Управление конвертором с помощью INI-файла

1. Настройки конвертора хранятся в INI-файле cs_conv.ini, расположенном в каталоге агента.

2. INI-файл хранит служебную информацию, необходимую для конвертора, включающую в себя все пользовательские настройки.

3. Формат файла:

· обычный текстовый файл в кодировке ASCII. Используется кодирование окончания строк, принятое для операционной системы (Windows/UNIX)

· пустые строки и строки, начинающиеся с ! (восклицательный знак) игнорируются

· файл состоит из нескольких секций. Каждая секция начинается с названия секции, заключенного в квадратные скобки. Например: [interface_list].

4. Описание секций файла:

· Описание отдельных глобальных настроек:

Название секции: [global_settings]

· Формат строк:

ike_autopass = {on|off} – включение/выключение прописывания ike autopass в конфигурации. По умолчанию – on. Пользователю редактировать данный параметр не рекомендуется, за исключением случаев, когда надо построить конфигурацию с вложенным IPsec

Следует учесть, что данная настройка отличается от похожей настройки для версии 3.1: там она открывала полный доступ для IKE пакетов. В текущей версии данная настройка обеспечивает прохождение IKE пакетов в обход IPsec policy, но не в обход правил firewall. Необходимо следить, чтобы были прописаны соответствующие правила пакетной фильтрации для беспрепятственного прохождения IKE пакетов.

dpd_retries = {1–10} – количество попыток проведения DPD-обмена. По умолчанию – 5. Пользователь может настраивать данный параметр для получения оптимального количества DPD-retries.

tunnel_local_ip = {on|off} – включение/выключение прописывания локального IP-адреса в структуре TunnelEntry. По умолчанию – off. Пользователю редактировать данный параметр не рекомендуется: только при возникновении ситуаций, когда прописывание локального адреса необходимо (пока не выявлено).

ipsec_reassemble_ip = {on|off} – включение/выключение прописывания параметра Assemble=TRUE в структуре TunnelEntry. По умолчанию – on. Значение on означает, что пакет будет собран из IP-фрагментов перед IPsec инкапсуляцией (как и в предыдущих версиях шлюза безопасности).
При значении off могут появиться проблемы при работе по защищенному соединению с предыдущими версиями агента. Если защищенная связь с предыдущими версиями шлюза безопасности не требуется, то данный параметр можно отключить для улучшения производительности IPsec.

preserve_ipsec_sa = {on|off} – включение/выключение прописывания параметра PreserveIPsecSA=TRUE в структуре GlobalParameters. По умолчанию – off. Значение off – при любых изменениях в конфигурации IPsecAction, IKERule фильтров NetworkInterface.IPsecPolicy удаляются все IPsec SA.
Значение on означает, что в момент изменения конфигурации IPsec SA будет сохранен при соблюдении некоторых условий (подробнее см. документ «Создание конфигурационного файла»).

Внимание! При использовании данного режима следует соблюдать осторожность: IPsec SA, оставшиеся от старой конфигурации в той или иной мере могут нарушать новую политику безопасности или быть неработоспособными из-за несоответствия новой LSP. Если нет уверенности в корректности использования данной настройки, рекомендуется оставить значение off.

Описание перекодировки алгоритмов:

Название секции: [algorithm_list]

Редактирование пользователем данной секции не рекомендуется.

· Формат строки:

<Generic_algorithm_name> = { SignByCaType | native:<Native_algorithm_name> } gui:<GUI_name> [gui_default] [optional:<optional_part>] [show:"<Show_description>"] [default] console:<console_description> [console2:<console2_description>]

где

<Generic_algorithm_name> – имя метода аутентификации, алгоритма или группы в стиле cs_console..

Формат <Generic_algorithm_name>:

Сначала идет префикс:

Префикс	Режим конфигурирования	Команда или префикс IPsec transform
ike-auth-	IKE policy	auth
ike-hash-		hash
ike-cipher-		encr
ike-group-		group
ah-integrity-	IPsec transform	ah-
esp-integrity-		esp-
esp-cipher-		esp-
pfs-group-	Crypto map config	set pfs

После префикса идет параметр команды или суффикс IPsec transform.

Примеры:

команда hash md5 – <Generic_algorithm_name>=ike-hash-md5

описание алгоритма в IPsec transform esp-3des – <Generic_algorithm_name>=esp-cipher-3des
(префикс “esp-cipher-“ берется по типу алгоритма в стиле Cisco-like, суффикс “3des” берется из синтаксиса “esp-3des”).

Если присутствует символ _ (подчеркивание), то он обозначает, что данный алгоритм задается двумя словами.

