Windows ipsec aes 256 включить

Обновлено: 01.07.2024

Операционная система pfSense позволяет нам настраивать различные типы VPN, одним из самых безопасных является IPsec IKEv2, довольно новый протокол, который по умолчанию включен в Windows операционные системы, а также в некоторых мобильных брендах, таких как Samsung. К сожалению, этот протокол несовместим со многими VPN-клиентами, которые мы можем найти на других мобильных устройствах, таких как Huawei. Сегодня в этой статье мы научим вас, как настроить сервер IPsec IKEv2 VPN, чтобы вы могли безопасно удаленно подключаться к локальной сети.

Для чего нужен VPN-сервер IPsec IKEv2?

Протокол IPsec - один из наиболее часто используемых и известных протоколов VPN, он используется как на домашнем, так и на бизнес-уровне. Обычно протокол IPsec IKEv2 используется для подключения различных сайтов, настройки Site-to-Site VPN, которая позволит нам безопасно соединять разные сайты через Интернет, поскольку весь трафик будет зашифрован, аутентифицирован и сохранится целостность данных. быть проверенным. .

Настройте IKEv2 IPsec VPN-сервер с PSK или RSA в pfSense

  • Взаимный PSK: устанавливается общий ключ, связанный с идентификатором, по одному для каждого VPN-клиента, который хочет подключиться. Этот ключ будет как на сервере, так и на всех VPN-клиентах.
  • Взаимный RSA: должен быть создан ЦС с сертификатами сервера, а также с сертификатами для клиентов VPN, после того, как аутентификация с этими сертификатами будет установлена, мы получим доступ к VPN без необходимости вводить какой-либо пароль.

В этом руководстве мы увидим, как настроить протокол IPsec IKEv2 в операционной системе pfSense, чтобы клиенты VPN могли подключаться к корпоративной сети и обмениваться данными.

Конфигурация протокола IPsec IKEv2

Этот протокол IKEv2 IPsec ориентирован на среды, в которых мы можем создавать VPN типа «сеть-сеть» и соединять места, однако он также подходит для настройки виртуальных частных сетей удаленного доступа, если клиенты совместимы с этим типом VPN. Например, любой Linux совместима с операционной системой, но также с последней версией Windows 10 и смартфонами Samsung, поскольку они включают клиент IPsec IKEv2.

Настроить «Мобильные клиенты»

  • Включить поддержку мобильного клиента IPsec
  • Пул виртуальных адресов: предоставьте клиентам виртуальный IP-адрес, и мы поместим подсеть, которая не используется, например 192.168.100.0/24.
  • DNS-сервер: предоставьте DNS-сервер клиентам: здесь мы можем разместить локальный DNS или общедоступный DNS, такой как Google или Cloudflare.


Окончательная конфигурация будет следующей:


После того, как мы сохранили его, мы нажимаем «Сохранить», а над ним помещаем зеленую кнопку для применения изменений, мы нажимаем «Применить изменения», и когда он снова загружается, мы должны нажать зеленую кнопку «Create Phase 1».

В протоколе IPsec IKEv2 установление соединения также делится на два этапа: на этапе 1 выполняется аутентификация, а на этапе 2 согласовывается шифрование туннеля с симметричной криптографией для обмена информацией.

Сначала мы должны настроить фазу 1 с набором шифров, совместимым с большинством клиентов, в принципе, IKEv2 дает меньше проблем при выборе более надежных шифров, потому что это более новый протокол, и у нас не будет проблем с выбором более безопасных шифров.

Настроить IPsec Phase 1

В этом меню нам нужно будет настроить протокол IPsec, чтобы использовать его с IKEv2. Возможно, что конфигурация безопасности изменится, если вы используете VPN-клиентов для Android, Ios, внешние программы для Windows и т. д., поскольку в зависимости от программного обеспечения, встроенного в сами устройства, они будут поддерживать более высокий или более низкий уровень безопасности. Мы будем использовать консервативную конфигурацию, но достаточно безопасную и совместимую с большинством VPN-клиентов, но вы должны принять это во внимание, потому что вам, возможно, придется изменить некоторые параметры, чтобы снизить или повысить безопасность.


