NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Проверка IP-адреса Система NetDefendOS всегда проверяет, совпадает ли IP-адрес источника каждого пакета внутри IPsec-туннеля с IP-адресом, назначенным IPsec-клиенту с IKE Config Mode. Если обнаружено несоответствие, пакет отбрасывается, и генерируется сообщение с уровнем важности Предупреждение (Warning). Это сообщение содержит два IP-адреса, а также идентификатор клиента. Помимо этого, если не удалось выполнить проверку, несоответствующие SA могут быть автоматически удалены. Это выполняется с помощью включения расширенной настройки IPsecDeleteSAOnIPValidationFailure. По умолчанию для данной настройки установлено значение Выключено. 9.4.4. СRL, полученные от альтернативного LDAPсервера Как правило, корневой сертификат включает IP-адрес или имя узла Центра сертификации для взаимодействия, если необходимо загрузить сертификаты или CRL на межсетевой экран NetDefend. Для этих загрузок используется протокол LDAP (Lightweight Directory Access Protocol). Тем не менее, в некоторых случаях эта информация отсутствует или администратор использует другой LDAP-сервер. Для того чтобы вручную указать альтернативные LDAP-серверы используйте раздел с настройками LDAP. Пример 9.9. Настройка LDAP-сервера В данном примере рассматривается установка LDAP-сервера вручную. CLI gw-world:/> add LDAPServer Host=192.168.101.146 Username=myusername Password=mypassword Port=389 Web-интерфейс 1. Зайдите Objects > VPN Objects > LDAP > Add > LDAP Server 2. Далее введите: • IP Address: 192.168.101.146 • Username: myusername • Password: mypassword • Confirm Password: mypassword • Port: 389 3. Нажмите OK 9.4.5. Поиск и устранение неисправностей с помощью ikesnoop Согласование VPN-туннеля При настройке IPsec-туннелей могут возникнуть проблемы, например, не удается выполнить первоначальное согласование, так как устройства на противоположных сторонах VPN-туннеля не могут договориться о том, какие протоколы и методы шифрования использовать. Команда консоли ikesnoop с функцией verbose является инструментом, используемым для выявления причины проблемы, отображая детали согласования. Использование ikesnoop Команда ikesnoop вводится через консоль CLI или напрямую через консоль RS232. 400
Для запуска проверки используется следующая команда: моаЭто означает, что исходящий ikesnoop будет отправлен в консоль для каждого IKE-согласования VPN-туннеля. Исходящие данные можно ограничить до одного IP-адреса, например, IP-адрес -10.1.1.10, используется следующая команда: ралИспользуемый IP-адрес – это IP-адрес удаленной конечной точки VPN-туннеля (либо IP-адрес удаленной конечной точки, либо IP-клиента). Для выключения функции мониторинга используется следующая команда: ррр Исходящие данные опции verbose могут оказаться сложными для восприятия администратора, который видит их в первый раз. Ниже представлены некоторые типичные исходящие данные ikesnoop с объясняющей аннотацией. Согласование туннеля выполняется на основе общих ключей. В данном разделе не обсуждается согласование на основе сертификатов, но используются те же принципы, что и в согласовании туннелей на основе общих ключей. Подробная информация об опциях команды ikesnoop содержится в Руководстве по интерфейсу командной строки CLI. Клиент и сервер Две стороны, участвующие в процессе согласования туннеля, называются в данном разделе клиент и сервер. В данном контексте слово «клиент» обозначает устройство, которое является инициатором согласования, а сервер – это устройство, которое является ответчиком. Шаг 1. Клиент инициирует обмен, отправляя список поддерживаемых алгоритмов Исходящие данные функции verbose отображают список алгоритмов на выбор, которые клиент сначала отправляет на сервер. В списке отображаются поддерживаемые протоколы и методы шифрования. Основное назначение списка алгоритмов заключается в том, чтобы клиент обнаружил соответствующий набор протоколов/методов, поддерживаемых сервером. Сервер проверяет список и пытается найти комбинацию протоколов/методов, отправленных клиентом, который их поддерживает. Этот процесс является одним из основных в обмене IKE. IkeSnoop: Received IKE packet from 192.168.0.10:500 Exchange type : Identity Protection (main mode) ISAKMP Version : 1.0 Flags : Cookies : 0x6098238b67d97ea6 -> 0x00000000 Message ID : 0x00000000 Packet length : 324 bytes # payloads : 8 Payloads: SA (Security Association) Payload data length : 152 bytes DOI : 1 (IPsec DOI) Proposal 1/1 Protocol 1/1 Protocol ID : ISAKMP SPI Size : 0 Transform 1/4 Transform ID : IKE Encryption algorithm : DES-cbc Hash algorithm : MD5 Authentication method : Pre-Shared Key Group description : MODP 1024 Life type : Seconds Life duration : 43200 401