Пример:

команда “encr aes 192” – <Generic_algorithm_name>=ike-cipher-aes_192

Существует требование: <Generic_algorithm_name>=“esp-null” обязательно должно обозначать ESP CipherAlg=”NULL” (задается стандартным образом, пример см. ниже). На другие имена жесткие требования по соответствию алгоритмов отсутствуют.

SignByCaType – зарезервированное слово, обозначающее режим выбора метода аутентификации в зависимости от типа CA. Используется только для описания метода аутентификации. Является альтернативой для параметра <Native_algorithm_name>. Подробнее по логике работы с сертификатными методами аутентификации см. ниже.

<Native_algorithm_name> – имя метода аутентификации, алгоритма или группы в стиле LSP. Не может содержать кавычек, пробелов и табуляций. Параметр обязательный, но может отсутствовать, если задано ключевое слово SignByCaType. Если ключевое слово SignByCaType не используется, то метод аутентификации описывается именем структуры AuthMethod. Остальные значения задаются строковым значением соответствующего параметра в LSP.

<GUI_name> – идентификатор, представляющий данный алгоритм в GUI. Не может содержать кавычек, пробелов и табуляций.

gui_default – спецификатор, отмечающий значение, которое в GUI выбирается как значение по умолчанию при создании новой ISAKMP Policy или IPsec Transform Set.

Optional – после ключевого слова optional и двоеточия пишется опциональная часть команды, которая может быть введена или опущена при вводе. При выводе по команде show running-config данная часть команды никогда не показывается. Не может содержать кавычек, пробелов и табуляций.

Пример таких команд:

encr aes [128]
crypto ipsec transform-set <...> esp-aes [128]

Опциональная часть “128” может вводиться или нет. При выводе по show running-config “128” никогда не выводится.

<Show_description> – текстовое описание метода аутентификации, алгоритма или группы, которое показывается по команде show crypto isakmp policy. Применимо для ISAKMP алгоритмов и групп. Обязательно должно быть заключено в кавычки. Может содержать пробелы или табуляции. Не может содержать кавычки внутри.

Для группы описание должно начинаться с одного из следующих текстов (дефис здесь обозначает пробел):

для Diffie-Hellman групп:
Diffie-Hellman group:---

для групп, отличных от Diffie-Hellman (например, VKO):
Oakley group:-----------

default – спецификатор используется для ISAKMP алгоритмов и групп. Он обозначает значения по умолчанию для объекта crypto isakmp policy. Также спецификатор применяется для PFS групп: в этом случае имеет специальный смысл – значение, выставляемое командой “set pfs” без параметров. Всего в файле должны быть четыре записи со спецификатором default: ISAKMP hash, encryption, group, а также PFS group.

Появление лишних записей default или отсутствие ее для какого-то из типов алгоритмов рассматривается как ошибка – испорченный ресурсный файл (“ERROR: Could not initialize resources.”). Консоль не запускается.(подробнее см. документ «Cisco-like команды»)

<console_description> – текстовое описание метода аутентификации, алгоритма или группы в cs_console, которое показывается при вызове подсказки во время редактирования конфигураци. Обязательно должно быть заключено в кавычки. Может содержать пробелы или табуляции. Не может содержать кавычки внутри.

<console2_description> – текстовое описание второй части алгоритма в cs_console. Небязательный параметр, используется для AES алгоритмов. Например:
esp-cipher-aes_256 = native:AES-K256-CBC-12 gui:"ESP AES 256" console:"ESP transform using AES cipher" console2:"256 bit keys."

Список поддерживаемых в настоящее время значений в сравнении со значениями для агента 3.1:

Новое значение	Старое значение
ike-auth-gost-sig	NEW
ike-auth-pre-share	NEW
ike-auth-rsa-sig	NEW
ike-auth-dss-sig	NEW
ike-auth-sign	NEW
ike-hash-gost	NEW
ike-hash-gost341112-256-tc26	NEW
ike-hash-gost341112-512-tc26	NEW
ike-hash-sha	ike-hash-sha1
ike-hash-md5
ike-cipher-gost	NEW
ike-cipher-des
ike-cipher-3des
ike-cipher-aes
ike-cipher-aes_192	ike-cipher-aes-192
ike-cipher-aes_256	ike-cipher-aes-256
ike-group-vko
ike-group-1	NEW
ike-group-2	NEW
ike-group-5	NEW
ah-integrity-gost3411-hmac	NEW
ah-integrity-gost28147-hmac	NEW
ah-integrity-sha-hmac	ah-integrity-sha1
ah-integrity-md5-hmac	ah-integrity-md5
esp-integrity-gost28147-hmac	NEW
esp-integrity-sha-hmac	esp-integrity-sha1
esp-integrity-md5-hmac	esp-integrity-md5
esp-cipher-gost28147	NEW
esp-cipher-gost28147-4m-imit	NEW
esp-cipher-des
esp-cipher-3des
esp-cipher-aes
esp-cipher-aes_192	esp-cipher-aes-192
esp-cipher-aes_256	esp-cipher-aes-256
esp-cipher-null
pfs-group-vko
pfs-group-group1	NEW
pfs-group-group2	NEW
pfs-group-group5	NEW

