Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
cs:spravce:pripojovani:ipsec:uvod [2020/03/25 09:14] jan.tomasek@cesnet.cz [Doba platnosti SA] |
— (aktuální) | ||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| - | ====== Připojení k eduroam.cz: konfigurace IPsec ====== | ||
| - | |||
| - | |||
| - | IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských | ||
| - | údajů přenášených v této komunikaci. K dispozici je detailní návod pro [[:cs:spravce:pripojovani:ipsec:windows2003s|MS Windows 2003 Server (funguje i na 2016)]] a pro [[:cs:spravce:pripojovani:ipsec:windows2008s|MS Windows 2008 Server]]. | ||
| - | |||
| - | Než budete spojení konfigurovat, musíte se domluvit se | ||
| - | správcem národních RADIUS serverů, aby upravil jejich konfiguraci a | ||
| - | umožnil Vám připojení. | ||
| - | |||
| - | Připojení pomocí IPsec je možné pouze pro ty instituce, které provozují MS Windows. Ostatním doporučujeme použití [[cs:spravce:pripojovani:radsec:uvod|RadSec]], který je podstatně snazší na implementaci. | ||
| - | |||
| - | ===== Nastavení FW ===== | ||
| - | |||
| - | Na FW musí být povolen **UDP** port **500**, který používá IKE | ||
| - | protokol, dále je nutné povolit protokol **ESP**. Jestliže je | ||
| - | defaultní politika FW "deny" (ignorování komunikace na | ||
| - | nepovolené porty), tak je ještě rozumné nastavit "reject" | ||
| - | (odpovídat ICMP zprávou o nedosažitelnosti služby) pro **UDP** port | ||
| - | **4500**, který je využíván NAT-T. | ||
| - | |||
| - | Národní RADIUS server pravidelně pingem zjištuje funkčnost | ||
| - | IPsec spojení, proto je také nutné povolit **ICMP echo request** na | ||
| - | FW. Jestliže používáte nějakou ochranu omezující množství vyřízených | ||
| - | požadavků, tak ji pro národní servery deaktivujte, jinak mohou být | ||
| - | měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety | ||
| - | o velikost 512B. | ||
| - | |||
| - | |||
| - | ===== Parametry IPsec ===== | ||
| - | |||
| - | |||
| - | IPsec je používán v transportním režimu za použití **ESP**, **AH** se nepoužívá. Národní RADIUS nepodporuje NAT-T, IPsec institutce musí být ukončen na veřejné adrese. | ||
| - | |||
| - | * Fáze 1 | ||
| - | * Šifrovací algoritmus: **3DES** | ||
| - | * Hash algoritmus: **SHA1** | ||
| - | * Diffie-Hellman group: **2** (1024bit) | ||
| - | * Doba platnosti: **24 hodin** | ||
| - | |||
| - | * Fáze 2 | ||
| - | * Šifrovací algoritmus: **3DES** | ||
| - | * Autentikační algoritmus: **HMAC-SHA1** | ||
| - | * Kompresní algoritmus: **deflate** | ||
| - | * PFS group: **2** (1024bit) | ||
| - | * Doba platnosti: **12-18 hodin**, vypočteno dle níže uvedeného vzorce | ||
| - | |||
| - | {{page>[:cs:spravce:aapk:frag_sa_lifetime]}} | ||
| - | |||
| - | Vzorec je zde uveden jen pro úplnost, správnou hodnotu najdete v [[https://admin.eduroam.cz/radius_servers|webovém administrativním rozhraní]] (po přihlášení). | ||
| - | |||
| - | ===== Certifikáty ===== | ||
| - | |||
| - | Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]], musíte nastavit důvěru i CESNET Root. | ||
| - | |||
| - | RADIUS organizace může používat certifikát od několika [[:cs:spravce:pripojovani:serverove_certifikaty|certifikačních autorit]]. | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz