Konfiguracja ustawień protokołu IPSec

Internet Protocol Security (IPSec lub IPsec) to pakiet protokołów do szyfrowania danych transportowanych w sieci, w tym w sieciach internetowych. O ile protokół TLS szyfruje tylko dane używane w poszczególnych aplikacjach, np. przeglądarce internetowej lub aplikacji pocztowej, protokół IPSec szyfruje całe pakiety IP lub ich ładunki, stwarzając bardziej kompleksowy system zabezpieczeń. Protokół IPSec urządzenia pracuje w trybie transportu, w którym szyfrowane są ładunki pakietów IP. Dzięki tej funkcji urządzenie może bezpośrednio łączyć się z komputerem znajdującym się w tej samej wirtualnej sieci prywatnej (VPN). Sprawdź wymagania systemowe i odpowiednio skonfiguruj komputer przed przystąpieniem do konfiguracji urządzenia.
Wymagania systemowe
Ograniczenie funkcji protokołu IPSec
Protokół IPSec obsługuje komunikację do adresów emisji pojedynczej (lub jednego urządzenia).
Nie jest możliwe jednoczesne używanie protokołu IPSec i DHCPv6.
Protokół IPSec jest niedostępny w sieciach z maskowaniem NAT lub IP.
Używanie protokołu IPSec z filtrem adresów IP
Ustawienia filtru adresu IP są nadrzędne wobec zasad protokołu IPSec.

Konfiguracja ustawień protokołu IPSec

Przed użyciem protokołu IPSec do szyfrowania komunikacji należy zarejestrować zasady bezpieczeństwa (SP). Zasada bezpieczeństwa składa się z grupy ustawień opisanych poniżej. Można zarejestrować maksymalnie 10 zasad. Po zakończeniu rejestracji zasad należy określić kolejność ich stosowania.
Selektor
Selektor określa warunki dla pakietów IP w celu zastosowania komunikacji z szyfrowaniem IPSec. Dostępne warunki to m.in. adresy IP i numery portów urządzenia oraz urządzeń, z którymi chcesz nawiązać komunikację.
IKE
Protokół IKE służy do konfiguracji wersji IKEv1 używanej do protokołowania wymiany kluczy. Należy zauważyć, że instrukcje różnią się w zależności od wybranej metody uwierzytelniania.
[Metoda klucza współdzielonego]
Generowany jest klucz składający się maksymalnie z 24 znaków alfanumerycznych, który można udostępniać innym urządzeniom. Przed ustawieniem tej metody uwierzytelniania włącz szyfrowanie TLS dla Zdalnego interfejsu użytkownika (Włączanie szyfrowanej komunikacji TLS dla Zdalnego interfejsu użytkownika).
[Metoda podpisu cyfrowego]
To i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemne weryfikowanie podpisów cyfrowych. Najpierw wygeneruj lub zainstaluj parę kluczy (Używanie wygenerowanych przez CA par kluczy i certyfikatów cyfrowych).
AH/ESP
Określ ustawienia protokołu AH/ESP, który jest dodawany do pakietów w trakcie trwania komunikacji z użyciem protokołu IPSec. Protokołów AH i ESP można używać równolegle. Można także włączyć protokół PFS w celu zwiększenia zabezpieczeń.
1
Uruchom Zdalny interfejs użytkownika i zaloguj się w trybie menedżera systemu. Uruchamianie Zdalnego interfejsu użytkownika
2
Kliknij [Ustawienia/rejestracja].
3
Kliknij [Ustawienia zabezpieczeń] [Ustawienia IPSec].
4
Kliknij [Edycja].
5
Zaznacz pole [Użyj IPSec] i kliknij przycisk [OK].
Jeśli chcesz, żeby urządzenie tylko odbierało pakiety, które są zgodne z jedną z zasad bezpieczeństwa zdefiniowanych w kolejnych krokach, odznacz pole wyboru [Odbiór pakietów bez zasad].
6
Kliknij [Zarejestruj nową zasadę].
7
Określ zasady ustawień.
1
W polu tekstowym [Nazwa zasady] wprowadź nazwę zasady składającą się maksymalnie z 24 znaków alfanumerycznych.
2
Zaznacz pole wyboru [Włącz zasadę].
8
Określ ustawienia selektora.
[Adres lokalny]
Kliknij przycisk radiowy odpowiadający adresowi IP urządzenia, aby zastosować zasadę.
[Wszystkie adresy IP]
Wybierz tę opcję, aby używać protokołu IPSec dla wszystkich pakietów IP.
[Adres IPv4]
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv4 urządzenia lub z tego adresu.
