Настройка параметров IPSec
IPSec или IPsec — это протокол, который подходит для шифрования данных, передающихся по сети, в том числе и Интернету. В то время как TLS шифрует только данные, использующиеся в определенных приложениях, например, веб-браузере или почтовом клиенте, шифрование IPSec обеспечивает защиту всех IP-пакетов или полезной их части, обеспечивая тем самым более надежную защиту. Функция IPSec аппарата работает в режиме передачи, при котором шифруется полезная часть IP-пакета. Благодаря этой функции аппарат можно подключить напрямую к компьютеру, который находится в той же виртуальной частной сети (VPN). Перед настройкой аппарата проверьте системные требования и настройте необходимые параметры на компьютере.
Требования к системе
Протокол IPSec, поддерживаемый аппаратом, соответствует стандартам RFC2401, RFC2402, RFC2406 и RFC4305.
|
Операционная система
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Режим с установлением соединения
|
Режим передачи
|
|
|
Протокол распределения ключей
|
IKEv1 (основной режим)
|
|
|
Метод аутентификации
|
Предварительный ключ
Цифровая подпись
|
|
|
Хэш-алгоритм
(и длина ключа) |
HMAC-SHA1-96
HMAC-SHA2 (256 бит или 384 бит)
|
|
|
Алгоритм шифрования
(и длина ключа) |
3DES-CBC
AES-CBC (128, 192 или 256 бит)
|
|
|
Алгоритм/группа распределения ключей (и длина ключа)
|
Алгоритм Диффи — Хеллмана (DH)
Группа 1 (768 бит)
Группа 2 (1024 бит)
Группа 14 (2048 бит)
|
|
|
ESP
|
Хэш-алгоритм
|
HMAC-SHA1-96
|
|
Алгоритм шифрования
(и длина ключа) |
3DES-CBC
AES-CBC (128, 192 или 256 бит)
|
|
|
Хэш-алгоритм/алгоритм шифрования (и длина ключа)
|
AES-GCM (128, 192 или 256 бит)
|
|
|
AH
|
Хэш-алгоритм
|
HMAC-SHA1-96
|
 |
Функциональные ограничения IPSecIPSec поддерживает передачу данных на однопунктовые адреса (или одиночные устройства).
Аппарат не может одновременно использовать протоколы IPSec и DHCPv6.
Протокол IPSec недоступен в сетях с преобразованием интернет-протокола.
Использование IPSec с фильтрацией IP-адресовСначала применяются параметры фильтрации IP-адресов, затем — политики IPSec.Указание IP-адресов по правилам брандмауэра
|
Настройка параметров IPSec
Перед использованием IPSec для передачи зашифрованных данных необходимо зарегистрировать концепции безопасности (SP). Политика безопасности включает группы параметров, описанных ниже. Можно зарегистрировать до 10 концепций. После регистрации концепций укажите порядок их применения.
Селектор
Селектор определяет условия применения IPSec для передачи IP-пакетов. Эти условия включают IP-адреса и номера портов аппарата и устройства, между которыми будет происходить обмен данными.
Протокол IKE
IKE настраивает IKEv1, который используется для протокола распределения ключей. Помните, что инструкции зависят от выбранного метода аутентификации.
[Способ защищенного общего ключа]
Совместно с другими устройствами может использоваться ключ, состоящий из 24 алфавитно-цифровых символов. Включите TLS для Удаленного ИП, прежде чем указать данный способ аутентификации (Включение функции шифрованной связи TLS для Удаленного ИП).
Совместно с другими устройствами может использоваться ключ, состоящий из 24 алфавитно-цифровых символов. Включите TLS для Удаленного ИП, прежде чем указать данный способ аутентификации (Включение функции шифрованной связи TLS для Удаленного ИП).
[Способ цифровой подписи]
Данное устройство, а также другие подобные устройства, опознают друг друга путем выполнения операции взаимного подтверждения своих цифровых подписей. Заблаговременно создайте и установите пару ключей (Настройка параметров для пар ключей и цифровых сертификатов).
Данное устройство, а также другие подобные устройства, опознают друг друга путем выполнения операции взаимного подтверждения своих цифровых подписей. Заблаговременно создайте и установите пару ключей (Настройка параметров для пар ключей и цифровых сертификатов).
AH/ESP
Укажите параметры заголовка AH/ESP, который добавляется к пакету во время передачи IPSec. AH и ESP могут использоваться в одно и то же время. Вы также можете включить PFS для повышения безопасности.
1
Запустите Удаленный ИП и войдите в систему в режиме администратора системы. Запуск Удаленного ИП
2
Щелкните [Настройки/Регистрация].
3
Щелкните [Настройки защиты] 
[Параметры IPSec].
[Параметры IPSec].
4
Щелкните [Изменить].
5
Установите флажок [Использовать IPSec] и щелкните [OK].
Если вы хотите, чтобы устройство принимало исключительно пакеты, которые соответствуют условиям одной из политик безопасности, определенных вами в предыдущих шагах, снимите флажок [Прием пакетов вне политики].
6
Щелкните [Регистрировать новую политику].
7
Укажите параметры концепции.
|
1
|
В поле [Имя политики] введите имя для идентификации концепции длиной до 24 буквенно-числовых символов.
|
|
2
|
Установите флажок [Включить политику].
 |
8
Укажите параметры селектора.
[Локальный адрес]
Чтобы применить политику, щелкните командную кнопку рядом с типом IP-адреса аппарата.
Чтобы применить политику, щелкните командную кнопку рядом с типом IP-адреса аппарата.
|
[Все IP-адреса]
|
Использование IPSec для всех IP-пакетов.
|
|
[IPv4-адрес]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с аппарата на IPv4-адрес или поступают в него с этого адреса.
|
|
[IPv6-адрес]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с аппарата на IPv6-адрес или поступают в него с этого адреса.
|
[Удаленный адрес]
Чтобы применить политику, щелкните командную кнопку рядом с типом IP-адреса других устройств.
Чтобы применить политику, щелкните командную кнопку рядом с типом IP-адреса других устройств.
|
[Все IP-адреса]
|
Использование IPSec для всех IP-пакетов.
|
|
[Все IPv4-адреса]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с IPv4-адресов других устройств или поступают в них.
|
|
[Все IPv6-адреса]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с IPv6-адресов других устройств или поступают в них.
|
|
[Параметры IPv4, устанавливаемые вручную]
|
Выберите, чтобы указать один адрес IPv4 или диапазон адресов IPv4, к которым будет применяться IPSec. Введите адрес IPv4 (или диапазон адресов) в текстовом поле [Адреса для установки вручную].
|
|
[Параметры IPv6, устанавливаемые вручную]
|
Выберите, чтобы указать один адрес IPv6 или диапазон адресов IPv6, к которым будет применяться IPSec. Введите адрес IPv6 (или диапазон адресов) в текстовом поле [Адреса для установки вручную].
|
[Адреса для установки вручную]
Если [Параметры IPv4, устанавливаемые вручную] или [Параметры IPv6, устанавливаемые вручную] выбраны для [Удаленный адрес], введите IP-адрес для применения политики. Можно также ввести диапазон адресов, разделив адреса знаком тире.
Если [Параметры IPv4, устанавливаемые вручную] или [Параметры IPv6, устанавливаемые вручную] выбраны для [Удаленный адрес], введите IP-адрес для применения политики. Можно также ввести диапазон адресов, разделив адреса знаком тире.
Ввод IP-адресов
|
Описание
|
Пример
|
|
|
Ввод одного адреса
|
IPv4:
цифры разделяются точками. |
192.168.0.10
|
|
IPv6:
буквенно-цифровые символы разделяются двоеточием. |
fe80::10
|
|
|
Ввод диапазона адресов
|
Адреса разделяются знаком тире.
|
192.168.0.10-192.168.0.20
|
[Параметры подсети]
Указывая адрес IPv4 вручную, можно указать диапазон с помощью маски подсети. Укажите маску подсети, разделяя цифры точками (например: 255.255.255.240).