pfSense поддерживает гораздо более высокий уровень безопасности и даже позволяет активировать PFS (Perfect Forward Secrecy), проблема в том, что клиенты VPN могут не поддерживать его. По этой причине мы не использовали более надежные алгоритмы, такие как SHA-512 или более высокую группу DH из 4096 бит, и даже использовали EC. Чтобы настроить его с максимальной безопасностью, необходимо просмотреть журналы подключений, где мы увидим различные наборы шифрования, которые различные клиенты IPsec, которые собираются подключиться, для поддержки. Таким образом, зная, какие модели устройств и операционная система будут подключены, мы можем выбрать наиболее безопасную конфигурацию, совместимую со всеми из них.

Остальные параметры конфигурации можно оставить без изменений.


После того, как мы настроили фазу 1 IPsec IKEv2, мы собираемся настроить фазу 2.

Настроить IPsec Phase 2

В этом меню первое, что нам нужно будет выбрать, это режим работы, мы выбрали «Tunnel IPv4». Кроме того, нам также придется поставить «Местный Cеть», К которому мы хотим, чтобы клиенты VPN имели доступ, у нас есть несколько вариантов, наиболее распространенным из которых является выбор подсети LAN или определенной подсети, которую мы определяем. В опции «NAT» оставим «none».

  • Предложение этапа 2 (SA / Обмен ключами)
    • Алгоритмы хеширования: выбираем SHA-1 и SHA-256
    • Группа ключей PFS: выключена, не поддерживается клиентами.

    Остальные параметры мы можем поставить по умолчанию и нажать «Сохранить», чтобы сохранить все изменения.


    После завершения мы сможем увидеть сводку выполненной конфигурации в разделе «IPsec / Tunnels».



    Теперь, когда мы настроили VPN-сервер IKEv2 IPsec, нам нужно открыть порты в WAN. брандмауэр.

    Откройте порты в брандмауэре pfSense

    В этом VPN также необходимо открывать порты в Интернете WAN, нам нужно будет открыть порт 500 UDP и порт 4500 UDP. Затем у вас есть все подробности, чтобы открыть оба порта.

    • Действие: пройти
    • Интерфейс: WAN
    • Семейство адресов: IPv4
    • Протокол: UDP
    • Источник: любой
    • Назначение: WAN-адрес на порту 500
    • Действие: пройти
    • Интерфейс: WAN
    • Семейство адресов: IPv4
    • Протокол: UDP
    • Источник: любой
    • Назначение: WAN-адрес на порту 4500


    Как видите, у нас есть два правила, которые нужно принять, чтобы разрешить трафик.


    • Действие: пройти
    • Интерфейс: IPsec
    • Семейство адресов: IPv4
    • Протокол: любой
    • Источник: любой
    • Назначение: любое


    Теперь, когда у нас настроен VPN-сервер IKEv2 IPsec и он открыт в брандмауэре, мы собираемся выполнить тест соединения с Android.

    Тест подключения

    Нажимаем на сохранить, и подключаемся. После этого он без проблем подключит нас к VPN-серверу, и мы получим доступ к администрированию pfSense и любой сети.

    Рекомендации и советы

    Хотя IPsec IKEv2 работает лучше, чем другие типы VPN на основе IPsec с точки зрения совместимости, мы должны уделять особое внимание алгоритмам шифрования, которые мы устанавливаем на VPN-сервере, поскольку это может привести к невозможности подключения некоторых клиентов IPsec. Это довольно часто встречается с протоколом IPsec, потому что мы зависим от того, какое клиентское программное обеспечение IPsec используется на устройствах и какие алгоритмы поддерживаются. Логично, что из соображений безопасности всегда рекомендуется выбирать самые безопасные, но это может помешать нам подключать VPN-клиентов.

    Желательно просмотреть журналы различных подключений IPsec и проверить, какое «предложение» клиенты IPsec отправляют на сервер для согласования IKE, таким образом мы можем заставить сервер иметь доступ только к лучшим криптографическим алгоритмам, и разрешить использовать небезопасные.

    С помощью этого же руководства вы сможете настроить IPsec IKEv2 RSA, изменив «Mutual PSK» на «Mutual RSA» и настроив соответствующие сертификаты сервера и клиента. Мы скоро покажем вам, как это сделать. Это также создает дополнительные сложности, поскольку VPN-клиент может быть не в состоянии прочитать настроенный сертификат RSA или ECDSA из-за использования слишком безопасных алгоритмов.


