IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských údajů přenášených v této komunikaci. K dispozici je detailní návod pro MS Windows 2003 Server (funguje i na 2016) a pro MS Windows 2008 Server.

Než budete spojení konfigurovat, musíte se domluvit se správcem národních RADIUS serverů, aby upravil jejich konfiguraci a umožnil Vám připojení.

Připojení pomocí IPsec je možné pouze pro ty instituce, které provozují MS Windows. Ostatním doporučujeme použití RadSec, který je podstatně snazší na implementaci.

Na FW musí být povolen UDP port 500, který používá IKE protokol, dále je nutné povolit protokol ESP. Jestliže je defaultní politika FW „deny“ (ignorování komunikace na nepovolené porty), tak je ještě rozumné nastavit „reject“ (odpovídat ICMP zprávou o nedosažitelnosti služby) pro UDP port 4500, který je využíván NAT-T.

Národní RADIUS server pravidelně pingem zjištuje funkčnost IPsec spojení, proto je také nutné povolit ICMP echo request na FW. Jestliže používáte nějakou ochranu omezující množství vyřízených požadavků, tak ji pro národní servery deaktivujte, jinak mohou být měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety o velikost 512B.

IPsec je používán v transportním režimu za použití ESP, AH se nepoužívá. Národní RADIUS nepodporuje NAT-T, IPsec institutce musí být ukončen na veřejné adrese.

• Fáze 1
  • Šifrovací algoritmus: 3DES
  • Hash algoritmus: SHA1
  • Diffie-Hellman group: 2 (1024bit)
  • Doba platnosti: 24 hodin

• Fáze 2
  • Šifrovací algoritmus: 3DES
  • Autentikační algoritmus: HMAC-SHA1
  • Kompresní algoritmus: deflate
  • PFS group: 2 (1024bit)
  • Doba platnosti: 12-18 hodin, vypočteno dle níže uvedeného vzorce

Vzorec je zde uveden jen pro úplnost, správnou hodnotu najdete ve webovém administrativním rozhraní.

Národní RADIUS používá certifikát vydaný CESNET CA4, musíte nastavit důvěru i CESNET Root.

RADIUS organizace může používat certifikát od několika certifikačních autorit.