cs:spravce:pripojovani:ipsec:uvod

Připojení k eduroam.cz: konfigurace IPsec

IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských údajů přenášených v této komunikaci. K dispozici je detailní návod pro MS Windows 2003 Server (funguje i na 2016) a pro MS Windows 2008 Server.

Než budete spojení konfigurovat, musíte se domluvit se správcem národních RADIUS serverů, aby upravil jejich konfiguraci a umožnil Vám připojení.

Připojení pomocí IPsec je možné pouze pro ty instituce, které provozují MS Windows. Ostatním doporučujeme použití RadSec, který je podstatně snazší na implementaci.

Nastavení FW

Na FW musí být povolen UDP port 500, který používá IKE protokol, dále je nutné povolit protokol ESP. Jestliže je defaultní politika FW „deny“ (ignorování komunikace na nepovolené porty), tak je ještě rozumné nastavit „reject“ (odpovídat ICMP zprávou o nedosažitelnosti služby) pro UDP port 4500, který je využíván NAT-T.

Národní RADIUS server pravidelně pingem zjištuje funkčnost IPsec spojení, proto je také nutné povolit ICMP echo request na FW. Jestliže používáte nějakou ochranu omezující množství vyřízených požadavků, tak ji pro národní servery deaktivujte, jinak mohou být měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety o velikost 512B.

Parametry IPsec

IPsec je používán v transportním režimu za použití ESP, AH se nepoužívá. Národní RADIUS nepodporuje NAT-T, IPsec institutce musí být ukončen na veřejné adrese.

  • Fáze 1
    • Šifrovací algoritmus: 3DES
    • Hash algoritmus: SHA1
    • Diffie-Hellman group: 2 (1024bit)
    • Doba platnosti: 24 hodin
  • Fáze 2
    • Šifrovací algoritmus: 3DES
    • Autentikační algoritmus: HMAC-SHA1
    • Kompresní algoritmus: deflate
    • PFS group: 2 (1024bit)
    • Doba platnosti: 12-18 hodin, vypočteno dle níže uvedeného vzorce

Doba platnosti SA

Doba platnosti SA je pro každou dvojici serverů různá. Důvodem je, aby nedocházelo k expiraci SA ve stejný okamžik, a tím byla dostupnost služby co nejvyšší. Vypočte se podle vztahu:

18*60*60 - 11*ip1[3] - 17*ip1[2] - 20*ip1[1] - 19*ip1[0] - 7*ip2[3] - 5*ip2[2] - 3*ip2[1] - 9*ip2[0]

kde:
ip1 - je pole oktetů IP adresy radius serveru organizace, nejvyší byte je v buňce č. 0
ip2 - je pole -„- IP adresy národního RADIUS serveru

Např: pro komunikaci radius1.cesnet.cz ⇔ radius1.eduroam.cz je správná hodnota: 18*60*60 - 11*226 - 17*144 - 20*113 - 19*195 - 7*22 - 5*187 - 3*113 - 9*195 = 50718, tedy zhruba 14 hodin.

Vzorec je zde uveden jen pro úplnost, správnou hodnotu najdete v webovém rozhraní CESNET CAAS (po přihlášení).

Certifikáty

Národní RADIUS používá certifikát vydaný CESNET CA3, musíte nastavit důvěru i CESNET Root.

RADIUS organizace může používat certifikát od několika certifikačních autorit.

Poslední úprava:: 2018/12/04 13:39