Примечание: пустая ячейка в поле ”Старое значение” обозначает, что имя не изменилось; слово “NEW” обозначает, что значение раньше отсутствовало.

· Описание логики работы с Cert request и посылки сертификатов в процессе IKE:

Название секции: [auth_cert]

Редактирование пользователем данной секции, как правило, не требуется, но возможно, при необходимости, изменить логику работы с Cert request и посылки сертификатов в процессе IKE.

· Формат строк:

<param_name>=<param_val>

где

<param_name>:

send_request. По умолчанию <param_val>= ALWAYS.

send_cert. По умолчанию <param_val>= ALWAYS.

· Описание переменных окружения, выставляемых для процесса cs_console:

Название секции: [env]

· Формат строк:<env_var_name>=<env_var_val>

Можно задавать любые перемнные окружения. На практике, как правило, нужно для выставления переменной PATH.

· Редактирование пользователем данной секции, как правило, не требуется, но возможно при необходимости изменить переменную PATH или добавить какие-то свои переменные окружения (м.б. полезно для команды run).

5. Варианты файлов, поставляемых в составе продукта:

Пример INI-файла cs_conv.ini для Gate (криптография ГОСТ («Крипто-Про»); стандартный режим; поставляется в составе продукта; вариант исполнения Linux):

[global_settings]

ike_autopass = on

dpd_retries = 5

tunnel_local_ip = off

ipsec_reassemble_ip = on

preserve_ipsec_sa = off

[algorithm_list]

ike-auth-gost-sig = native:AuthMethodGOSTSign gui:"GOST R 34.10-2001 Signature" gui_default show:"GOST R 34.10-2001 Signature" default console:"GOST R 34.10-2001 Signature"

ike-auth-pre-share = native:AuthMethodPreshared gui:"Pre-Shared Key" show:"Pre-Shared Key" console:"Pre-Shared Key"

ike-auth-rsa-sig = native:AuthMethodRSASign gui:"RSA Signature" show:"Rivest-Shamir-Adleman Signature" console:"Rivest-Shamir-Adleman Signature"

ike-auth-dss-sig = native:AuthMethodDSSSign gui:"DSS Signature" show:"Digital Signature Standard" console:"DSS Signature"

ike-auth-sign = SignByCaType gui:"Signature selected by CA type" show:"Signature selected by CA type" console:"Signature selected by CA type"

ike-hash-gost = native:GR341194CPRO1-65534 gui:"GOST R 34.11-94" gui_default show:"GOST R 34.11-94" default console:"GOST R 34.11-94 Hash"

ike-hash-sha = native:SHA1 gui:"SHA1" show:"Secure Hash Standard" console:"Secure Hash Standard"

ike-hash-md5 = native:MD5 gui:"MD5" show:"Message Digest 5" console:"Message Digest 5"

ike-cipher-gost = native:G2814789CPRO1-K256-CBC-65534 gui:"GOST 28147-89" gui_default show:"GOST 28147-89" default console:"GOST - GOST 28147-89 Encryption."

ike-cipher-des = native:DES-CBC gui:"DES" show:"DES - Data Encryption Standard (56 bit keys)." console:"DES - Data Encryption Standard (56 bit keys)."

ike-cipher-3des = native:DES3-K168-CBC gui:"3DES" show:"Three key triple DES" console:"Three key triple DES"

ike-cipher-aes = native:AES-K128-CBC-7 gui:"AES 128" optional:128 show:"AES - Advanced Encryption Standard (128 bit keys)." console:"AES - Advanced Encryption Standard." console2:"128 bit keys."

ike-cipher-aes_192 = native:AES-K192-CBC-7 gui:"AES 192" show:"AES - Advanced Encryption Standard (192 bit keys)." console:"AES - Advanced Encryption Standard." console2:"192 bit keys."

ike-cipher-aes_256 = native:AES-K256-CBC-7 gui:"AES 256" show:"AES - Advanced Encryption Standard (256 bit keys)." console:"AES - Advanced Encryption Standard." console2:"256 bit keys."

