Настроювання параметрів протоколу IPSec
Інтернет-протокол безпеки (IPSec або IPsec) — це пакет протоколів для шифрування даних, які передаються через мережу, зокрема через інтернет-мережі. Протокол TLS шифрує лише дані, які використовуються для певної програми, як-от веб-браузер або прикладна програма електронної пошти, тоді як IPSec шифрує всі IP-пакети або значущу інформацію IP-пакетів, забезпечуючи гнучкішу систему безпеки. Протокол IPSec апарата працює в режимі передавання, під час якого шифрується значуща інформація IP-пакетів. З цією функцією апарат може підключатися безпосередньо до комп’ютера, який перебуває в тій самій віртуальній приватній мережі (VPN). Перевірте системні вимоги та встановіть необхідні параметри на комп’ютері перед настроюванням апарата.
Системні вимоги
Протокол IPSec, який підтримується апаратом, відповідає RFC2401, RFC2402, RFC2406 і RFC4305.
|
Операційна система
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Режим зв’язку
|
Режим передавання
|
|
|
Протокол ключового обміну
|
IKEv1 (основний режим)
|
|
|
Метод автентифікації
|
Попередньо наданий ключ
Цифровий підпис
|
|
|
Алгоритм гешування
(та довжина ключа) |
HMAC-SHA1-96
HMAC-SHA2 (256 біт або 384 біт)
|
|
|
Алгоритм шифрування
(та довжина ключа) |
3DES-CBC
AES-CBC (128 біт, 192 біт або 256 біт)
|
|
|
Алгоритм та/або група ключового обміну (і довжина ключа)
|
Діффі-Геллмана (DH)
Група 1 (768 біт)
Група 2 (1024 біт)
Група 14 (2048 бітів)
|
|
|
ESP
|
Алгоритм гешування
|
HMAC-SHA1-96
|
|
Алгоритм шифрування
(та довжина ключа) |
3DES-CBC
AES-CBC (128 біт, 192 біт або 256 біт)
|
|
|
Алгоритм гешування та/або алгоритм шифрування (і довжина ключа)
|
AES-GCM (128 біт, 192 біт або 256 біт)
|
|
|
AH
|
Алгоритм гешування
|
HMAC-SHA1-96
|
 |
Функціональні обмеження протоколу IPSecПротокол IPSec підтримує одноадресне передавання даних (або зв’язок з одним пристроєм).
Апарат не може використовувати протоколи IPSec і DHCPv6 одночасно.
Протокол IPSec недоступний у мережах, у яких виконується трансформація мережевих адрес або перетворення IP.
Використання протоколу IPSec із фільтром IP-адресПараметри фільтра IP-адрес пріоритетніші за політики IPSec.Зазначення IP-адрес для правил брандмауера
|
Настроювання параметрів протоколу IPSec
Перед використанням протоколу IPSec для зашифрованого зв’язку потрібно зареєструвати політики безпеки (SP). Політика безпеки складається з груп параметрів, які описані нижче. Можна зареєструвати до 10 політик. Після реєстрації політик укажіть порядок, у якому вони застосовуються.
Селектор
Селектор визначає умови для IP-пакетів із метою застосування зв’язку IPSec. Доступні умови включають IP-адреси та номери портів апарата та пристроїв для зв’язку.
Протокол IKE
Протокол IKE настроює IKEv1, який використовується для протоколу ключового обміну. Зверніть увагу, що інструкції відрізняються залежно від обраного методу автентифікації.
[Pre-Shared Key Method]
Ключ завдовжки до 24 символів (букви та цифри) може одночасно використовуватися на кількох пристроях. Перш ніж використовувати цей метод автентифікації, слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Увімкнення зашифрованого зв’язку TLS для Remote UI (Інтерфейс віддаленого користувача)).
Ключ завдовжки до 24 символів (букви та цифри) може одночасно використовуватися на кількох пристроях. Перш ніж використовувати цей метод автентифікації, слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Увімкнення зашифрованого зв’язку TLS для Remote UI (Інтерфейс віддаленого користувача)).
[Digital Signature Method]
Апарат та інші пристрої автентифікують один одного, взаємно перевіряючи свої цифрові підписи. Створіть або інсталюйте пару ключів заздалегідь (див. розділ Настроювання параметрів для пар ключів і цифрових сертифікатів).
Апарат та інші пристрої автентифікують один одного, взаємно перевіряючи свої цифрові підписи. Створіть або інсталюйте пару ключів заздалегідь (див. розділ Настроювання параметрів для пар ключів і цифрових сертифікатів).
AH/ESP
Зазначте параметри для AH/ESP, які додаються до пакетів під час зв’язку IPSec. AH та ESP можна використовувати одночасно. Можна також активувати PFS для забезпечення надійнішої безпеки.
1
Запустіть Remote UI (Інтерфейс віддаленого користувача) і виконайте вхід у режимі системного адміністратора. Початок роботи з Remote UI (Інтерфейс віддаленого користувача)
2
Клацніть елемент [Settings/Registration].
3
Клацніть елементи [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Клацніть елемент [Edit].
5
Установіть прапорець [Use IPSec] і натисніть кнопку [OK].
