наборы политик для защиты соединений IKE, которые предлагаются партнеру для согласования при создании ISAKMP SA.

  

Рисунок 31

 

IKE  proposals  list – упорядоченный список IKE предложений по приоритету. В верхней строчке находится предложение с наивысшим приоритетом.

Encryption – алгоритмы шифрования пакетов. Предлагается только один российский криптографический алгоритм:

·       ГОСТ 28147-89 – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как G2814789CPRO1-K256-CBC-65534.

Integrity – алгоритмы проверки целостности пакетов. Предлагаются следующие российские криптографические алгоритмы:

·       ГОСТ Р 34.11-94 – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как GR341194CPRO1-65534.

·       ГОСТ Р 34.11-2012 256 бит – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как GR341112_256TC26-65128.

·       ГОСТ Р 34.11-2012 512 бит – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как GR341112_512TC26-65527.

Имена алгоритмов шифрования пакетов и проверки целостности данных считываются из файла admintool.ini, размещенного в папке Продукта S-Terra Client AdminTool st. Для изменения имен алгоритмов необходимо отредактировать этот файл, описанный в разделе «Формат задания имен алгоритмов в файле admintool.ini», и перезапустить графический интерфейс.

В описании структуры IKETransform конфигурационного файла локальной политики безопасности (Таблица 7) приведены возможные значения хэш-алгоритма в зависимости от используемого алгоритма публичного ключа сертификата.

Group – параметры выработки общего сессионного ключа по алгоритму Диффи-Хеллмана или VKO:

·       VKO_1B – используется алгоритм VKO ГОСТ Р 34.10-2001 [RFC4357] (длина ключа 256 бит).

·       VKO2_1B – используется алгоритм VKO ГОСТ Р 34.10-2012 (длина ключа 256 бит).

·       MODP_768 – группа 1 (768-битовый вариант алгоритма Диффи-Хеллмана).

·       MODP_1024 – группа 2 (1024-битовый вариант алгоритма Диффи-Хеллмана).

·       MODP_1536 – группа 5 (1536-битовый вариант алгоритма Диффи-Хеллмана).

Mode – режим обмена информацией о параметрах защиты и установления IKE SA. Имеет два значения:

·       Main – в этом режиме партнеру высылаются все IKE политики для выбора и согласования.

·       Aggresssive – в этом режиме партнеру высылается только первая IKE политика из списка, имеющая самый высокий приоритет. При выборе этого режима выдается об этом предупреждение. Если для аутентификации используется предопределенный ключ и выбран тип идентификатора KeyID, то должен использоваться только режим Aggressive.

LifeTime  of  IKE  SA (sec) – время в секундах, в течение которого ISAKMP SA будет существовать. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение – 28800, которое выставлено при открытии нового проекта. Значение 0 означает, что время действия SA не ограничено. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.

LifeTime  of  IKE  SA (Kb) – указывает объем данных в килобайтах, который могут передать стороны во всех IPsec SA, созданных в рамках одного ISAKMP SA. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение – 0, которое выставлено при открытии нового проекта. Значение 0 означает, что объем данных в килобайтах не ограничен. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.

IPsec  SA – количество IPsec SA, созданных в рамках одного ISAKMP SA. Значение 0 означает, что количество IPsec  SA не ограничено.

Кнопки Up и Down предназначены для упорядочивания списка предложений по приоритету.