124 lines
11 KiB
Markdown
124 lines
11 KiB
Markdown
|
## О разделе
|
|||
|
|
|
|||
|
|
В данном разделе приведены параметры конфигурации IPsec-соединения, используемого для организации защищенного канала связи между инфраструктурой заказчика и кластерами. Материал описывает настройки этапов установки соединения и передачи данных, включая методы аутентификации, алгоритмы шифрования и хэширования, группы Диффи-Хеллмана, а также параметры времени жизни ключей. Часть параметров определяется клиентом при заказе услуги, часть является фиксированной и не подлежит изменению.
|
|||
|
|
|
|||
|
|
## Параметры конфигурации IPSEC
|
|||
|
|
|
|||
|
|
Ниже приведены основные параметры, задаваемые при развертывании кластера Kafka. Часть параметров определяется клиентом на этапе заказа услуги, часть - фиксирована и не подлежит изменению.
|
|||
|
|
|
|||
|
|
### Данные о конфигурации IPSEC
|
|||
|
|
|
|||
|
|
Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.
|
|||
|
|
|
|||
|
|
### Версия IKE (Internet Key Exchange)
|
|||
|
|
|
|||
|
|
Версия IKE выбирается из выпадающего списка, который содержит в себе два параметра - **v1** и **v2**. Разница заключается в том, что **IKE v1** - более ранняя версия протокола.
|
|||
|
|
**IKE v2** - более современная версия, обеспечивающая лучшую устойчивость соединения и более гибкую обработку ошибок. Рекомендуется использовать IKE v2, если оборудование заказчика это поддерживает.
|
|||
|
|
|
|||
|
|
### Метод аутентификации
|
|||
|
|
|
|||
|
|
Метод аутентификации выбирается вручную из выпадающего списка, который содержит два варианта: _PSK_ (Pre-Shared Key) и _Certificate_ (Сертификат).
|
|||
|
|
- **PSK (Pre-Shared Key)** - метод аутентификации, при котором используется заранее согласованный общий ключ;
|
|||
|
|
- **Certificate** - аутентификация с использованием цифровых сертификатов.
|
|||
|
|
|
|||
|
|
------
|
|||
|
|
## Этап 1 - установка защищенного соединения
|
|||
|
|
|
|||
|
|
### Hash
|
|||
|
|
|
|||
|
|
Определяет алгоритм хэширования для защиты управляющего канала. Данный параметр заполняется вручную из выпадающего списка следующего содержания:
|
|||
|
|
- **SHA 1** - Формирует хэш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием;
|
|||
|
|
- **SHA 2 - 256** - Формирует хэш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью, а также, на сегодняшний день, является стандартом по умолчанию в большинстве систем;
|
|||
|
|
- **SHA 2 - 384** - Длина хэша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA 2-256. Используется в средах с повышенными требованиями к безопасности;
|
|||
|
|
- **SHA 2 - 512** - Длина хэша составляет 512 бит, осуществляет самый высокий уровень стойкости из перечисленных, а также создает большую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.
|
|||
|
|
|
|||
|
|
### Шифрование
|
|||
|
|
|
|||
|
|
Определяет алгоритм симметричного шифрования. Данный параметр заполняется вручную из выпадающего списка следующего содержания:
|
|||
|
|
- **AES 128** - имеет 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач;
|
|||
|
|
- **AES 256** - имеет 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU;
|
|||
|
|
- **AES GCM 12** / **AES GCM 192** / **AES GCM 256** - данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, а также рекомендуются в современных конфигурациях. Разница между этими тремя алгоритмами лишь в длине ключа.
|
|||
|
|
|
|||
|
|
### DH Group - группа Деффи Хеллмана
|
|||
|
|
|
|||
|
|
Механизм Diffie-Hellman используется для безопасной генерации общего секретного ключа между сторонами туннеля без передачи этого ключа по сети.
|
|||
|
|
Чем выше номер группы и длина ключа - тем выше криптографическая стойкость соединения.
