Программный комплекс WinRoute Pro 4.1 поддерживает защищенный Интернет-протокол IPSEC в так называемом "туннельном режиме". "Туннельный режим" должен, в принципе, обслуживать любое клиентское ПО на базе IPSEC при условии, что оно позволяет изменять транспортные IP-адреса.
Примечание: WinRoute не поддерживает программное обеспечение для удаленных клиентских узлов виртуальных частных сетей с использованием контрльной точки для обеспечения безопасности (Checkpoint Secure Remote VPN).
Настройки программного комплекса WinRoute:
Создайте выделенный порт для инкапсулированной полезной нагрузки в защищенном режиме (ESP):
Протокол: Другой 50
Ожидание сигнала по IP: <не указанный>
IP-адрес адресата: закрытый IP-адрес клиентского ПК
Рекомендуем также создать выделенный порт для IKE. В этом нет необходимости, когда связь с Интернетом инициируется ИЗНУТРИ сетевой зоны, защищенной WinRoute, однако в некоторых вариантах конфигурации IPSEC приведенные ниже настройки являются обязательными:
Выделение порта для IKE:
Протокол: UDP
Ожидание сигнала по IP: <не указанный>
Прослушивание порта: 500
IP-адрес адресата: закрытый IP-адрес клиентского ПК
Порт адресата: 500
Одновременное проведение нескольких сеансов по IPSEC
Если защищенным протоколом IPSEC пользуются сразу несколько клиентов, необходимо каждому из них назначить отдельный IP-адрес. Замечание - механизм NAT программного комплекса WinRoute одновременно поддерживает неограниченное число клиентов при условии, что связь инициируется ИЗНУТРИ локальной сети, при этом все клиенты пользуются единым IP-адресом, который выделен для внешнего интерфейса WinRoute.
Информация общего характера о протоколе IPSEC
Протокол IPSec служит для обеспечения связи между двумя компьютерами в режиме повышенной безопасности с применением средств криптографии.
В протоколе IPSec применяются либо метки аутентификации (Authentification Header, сокращенно AH), либо метод инкапсуляции полезной нагрузки (Encapsulating Security Payload, сокращенно ESP). В случае с AH проверке подвергается только личность отправителя и содержимое пакета, при этом данные не шифруются.
Метод ESP, предполагающий шифрование данных, позволяет применить так называемый "туннельный режим", аналогичный протоколу PPTP. При этом в пакет вводится метка IP (необходимая для его транспортировки), которая не шифруется, тогда как содержимое исходного пакета подвергается шифрованию.
Пртокол IKE (иногда его называют ISAKMP) применяется при выполнении процедуры аутентификации (обмена защитными ключами). IKE функционирует по протоколу UDP через порт 500, единый и для отправителя, и для адресата.
Метки AH передаются по протоколу 51, тогда как механизм ESP работает по протоколу 50. Одновременно механизм IPSec может устанавливать связь со средствами проверки полномочий через другие протоколы, которые не подпадают под действие NAT.
В дальнейшем мы намереваемся предусмотреть в программном комплексе WinRoute автоматическую поддержку протокола 50, что полностью избавит пользователей от необходимости выделения портов. Единственным условием автоматической установки соединения останется его инициация ИЗНУТРИ локальной сети.
Большинство разработчиков программных средств IPSec использует для аутентификации алгоритмы MD5 и SHA1, а для шифрования - DES, 3DES и Blowfish. В силу отсутствия единого алгоритма, применяемого в IPSec, остается риск взаимной несовместимости решений, разработанных различными поставщиками.