IPsec

Fitur dari beberapa Cisco: Jika dalam koneksi site2site sisi aktif diwakili oleh Cisco dan Child_SA ditutup, maka sisi pasif tidak akan dapat mengirim paket ke Cisco sampai Cisco membuat Child_SA baru.

Pilihan antarmuka eksternal untuk koneksi IPsec bergantung pada prioritas antarmuka pada tabel di bagian Penyeimbangan dan Redundansi. Prioritas suatu antarmuka ditentukan oleh posisinya dalam tabel: semakin tinggi antarmuka, semakin tinggi prioritasnya.

Antarmuka tanpa akses Internet memiliki prioritas lebih rendah dibandingkan antarmuka dengan akses Internet.

Terowongan dibuat di semua antarmuka dengan gateway default.

Perangkat

Menghubungkan perangkat menggunakan IPsec akan memastikan koneksi jaringan yang aman dan melindungi data yang ditransfer antar perangkat.

Gunakan konfigurator koneksi untuk MikroTik atau Cisco. Mereka memungkinkan Anda membuat konfigurasi, yang, ketika diluncurkan pada perangkat jarak jauh, akan menginstal pengaturan IPsec yang telah disiapkan sebelumnya.

Koneksi keluar

Konfigurasikan koneksi keluar jika Ideco NGFW adalah pemrakarsa koneksi dan perangkat jarak jauh adalah pihak penerima.

Untuk mengkonfigurasi koneksi keluar, siapkan:

Jenis autentikasiParameter yang diperlukan

Sertifikat

- Sertifikat root perangkat jarak jauh;

- Daftar jaringan lokal rumah NGFW yang akan terlihat di sisi berlawanan;

- Daftar semua jaringan lokal perangkat jarak jauh yang akan terlihat oleh sisi yang berlawanan -> Kunci PSK. Dihasilkan di NGFW saat membuat koneksi;

- ID kunci yang diperlukan perangkat jarak jauh untuk mengidentifikasi koneksi;

- Daftar jaringan lokal NGFW yang akan terlihat sebaliknya side;

- Daftar jaringan lokal perangkat jarak jauh yang akan terlihat di sisi berlawanan.

Koneksi masuk

Konfigurasikan koneksi masuk jika perangkat jarak jauh adalah pemrakarsa koneksi dan TKMTRM NGFW adalah pihak penerima.

Untuk mengatur koneksi masuk, siapkan:

Jenis autentikasiParameter yang diperlukan

Sertifikat

- Permintaan penandatanganan sertifikat (.csr) yang diterima dari perangkat jarak jauh;

- Daftar lokal rumah Jaringan NGFW yang akan terlihat di sisi berlawanan;

- Daftar semua jaringan lokal perangkat jarak jauh yang akan terlihat di sisi berlawanan.

PSK

- Kunci PSK dihasilkan pada perangkat jarak jauh;

- Pengidentifikasi pihak jarak jauh untuk mengidentifikasi koneksi masuk;

- Daftar jaringan lokal NGFW yang akan terlihat di sisi berlawanan;

- Daftar jaringan lokal perangkat jarak jauh yang akan terlihat di sisi berlawanan.

Memilih algoritma enkripsi pada perangkat jarak jauh

Saat menyiapkan perangkat pihak ketiga, Anda harus secara eksplisit menentukan algoritma enkripsi yang digunakan untuk koneksi. NGFW tidak mendukung algoritma yang ketinggalan jaman dan tidak aman (MD5, SHA1, AES128, DES, 3DES, blowfish, dll.). Saat mengonfigurasi perangkat pihak ketiga, Anda dapat menentukan beberapa algoritme yang didukung secara bersamaan, karena tidak semua perangkat mendukung algoritme modern.

Daftar algoritma dan contoh penggunaan

  • Tahap 1 (IKE):

  • enkripsi:

    • AES256-GCM;

    • AES256.

  • integritas (hash, integritas):

    • untuk AES256-GCM - tidak diperlukan, karena pemeriksaan integritas sudah ada dalam algoritme AEAD;

    • untuk AES256 - berdasarkan prioritas: SHA512, SHA256.

  • prf (fungsi pembangkitan nilai acak):

    • sebagai aturan, ini dikonfigurasi secara otomatis tergantung pada pilihan algoritma integritas (oleh karena itu, dalam contoh di bawah nilai prfnya adalah: PRF-HMAC-SHA512);

    • untuk AES-GCM mungkin perlu ditentukan secara eksplisit. Dalam hal ini, berdasarkan prioritas: AESXCBC, SHA512, SHA384, SHA256.

  • DH (Grup Diffie-Hellman):

    • Kurva25519 (grup 31);

    • ECP256 (grup 19);

    • modp4096 (grup 16);

    • modp2048 (grup 14);

    • modp1024 (grup 2).

  • Batas waktu:

    • Seumur Hidup: 14400 detik;

    • Batas Waktu DPD (untuk L2TP/IPsec): 40 detik;

    • Penundaan DPD: 30 detik.

  • Tahap 2 (ESP):

  • enkripsi:

    • AES256-GCM;

    • AES256.

  • integritas:

    • untuk AES256-GCM - tidak diperlukan, karena pemeriksaan integritas sudah ada dalam algoritme AEAD;

    • untuk AES-256 - berdasarkan prioritas: SHA512, SHA384, SHA256.

  • DH (Grup Diffie-Hellman, PFS). PERHATIAN! Jika Anda tidak menentukannya, itu akan terhubung, tetapi kunci ulang tidak akan berfungsi setelah beberapa saat:

    • Kurva25519 (grup 31);

    • ECP256 (grup 19);

    • modp4096 (grup 16);

    • modp2048 (grup 14);

    • modp1024 (grup 2).

  • Waktu habis:

    • Seumur Hidup: 3600 detik.

Contoh:

  • Fase 1 (IKE) (membutuhkan salah satu jalur):

    • AES256-GCM\PRF-HMAC-SHA512\Curve25519;

    • AES256\SHA512\PRF-HMAC-SHA512\ECP384;

    • AES256\SHA256\PRF-HMAC-SHA256\MODP2048.

  • Fase 2 (ESP) (membutuhkan salah satu jalur):

    • AES256-GCM\ECP384;

    • AES256\SHA256\MODP2048.

Contoh pengaturan koneksi pfSense ke Ideco NGFW melalui IPsec:

Mengubah pengaturan koneksi IPsec yang dibuat

Mulai dari versi 16 di Ideco NGFW, pengaturan Jaringan lokal rumah dan Jaringan lokal jarak jauh dapat diubah untuk koneksi IPsec. Setelah mengedit subnet, semua koneksi IPsec yang menggunakan subnet yang diubah akan dimulai ulang.

Anda dapat mengubah pengaturan subnet di pengaturan koneksi IPsec dan di bagian Aturan Lalu Lintas -> Objek -> Subnet.

PreviousServer NTPNextKoneksi antara dua TKMTRM NGFW dalam mode tunel

Last updated