    Существует множество приложений, которые будут реализовывать аутентификацию и шифрование сетевого трафика через отдельную стороннюю программу.

    Тем не менее, операционная система Microsoft может также реализовать это через конфигурацию IPSEC. В этой статье мы рассмотрим, что такое IPSEC, и простой пример реализации.

    Что такое IPSEC?

    IPSEC также позволит добавлять ограничения IP и шифрование на уровне TCP / UDP к приложениям, которые иначе не могут его поддерживать. IPSEC использует IP-протокол 50 (ESP), IP-протокол 51 (AH) и UDP-порт 500.

    Внедрение IPSEC

    В этом примере мы настроим IPSEC для шифрования связи между двумя компьютерами Windows. Первый компьютер, сервер Windows 2012 будет выступать в качестве сервера VPN.

    Второй компьютер, клиент Windows 10, будет действовать как клиент VPN. LT2P IPSEC VPN может обмениваться либо предварительным общим ключом, либо сертификатом. В этом примере мы будем обмениваться предварительным общим ключом.

    Настройка VPN-сервера

    На компьютере с Windows 2012 нам потребуется установить функции маршрутизации и удаленного доступа. Для этого перейдите в диспетчер серверов и добавьте роли и компоненты . Выберите установку на основе ролей или функций . Выберите локальный сервер. Выберите для установки следующие роли сервера.

    Сетевая политика и службы доступа

    Сервер сетевой политики

    Удаленный доступ

    Прямой доступ и VPN (RAS)


    После установки этих новых функций вам потребуется оснастка для управления ими. Откройте mmc.exe с правами администратора. Перейти к файлу | Добавить / удалить оснастку. Добавьте оснастку маршрутизации и удаленного доступа .

    Эта оснастка позволяет настраивать многопротокольные службы маршрутизации LAN-to-LAN, LAN-to-WAN, виртуальная частная сеть (VPN) и трансляция сетевых адресов (NAT).

    В консоли MMC щелкните правой кнопкой мыши на маршрутизации и удаленного доступа и выберите, чтобы добавить сервер. Выберите локальную машину. Затем щелкните правой кнопкой мыши на только что созданном компьютере и выберите «Настроить и включить маршрутизацию и удаленный доступ» . Выберите Удаленный доступ (Dial Up или VPN).

    Затем проверьте параметр VPN . У вас должно быть как минимум две сетевые карты, чтобы это работало. Одним из них может быть петля. Укажите диапазон адресов, которые будут предоставлены для входящего соединения. Убедитесь, что они не конфликтуют с другими адресами, выделенными в вашей существующей сети. В этом примере мы не будем использовать радиус-сервер.


    Далее попытайтесь запустить службу маршрутизации и удаленного доступа. Следующий ключ реестра может потребоваться удалить, чтобы запустить службу.

    В консоли mmc.exe щелкните правой кнопкой мыши на имени компьютера и перейдите в Свойства. Измените эти свойства на вкладке безопасности.


    Выберите методы аутентификации, как показано ниже.


    Установите флажок, чтобы разрешить настраиваемую политику IPSEC для соединения L2TP / IKEv2. Добавьте предварительный общий ключ.

    Наконец, вам нужно будет изменить пользователя, чтобы получить доступ к VPN. Откройте compmgmt.msc, перейдите в раздел «Локальные пользователи и группы» и выберите свойства пользователя, которого вы хотите использовать для VPN.

    Перейдите на вкладку Dial Up. Выберите Разрешить доступ и нажмите Применить . На вашем компьютере потребуется перезагрузка. После перезагрузки вы будете готовы протестировать свой первый клиент.

    Настройка машины с Windows 10

    На компьютере с Windows 10 откройте «Настройки сети и Интернета». Выберите VPN на левой панели и добавьте VPN-соединение. Отредактируйте дополнительные параметры.

    Разместите IP-адрес вашего VPN-сервера под именем или адресом сервера. Выберите L2TP/IPSEC с параметром предварительного общего ключа в разделе Тип VPN. Добавьте предварительно общий ключ и имя пользователя и пароль.