- Page 349 and 350: • Создать IP-правил
- Page 351 and 352: Система NetDefendOS може
- Page 353 and 354: значение SAMAccountName (в
- Page 355 and 356: Аутентификация LDAP-
- Page 357 and 358: (на большинстве LDAP-
- Page 359 and 360: • Terminator IP Терминир
- Page 361 and 362: # Действие Интерфей
- Page 363 and 364: 3. Нажмите OK 4. Повто
- Page 365 and 366: LoginSuccess, а затем - на
- Page 367 and 368: Глава 9. VPN В данной
- Page 369 and 370: клиенты и филиалы о
- Page 371 and 372: • Укажите IP-правил
- Page 373 and 374: 3. Создайте объект IP
- Page 375 and 376: • Нельзя предварит
- Page 377 and 378: 3. Укажите совместн
- Page 379 and 380: • ip_int - внутренний I
- Page 381 and 382: Оба соединения IKE и
- Page 383 and 384: настройки, такие ка
- Page 385 and 386: Алгоритм Диффи-Хел
- Page 387 and 388: пакете. Далее выпол
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397 and 398: 1. Зайдите Objects > VPN Obj
- Page 399: Режим настройки IKE C
- Page 403 and 404: Message ID : 0x00000000 Packet leng
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409 and 410: 10 секунд, а также не
- Page 411 and 412: 6. Нажмите OK Функция
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419 and 420: умолчанию с возмож
- Page 421 and 422: 9.7.3. Команды поиска
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
- Page 427 and 428: Глава 10. Управление
- Page 429 and 430: Интернет-услуг, в к
- Page 431 and 432: Рис. 10.2. Правила FwdFas
- Page 433 and 434: Web-интерфейс 1. Зайд
- Page 435 and 436: Значение приоритет
- Page 437 and 438: Приоритеты применя
- Page 439 and 440: • IP-адрес назначен
- Page 441 and 442: приоритета, и далее
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
- Page 449 and 450: 3.Далее устанавлива
Проверка IP-адреса<br />
Система NetDefendOS всегда проверяет, совпадает ли IP-адрес источника каждого пакета внутри<br />
IPsec-туннеля с IP-адресом, назначенным IPsec-клиенту с IKE Config Mode. Если обнаружено<br />
несоответствие, пакет отбрасывается, и генерируется сообщение с уровнем важности<br />
Предупреждение (Warning). Это сообщение содержит два IP-адреса, а также идентификатор<br />
клиента.<br />
Помимо этого, если не удалось выполнить проверку, несоответствующие SA могут быть<br />
автоматически удалены. Это выполняется с помощью включения расширенной настройки<br />
IPsecDeleteSAOnIPValidationFailure. По умолчанию для данной настройки установлено значение<br />
Выключено.<br />
9.4.4. СRL, полученные от альтернативного LDAPсервера<br />
Как правило, корневой сертификат включает IP-адрес или имя узла Центра сертификации для<br />
взаимодействия, если необходимо загрузить сертификаты или CRL на межсетевой экран NetDefend.<br />
Для этих загрузок используется протокол LDAP (Lightweight Directory Access Protocol).<br />
Тем не менее, в некоторых случаях эта информация отсутствует или администратор использует<br />
другой LDAP-сервер. Для того чтобы вручную указать альтернативные LDAP-серверы используйте<br />
раздел с настройками LDAP.<br />
Пример 9.9. Настройка LDAP-сервера<br />
В данном примере рассматривается установка LDAP-сервера вручную.<br />
CLI<br />
gw-world:/> add LDAPServer Host=192.168.101.146 <strong>User</strong>name=myusername<br />
Password=mypassword Port=389<br />
Web-интерфейс<br />
1. Зайдите Objects > VPN Objects > LDAP > Add > LDAP Server<br />
2. Далее введите:<br />
• IP Address: 192.168.101.146<br />
• <strong>User</strong>name: myusername<br />
• Password: mypassword<br />
• Confirm Password: mypassword<br />
• Port: 389<br />
3. Нажмите OK<br />
9.4.5. Поиск и устранение неисправностей с помощью<br />
ikesnoop<br />
Согласование VPN-туннеля<br />
При настройке IPsec-туннелей могут возникнуть проблемы, например, не удается выполнить<br />
первоначальное согласование, так как устройства на противоположных сторонах VPN-туннеля не<br />
могут договориться о том, какие протоколы и методы шифрования использовать. Команда консоли<br />
ikesnoop с функцией verbose является инструментом, используемым для выявления причины<br />
проблемы, отображая детали согласования.<br />
Использование ikesnoop<br />
Команда ikesnoop вводится через консоль CLI или напрямую через консоль RS232.<br />
400