Указывая адрес IPv4 вручную, можно указать диапазон с помощью маски подсети. Укажите маску подсети, разделяя цифры точками (например: 255.255.255.240).
[Длина префикса]
При указании диапазонов адресов IPv6 вручную также можно указывать диапазон с префиксами. Задайте диапазон от 0 до 128 в качестве длины префикса.
При указании диапазонов адресов IPv6 вручную также можно указывать диапазон с префиксами. Задайте диапазон от 0 до 128 в качестве длины префикса.
[Локальный порт]/[Удаленный порт]
При необходимости создать отдельную политику для каждого протокола, например HTTP или SMTP, введите номер соответствующего порта для протокола, чтобы указать, нужно ли использовать IPSec.
При необходимости создать отдельную политику для каждого протокола, например HTTP или SMTP, введите номер соответствующего порта для протокола, чтобы указать, нужно ли использовать IPSec.
Действие пакета протоколов IPSec не распространяется на следующие пакеты
Возвратные, многоадресные и широковещательные пакеты
Пакеты IKE (при использовании UDP на порте 500)
Пакеты ICMPv6, такие как запрос к соседу и ответ (предложение) соседа
9
Укажите настройки IKE.
[Режим IKE]
Отображение режима, использующегося для протокола распределения ключей. Аппарат поддерживает основной режим, а не активный.
Отображение режима, использующегося для протокола распределения ключей. Аппарат поддерживает основной режим, а не активный.
[Способ аутентификации]
Выберите [Способ защищенного общего ключа] или [Способ цифровой подписи] в качестве метода аутентификации аппарата. Перед выбором [Способ защищенного общего ключа] (Включение функции шифрованной связи TLS для Удаленного ИП) необходимо включить шифрование TLS для Удаленного ИП. Перед выбором [Способ цифровой подписи] (Настройка параметров для пар ключей и цифровых сертификатов) необходимо создать или установить пару ключей.
Выберите [Способ защищенного общего ключа] или [Способ цифровой подписи] в качестве метода аутентификации аппарата. Перед выбором [Способ защищенного общего ключа] (Включение функции шифрованной связи TLS для Удаленного ИП) необходимо включить шифрование TLS для Удаленного ИП. Перед выбором [Способ цифровой подписи] (Настройка параметров для пар ключей и цифровых сертификатов) необходимо создать или установить пару ключей.
[Действует]
Укажите длительность сессии для IKE SA (ISAKMP SA). Введите время в минутах.
Укажите длительность сессии для IKE SA (ISAKMP SA). Введите время в минутах.
[Аутентификация]/[Шифрование]/[Группа DH]
Выберите алгоритм из раскрывающегося списка. В распределении ключей используются все алгоритмы.
Выберите алгоритм из раскрывающегося списка. В распределении ключей используются все алгоритмы.
|
[Аутентификация]
|
Выберите хэш-алгоритм.
|
|
[Шифрование]
|
Выберите алгоритм шифрования.
|
|
[Группа DH]
|
Выберите группу шифрования по Диффи — Хеллману, номер группы определяет длину ключа.
|
Использование предварительного ключа для аутентификации
|
1
|
Щелкните командную кнопку [Способ защищенного общего ключа] для [Способ аутентификации], затем — [Параметры общего ключа].
|
|
2
|
Введите предварительный ключ длиной до 24 буквенно-числовых символов и щелкните [OK].
 |
|
3
|
Задайте параметры [Действует] и [Аутентификация]/[Шифрование]/[Группа DH].
|
Использование пары ключей и предустановленных сертификатов CA для выполнения аутентификации
|
1
|
Щелкните командную кнопку [Способ цифровой подписи] для [Способ аутентификации], затем — [Ключ и сертификат].
|
|
2
|
Щелкните [Зарегистрировать ключ по умолчанию] справа от пары ключей, которую вы хотите использовать.