    Свойства безопасности для VPN должны быть изменены под сетевым адаптером. На адаптере VPN выберите «Свойства» и перейдите на вкладку «Безопасность». Установите переключатель EAP и выберите Microsoft: защищенный пароль (EAP-MSCHAPv2) (шифрование включено).


    Наконец, снова щелкните правой кнопкой на адаптере для подключения. Поздравляем! Вы создали VPN-туннель IPSEC.

    В этой статье описывается поддержка криптографических алгоритмов Suite B, добавленных в IPsec.

    Применяется к: Windows Server 2012 R2, Windows 7 Пакет обновления 1
    Исходный номер КБ: 949856

    Поддержка Windows Vista Пакет обновления 1 (SP1) заканчивается 12 июля 2011 г. Чтобы продолжить получать обновления безопасности для Windows, убедитесь, что вы Windows Vista с Пакет обновления 2 (SP2). Дополнительные сведения см. на этой веб-странице Microsoft: поддержка заканчивается для некоторых версий Windows.

    Введение

    В этой статье описывается поддержка криптографических алгоритмов Suite B, добавленных в Windows Vista Пакет обновления 1 (SP1) и в Windows Server 2008. Suite B — это группа криптографических алгоритмов, утвержденных Агентством национальной безопасности США (NSA).

    Suite B используется в качестве интероперабельной криптографической базы для защиты конфиденциальных данных. Поддержка была распространена на алгоритмы Suite B для следующих областей:

    • Основной режим
    • Быстрый режим
    • Параметры проверки подлинности

    В этой статье также описывается синтаксис конфигурации политики безопасности протокола Интернета (IPsec), использующий алгоритмы Suite B.

    Этот контент передает часть контента, опубликованного на архивных алгоритмах и методах IPsec,поддерживаемых Windows .

    Дополнительная информация

    Ограничения поддержки

    Ограничения поддержки для Suite B включают следующие:

    • Создание и применение политики IPsec с помощью алгоритмов Suite B поддерживается только в Windows Vista Пакет обновления 1 (SP1), в Windows Server 2008 или в более поздних версиях Windows.
    • Авторство политик, содержащих алгоритмы Suite B, поддерживается с помощью оснастки "брандмауэра Windows с расширенными системами безопасности" Консоли управления Майкрософт (MMC) для Windows 7 и для более поздних версий Windows.
    • Команда справки Netsh advfirewall не отображает параметры конфигурации для алгоритмов Suite B. Это применимо только к Windows Vista SP1.

    Определения

    Suite B — это набор стандартов, заданный Агентством национальной безопасности (NSA). Suite B предоставляет отрасли общий набор криптографических алгоритмов, которые можно использовать для создания продуктов, которые отвечают наиболее широкому диапазону государственных потребностей США. Пакет B включает спецификацию следующих типов алгоритмов:

    • Целостность
    • Шифрование
    • Обмен ключами
    • Цифровая подпись
    • Федеральные стандарты обработки информации (FIPS)

    FIPS — это набор руководящих принципов и стандартов, которые регулируют федеральные вычислительные ресурсы. Все алгоритмы Suite B утверждены FIPS.

    Это аббревиатура Национального института стандартов и технологий.

    Алгоритмы целостности данных

    Алгоритмы шифрования данных

    Алгоритмы шифрования данных используются для сокрытия передаваемых сведений. Алгоритмы шифрования используются для преобразования обычного текста в секретный код.

    Например, алгоритмы шифрования могут преобразовать обычный текст в шифртекст. Затем шифртекст можно декодировать в исходный простой текст. Каждый алгоритм использует "ключ" для выполнения преобразования. Тип ключа и длина ключа зависят от используемого алгоритма.

    Это аббревиатура для термина "безопасность протокола Интернета".

    Алгоритм цифровой подписи эллиптической кривой (ECDSA)

    Эллиптическая кривая (EC) — это вариант алгоритма цифровой подписи, который работает в группах EC. Вариант EC предоставляет меньшие размеры ключей для того же уровня безопасности.

    Орган сертификации (CA)

    Сертификационный орган — это организация, которая выдает цифровые сертификаты. IPsec может использовать эти сертификаты в качестве метода проверки подлинности.

