Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
cs:spravce:pripojovani:ipsec:uvod [2020/03/25 08:38] – [Parametry IPsec] 1141cd825e33f2281fc659232bcf401af2705c39@einfra.cesnet.czcs:spravce:pripojovani:ipsec:uvod [2024/05/17 08:30] (aktuální) – odstraněno Jan Čáslavský
Řádek 1: Řádek 1:
-====== Připojení k eduroam.cz: konfigurace IPsec ====== 
- 
- 
-IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských 
-údajů přenášených v této komunikaci. K dispozici je detailní návod pro [[:cs:spravce:pripojovani:ipsec:windows2003s|MS Windows 2003 Server (funguje i na 2016)]] a pro [[:cs:spravce:pripojovani:ipsec:windows2008s|MS Windows 2008 Server]]. 
- 
-Než budete spojení konfigurovat, musíte se domluvit se 
-správcem národních RADIUS serverů, aby upravil jejich konfiguraci a 
-umožnil Vám připojení. 
- 
-Připojení pomocí IPsec je možné pouze pro ty instituce, které provozují MS Windows. Ostatním doporučujeme použití [[cs:spravce:pripojovani:radsec:uvod|RadSec]], který je podstatně snazší na implementaci. 
- 
-===== Nastavení FW ===== 
- 
-Na FW musí být povolen **UDP** port **500**, který používá IKE 
-protokol, dále je nutné povolit protokol **ESP**. Jestliže je 
-defaultní politika FW "deny" (ignorování komunikace na 
-nepovolené porty), tak je ještě rozumné nastavit "reject" 
-(odpovídat ICMP zprávou o nedosažitelnosti služby) pro **UDP** port 
-**4500**, který je využíván NAT-T. 
- 
-Národní RADIUS server pravidelně pingem zjištuje funkčnost 
-IPsec spojení, proto je také nutné povolit **ICMP echo request** na 
-FW. Jestliže používáte nějakou ochranu omezující množství vyřízených 
-požadavků, tak ji pro národní servery deaktivujte, jinak mohou být 
-měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety 
-o velikost 512B. 
- 
- 
-===== Parametry IPsec ===== 
- 
- 
-IPsec je používán v transportním režimu za použití **ESP**, **AH** se nepoužívá. Národní RADIUS nepodporuje NAT-T, IPsec institutce musí být ukončen na veřejné adrese. 
- 
-  * Fáze 1 
-     * Šifrovací algoritmus: **3DES** 
-     * Hash algoritmus: **SHA1** 
-     * Diffie-Hellman group: **2** (1024bit) 
-     * Doba platnosti: **24 hodin** 
- 
-  * Fáze 2 
-     * Šifrovací algoritmus: **3DES** 
-     * Autentikační algoritmus: **HMAC-SHA1** 
-     * Kompresní algoritmus: **deflate** 
-     * PFS group: **2** (1024bit) 
-     * Doba platnosti: **12-18 hodin**, vypočteno dle níže uvedeného vzorce 
- 
-{{page>[:cs:spravce:aapk:frag_sa_lifetime]}} 
- 
-Vzorec je zde uveden jen pro úplnost, správnou hodnotu najdete ve [[https://admin.eduroam.cz/radius_servers|webovém administrativním rozhraní]]. 
- 
-===== Certifikáty ===== 
- 
-Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]], musíte nastavit důvěru i CESNET Root. 
- 
-RADIUS organizace může používat certifikát od několika [[:cs:spravce:pripojovani:serverove_certifikaty|certifikačních autorit]].