[Adres IPv6]
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv6 urządzenia lub z tego adresu.
[Adres zdalny]
Kliknij przycisk radiowy odpowiadający adresowi IP innego urządzenia, aby zastosować zasadę.
[Wszystkie adresy IP]
Wybierz tę opcję, aby używać protokołu IPSec dla wszystkich pakietów IP.
[Wszystkie adresy IPv4]
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adresy IPv4 innych urządzeń lub z tych adresów.
[Wszystkie adresy IPv6]
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adresy IPv6 innych urządzeń lub z tych adresów.
[Ustawienia ręczne IPv4]
Wybierz tę opcję, aby określić pojedynczy adres IPv4 lub zakres adresów IPv4, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv4 (lub zakres) w polu tekstowym [Adresy do ręcznej konfiguracji].
[Ustawienia ręczne IPv6]
Wybierz tę opcję, aby określić pojedynczy adres IPv6 lub zakres adresów IPv6, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv6 (lub zakres) w polu tekstowym [Adresy do ręcznej konfiguracji].
[Adresy do ręcznej konfiguracji]
Jeśli wybrano opcje ustawień [Ustawienia ręczne IPv4] lub [Ustawienia ręczne IPv6] dla pozycji [Adres zdalny], wprowadź adres IP, aby zastosować zasady. Można wprowadzić również zakres adresów, rozdzielając je myślnikami.
Wprowadzanie adresów IP
Opis
Przykład
Wprowadzanie pojedynczego adresu
IPv4:
Oddzielaj numery kropkami.
192.168.0.10
IPv6:
Oddzielaj znaki alfanumeryczne dwukropkami.
fe80::10
Określanie zakresu adresów
Wstaw myślnik między adresami.
192.168.0.10-192.168.0.20
[Ustawienia podsieci]
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład:„255.255.255.240”).
[Długość prefiksu]
Ręczne podanie zakresu adresów IPv6 pozwala również określić zakres przy użyciu prefiksów. Podaj wartość w zakresie od 0 do 128, aby określić długość prefiksu.
[Port lokalny]/[Port zdalny]
Aby utworzyć osobne zasady dla każdego protokołu, np. HTTP lub RAW, należy wprowadzić odpowiedni numer portu dla protokołu, aby zdecydować o stosowaniu lub niestosowaniu protokołu IPSec.
Protokół IPSec nie jest stosowany w przypadku następujących pakietów
Pakiety loopback, multiemisyjny i emisyjny
Pakiety IKE (przy użyciu UDP na porcie 500)
Pakiety ICMPv6 pytające o adres sieciowy sąsiada i ogłoszenia adresu sieciowego sąsiada
9
Określ ustawienia protokołu IKE.
[Tryb IKE]
Wyświetlony jest tryb używany do protokołu wymiany kluczy. Urządzenie obsługuje tryb główny, nie obsługuje natomiast trybu agresywnego.
[Metoda uwierzytelniania]
Zaznacz opcję [Metoda klucza współdzielonego] lub [Metoda podpisu cyfrowego], aby wybrać metodę stosowaną podczas uwierzytelniania urządzenia. Przed wybraniem opcji [Metoda klucza współdzielonego] (Włączanie szyfrowanej komunikacji TLS dla Zdalnego interfejsu użytkownika) trzeba włączyć szyfrowanie TLS dla Zdalnego interfejsu użytkownika. Przed wybraniem opcji [Metoda podpisu cyfrowego] (Konfiguracja ustawień dla par kluczy i certyfikatów cyfrowych) trzeba wygenerować lub zainstalować parę kluczy.
[Ważne do]
Określ długość trwania sesji dla kojarzenia zabezpieczeń IKE SA (ISAKMP SA). Wprowadź czas w minutach.
[Uwierzytelnianie]/[Szyfrowanie]/[Grupa DH]
Wybierz algorytm z rozwijanej listy. Każdy algorytm jest używany do wymiany kluczy.
[Uwierzytelnianie]
Wybór algorytmu hashowania.
[Szyfrowanie]
Wybór algorytmu szyfrowania.
[Grupa DH]
Wybór grupy Diffie-Hellman, która określa siłę klucza.
 Używanie klucza współdzielonego do uwierzytelniania
1
Kliknij przycisk radiowy [Metoda klucza współdzielonego] w pozycji [Metoda uwierzytelniania], a następnie kliknij opcję [Ustawienia klucza współdzielonego].
2
Wprowadź klucz współdzielony, składający się maksymalnie z 24 znaków alfanumerycznych, i kliknij przycisk [OK].
3
Określ ustawienia [Ważne do] i [Uwierzytelnianie]/[Szyfrowanie]/[Grupa DH].
 Używając pary kluczy i preinstalowanych certyfikatów CA do uwierzytelnienia
1
Kliknij przycisk radiowy [Metoda podpisu cyfrowego] w pozycji [Metoda uwierzytelniania], a następnie kliknij opcję [Klucz i certyfikat].
2
Kliknij opcję [Zarejestruj klucz domyślny] po prawej stronie pary kluczy, której chcesz użyć.
Wyświetlanie informacji na temat pary kluczy lub certyfikatu
Certyfikat można zweryfikować lub sprawdzić jego szczegóły, klikając odpowiednie łącze umieszczone pod pozycją [Nazwa klucza] lub ikonę certyfikatu. Weryfikowanie par kluczy i certyfikatów cyfrowych
3
Określ ustawienia [Ważne do] i [Uwierzytelnianie]/[Szyfrowanie]/[Grupa DH].
10
Określ ustawienia sieci z protokołem IPSec.
[Użyj PFS]
Zaznacz to pole wyboru, aby włączyć protokół Doskonałe utajnienie przekazywania (PFS) w odniesieniu do kluczy sesji IPSec. Protokół PFS zwiększa poziom zabezpieczeń oraz ilość komunikowanych danych. Upewnij się, że protokół PFS jest włączony dla innych urządzeń.
[Określ termin]/[Określ rozmiar]
Ustaw warunki zakończenia sesji w przypadku kojarzenia zabezpieczeń IPSec SA. Kojarzenie zabezpieczeń IPSec SA pełni funkcję tunelu komunikacyjnego. Zaznacz jedno lub dwa pola wyboru według potrzeb. W przypadku zaznaczenia dwóch pól wyboru sesja kojarzenia zabezpieczeń IPSec SA zostaje zakończona, gdy spełniony zostanie jeden z warunków.
[Określ termin]
Wprowadź czas w minutach, aby określić długość trwania sesji.
[Określ rozmiar]
Wprowadź rozmiar w megabajtach, aby określić maksymalną ilość danych transportowanych w trakcie jednej sesji.
[Wybierz algorytm]
Zaznacz pole wyboru [ESP], [ESP (AES-GCM)] i/lub [AH (SHA1)] w zależności od nagłówka protokołu IPSec oraz użytego algorytmu. AES-GCM to algorytm uwierzytelniania i szyfrowania. W przypadku wyboru opcji [ESP] należy wybrać również algorytmy uwierzytelniania i szyfrowania z rozwijanych list [Uwierzytelnianie ESP] i [Szyfrowanie ESP].
[Uwierzytelnianie ESP]
Aby włączyć funkcję uwierzytelniania z użyciem protokołu ESP, wybierz opcję [SHA1] dla algorytmu hashowania. Wybór opcji [Nie używaj] oznacza wyłączenie funkcji uwierzytelniania z użyciem protokołu ESP.
[Szyfrowanie ESP]
Wybór algorytmu szyfrowania z użyciem protokołu ESP. Można wybrać opcję [NULL], aby nie określać algorytmu, lub wybrać opcję [Nie używaj], aby wyłączyć funkcję szyfrowania z użyciem protokołu ESP.
[Tryb połączenia]
Zostaje wyświetlony tryb połączenia protokołu IPSec. Urządzenie obsługuje tryb transportu, w którym ładunki pakietów IP są szyfrowane. Tryb tunelu, w którym zawarte są całe pakiety IP (nagłówki i ładunki), nie jest dostępny.
11
Kliknij [OK].
Aby zarejestrować dodatkową zasadę bezpieczeństwa, wróć do kroku 6.
12
Ustaw kolejność zasad wyszczególnionych na liście w pozycji [Zarejestrowane zasady IPSec].
Zasady są stosowane w kolejności od pozycji na górze listy do pozycji znajdującej się na samym dole. Kliknij polecenie [W górę] lub [W dół], aby przesuwać zasady w górę lub w dół.
Edytowanie zasady
Kliknij odpowiednie łącze tekstowe znajdujące się pod pozycją [Nazwa zasady], aby wyświetlić ekran edycji.
Usuwanie zasady
Kliknij przycisk [Usuń] znajdujący się po prawej stronie nazwy zasady, którą chcesz usunąć  kliknij przycisk [OK].
13
Uruchom ponownie urządzenie.
Wyłącz urządzenie, odczekaj co najmniej 10 sekund, a następnie włącz je ponownie.
Korzystanie z panelu sterowania
Ustawienia komunikacji z użyciem protokołu IPSec można włączyć lub wyłączyć za pomocą przycisku na panelu sterowania. Użyj IPSec
0XF0-04E