    Заглавная точка проверки подлинности (AH)

    Заглавная программа проверки подлинности — это протокол IPsec, который предоставляет функции проверки подлинности, целостности и антиповторизации для всего пакета. Это включает в себя заготвку IP и полезной нагрузки данных.

    Ah не обеспечивает конфиденциальность. Это означает, что ah не шифрует данные. Данные считываемые, но ненаписаемые.

    Инкапсулирование полезной нагрузки безопасности (ESP)

    ESP — это протокол IPsec, который предоставляет функции конфиденциальности, проверки подлинности, целостности и защиты от воспроизведения. ESP можно использовать в одиночку или использовать вместе с AH.

    Алгоритмы основного режима

    В Windows Vista SP1 и Windows Server 2008 в дополнение к алгоритмам, которые уже поддерживаются в версии выпуска Windows Vista, поддерживаются следующие алгоритмы целостности:

    Алгоритм обмена ключами и алгоритм шифрования не изменены.

    Алгоритмы быстрого режима

    В Windows Vista SP1 и Windows Server 2008 в дополнение к алгоритмам, которые уже поддерживаются в версии выпуска Windows Vista, поддерживаются следующие алгоритмы.

    Целостность (AH или ESP)

    • SHA-256
    • AES-GMAC-128
    • AES-GMAC-192
    • AES-GMAC-256

    Целостность и шифрование (только esp)

    • AES-GCM-128
    • AES-GCM-192
    • AES-GCM-256

    Дополнительные сведения о комбинациях AH и ESP, поддерживаемых и не поддерживаемых, см. в разделе "Комбинации криптографических алгоритмов быстрого режима, поддерживаемые и не поддерживаемые".

    Ограничения для быстрого режима

    • Один и тот же алгоритм целостности должен использоваться как для AH, так и для ESP.
    • Алгоритмы AES-GMAC доступны для алгоритма целостности, который имеет недействительное шифрование. Поэтому, если какой-либо из этих алгоритмов указан для целостности ESP, алгоритм шифрования не может быть указан.
    • Если вы используете алгоритм AES-GCM, этот же алгоритм должен быть указан как для целостности ESP, так и для шифрования.

    Проверка подлинности

    В Windows Vista SP1 и Windows Server 2008 в дополнение к методам проверки подлинности, которые уже поддерживаются в версии Windows Vista, поддерживаются следующие методы проверки подлинности.

    • Сертификат компьютера с подписанием ECDSA-P256
    • Сертификат компьютера с подписью ECDSA-P384>

    Метод проверки подлинности по умолчанию для Windows Vista — проверка подлинности RSA SecurId.

    Синтаксис и примеры

    В этом разделе описывается синтаксис использования команды netsh advfirewall для добавления и изменения правил безопасности подключения. В этом разделе также приводится примеры команд netsh advfirewall.

    Добавление правила безопасности подключения

    Пример 1

    Рассмотрим следующий пример команды netsh advfirewall:
    Осечка Netsh advfirewall добавляет имя правила=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN= Microsoft North, South, East и ' West Root Authority " ' auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN= ' Microsoft North, South, East, and West Root Authority ' " auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none

    Эта команда создает правило безопасности подключения, которое имеет следующие методы проверки подлинности в наборе проверки подлинности:

    • Первый метод проверки подлинности — это сертификат, использующий подпись сертификата RSA.
    • Второй метод проверки подлинности — это сертификат здоровья, использующий ECDSA256 для подписания сертификата.
    • Правило безопасности подключения защищает трафик с помощью целостности AH и ESP с помощью нового алгоритма AES-GMAC 256. Правило не включает шифрование.
    Пример 2

    Рассмотрим следующий пример команды netsh advfirewall:
    Осечка Netsh advfirewall добавляет имя правила=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN= ' Microsoft North, South, East и West Root Authority ' " auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192

    Эта команда создает правило безопасности подключения, которое имеет один метод проверки подлинности в наборе проверки подлинности. Метод проверки подлинности — это сертификат, использующий подпись сертификата RSA.

    Правило безопасности подключения защищает трафик с помощью целостности AH и ESP с SHA256 для целостности и с AES192 для шифрования.

