crypto ipsec transform-set

Команда crypto  ipsec  transform-set  используется для формирования набора преобразований – комбинации протоколов защиты и криптографических алгоритмов.

Для удаления набора преобразований используется та же команда с префиксом no.

 

Синтаксис                       crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

                    no crypto ipsec transform-set transform-set-name

transform-set-name  имя, присваиваемое набору преобразований.

transform1..3              наборы преобразований. Разрешено использовать до 3 наборов преобразований.

 

Режимы команды                               Global configuration. Выполнение этой команды осуществляет вход в режим crypto transform configuration.

 

Значение по умолчанию                    значение по умолчанию отсутствует.

 

Рекомендации по использованию 

Набор преобразований – это приемлемая комбинация протоколов защиты, криптографических алгоритмов и других параметров, применяемых в защищаемом IPsec трафике. В процессе согласования параметров IPsec SA партнеры соглашаются на использование конкретного набора преобразований для защиты конкретного потока данных.

Повторный ввод команды с уже заданным именем transform-set-name заменяет набор преобразований.

Вы можете создать несколько наборов преобразований и затем назначить один или более из них каждой конкретной записи криптографической карты. Набор преобразований, указанный в записи криптографической карты, используется при согласовании параметров IPsec SA для защиты потока данных, разрешенного в списке доступа только для этой записи криптографической карты.

 

Перед тем как назначить набор преобразований трафика для записи криптографической карты, набор преобразований должен быть задан с помощью этой команды.

Набор преобразований задает использование протоколов IPsec: Encapsulation Security Protocol (ESP) и Authentication Header (AH) и указывает какие криптографические алгоритмы следует использовать с этими протоколами. Данные протоколы могут использоваться как по отдельности, так и оба одновременно.

Для создания набора преобразований следует описать от одного до трех преобразований. Каждое из преобразований должно содержать описание используемых протоколов (AH, ESP) и криптографических алгоритмов.  

Примечание: если при создании IKE политики использовались алгоритмы, определенные в документах  «Техническая спецификация по использованию ГОСТ 28147-89, ГОСТ Р 34.11-94 И ГОСТ Р 34.10-2001 при согласовании ключей в протоколах IKE И ISAKMP» и «Техническая спецификация по использованию ГОСТ 28147-89, ГОСТ Р 34.11-2012 И ГОСТ Р 34.10-2012 в протоколах обмена ключами IKE И ISAKMP» (такие алгоритмы начинаются с префикса tc26), то при формировании набора преобразований должны использоваться подобные алгоритмы.

 

Для установления режима, используемого набором преобразований, предназначена команда mode.

Допустимые комбинации преобразований 

Таблица 17

Тип преобразования

Имя

Описание

AH Transform

(один из списка)

ah-md5-hmac

Протокол АН c алгоритмом аутентификации MD5 (в режиме HMAC-96)

ah-sha-hmac

Протокол АН с алгоритмом аутентификации SHA-1 (в режиме HMAC-96)

ah-gost28147-mac

Протокол АН с алгоритмом ГОСТ 28147-89 (в режиме выработки имитовставки)

ah-gost3411-hmac

Протокол АН с алгоритмом ГОСТ Р 34.11-94

ESP Encryption Transform

(один из списка)

esp-null

Протокол ESP с алгоритмом Null

esp-des

Протокол ESP с 56-битным алгоритмом DES

esp-3des

Протокол ESP с 168-битным алгоритмом 3DES

esp-aes или esp-aes 128

Протокол ESP с 128-битным алгоритмом AES

esp-aes 192

Протокол ESP c 192-битным алгоритмом AES

esp-aes 256

Протокол ESP c 256-битным алгоритмом AES

esp-gost28147

Протокол ESP с алгоритмом ГОСТ 28147-89 (в режиме простой замены с зацеплением)

esp-gost28147-4m-imit

Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки на таблице замен CryptoPro-B, в соответствии со спецификацией ESP_GOST-4M-IMIT)

esp-gost28147-4m-imit-z

Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки на таблице замен ТК26-Z в соответствии со спецификацией ESP_GOST-4M-IMIT)

esp-gost341215k

Протокол ESP с алгоритмом ГОСТ Р 34.12-2015 “Кузнечик” (в режиме гаммирования с обратной связью). (Применяется только при использовании криптобиблиотеки компании «С-Терра СиЭсПи»)

tc26-esp-gost-b-4m-imit

Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки на таблице замен CryptoPro-B). Совместим с КриптоПро IPsec

tc26-esp-gost-z-4m-imit

Протокол ESP с алгоритмом ГОСТ 28147-89 (в комбинированном режиме: гаммирование и вычисление имитовставки на таблице замен ТК26-Z в соответствии со спецификацией ESP_GOST-4M-IMIT, Совместим с КриптоПро IPsec).

ESP Authentication Transform

(один из списка) 

esp-md5-hmac

Протокол ESP с алгоритмом аутентификации MD5

esp-sha-hmac

Протокол ESP с алгоритмом аутентификации SHA

esp-gost28147-mac

Протокол ESP с алгоритмом ГОСТ 28147-89 (в режиме выработки имитовставки)

esp-gost341215k-mac

Протокол ESP с алгоритмом ГОСТ Р 34.12-2015 “Кузнечик (в режиме выработки имитовставки). (Применяется только при использовании криптобиблиотеки компании «С-Терра СиЭсПи»)

esp-gost3411-hmac

Протокол ESP с алгоритмом ГОСТ Р 34.11-94 (в режиме HMAC-96)

 

Не допускается, чтобы был единственный ESP transform esp-null (без ESP authenticator). В этом случае выдается сообщение об ошибке:

ESP: NULL  cipher  requires  ESP  authenticator 

 

Удаление 

Если при удалении ввести имя несуществующего набора преобразований, будет выдано сообщение об ошибке:

Could not find crypto transform set <transform-set-name> 

Не допускается удаление набора преобразований, на который присутствуют ссылки в статической и/или динамической криптокартах. В подобной ситуации выдается сообщение вида:

Transform-set <transform-set-name> is in use by the crypto-map(s):  <crypto-map-name1> <crypto-map-seq-num1>[, <crypto-map-name2> <crypto-map-seq-num2>...]

Transform-set <transform-set-name> is in use by the dynamic crypto-map template(s):  <crypto-dynamic-map-name1> <crypto-dynamic-map-seq-num1>[, <crypto-dynamic-map-name2> <crypto-dynamic-map-seq-num2>...]

First remove the transform-set from the above crypto map(s)/dynamic crypto map template(s).

 

Отличие данной команды от подобной команды Cisco  IOS 

В Продукте S-Terra Gate отсутствует поддержка преобразования IP Compression Transform.

 

Пример 

В приведенном ниже примере заданы два набора преобразований, использующие криптографические алгоритмы различной сложности:

Router(config)#crypto ipsec transform-set ts esp-3des esp-sha-hmac

Router(config)#crypto ipsec transform-set gost ah-md5-hmac esp-des