 Просмотр информации о паре ключей или сертификате
Можно проверить информацию сертификате или подтвердить сертификат, щелкнув соответствующую текстовую ссылку под [Имя ключа] или нажав значок сертификата. Проверка пары ключей и цифровых сертификатов
|
|
3
|
Задайте параметры [Действует] и [Аутентификация]/[Шифрование]/[Группа DH].
|
10
Укажите параметры сети IPSec.
[Использовать PFS]
Установите этот флажок для включения режима совершенной прямой секретности (PFS) для ключей сеансов IPSec. Режим PFS повышает безопасность, но в то же время увеличивает нагрузку на соединение. Убедитесь, что функция PFS включена и на других устройствах.
Установите этот флажок для включения режима совершенной прямой секретности (PFS) для ключей сеансов IPSec. Режим PFS повышает безопасность, но в то же время увеличивает нагрузку на соединение. Убедитесь, что функция PFS включена и на других устройствах.
[Указать по времени]/[Указать по размеру]
Укажите условия прекращения сессии IPSec SA. Соединение IPSec SA используется в качестве туннеля связи. При необходимости установите один или оба флажка. Если флажки установлены, сессия IPSec SA прекращается при выполнении любого из условий.
Укажите условия прекращения сессии IPSec SA. Соединение IPSec SA используется в качестве туннеля связи. При необходимости установите один или оба флажка. Если флажки установлены, сессия IPSec SA прекращается при выполнении любого из условий.
|
[Указать по времени]
|
Введите продолжительность сессии в минутах.
|
|
[Указать по размеру]
|
Укажите максимальный объем данных для передачи во время сессии в мегабайтах.
|
[Выбор алгоритма]
Установите флажок [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимости от заголовка IPSec и использующегося алгоритма. Алгоритм AES-GCM подходит как для аутентификации, так и для шифрования. Если выбрано [ESP], выберите также алгоритмы аутентификации и шифрования из раскрывающихся списков [Аутентификация ESP] и [Шифрование ESP].
Установите флажок [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимости от заголовка IPSec и использующегося алгоритма. Алгоритм AES-GCM подходит как для аутентификации, так и для шифрования. Если выбрано [ESP], выберите также алгоритмы аутентификации и шифрования из раскрывающихся списков [Аутентификация ESP] и [Шифрование ESP].
|
[Аутентификация ESP]
|
Для включения аутентификации ESP выберите [SHA1] в качестве хэш-алгоритма. Выберите [Не использовать] для отключения аутентификации ESP.
|
|
[Шифрование ESP]
|
Выберите алгоритм шифрования ESP. Выберите [NULL], чтобы не указывать алгоритм, или [Не использовать], чтобы отключить шифрование ESP.
|
[Режим соединения]
Отображается режим с установлением соединения IPSec. Аппарат поддерживает режим передачи, при котором шифруется полезная часть IP-пакета. Туннельный режим, при котором происходит инкапсуляция всего IP-пакета (заголовок и полезная часть), недоступен.
Отображается режим с установлением соединения IPSec. Аппарат поддерживает режим передачи, при котором шифруется полезная часть IP-пакета. Туннельный режим, при котором происходит инкапсуляция всего IP-пакета (заголовок и полезная часть), недоступен.
11
Щелкните [OK].
При необходимости зарегистрировать дополнительную концепцию безопасности, вернитесь к шагу 6.
12
Задайте порядок применения концепций в списке [Зарегистрированные политики IPSec].
Концепции применяются в порядке от верхней к нижней. Щелкните [Вверх] или [Вниз], чтобы переместить концепцию вверх или вниз по списку.
Редактирование политики
Перейдите по соответствующей ссылке в разделе [Имя политики], чтобы открыть окно редактирования.
Удаление политики
Щелкните [Удалить] справа от имени политики, которую необходимо удалить, щелкните [OK].
щелкните [OK].13
Перезапустите аппарат.
Выключите аппарат и подождите как минимум 10 секунд, прежде чем включить его снова.
|
|
Использование панели управленияМожно также включить или отключить функцию передачи данных IPSec в <Меню> на экране Главный. Использовать IPSec
|