Зніміть прапорець [Receive Non-Policy Packets], якщо для апарата потрібно встановити отримання лише тих пакетів, які збігаються принаймні з однією визначеною нижче політикою безпеки.
6
Клацніть елемент [Register New Policy].
7
Укажіть параметри політики.
|
1
|
У текстовому полі [Policy Name] введіть до 24 символів (букви й цифри) для назви, яка використовується для ідентифікації політики.
|
|
2
|
Установіть прапорець [Enable Policy].
 |
8
Укажіть параметри селектора.
[Local Address]
Натисніть селективну кнопку біля потрібного типу IP-адреси апарата, щоб застосувати відповідну політику.
Натисніть селективну кнопку біля потрібного типу IP-адреси апарата, щоб застосувати відповідну політику.
|
[All IP Addresses]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів.
|
|
[IPv4 Address]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються до або з IPv4-адреси апарата.
|
|
[IPv6 Address]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються до або з IPv6-адреси апарата.
|
[Remote Address]
Натисніть селективну кнопку біля потрібного типу IP-адреси інших пристроїв, щоб застосувати відповідну політику.
Натисніть селективну кнопку біля потрібного типу IP-адреси інших пристроїв, щоб застосувати відповідну політику.
|
[All IP Addresses]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів.
|
|
[All IPv4 Addresses]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються до або з IPv4-адрес інших пристроїв.
|
|
[All IPv6 Addresses]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються до або з IPv6-адрес інших пристроїв.
|
|
[IPv4 Manual Settings]
|
Виберіть, щоб указати єдину IPv4-адресу або діапазон IPv4-адрес, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv4-адресу або діапазон таких адрес.
|
|
[IPv6 Manual Settings]
|
Виберіть, щоб указати єдину IPv6-адресу або діапазон IPv6-адрес, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv6-адресу або діапазон таких адрес.
|
[Addresses to Set Manually]
Якщо для параметра [Remote Address] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику. Також можна ввести діапазон адрес, вставляючи між ними дефіс.
Якщо для параметра [Remote Address] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику. Також можна ввести діапазон адрес, вставляючи між ними дефіс.
Введення IP-адрес
|
Опис
|
Приклад
|
|
|
Введення однієї адреси
|
IPv4:
Розмежовуйте числа крапками. |
192.168.0.10
|
|
IPv6:
Розмежовуйте символи двокрапками. |
fe80::10
|
|
|
Зазначення діапазону адрес
|
Вставте дефіс між адресами.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
[Prefix Length]
Вказуючи діапазон адрес IPv6 вручну, ви також можете вказати діапазон за допомогою префіксів. Введіть діапазон від 0 до 128 для довжини префікса.
Вказуючи діапазон адрес IPv6 вручну, ви також можете вказати діапазон за допомогою префіксів. Введіть діапазон від 0 до 128 для довжини префікса.
[Local Port]/[Remote Port]
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP і SMTP), введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP і SMTP), введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
Протокол IPSec не застосовується до наведених нижче пакетів
Пакети замикання на себе, пакети багатопотокового й широкомовного передавання
Пакети IKE (використовуючи UDP на порту 500)
Пакети ICMPv6 (запит на доступних сусідів та відповідь сусіда)
9
Укажіть параметри протоколу IKE.
[IKE Mode]
Відображається режим, який використовується для протоколу ключового обміну. Апарат підтримує основний режим, динамічний режим не підтримується.
Відображається режим, який використовується для протоколу ключового обміну. Апарат підтримує основний режим, динамічний режим не підтримується.
[Authentication Method]
Виберіть елемент [Pre-Shared Key Method] або [Digital Signature Method] для методу, який використовувався під час автентифікації апарата. Перш ніж використовувати метод автентифікації [Pre-Shared Key Method], слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Увімкнення зашифрованого зв’язку TLS для Remote UI (Інтерфейс віддаленого користувача)). Потрібно створити або інсталювати пару ключів, перш ніж вибирати елемент [Digital Signature Method] (Настроювання параметрів для пар ключів і цифрових сертифікатів).
Виберіть елемент [Pre-Shared Key Method] або [Digital Signature Method] для методу, який використовувався під час автентифікації апарата. Перш ніж використовувати метод автентифікації [Pre-Shared Key Method], слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Увімкнення зашифрованого зв’язку TLS для Remote UI (Інтерфейс віддаленого користувача)). Потрібно створити або інсталювати пару ключів, перш ніж вибирати елемент [Digital Signature Method] (Настроювання параметрів для пар ключів і цифрових сертифікатів).
[Valid for]
Укажіть тривалість сеансу для IKE SA (ISAKMP SA). Введіть час у хвилинах.
Укажіть тривалість сеансу для IKE SA (ISAKMP SA). Введіть час у хвилинах.
[Authentication]/[Encryption]/[DH Group]
У розкривному списку виберіть алгоритм. Кожен алгоритм використовується для ключового обміну.
