При нажатии кнопки Run Wizard в окне VPN data maker появляется первое окно мастера для задания сертификатов и предопределенных ключей (Рисунок 326).
Рисунок 326
При добавлении локального сертификата появляется окно для задания имени контейнера с секретным ключом локального сертификата и пароля к нему (Рисунок 327). Если на управляемом устройстве есть запрос на сертификат и контейнер к нему, то достаточно указать в качестве контейнера и пароля «*», при применении обновления они будут сопоставлены с локальным сертификатом.
Рисунок 327
Во втором окне мастера задаются правила фильтрации и защиты трафика. Задание правил и ввода лицензионной информации были описаны в разделе «Настройка и управление центральным шлюзом» и «Настрока и управление устройством с CSP VPN Server/CSP VPN Client/S-Terra Client».
Рисунок 328
В окне задания правила в разделе Action кнопка Advanced settings предназначена для задания расширенных настроек правила (Рисунок 329).
Рисунок 329
В первой вкладке IKE settings расширенных настроек представлен упоряденный список алгоритмов, который предлагается партнеру для согласования, который может использоваться для защиты трафика при создании ISAKMP соединения (Рисунок 330).
IKE proposals – упорядоченный список IKE предложений по приоритету. В верхней строчке находится предложение с наивысшим приоритетом.
Encryption – предлагаемые алгоритмы шифрования пакетов. Предлагается только один российский криптографический алгоритм ГОСТ 28147-89
Integrity – предлагаемые алгоритмы проверки целостности пакетов. Предлагается только один российский криптографический алгоритм ГОСТ Р 34.11-94.
Group – параметры выработки общего сессионного ключа по алгоритму Диффи-Хеллмана или VKO:
VKO_1B – используется алгоритм VKO ГОСТ Р 34.10-2001 [RFC4357]
MODP_768 – группа 1 (768-битовый вариант алгоритма Диффи-Хеллмана)
MODP_1024 – группа 2 (1024-битовый вариант алгоритма Диффи-Хеллмана)
MODP_1536 – группа 5 (1536-битовый вариант алгоритма Диффи-Хеллмана).
Enable Aggresssive Mode – установка этого флажка позволяет использовать агрессивный режим обмена информацией о параметрах защиты и установления ISAKMP SA. В этом режиме партнеру высылается только первая IKE политика из списка, имеющая самый высокий приоритет. При выборе этого режима выдается об этом предупреждение. Если для аутентификации используется предопределенный ключ и выбран тип идентификатора KeyID, то должен использоваться только режим Aggressive. При отсутствии этого флажка используется основной режим - партнеру высылаются все IKE политики для выбора и согласования.
LifeTime (sec) – время в секундах, в течение которого ISAKMP SA будет существовать. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение – 28800, которое выставлено при открытии нового проекта. Значение 0 означает, что время действия SA не ограничено. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.
LifeTime (Kb) – указывает объем данных в килобайтах, который могут передать стороны во всех IPsec SA, созданных в рамках одного ISAKMP SA. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение– 0, которое выставлено при открытии нового проекта. Значение 0 означает, что объем данных в килобайтах не ограничен. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.
IPsec SA – количество IPsec SA, созданных в рамках одного ISAKMP SA. Значение 0 означает, что количество IPsec SA не ограничено.
Certificate (send) – задает логику отсылки локального сертификата на запрос партнера в процессе первой фазы IKE. В своем запросе партнер может указать какому СА сертификату он доверяет. Если такой сертификат не найден, то он не отсылается. Возможные значения:
AUTO – автоматически определяется, когда необходима отсылка локального сертификата партнеру (значение по умолчанию).
NEVER – сертификат не высылается.
ALWAYS – сертификат высылается всегда.
CHAIN – сертификат высылается всегда, причем в составе с цепочкой доверительных CA. Имеется ввиду цепочка сертификатов, построенная от локального сертификата до CA, который удовлетворяет описанию, присланному партнером в запросе. В общем случае это CA, удовлетворяющий запросу партнера, произвольное количество промежуточных CA и локальный сертификат.
Рисунок 330
Certificate (ask) – задает логику отсылки запроса на сертификат партнера. Возможные значения:
AUTO – запрос высылается, если возможный сертификат партнера отсутствует (значение по умолчанию).
NEVER – запрос не высылается.
ALWAYS – запрос высылается всегда.
Turn off rekeying – установка этого флажка приводит к тому, что заблаговременная смена ключевого материала (сессионного ключа) не проводится.
Turn off DPD – установка этого флажка отключает использование протокола DPD для проверки IKE соединения.
Во второй вкладке IKECFG settings (Рисунок 331) задаются данные для использования протокола IKECFG.
Рисунок 331
Ask IKECFG data from partner – при установке этого флажка у партнера будут запрашиваться данные по протоколу IKECFG – адрес из пула, адреса DNS серверов, DNS суффиксы (для продуктов CSP VPN Client, CSP VPN Server, S-Terra Client).
Send IKECFG data to partner – при установке этого флажка партнеру будут передаваться данные по протоколу IKECFG: адрес из пула, адреса DNS серверов, DNS суффиксы (для продуктов CSP VPN Gate/S-Terra Gate).
IKECFG pools – в этом поле следует задать адреса IKECFG пулов (для продуктов CSP VPN Gate/S-Terra Gate).
DNS servers – в этом поле следует задать адреса DNS серверов (для продуктов CSP VPN Gate/S-Terra Gate).
DNS suffix - – в этом поле следует задать DNS суффикс (для продуктов CSP VPN Gate/S-Terra Gate).
Turn off proxy arp –
при установке этого флажка - адреса не проксируются
при снятии флажка - при неустановленном флажке S-Terra Gate выступает в роли ProxyARP для указанного множества адресов пула. Если IP-адрес не попадает ни в одну из защищаемых локальных подсетей, proxy-arp запись не создается, и это не считается ошибкой
Turn on IKECFGBindToPeerAddress –
при установке этого флажка - IKECFG сервер будет идентифицировать клиентов по IP-адресу и порту партнера (видимые гейту, по которым построен ISAKMP SA)
при снятии флажка - идентификация клиентов осуществляется по ID первой фазы IKE).
Turn on XauthServerEnable –
при установке этого флажка - S-Terra Gate выступает в роли XAuth-сервера. Для данного IKE правила шлюз требует поддержку метода аутентификации с использованием XAuth. После успешного построения ISAKMP SA, S-Terra Gate инициирует XAuth-сессию.
при снятии флажка – S-Terra Gate работает в обычном режиме, XAuth-обмены не проводятся.
В третьей вкладке IPsec settings (Рисунок 332) задаются параметры, которые используются при защите трафика. Партнеру направляется список наборов преобразований, по протоколу IKE происходит согласование и выбор конкретного набора преобразований, который будет использоваться для защиты трафика одного SА.
Рисунок 332
IPsec Proposals – упорядоченный по приоритету список наборов преобразований, высылаемых партнеру для согласования. При помощи кнопок Up и Down выполняется упорядочивание списка по приоритету. В верхней строчке находится набор преобразований с наивысшим приоритетом.
AH Integrity – предлагаемые алгоритмы проверки целостности пакета по протоколу АН: Имеется три значения:
None – алгоритм проверки целостности не применяется.
ГОСТ Р 34.11-94 – российский криптографический алгоритм.
ГОСТ 28147-89 (в режиме выработки имитовставки) – российский криптографический алгоритм
ESP Integrity – предлагаемые алгоритмы проверки целостности пакета по протоколу ESP:
None – алгоритм проверки целостности не применяется
ГОСТ Р 34.11-94 – российский криптографический алгоритм.
ГОСТ 28147-89 (в режиме выработки имитовставки) – российский криптографический алгоритм.
ESP Encryption – предлагаемые алгоритмы шифрования пакетов по протоколу ESP:
None – алгоритм шифрования ESP не применяется.
Null – алгоритм применять, но не шифровать.
ГОСТ 28147-89 (в режиме простой замены с зацеплением) – российский криптографический алгоритм.
ESP_GOST-4M-IMIT – российский криптографический алгоритм, самостоятельно обеспечивает как защиту конфиденциальности (шифрование), так и контроль целостности данных (имитозащиту).
PFS– параметры выработки ключевого материала, высылаемые партнеру для согласования:
No PFS – опция PFS не включена и при согласовании новой SA новый обмен по алгоритму Диффи-Хеллмана или VKO для выработки общего сессионного ключа не выполняется. Ключевой материал заимствуется из первой фазы IKE.
Выбранный параметр означает, что при согласовании новой SA выполняется новый обмен ключами по алгоритму Диффи-Хеллмана или VKO_1B в рамках IPsec. Может использоваться один из параметров:
VKO_1B – используется алгоритм VKO ГОСТ Р 34.10-2001 [RFC4357].
