Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:ipsec:uvod [2020/03/25 09:14] jan.tomasek@cesnet.cz [Doba platnosti SA] |
— (aktuální) | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== Připojení k eduroam.cz: konfigurace IPsec ====== | ||
- | |||
- | |||
- | IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských | ||
- | údajů přenášených v této komunikaci. K dispozici je detailní návod pro [[:cs:spravce:pripojovani:ipsec:windows2003s|MS Windows 2003 Server (funguje i na 2016)]] a pro [[:cs:spravce:pripojovani:ipsec:windows2008s|MS Windows 2008 Server]]. | ||
- | |||
- | Než budete spojení konfigurovat, musíte se domluvit se | ||
- | správcem národních RADIUS serverů, aby upravil jejich konfiguraci a | ||
- | umožnil Vám připojení. | ||
- | |||
- | Připojení pomocí IPsec je možné pouze pro ty instituce, které provozují MS Windows. Ostatním doporučujeme použití [[cs:spravce:pripojovani:radsec:uvod|RadSec]], který je podstatně snazší na implementaci. | ||
- | |||
- | ===== Nastavení FW ===== | ||
- | |||
- | Na FW musí být povolen **UDP** port **500**, který používá IKE | ||
- | protokol, dále je nutné povolit protokol **ESP**. Jestliže je | ||
- | defaultní politika FW "deny" (ignorování komunikace na | ||
- | nepovolené porty), tak je ještě rozumné nastavit "reject" | ||
- | (odpovídat ICMP zprávou o nedosažitelnosti služby) pro **UDP** port | ||
- | **4500**, který je využíván NAT-T. | ||
- | |||
- | Národní RADIUS server pravidelně pingem zjištuje funkčnost | ||
- | IPsec spojení, proto je také nutné povolit **ICMP echo request** na | ||
- | FW. Jestliže používáte nějakou ochranu omezující množství vyřízených | ||
- | požadavků, tak ji pro národní servery deaktivujte, jinak mohou být | ||
- | měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety | ||
- | o velikost 512B. | ||
- | |||
- | |||
- | ===== Parametry IPsec ===== | ||
- | |||
- | |||
- | IPsec je používán v transportním režimu za použití **ESP**, **AH** se nepoužívá. Národní RADIUS nepodporuje NAT-T, IPsec institutce musí být ukončen na veřejné adrese. | ||
- | |||
- | * Fáze 1 | ||
- | * Šifrovací algoritmus: **3DES** | ||
- | * Hash algoritmus: **SHA1** | ||
- | * Diffie-Hellman group: **2** (1024bit) | ||
- | * Doba platnosti: **24 hodin** | ||
- | |||
- | * Fáze 2 | ||
- | * Šifrovací algoritmus: **3DES** | ||
- | * Autentikační algoritmus: **HMAC-SHA1** | ||
- | * Kompresní algoritmus: **deflate** | ||
- | * PFS group: **2** (1024bit) | ||
- | * Doba platnosti: **12-18 hodin**, vypočteno dle níže uvedeného vzorce | ||
- | |||
- | {{page>[:cs:spravce:aapk:frag_sa_lifetime]}} | ||
- | |||
- | Vzorec je zde uveden jen pro úplnost, správnou hodnotu najdete v [[https://admin.eduroam.cz/radius_servers|webovém administrativním rozhraní]] (po přihlášení). | ||
- | |||
- | ===== Certifikáty ===== | ||
- | |||
- | Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]], musíte nastavit důvěru i CESNET Root. | ||
- | |||
- | RADIUS organizace může používat certifikát od několika [[:cs:spravce:pripojovani:serverove_certifikaty|certifikačních autorit]]. | ||