NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Алгоритм Диффи-Хеллман используется для назначения общих секретных ключей для IKE, IPsec и<br />
PFS.<br />
Группа Diffie-Hellman указывает на степень безопасности, используемую для обмена DH. Чем больше<br />
количество групп, тем выше безопасность, а также расходы, связанные с обработкой. Система<br />
NetDefendOS поддерживает следующие группы DH:<br />
• DH группа 1 (768-бит)<br />
• DH группа 2 (1024-бит)<br />
• DH группа 5 (1536-бит)<br />
Все эти группы HA доступны для использования с IKE, IPsec и PFS.<br />
9.3.3. Аутентификация IKE<br />
Обмен ключами вручную<br />
Наиболее простым способом настройки VPN является метод manual keying (обмен ключами<br />
вручную). В данном методе IKE не используется; настройка ключей для аутентификации и<br />
шифрования, а также некоторых других параметров выполняется непосредственно на<br />
противоположных узлах VPN-туннеля.<br />
Примечание<br />
NetDefendOS не поддерживает функцию обмена ключами вручную.<br />
Преимущества функции обмена ключами вручную<br />
Обмен ключами вручную является довольно простым и, соответственно, функционально<br />
совместимым процессом. В настоящее время в IKE существует множество проблем совместимости.<br />
Обмен ключами вручную «обходит» IKE и устанавливает собственные IPsec SA.<br />
Недостатки функции обмена ключами вручную<br />
Обмен ключами вручную является методом, который применялся до введения в использование<br />
протокола IKE и поэтому не содержащит некоторые функции IKE. Следовательно, этот метод имеет<br />
ряд ограничений, таких, как необходимость всегда использовать один и тот же ключ для<br />
аутентификации/шифрования и отсутствие служб анти-повтора (anti-replay services). Также нет<br />
способа проверки подлинности удаленного узла / межсетевого экрана.<br />
Данный тип соединения также уязвим для так называемых «атак повтора» (replay attacks), другими<br />
словами, злоумышленники, у которых есть доступ к зашифрованному трафику, могут записывать<br />
некоторые пакеты, хранить их и отправлять по месту назначения позже. У конечной точки<br />
назначения VPN не будет никакой возможности сообщить, была ли выполнена повторная передача<br />
пакета или нет. Использование IKE устраняет эту уязвимость.<br />
PSK<br />
При применении PSK (Pre-shared Key) конечные точки VPN совместно используют секретный ключ.<br />
Эта услуга, предоставляемая IKE, и, следовательно, содержащая все преимущества IKE, что<br />
обеспечивает больше возможностей, чем обмен ключами вручную.<br />
Преимущества PSK<br />
Использование общего ключа имеет ряд преимуществ по сравнению с функцией обмена ключами<br />
вручную. Например, аутентификация пользователя, для которой используются общие ключи.<br />
Функция также включает в себя все преимущества использования IKE. Вместо использования<br />
фиксированного набора ключей шифрования, сеансовые ключи используются в течение<br />
ограниченного периода времени, после которого применяется новый набор сеансовых ключей.<br />
Недостатки PSK<br />
385