MODP_768 – группа 1 (768-битовый вариант алгоритма Диффи-Хеллмана).
MODP_1024 – группа 2 (1024-битовый вариант алгоритма Диффи-Хеллмана).
MODP_1536 – группа 5 (1536-битовый вариант алгоритма Диффи-Хеллмана).
LifeTime (sec) – время в секундах, в течение которого IPsec SA будет существовать. Возможное значение – целое число из диапазона 1..2147483647. Рекомендуемое значение – 3600, которое выставлено при открытии нового проекта. Пустая строка и значение 0, которое означает неограниченное время жизни IPsec SA, – недопустимы, при создании инсталляционного файла будет выдано сообщение об ошибке.
LifeTime (Kb) – указывает объем данных в килобайтах, который могут передать стороны в рамках одной IPsec SA. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение – 4608000, которое выставлено при открытии вкладки. Значение 0 означает, что объем данных в килобайтах не ограничен. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.
Reroute packets – повторная маршрутизация пакета:
при установке этого флажка – исходящий пакет после цикла обработки не отправляется в драйвер сетевого интерфейса, а направляется для повторной маршрутизации. Такой пакет может попасть на повторную обработку IPsec драйвером, так что правила фильтрации должны учитывать и пропускать такие пакеты. Устанавливать данный флажок имеет смысл для SA, заменяющих адрес назначения. Если по ходу обработки пакета адрес назначения не изменился, флаг reroute packets игнорируется.
при снятии флажка – пакет не будет подвергаться повторной маршрутизации/
MTU – задает значение MTU для IPsec SA, создаваемых по данному правилу, значение MTU используется только для исходящих пакетов и для последнего SA, примененного к пакету (в случае вложенного IPsec значение MTU для внутреннего SA игнорируется). Значение - целое число из диапазона 1..65535, рекомендуется устанавливать значение MTU не менее 670 байт, значение 0 означает, что MTU определяется автоматически.
Turn off path MTU discovery
при установке этого флажка - отключается алгоритм "Path MTU Discovery" (выявление максимального размера пакета, проходящего на всем пути от отправителя к получателю без фрагментации) для IPsec SA, создаваемых по данному правилу. ICMP-сообщения не обрабатываются, значение MTU вычисляется только из локальной конфигурации. при снятии флажка - обрабатываются ICMP-сообщения типа destination unreachable/fragmentation needed, приходящих в ответ на IPsec-пакеты. На основе этих сообщений вычисляется эффективное значение MTU трассы.
DF handling – задает алгоритм формирования DF ( Don't Fragment) бита внешнего IP-заголовка для туннельного режима IPsec:
COPY – копировать DF бит из внутреннего заголовка во внешний заголовок
SET – всегда устанавливать DF бит внешнего заголовка в 1
CLEAR – всегда сбрасывать DF бит внешнего заголовка в 0.
Turn off packet assembly – сборка пакета из IP-фрагментов перед инкапсуляцией в IPsec:
при установке этого флажка – пакет не подвергается сборке
при снятии флажка – пакет будет собран из IP-фрагментов перед инкапсуляцией в IPsec. Рекомендуется устанавливать при работе по защищенному соединению с предыдущими версиями Шлюза безопасности. В транспортном режиме IPsec сборка пакетов перед инкапсуляцией производится всегда.
Turn off rekeying – задает режим "мягкой" смены ключевого материала:
при установке этого флажка – заблаговременная смена ключевого материала (rekeying) не проводится. При отсутствии подходящего IPsec соединения, новый IPsec SA создаётся только по запросу из ядра – при наличии исходящего IP-пакета, либо по инициативе партнера. В результате, во время создания нового IPsec SA IP-трафик приостанавливается, а при интенсивном трафике возможна потеря пакетов.
при снятии флажка – заблаговременно, незадолго до окончания действия IPsec соединения, на его основе (с теми же параметрами) проводится IKE-сессия (Quick Mode) по созданию нового IPsec SA – rekeying. Rekeying не проводится, если за время существования старого SA под его защитой не было никакого трафика.
Turn on reverse route injection – включение механизма RRI:
при установке этого флажка – после установления защищенного соединения с удаленным партнером, при включенном механизме RRI, в системную таблицу маршрутизации автоматически добавляется запись об обратном маршруте
при снятии флажка – механизм RRI выключен, при создании SA по этому IPsec правилу дополнительных действий не предпринимается.