|
|||
|
|
|
|||
|
|
Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:
|
|||
|
|
- **group 2**;
|
|||
|
|
- **group 5**;
|
|||
|
|
- **group 14**;
|
|||
|
|
- **group 15**;
|
|||
|
|
- **group 16**;
|
|||
|
|
- **group 19**;
|
|||
|
|
- **group 20**;
|
|||
|
|
- **group 21**.
|
|||
|
|
|
|||
|
|
### IKE Mode (только для IKEv1)
|
|||
|
|
|
|||
|
|
Параметр IKE Mode определяет способ установления соединения на этапе 1 при использовании протокола IKEv1.
|
|||
|
|
|
|||
|
|
Доступны два режима: **Main** и **Aggressive**. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.
|
|||
|
|
- Main Mode - является стандартным и более безопасным режимом работы IKEv1.
|
|||
|
|
- Aggressive Mode - упрощённый и ускоренный режим установления соединения. (более низкий уровень защиты данных)
|
|||
|
|
|
|||
|
|
### Время жизни
|
|||
|
|
|
|||
|
|
Определяет, как долго действуют согласованные ключи в рамках первой фазы.
|
|||
|
|
- Рекомендуемое значение: 86400 секунд (24 часа);
|
|||
|
|
- После истечения времени выполняется повторная генерация ключей.
|
|||
|
|
|
|||
|
|
------
|
|||
|
|
## Этап 2 - передача данных
|
|||
|
|
|
|||
|
|
Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.
|
|||
|
|
|
|||
|
|
## Hash
|
|||
|
|
|
|||
|
|
Аналогично этапу 1, параметр Hash используется для защиты целостности передаваемых данных. Он обеспечивает проверку, что данные не были изменены при передаче. Содержит такой же перечень элементов для выбора:
|
|||
|
|
- **SHA 1**;
|
|||
|
|
- **SHA 2 - 256**;
|
|||
|
|
- **SHA 2 - 384**;
|
|||
|
|
- **SHA 2 - 512**.
|
|||
|
|
|
|||
|
|
## Шифрование
|
|||
|
|
|
|||
|
|
Этап 2 отвечает за шифрование пользовательского трафика. Это важнейший параметр, который защищает данные при их передаче по сети. Доступны следующие алгоритмы:
|
|||
|
|
- **AES 128**;
|
|||
|
|
- **AES 256**;
|
|||
|
|
- **AES GCM 128**;
|
|||
|
|
- **AES GCM 192**;
|
|||
|
|
- **AES GCM 256**.
|
|||
|
|
|
|||
|
|
### PFS
|
|||
|
|
|
|||
|
|
**Enable perfect forward secrecy (PFS)** - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа DH будет такая же как и на 1-й фазе.
|
|||
|
|
Данный параметр представлен в виде чекбокса. При его включении:
|
|||
|
|
- На этапе 2 выполняется дополнительный обмен ключами Diffie-Hellman;
|
|||
|
|
- Для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
|
|||
|
|
- Ключи шифрования пользовательского трафика не зависят от ключей этапа 1.
|
|||
|
|
|
|||
|
|
### DH Group - группа Деффи Хеллмана
|
|||
|
|
|
|||
|
|
Группа DH определяет параметры обмена ключами между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.
|
|||
|
|
|
|||
|
|
Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:
|
|||
|
|
- **group 2**;
|
|||
|
|
- **group 5**;
|
|||
|
|
- **group 14**;
|
|||
|
|
- **group 15**;
|
|||
|
|
- **group 16**;
|
|||
|
|
- **group 19**;
|
|||
|
|
- **group 20**;
|
|||
|
|
- **group 21**.
|
|||
|
|
|
|||
|
|
### Время жизни (в секундах)
|
|||
|
|
|
|||
|
|
Определяет, как долго действуют согласованные ключи в рамках второй фазы.
|
|||
|
|
- Рекомендуемое значение: 3600 секунд (1 час).
|
|||
|
|
- После истечения времени выполняется повторная генерация ключей.
|
|||
|
|
|
|||
|
|
### Префиксы локальной сети заказчика
|
|||
|
|
|
|||
|
|
Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через IPsec-туннель. Префиксы задаются в формате `192.168.1.0/24`, который позволяет указать диапазон IP-адресов.
|