set pfs (crypto map)

Команда set  pfs  используется для установки опции PFS. Использование данной опции позволяет повысить уровень защищенности трафика – при создании каждого IPsec SA производится выработка новых сессионных ключей. Для снятия опции PFS используется та же команда, но с префиксом no.

 

Синтаксис           set  pfs [vko | vko2 | group1 | group2 | group5] 

                   no set pfs [vko | vko2 | group1 | group2 | group5] 

vko                                используется алгоритм VKO GOST R 34.10-2001 [RFC4357], длина ключа 256 бит

vko2                              используется алгоритм VKO GOST R 34.10-2012, длина ключа 256 бит. Алгоритм VKO GOST R 34.10-2012 может применяться, только если используется криптобиблиотека, разработанная компанией «С-Терра СиЭсПи»

group1                          используется алгоритм Диффи-Хеллмана, длина ключа 768 бит

group2                          используется алгоритм Диффи-Хеллмана, длина ключа 1024 бита

group5                          используется алгоритм Диффи-Хеллмана, длина ключа 1536 бит

 

Режимы  команды                               Crypto map configuration.

 

Значение по умолчанию                    по умолчанию опция PFS отключена.

 

Рекомендации по использованию

В процессе согласования параметров SA будет затребовано включение опции PFS. Если при формировании записи криптографической карты алгоритм не был указан, то будет предложено использовать group1 (значение по умолчанию). Если создание SA инициировано партнером, а локальная конфигурация требует использования PFS, то, либо партнер принимает условие использования PFS, либо SA не будет установлена. Если в локальной конфигурации явно прописано использование group2, эту же группу должен принять партнер в процессе согласования параметров, иначе SA не будет установлена.

Использование PFS усиливает уровень защиты потому, что даже если один из сессионных ключей будет взломан атакующей стороной, то только та часть данных, которая была зашифрована на этом ключе, может быть скомпрометирована. Без использования PFS скомпрометированными могут оказаться все данные, передаваемые в рамках созданной SA.

При использовании PFS при каждом создании новой SA будет производиться новый обмен ключами. Подобный обмен потребует дополнительных ресурсов процессора.

 

Используемые алгоритмы генерации ключей указываются в файле cs_conv.ini.

 

Пример

Ниже приведен пример требования на использования PFS с группой group2 для записи номер 10 криптографической карты "mymap":

Router(config)#crypto map mymap 10 ipsec-isakmp

 Router(config-crypto-map)#set pfs group2