    Изменение существующего правила безопасности подключения

    Ниже приводится пример команды, которая обновляет правило, созданное в "Примере 1" в предыдущем разделе: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256 +esp:aesgcm256-aesgcm256 Эта команда обновляет правило использования AES-GCM 256 для целостности и шифрования ESP и использования AES-GMAC 256 для целостности AH.

    Установка параметров глобального основного режима

    Следующий текст справки для глобальной команды netsh advfirewall.

    Ниже приводится пример команды, использующей новые алгоритмы SHA в криптографическом наборе Main-mode: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384

    Команды устранения неполадок, конфигурации и проверки

    Команда "Все правила показа осечка netsh advfirewall"

    В осе netsh advfirewall отображается правило, вся команда отображает конфигурацию для всех правил безопасности подключения.

    Ниже приводится пример вывода для этой команды.

    Команда "Netsh advfirewall monitor show mmsa"

    Команда mmsa advfirewall netsh advfirewall отображает ассоциацию безопасности основного режима.

    Ниже приводится пример вывода для этой команды.

    Команда "Netsh advfirewall monitor show qmsa"

    В мониторе netsh advfirewall отображается команда qmsa, отображаемая ассоциация безопасности быстрого режима.

    Ниже приводится пример вывода для этой команды.

    Команда "Netsh advfirewall show global"

    Advfirewall Netsh показывает, что глобальная команда отображает глобальные параметры.

    Ниже приводится пример вывода для этой команды.

    Взаимодействие

    Создание, применение и управление политикой IPsec, использующей алгоритмы Suite B, были представлены в Windows Vista SP1 и Windows Server 2008. Управлять групповой политикой, содержаной алгоритмы Suite B, можно только с помощью средств, выпущенных с Windows Vista SP1 или Windows Server 2008.

    Примеры сценариев и ожидаемых результатов следуют следующим образом.

    Сценарий 1

    Новые криптографические алгоритмы используются для применения политики, созданной на компьютере с Windows Server 2008 или Windows Vista SP1 на компьютере, на который запущена версия Windows Vista.

    Ожидаемый результат

    Если правило содержит криптографические наборы, которые используют новые криптографические алгоритмы, эти криптографические наборы отброшены, а другие криптографические наборы в криптографическом наборе используются вместо этого.

    Если ни один из наборов криптографии в правиле не распознается, все правило будет отброшено. Регистрируется событие, которое указывает, что правило не может быть обработано. Поэтому, если все криптографические наборы в криптографическом наборе ключей exchange отброшены, никакие правила безопасности подключения в политике не применяются. Однако все правила брандмауэра по-прежнему применяются.

    Процесс набора проверки подлинности напоминает процесс набора шифрования. Если политика с новыми флагами сертификатов (ECDSA-P256 или ECDSA-P384) применяется к компьютеру, на который запущена версия выпуска Windows Vista, методы проверки подлинности будут отброшены.

    Если по этой причине все методы проверки подлинности в первом наборе проверки подлинности отброшены, все правило не обрабатывается. Если все методы проверки подлинности во втором наборе проверки подлинности отброшены, правило обрабатывается с помощью только первого набора проверки подлинности.

    Сценарий 2

    На компьютере с выпускаемой версией Windows Vista вы используете новые криптографические алгоритмы для просмотра политики, созданной на компьютере с Windows Server 2008 или Windows Vista SP1.

    Ожидаемый результат

    Новые алгоритмы отображаются как "неизвестные" в частях мониторинга и авторинга Windows брандмауэра advanced Security MMC snap-in. Команда netsh advfirewall также отображает алгоритмы как "неизвестные" в Windows Vista.

    Ограничения на интероперабельность

    Ограничения на интероперабельность следуют следующим образом:

    • Мы не поддерживаем удаленное управление политиками с использованием алгоритмов Suite B на компьютерах, работающих Windows Vista SP1 или Windows Server 2008 с компьютера, на который запущена версия Windows Vista.
    • Если политика, созданная на компьютере с Windows Vista SP1 или Windows Server 2008, импортируется на компьютер, на который запущена версия выпуска Windows Vista, некоторые части политики будут отброшены. Это происходит из-за того, что версия Windows Vista не может распознать новые алгоритмы.

