alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
45c6e6dd0daf4446626a3f73a76a643212b28935
fox/src/PaaS/IPSEC.md
T
Левченко Людмила Алексеевна 1b96efc894 Мелкие правки
2026-03-18 16:12:49 +03:00

11 KiB
Raw Blame History

О разделе

В данном разделе приведены параметры конфигурации IPsec-соединения, используемого для организации защищенного канала связи между инфраструктурой заказчика и кластерами. Материал описывает настройки этапов установки соединения и передачи данных, включая методы аутентификации, алгоритмы шифрования и хэширования, группы Диффи-Хеллмана, а также параметры времени жизни ключей. Часть параметров определяется клиентом при заказе услуги, часть является фиксированной и не подлежит изменению.

Параметры конфигурации IPSEC

Ниже приведены основные параметры, задаваемые при развертывании кластера Kafka. Часть параметров определяется клиентом на этапе заказа услуги, часть - фиксирована и не подлежит изменению.

Данные о конфигурации IPSEC

Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.

Версия IKE (Internet Key Exchange)

Версия IKE выбирается из выпадающего списка, который содержит в себе два параметра - v1 и v2. Разница заключается в том, что IKE v1 - более ранняя версия протокола.
IKE v2 - более современная версия, обеспечивающая лучшую устойчивость соединения и более гибкую обработку ошибок. Рекомендуется использовать IKE v2, если оборудование заказчика это поддерживает.

Метод аутентификации

Метод аутентификации выбирается вручную из выпадающего списка, который содержит два варианта: PSK (Pre-Shared Key) и Certificate (Сертификат).

  • PSK (Pre-Shared Key) - метод аутентификации, при котором используется заранее согласованный общий ключ;
  • Certificate - аутентификация с использованием цифровых сертификатов.

Этап 1 - установка защищенного соединения

Hash

Определяет алгоритм хэширования для защиты управляющего канала. Данный параметр заполняется вручную из выпадающего списка следующего содержания:

  • SHA 1 - Формирует хэш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием;
  • SHA 2 - 256 - Формирует хэш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью, а также, на сегодняшний день, является стандартом по умолчанию в большинстве систем;
  • SHA 2 - 384 - Длина хэша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA 2-256. Используется в средах с повышенными требованиями к безопасности;
  • SHA 2 - 512 - Длина хэша составляет 512 бит, осуществляет самый высокий уровень стойкости из перечисленных, а также создает большую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.

Шифрование

Определяет алгоритм симметричного шифрования. Данный параметр заполняется вручную из выпадающего списка следующего содержания:

  • AES 128 - имеет 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач;
  • AES 256 - имеет 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU;
  • AES GCM 12 / AES GCM 192 / AES GCM 256 - данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, а также рекомендуются в современных конфигурациях. Разница между этими тремя алгоритмами лишь в длине ключа.

DH Group - группа Деффи Хеллмана

Механизм Diffie-Hellman используется для безопасной генерации общего секретного ключа между сторонами туннеля без передачи этого ключа по сети. Чем выше номер группы и длина ключа - тем выше криптографическая стойкость соединения.

Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:

  • group 2;
  • group 5;
  • group 14;
  • group 15;
  • group 16;
  • group 19;
  • group 20;
  • group 21.

IKE Mode (только для IKEv1)

Параметр IKE Mode определяет способ установления соединения на этапе 1 при использовании протокола IKEv1.

Доступны два режима: Main и Aggressive. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.

  • Main Mode - является стандартным и более безопасным режимом работы IKEv1.
  • Aggressive Mode - упрощённый и ускоренный режим установления соединения. (более низкий уровень защиты данных)

Время жизни

Определяет, как долго действуют согласованные ключи в рамках первой фазы.

  • Рекомендуемое значение: 86400 секунд (24 часа);
  • После истечения времени выполняется повторная генерация ключей.

Этап 2 - передача данных

Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.

Hash

Аналогично этапу 1, параметр Hash используется для защиты целостности передаваемых данных. Он обеспечивает проверку, что данные не были изменены при передаче. Содержит такой же перечень элементов для выбора:

  • SHA 1;
  • SHA 2 - 256;
  • SHA 2 - 384;
  • SHA 2 - 512.

Шифрование

Этап 2 отвечает за шифрование пользовательского трафика. Это важнейший параметр, который защищает данные при их передаче по сети. Доступны следующие алгоритмы:

  • AES 128;
  • AES 256;
  • AES GCM 128;
  • AES GCM 192;
  • AES GCM 256.

PFS

Enable perfect forward secrecy (PFS) - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа DH будет такая же как и на 1-й фазе. Данный параметр представлен в виде чекбокса. При его включении:

  • На этапе 2 выполняется дополнительный обмен ключами Diffie-Hellman;
  • Для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
  • Ключи шифрования пользовательского трафика не зависят от ключей этапа 1.

DH Group - группа Деффи Хеллмана

Группа DH определяет параметры обмена ключами между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.

Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:

  • group 2;
  • group 5;
  • group 14;
  • group 15;
  • group 16;
  • group 19;
  • group 20;
  • group 21.

Время жизни (в секундах)

Определяет, как долго действуют согласованные ключи в рамках второй фазы.

  • Рекомендуемое значение: 3600 секунд (1 час).
  • После истечения времени выполняется повторная генерация ключей.

Префиксы локальной сети заказчика

Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через IPsec-туннель. Префиксы задаются в формате 192.168.1.0/24, который позволяет указать диапазон IP-адресов.

Reference in New Issue View Git Blame Copy Permalink