NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Оба соединения IKE и IPsec имеют ограниченный срок действия, измеряемый в единицах времени<br />
(секунды) и объема данных (килобайты). Данный срок действия предотвращает длительное<br />
использование соединения, что является выгодным с точки зрения криптоанализа.<br />
Срок действия IPsec должен быть короче, чем срок действия IKE. Разница во времени между двумя<br />
сроками действия должна быть, как минимум, 5 минут. Это позволяет IPsec-соединению повторно<br />
получить ключ, благодаря выполнению другой фазы согласования – фазы-2. Нет необходимости<br />
выполнять согласование другой фазы-1 пока не истечет срок действия IKE.<br />
IKE Algorithm Proposals<br />
Список предложенных IKE алгоритмов предоставляет различные способы защиты потока данных с<br />
помощью IPsec. VPN-устройство, инициирующее IPsec-соединение, отправляет список<br />
поддерживаемых комбинаций алгоритмов, обеспечивающих защиту соединения, устройству в<br />
противоположной точке соединения, чтобы выяснить, какой из алгоритмов является подходящим.<br />
Отвечающее VPN-устройство, получившее список поддерживаемых алгоритмов, выбирает<br />
комбинацию алгоритмов, наиболее подходящую политикам безопасности, и отправляет ответ с<br />
указанием выбранного алгоритма. Если подходящий алгоритм не найден, устройство отправляет<br />
ответ, сообщая, что в списке нет подходящего алгоритма, и, возможно, также предоставляет<br />
текстовое объяснение в целях диагностики.<br />
Это согласование, осуществляемое при поиске взаимовыгодного алгоритма, выполняется не только<br />
для обнаружения наилучшего способа защиты IPsec-соединения, но также в целях обеспечения<br />
безопасности самого согласования IKE.<br />
Список предлагаемых алгоритмов содержит не только подходящие комбинации алгоритмов для<br />
шифрования и аутентификации данных, но также другие параметры, связанные с IKE. Подробная<br />
информация о согласовании IKE и других параметрах IKE представлена далее.<br />
IKE Phase-1 - IKE Security Negotiation<br />
Согласование IKE состоит из двух фаз. Фаза 1 используется для взаимной аутентификации двух<br />
межсетевых экранов VPN или VPN-клиентов, подтверждая, что у удаленного устройства<br />
соответствующий общий ключ.<br />
Защита согласования IKE выполняется, как описывается в предыдущем разделе, когда инициатор<br />
отправляет список предложений отвечающему устройству. После отправки и получения списка,<br />
попытаемся аутентифицировать противоположную точку VPN-соединения. Техника, известная как<br />
Алгоритм обмена ключами Диффи-Хеллмана позволяет двум узлам получить совместно<br />
используемый ключ и ключи для шифрования.<br />
Аутентификация выполняется с помощью общих ключей, сертификатов или публичных ключей,<br />
используемых для шифрования. На данный момент применение общих ключей – это наиболее<br />
широко используемый метод аутентификации. NetDefendOS VPN-модуль поддерживает PSK и<br />
сертификаты.<br />
IKE Phase-2 - IPsec Security Negotiation<br />
В фазе 2 выполняется другое согласование с детализацией параметров для IPsec-соединения.<br />
Во время фазы 2 также будут получены новые ключи в результате обмена Диффи-Хеллмана,<br />
используемые для защиты потока данных VPN.<br />
Если используется PFS (Perfect Forwarding Secrecy), для каждого согласования фазы 2 выполняется<br />
новый обмен Диффи-Хеллмана. Поскольку это согласование требует больше времени, оно<br />
гарантирует, что никакие ключи не будут зависеть от любых ранее использованных ключей; никакие<br />
ключи не будут извлекаться из начального ключа. Это сделано для того, чтобы в случае<br />
рассекречивания некоторых ключей, не создавались зависимые ключи.<br />
После завершения фазы 2 VPN-соединение установлено и готово к работе.<br />
Параметры IKE<br />
В процессе согласования используется ряд параметров.<br />
Ниже приведена краткая информация о параметрах, необходимых для настройки VPN-соединения.<br />
Рекомендуется изучить данную информацию перед настройкой конечных точек VPN, так как<br />
381