    Комбинации криптографических алгоритмов быстрого режима, поддерживаемые и не поддерживаемые

    В следующей таблице показаны поддерживаемые комбинации криптографического алгоритма быстрого режима.

    Протокол Целостность AH Целостность ESP Шифрование
    AH AES-GMAC 128 Нет Нет
    AH AES-GMAC 192 Нет Нет
    AH AES-GMAC 256 Нет Нет
    AH SHA256 Нет Нет
    AH SHA1 Нет Нет
    AH MD5 Нет Нет
    ESP Нет AES-GMAC 128 Нет
    ESP Нет AES-GMAC 192 Нет
    ESP Нет AES-GMAC 256 Нет
    ESP Нет SHA256 Нет
    ESP Нет SHA1 Нет
    ESP Нет MD5 Нет
    ESP Нет SHA256 Любой поддерживаемый алгоритм шифрования, кроме алгоритмов AES-GCM
    ESP Нет SHA1 Любой поддерживаемый алгоритм шифрования, кроме алгоритмов AES-GCM
    ESP Нет MD5 Любой поддерживаемый алгоритм шифрования, кроме алгоритмов AES-GCM
    ESP Нет AES-GCM 128 AES-GCM 128
    ESP Нет AES-GCM 192 AES-GCM 192
    ESP Нет AES-GCM 256 AES-GCM 256
    AH+ESP AES-GMAC 128 AES-GMAC 128 Нет
    AH+ESP AES-GMAC 128 AES-GMAC 128 Нет
    AH+ESP AES-GMAC 128 AES-GMAC 128 Нет
    AH+ESP SHA-256 SHA-256 Нет
    AH+ESP SHA1 SHA1 Нет
    AH+ESP MD5 MD5 Нет
    AH+ESP SHA256 SHA256 Любой поддерживаемый алгоритм шифрования, кроме алгоритмов AES-GCM
    AH+ESP SHA1 SHA1 Любой поддерживаемый алгоритм шифрования, кроме алгоритмов AES-GCM
    AH+ESP MD5 MD5 Любой поддерживаемый алгоритм шифрования, кроме алгоритмов AES-GCM
    AH+ESP AES-GMAC 128 AES-GCM 128 AES-GCM 128
    AH+ESP AES-GMAC 192 AES-GCM 192 AES-GCM 192
    AH+ESP AES-GMAC 256 AES-GCM 256 AES-GCM 256

    AES-GMAC такой же, как AES-GCM с null шифрованием. Например, можно указать целостность AH для использования AES-GMAC 128, а для использования AES-GCM 128 можно указать ESP Integrity. Это единственное исключение из правила, что алгоритмы целостности AH и ESP должны быть идентичными.

    Комбинации, описанные в следующей таблице, не поддерживаются.

    Протокол Целостность AH Целостность ESP Шифрование
    ESP Нет AES-GMAC 128 Любой поддерживаемый алгоритм шифрования
    ESP Нет AES-GMAC 192 Любой поддерживаемый алгоритм шифрования
    ESP Нет AES-GMAC 256 Любой поддерживаемый алгоритм шифрования
    ESP Нет AES-GCM 128 1.None
    2.Любой алгоритм шифрования, кроме AES-GCM 128
    ESP Нет AES-GCM 192 1.None
    2.Любой алгоритм шифрования, кроме AES-GCM 192
    ESP Нет AES-GCM 256 1.None
    2.Любой алгоритм шифрования, кроме AES-GCM 256
    AH+ESP AES-GMAC 128 AES-GMAC 128 Любой поддерживаемый алгоритм шифрования
    AH+ESP AES-GMAC 192 AES-GMAC 192 Любой поддерживаемый алгоритм шифрования
    AH+ESP AES-GMAC 256 AES-GMAC 256 Любой поддерживаемый алгоритм шифрования

    Дополнительные сведения о Suite B можно получить на следующем веб-сайте: Пакет алгоритмов национальной безопасности

    Рассматриваемая процедура настройки предполагает выполнение следующих условий:

    Имеется пул адресов, назначаемых IPSec.

    Имеется группа 3000clients с паролем cisco123.

    На сервере RADIUS настроена аутентификация пользователей.