ike-group-vko = native:VKO_1B gui:"VKO GOST R 34.10-2001" gui_default show:"Oakley group: VKO GOST R 34.10-2001" default console:"VKO GOST R 34.10-2001"

ike-group-1 = native:MODP_768 gui:"D-H Group 1 (768-bit modp)" show:"Diffie-Hellman group: #1 (768 bit)" console:"Diffie-Hellman group 1"

ike-group-2 = native:MODP_1024 gui:"D-H Group 2 (1024-bit modp)" show:"Diffie-Hellman group: #2 (1024 bit)" console:"Diffie-Hellman group 2"

ike-group-5 = native:MODP_1536 gui:"D-H Group 5 (1536-bit modp)" show:"Diffie-Hellman group: #5 (1536 bit)" console:"Diffie-Hellman group 5"

ah-integrity-gost3411-hmac = native:GR341194CPRO1-H96-HMAC-254 gui:"AH GOST R 34.11-94 HMAC96" console:"AH GOST R 34.11-94 HMAC96 transform"

ah-integrity-gost28147-mac = native:G2814789CPRO1-K256-MAC-255 gui:"AH GOST 28147-89 MAC" console:"AH GOST 28147-89 MAC transform"

ah-integrity-sha-hmac = native:SHA1-H96-HMAC gui:"AH SHA HMAC" console:"AH-HMAC-SHA transform"

ah-integrity-md5-hmac = native:MD5-H96-HMAC gui:"AH MD5 HMAC" console:"AH-HMAC-MD5 transform"

esp-integrity-gost3411-hmac = native:GR341194CPRO1-H96-HMAC-65534 gui:"ESP GOST R 34.11-94 HMAC96" console:"ESP transform using GOST R 34.11-94 HMAC96 auth"

esp-integrity-gost28147-mac = native:G2814789CPRO1-K256-MAC-65535 gui:"ESP GOST 28147-89 MAC" console:"ESP transform using GOST 28147-89 MAC auth"

esp-integrity-sha-hmac = native:SHA1-H96-HMAC gui:"ESP SHA HMAC" console:"ESP transform using HMAC-SHA auth"

esp-integrity-md5-hmac = native:MD5-H96-HMAC gui:"ESP MD5 HMAC" console:"ESP transform using HMAC-MD5 auth"

esp-cipher-gost28147 = native:G2814789CPRO1-K256-CBC-254 gui:"ESP GOST 28147-89" gui_default console:"ESP transform using GOST 28147-89 cipher"

esp-cipher-gost28147-4m-imit = native:G2814789CPRO1-K288-CNTMAC-253 gui:"ESP_GOST-4M-IMIT" console:"ESP transform using ESP_GOST-4M-IMIT cipher"

esp-cipher-des = native:DES-CBC gui:"ESP DES" console:"ESP transform using DES cipher (56 bits)"

esp-cipher-3des = native:DES3-K168-CBC gui:"ESP 3DES" console:"ESP transform using 3DES(EDE) cipher (168 bits)"

esp-cipher-aes = native:AES-K128-CBC-12 gui:"ESP AES 128" optional:128 console:"ESP transform using AES cipher" console2:"128 bit keys."

esp-cipher-aes_192 = native:AES-K192-CBC-12 gui:"ESP AES 192" console:"ESP transform using AES cipher" console2:"192 bit keys."

esp-cipher-aes_256 = native:AES-K256-CBC-12 gui:"ESP AES 256" console:"ESP transform using AES cipher" console2:"256 bit keys."

esp-cipher-null = native:NULL gui:"ESP NULL" console:"ESP transform w/o cipher"

pfs-group-vko = native:VKO_1B gui:"VKO GOST R 34.10-2001" gui_default default console:"VKO GOST R 34.10-2001"

pfs-group-group1 = native:MODP_768 gui:"D-H Group 1 (768-bit modp)" console:"D-H Group1 (768-bit modp)"

pfs-group-group2 = native:MODP_1024 gui:"D-H Group 2 (1024-bit modp)" console:"D-H Group2 (1024-bit modp)"

pfs-group-group5 = native:MODP_1536 gui:"D-H Group 5 (1536-bit modp)" console:"D-H Group5 (1536-bit modp)"

[auth_cert]

send_request = ALWAYS

send_cert = ALWAYS

[env]

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

Пример INI-файла cs_conv.ini для Gate (криптография ГОСТ («С-Терра»); стандартный режим; поставляется в составе продукта; вариант исполнения Linux):