alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
fcc8b68475895000854441dcc39e4bdaedbaab94
fox/src/PaaS/IPSEC.md
T
Левченко Людмила Алексеевна fcc8b68475 правки 2.0
2026-04-01 17:20:40 +03:00

11 KiB
Raw Blame History

Параметры конфигурации IPsec-соединения

В данном разделе приведены параметры конфигурации IPsec-соединения, используемого для организации защищенного канала связи между инфраструктурой заказчика и кластерами. Материал описывает настройки этапов установки соединения и передачи данных, включая методы аутентификации, алгоритмы шифрования и хеширования, группы Диффи-Хеллмана, а также параметры времени жизни ключей.

Ниже приведены основные параметры, задаваемые при развертывании кластера Kafka. Часть параметров определяется клиентом на этапе заказа услуги, часть - фиксирована и не подлежит изменению.

Данные о конфигурации IPSEC

Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.

Версия IKE (Internet Key Exchange)

Версия IKE выбирается из выпадающего списка, который содержит в себе два параметра - v1 и v2.

  • IKE v1 - более ранняя версия протокола;
  • IKE v2 - более современная версия (обеспечивает более устойчивое соединение и гибкую обработку ошибок).

Рекомендуется использовать IKE v2, если оборудование заказчика это поддерживает.

Метод аутентификации

Метод аутентификации выбирается вручную из выпадающего списка, который содержит два варианта:

  • PSK (Pre-Shared Key) - метод аутентификации, при котором используется заранее согласованный общий ключ;
  • Certificate - аутентификация с использованием цифровых сертификатов.

Этап 1 - установка защищенного соединения

Hash

Определяет алгоритм хеширования для защиты управляющего канала.

Данный параметр заполняется вручную из выпадающего списка следующего содержания:

  • SHA 1 - Формирует хеш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием;
  • SHA 2 - 256 - Формирует хеш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью, а также, на сегодняшний день, является стандартом по умолчанию в большинстве систем;
  • SHA 2 - 384 - Длина хеша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA 2-256. Используется в средах с повышенными требованиями к безопасности;
  • SHA 2 - 512 - Длина хеша составляет 512 бит, осуществляет самый высокий уровень стойкости из перечисленных, а также создает большую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.

Шифрование

Определяет алгоритм симметричного шифрования.

Данный параметр заполняется вручную из выпадающего списка следующего содержания:

  • AES 128 - имеет 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач;
  • AES 256 - имеет 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU;
  • AES GCM 12 / AES GCM 192 / AES GCM 256 - данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, а также рекомендуются в современных конфигурациях. Разница между этими тремя алгоритмами лишь в длине ключа.

DH Group - группа Деффи Хеллмана

Механизм Diffie-Hellman используется для безопасной генерации общего секретного ключа между сторонами туннеля без передачи этого ключа по сети. Чем выше номер группы и длина ключа - тем выше криптографическая стойкость соединения.

Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:

  • group 2;
  • group 5;
  • group 14;
  • group 15;
  • group 16;
  • group 19;
  • group 20;
  • group 21.

IKE Mode (только для IKEv1)

Параметр IKE Mode определяет способ установления соединения на этапе 1 при использовании протокола IKEv1.

Доступны два режима: Main и Aggressive. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.

  • Main Mode - является стандартным и более безопасным режимом работы IKEv1.
  • Aggressive Mode - упрощённый и ускоренный режим установления соединения. (более низкий уровень защиты данных)

Время жизни

Определяет, как долго действуют согласованные ключи в рамках первой фазы.

  • Рекомендуемое значение: 86400 секунд (24 часа);
  • После истечения времени выполняется повторная генерация ключей.

Этап 2 - передача данных

Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.

Hash

Аналогично этапу 1, параметр Hash используется для защиты целостности передаваемых данных. Он обеспечивает проверку, что данные не были изменены при передаче.

Содержит элементы для выбора:

  • SHA 1;
  • SHA 2 - 256;
  • SHA 2 - 384;
  • SHA 2 - 512.

Шифрование

Этап 2 отвечает за шифрование пользовательского трафика. Это важнейший параметр, который защищает данные при их передаче по сети.

Доступны следующие алгоритмы:

  • AES 128;
  • AES 256;
  • AES GCM 128;
  • AES GCM 192;
  • AES GCM 256.

PFS

Enable perfect forward secrecy (PFS) - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа DH будет такая же как и на 1-й фазе. Данный параметр представлен в виде чекбокса.

При его включении:

  • На этапе 2 выполняется дополнительный обмен ключами Diffie-Hellman;
  • Для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
  • Ключи шифрования пользовательского трафика не зависят от ключей этапа 1.

DH Group - группа Деффи Хеллмана

Группа DH определяет параметры обмена ключами между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.

Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:

  • group 2;
  • group 5;
  • group 14;
  • group 15;
  • group 16;
  • group 19;
  • group 20;
  • group 21.

Время жизни (в секундах)

Определяет, как долго действуют согласованные ключи в рамках второй фазы.

  • Рекомендуемое значение: 3600 секунд (1 час).
  • После истечения времени выполняется повторная генерация ключей.

Префиксы локальной сети заказчика

Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через IPsec-туннель.

Префиксы задаются в формате 192.168.1.0/24, который позволяет указать диапазон IP-адресов.

Reference in New Issue View Git Blame Copy Permalink