    Используемые компоненты

    Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

    Маршрутизатор 2621XM, использующий выпуск программного обеспечения Cisco IOS 12.2(15)T2.

    Система контроля доступа CiscoSecure версии 4.2 для Windows 2000 (должен работать любой RADIUS-сервер)

    Клиент Cisco VPN Client для Windows версии 4.8 (должны работать любые клиенты VPN Client 4.x и последующих версий).

    Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

    Результат выполнения команды show version на маршрутизаторе:

    Условные обозначения

    Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

    Настройка

    В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

    Схема сети

    В настоящем документе используется следующая схема сети:

    Настройка маршрутизатора 2621XM

    Настройка сервера RADIUS

    Настройка сервера RADIUS для аутентификации пользователей

    Выполните эти шаги, чтобы настроить сервер RADIUS.

    Добавьте запись для маршрутизатора в базу данных сервера RADIUS.

    Укажите IP-адрес маршрутизатора 172.18.124.159 с общим секретным ключом cisco123. Выберите RADIUS в раскрывающемся списке Authenticate Using (Способ аутентификации).

    Добавьте имя пользователя для пользователя сети VPN в базу данных CiscoSecure. В данном примере имя пользователя – cisco.

    Настройка VPN Client 4.8

    Чтобы настроить VPN Client 4.8, выполните следующие действия.

    Выберите Пуск > Программы > Cisco Systems VPN Client > VPN Client.

    Введите имя записи и описание подключения. Введите внешний IP-адрес маршрутизатора в поле Host (Хост). Затем введите имя группы VPN и нажмите кнопку Save (Сохранить).

    Выберите подключение, которое необходимо использовать, и нажмите Connect в главном окне VPN Client.

    При появлении соответствующего запроса введите имя пользователя и пароль для аутентификации Xauth и нажмите ОК для подключения к удаленной сети.

    ПО VPN Client соединится с маршрутизатором на центральном узле.

    Включение раздельного туннелирования

    Чтобы разрешить раздельное туннелирование для соединений через виртуальную частную сеть, убедитесь в наличии списка контроля доступа, настроенного в маршрутизаторе. В нижеследующем примере команда access-list 108 связана с группой для раздельного туннелирования, а в сети 14.38.X.X /16 формируется туннель. К устройствам вне ACL 108 (например, в Интернете) трафик течет незашифрованным.

    Применение списка управления доступом к свойствам группы.

    Настройка аварийного переключения для сервера RADIUS

    Если основной сервер RADIUS станет недоступным, маршрутизатор произведет аварийное переключение на следующий активный резервный сервер RADIUS. Маршрутизатор продолжит использовать вторичный сервер RADIUS и далее, даже если первичный сервер вновь станет доступен. Обычно в качестве первичного выбирается мощный и наиболее предпочтительный сервер. Если вторичный сервер недоступен, то для аутентификации может использоваться локальная база данных. Это задается командой aaa authentication login userauthen group radius local.

    Проверка

    Этот раздел позволяет убедиться, что конфигурация работает правильно.

    Ниже приведены выходные данные соответствующих команд show.

    Поиск и устранение неполадок

    Используйте этот раздел для устранения неполадок своей конфигурации.

    Команды для устранения неполадок

    Примечание. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах отладки.

    debug crypto ipsec – отображает отладочную информацию о подключениях IPSec.

    debug crypto isakmp – отображает данные отладки подключений IPsec и первый набор атрибутов, отклоненный из-за несовместимости на обоих концах.

    debug crypto engine – отображает информацию о криптографическом модуле.

    debug aaa authentification – отображает сведения об аутентификации AAA/TACACS+.

    debug aaa authorization – отображает сведения об авторизации AAA/TACACS+.

    debug radius – отображает диагностические сведения об обмене данными между сервером RADIUS и маршрутизатором.

    Выходные данные отладки

    В этом разделе содержатся отладочные сведения маршрутизатора, которые можно использовать для устранения неполадок конфигурации.

    Журналы маршрутизатора

    Журналы клиента

    Для просмотра журналов запустите на VPN-клиенте средство LogViewer. Убедитесь в том, что для всех настроенных классов установлена высокая фильтрация (High). Ниже показан пример журнала.

    Читайте также: