Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Cохранение пользовательской конфигурации ZyWALL USG с нужными алгоритмами безопасности после обновления микропрограммы

Вопрос:

После обновления микропрограммы в ZyWALL USG становятся недоступны алгоритмы безопасности с высокой криптостойкостью ключей, можно использовать только алгоритм DES для туннелей IPSec VPN. Как можно сохранить конфигурацию аппаратного шлюза ZyWALL USG с нужными алгоритмами безопасности после обновления микропрограммы?

Ответ:

При обновлении микропрограммного обеспечения аппаратного шлюза серии ZyWALL USG на последнюю версию происходит сброс алгоритмов шифрования (с высокой криптостойкостью ключей) первой и второй фазы туннеля IPSec VPN в пользовательской конфигурации. Это означает, что если в настройках фазы 1 и 2 IPSec VPN использовались алгоритмы шифрования AES и/или 3DES, то после обновления микропрограммы вместо них будет только DES. Дополнительную информацию можно найти в статье: http://zyxel.ru/kb/2224

Но тем не менее существует способ сохранить старую пользовательскую конфигурацию после загрузки последней версии микропрограммы, чтобы алгоритмы шифрования в фазах 1 и 2 VPN IPSec не сбрасывались на DES.

Для этого нужно внести небольшое изменение в конфигурационный файл устройства.

Чтобы сохранить конфигурацию ZyWALL USG с нужными алгоритмами шифрования после обновления микропрограммы, выполните следующие действия:

1. До обновления микропрограммы сохраните конфигурацию в файл на локальный диск компьютера.

2. Откройте конфигурационный файл в текстовом редакторе и внесите в текст следующее изменение (выделено жирным):

Приведем пример для ZyWALL USG 300.

Текст до изменения:

! saved at YYYY-MM-DD HH:MM:SS

! model: ZyWALL USG 300

! firmware version: 2.20(AQE.5)

!

hardware-watchdog-timer 10

!

software-watchdog-timer 300

Текст после изменения:

! saved at YYYY-MM-DD HH:MM:SS

! model: ZyWALL USG 300

! firmware version: 2.20(AQE.6)

!

crypto algorithm-hide disable

!

software-watchdog-timer 300

(AQE.6) – номер новой версии микропрограммы, которую требуется загрузить (см. имя файла микропрограммы; в нашем примере используется файл ZyWALL USG 300_2.20(AQE.6)C0.zip).

3. Загрузите новую микропрограмму.

4. Затем загрузите и примените измененный файл конфигурации.

Leave a Reply