В этой вкладке определены наборы политик для защиты соединений IKE, которые предлагаются партнеру для согласования при создании ISAKMP SA.
Рисунок 29
IKE proposals list – упорядоченный список IKE предложений по приоритету. В верхней строчке находится предложение с наивысшим приоритетом.
Encryption – предлагаемые алгоритмы шифрования пакетов. Предлагается только один российский криптографический алгоритм:
· ГОСТ 28147-89 – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как G2814789CPRO1-K256-CBC-65534.
Integrity – предлагаемые алгоритмы проверки целостности пакетов. Предлагается только один российский криптографический алгоритм:
· ГОСТ Р 34.11-94 – российский криптографический алгоритм, представленный в конфигурации (во вкладке LSP) как GR341194CPRO1-65534.
Имена алгоритмов шифрования пакетов и проверки целостности данных считываются из файла admintool.ini, размещенного в папке Продукта S-Terra Client AdminTool cp. Для изменения имен алгоритмов необходимо отредактировать этот файл, описанный в разделе «Формат задания имен алгоритмов в файле admintool.ini» , и перезапустить графический интерфейс.
Group – параметры выработки общего сессионного ключа:
· VKO_1B – используется алгоритм VKO ГОСТ Р 34.10-2001 [RFC4357], (длина ключа 256 бит).
· MODP_768 – группа 1 (768-битовый вариант алгоритма Диффи-Хеллмана).
· MODP_1024 – группа 2 (1024-битовый вариант алгоритма Диффи-Хеллмана).
· MODP_1536 – группа 5 (1536-битовый вариант алгоритма Диффи-Хеллмана).
Mode – режим обмена информацией о параметрах защиты и установления IKE SA. Имеет два значения:
· Main – в этом режиме партнеру высылаются все IKE политики для выбора и согласования.
· Aggresssive – в этом режиме партнеру высылается только первая IKE политика из списка, имеющая самый высокий приоритет. При выборе этого режима выдается об этом предупреждение. Если для аутентификации используется предопределенный ключ и выбран тип идентификатора KeyID, то должен использоваться только режим Aggressive.
LifeTime of IKE SA (sec) – время в секундах, в течение которого ISAKMP SA будет существовать. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение – 28800, которое выставлено при открытии нового проекта. Значение 0 означает, что время действия SA не ограничено. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.
LifeTime of IKE SA (Kb) – указывает объем данных в килобайтах, который могут передать стороны во всех IPsec SA, созданных в рамках одного ISAKMP SA. Возможное значение – целое число из диапазона 0..2147483647. Рекомендуемое значение – 0, которое выставлено при открытии нового проекта. Значение 0 означает, что объем данных в килобайтах не ограничен. Пустая строка – недопустима, при создании инсталляционного файла будет выдано сообщение об ошибке.
IPsec SA – количество IPsec SA, созданных в рамках одного ISAKMP SA. Значение 0 означает, что количество IPsec SA не ограничено.
Кнопки Up и Down предназначены для упорядочивания списка предложений по приоритету.