Создание IKE Policy

Нажатие кнопки Add в разделе IKE Policies открывает окно Add IKE Policy (Рисунок 80) для создания политики IKE. Окно состоит из следующих элементов:

·       Priority – приоритет создаваемой политики IKE. Допустимый диапазон значений от 1 до 10000.

·       Authentication method – метод аутентификации сторон. Возможные значения:

·       GOST R 34.10-2001 Signature – аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму ГОСТ Р 34.10-2001.

·       Pre-Shared  Key – аутентификация осуществляется с использованием предопределенных ключей.

·       RSA Signature – аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму RSA.

·       DSS Signature – аутентификация осуществляется с использованием цифровых сертификатов, созданных по алгоритму DSA.

·       Signature selected by CA type – выбор конкретного типа аутентификации (RSA, DSA или ГОСТ) осуществляется по типу CA-сертификата, лежащего в базе.

·       Encryption Algorithm – выпадающий список алгоритмов шифрования сообщений:

·       GOST 28147-89 – в качестве алгоритма шифрования используется алгоритм ГОСТ 28147-89.

·       DES – в качестве алгоритма шифрования используется алгоритм 56bit DES.

·       3DES – в качестве алгоритма шифрования используется 168-bit DES-CBC (3DES).

·       AES 128 – в качестве алгоритма шифрования используется 128-bit AES.

·       AES 192 – в качестве алгоритма шифрования используется 192-bit AES.

·       AES 256 – в качестве алгоритма шифрования используется 256-bit AES.

·       Hash Algorithm – выпадающий список алгоритмов хэширования сообщений:

·       GOST R 34.11-94 – указывает, что в качестве хэш-алгоритма должен использоваться алгоритм ГОСТ Р 34.11-94 HMAC.

·       GOST R 34.11-12 TC26 (256 bit keys) – указывает, что в качестве хэш-алгоритма должен использоваться алгоритм ГОСТ Р 34.11-12 с длиной ключа 256 (применяется только при использовании криптобиблиотеки компании «С-Терра СиЭсПи»).

·       GOST R 34.11-12 TC26 (512 bit keys) – указывает, что в качестве хэш-алгоритма должен использоваться алгоритм ГОСТ Р 34.11-12 с длиной ключа 512 (применяется только при использовании криптобиблиотеки компании «С-Терра СиЭсПи»).

·       SHA1 – указывает, что в качестве хэш-алгоритма дожен использоваться алгоритм SHA (HMAC вариант).

·       MD5 – указывает, что в качестве хэш-алгоритма должен использоваться алгоритм MD5 (HMAC вариант).

Примечание: если предполагается строить соединение с аутентификацией на ГОСТ-сертификатах, то необходимо использовать ГОСТовый алгоритм хэширования.

·       Oakley Group – выбирается Oakley группа, с помощью которой вырабатываются сеансовые ключи. Значение по умолчанию – VKO GOST R 34.10-2001 [RFC4357]:

·       VKO GOST R 34.10-2001 – используется алгоритм VKO GOST R 34.10-2001.

·       VKO GOST R 34.10-2012 – используется алгоритм VKO GOST R 34.10-2012 (256 бит). Алгоритм VKO GOST R 34.10-2012 может применяться, только если используется криптобиблиотека, разработанная компанией «С-Терра СиЭсПи».

·       D-H Group 1 (768-bit modp) – используется алгоритм Диффи-Хеллмана, длина ключа 768 бит.

·       D-H Group 2 (1024-bit modp) – используется алгоритм Диффи-Хеллмана, длина ключа 1024 бит.

·       D-H Group 5 (1536-bit modp) – используется алгоритм Диффи-Хеллмана, длина ключа 1536 бит.

·       SA Lifetime (Sec) – время жизни SA, установленное с помощью IKE. Значение по умолчанию – 86400 (24 часа). Диапазон допустимых значений от 1 до 4294967295. В поле можно ввести не более 10 знаков. Разрешается ввод только цифр.

 

Рисунок 80