У розкривному списку виберіть алгоритм. Кожен алгоритм використовується для ключового обміну.
|
[Authentication]
|
Виберіть алгоритм гешування.
|
|
[Encryption]
|
Виберіть алгоритм шифрування.
|
|
[DH Group]
|
Виберіть групу Діффі – Геллмана, яка визначає стійкість ключа.
|
Використання попередньо наданого ключа для автентифікації
|
1
|
Натисніть селективну кнопку [Pre-Shared Key Method] для [Authentication Method], а потім натисніть кнопку [Shared Key Settings].
|
|
2
|
Введіть щонайбільше 24 символи (букви й цифри) для попередньо наданого ключа, а потім натисніть кнопку [OK].
 |
|
3
|
Укажіть параметри [Valid for] і [Authentication]/[Encryption]/[DH Group].
|
Використання пари ключів та попередньо інстальованих сертифікатів CA для автентифікації
|
1
|
Натисніть селективну кнопку [Digital Signature Method] для [Authentication Method], а потім натисніть кнопку [Key and Certificate].
|
|
2
|
Натисніть кнопку [Register Default Key] праворуч від пари ключів, яку слід використати.
 Перегляд докладних відомостей про пари ключів або сертифікат
Можна перевірити докладні відомості про сертифікат або перевірити сертифікат, вибравши відповідне текстове посилання в рядку [Key Name] або піктограму сертифіката. Перевірка пар ключів і цифрових сертифікатів
|
|
3
|
Укажіть параметри [Valid for] і [Authentication]/[Encryption]/[DH Group].
|
10
Укажіть параметри мережі IPSec.
[Use PFS]
Установіть цей прапорець, щоб увімкнути функцію досконалої прямої секретності (PFS) для ключів сеансу IPSec. Увімкнення функції PFS покращує безпеку, проте збільшує обсяг даних, що передаються. Переконайтеся, що функцію PFS активовано також на інших пристроях.
Установіть цей прапорець, щоб увімкнути функцію досконалої прямої секретності (PFS) для ключів сеансу IPSec. Увімкнення функції PFS покращує безпеку, проте збільшує обсяг даних, що передаються. Переконайтеся, що функцію PFS активовано також на інших пристроях.
[Specify by Time]/[Specify by Size]
Налаштуйте умови завершення сеансу для IPSec SA. IPSec SA використовується як тунель зв’язку. За потребою установіть один або два прапорці. Якщо встановлено два прапорці, сеанс IPSec SA завершується після виконання однієї з умов.
Налаштуйте умови завершення сеансу для IPSec SA. IPSec SA використовується як тунель зв’язку. За потребою установіть один або два прапорці. Якщо встановлено два прапорці, сеанс IPSec SA завершується після виконання однієї з умов.
|
[Specify by Time]
|
Введіть час у хвилинах, щоб указати тривалість сеансу.
|
|
[Specify by Size]
|
Введіть розмір у мегабайтах, щоб указати скільки даних можна передати за сеанс.
|
[Select Algorithm]
Установіть прапорець (прапорці) [ESP], [ESP (AES-GCM)] або [AH (SHA1)] залежно від використаних заголовка IPSec і алгоритму. AES-GCM – це алгоритм для автентифікації та шифрування. Якщо вибрано елемент [ESP], виберіть також алгоритми для автентифікації та шифрування з розкривних списків [ESP Authentication] і [ESP Encryption].
Установіть прапорець (прапорці) [ESP], [ESP (AES-GCM)] або [AH (SHA1)] залежно від використаних заголовка IPSec і алгоритму. AES-GCM – це алгоритм для автентифікації та шифрування. Якщо вибрано елемент [ESP], виберіть також алгоритми для автентифікації та шифрування з розкривних списків [ESP Authentication] і [ESP Encryption].
|
[ESP Authentication]
|
Щоб увімкнути автентифікацію ESP, виберіть елемент [SHA1] для алгоритму гешування. Виберіть елемент [Do Not Use], якщо потрібно вимкнути автентифікацію ESP.
|
|
[ESP Encryption]
|
Виберіть алгоритм шифрування для протоколу ESP. Якщо алгоритм використовувати не потрібно, виберіть параметр [NULL]. Щоб вимкнути шифрування за протоколом ESP, виберіть параметр [Do Not Use].
|
[Connection Mode]
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
11
Клацніть елемент [OK].
Якщо потрібно зареєструвати додаткову політику безпеки, поверніться до кроку 6.
12
Упорядкуйте список політик, що знаходиться під елементом [Registered IPSec Policies].
Політики застосовуються в порядку спадання (від найвищої до найнижчої). Натисніть елемент [Up] або [Down], щоб перемістити політику вгору або вниз у списку.
Змінення політики
Щоб відобразити екран для редагування, у стовпці [Policy Name] виберіть відповідне текстове посилання.
Видалення політики
Праворуч від імені політики, яку потрібно видалити, натисніть кнопку [Delete] і натисніть кнопку [OK].
і натисніть кнопку [OK].13
Перезапустіть апарат.
Вимкніть апарат, зачекайте принаймні 10 секунд і знову ввімкніть його.
|
|
Використання панелі керуванняЗв’язок IPSec можна також увімкнути або вимкнути, скориставшись кнопкою <Menu> на екрані Home. Use IPSec
|