Настройка параметров IPSec
IPSec или IPsec — это протокол, который подходит для шифрования данных, передающихся по сети, в том числе и Интернету. В то время как TLS шифрует только данные, использующиеся в определенных приложениях, например, веб-браузере или почтовом клиенте, шифрование IPSec обеспечивает защиту всех IP-пакетов или полезной их части, обеспечивая тем самым более надежную защиту. Функция IPSec аппарата работает в режиме передачи, при котором шифруется полезная часть IP-пакета. Благодаря этой функции аппарат можно подключить напрямую к компьютеру, который находится в той же виртуальной частной сети (VPN). Перед настройкой аппарата проверьте системные требования и настройте необходимые параметры на компьютере.
Требования к системе
Протокол IPSec, поддерживаемый аппаратом, соответствует стандартам RFC4301, RFC4302, RFC4303 и RFC4305.
|
Операционные системы, поддерживаемые партнерами по связи
|
Windows Vista/7/8/10/Server 2008/Server 2012
|
|
|
Режим с установлением соединения
|
Режим передачи
|
|
|
Протокол распределения ключей
|
IKEv1
|
|
|
Режим печати
|
Основной режим
Агрессивный режим
|
|
|
Метод аутентификации
|
Предварительный ключ
Цифровая подпись
|
|
|
Хэш-алгоритм
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Алгоритм шифрования
(и длина ключа) |
3DES-CBC
AES-CBC (128 бит, 192 бита или 256 бит)
|
|
|
Алгоритм/группа распределения ключей (и длина ключа)
|
Алгоритм Диффи — Хеллмана (DH)
Группа 1 (768 бит)
Группа 2 (1024 бита)
Группа 14 (2048 бит)
|
|
|
ESP (Encapsulating Security Payload)
|
Хэш-алгоритм
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Алгоритм шифрования
(и длина ключа) |
3DES-CBC
AES-CBC (128 бит, 192 бита или 256 бит)
|
|
|
AH (Authentication Header)
|
Хэш-алгоритм
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Перед настройкой параметров связи IPSecПроверьте параметры IPSec в операционной системе, с которой аппарат будет обмениваться данными. При неправильном сочетании настроек операционной системы и аппарата связь IPSec невозможна.
|
 |
Функциональные ограничения IPSecIPSec поддерживает передачу данных на однопунктовые адреса (или одиночные устройства).
Аппарат не может одновременно использовать протоколы IPSec и DHCPv6.
Протокол IPSec недоступен в сетях с преобразованием IP-адресов (NAT).
В IKEv1 phase1 функция PFS не поддерживается.
Использование IPSec с фильтрацией IP-адресовВо время приема пакетов настройки IPSec применяются до настроек фильтрации IP-адресов; во время передачи пакетов сначала применяются настройки IP-адреса, затем настройки IPSec. Указание IP-адресов по правилам брандмауэра
|
Регистрация политик безопасности
Чтобы использовать протокол IPSec для шифрованной связи, перед включением настроек IPSec необходимо зарегистрировать политики безопасности (SP) (Включение связи IPSec). Политика безопасности включает группы параметров, описанных ниже. Можно зарегистрировать до 10 концепций. Можно зарегистрировать несколько политик в зависимости от сочетания IP-адреса и номера порта. После регистрации политик укажите порядок их применения.
Селектор
Селектор определяет условия применения IPSec для передачи IP-пакетов. Эти условия включают IP-адреса и номера портов аппарата и устройства, между которыми будет происходить обмен данными.
Протокол IKE
IKE настраивает IKEv1, который используется для протокола распределения ключей. Помните, что инструкции зависят от выбранного метода аутентификации.
[Способ защищенного общего ключа]
Совместно с другими устройствами может использоваться ключ, состоящий из 24 алфавитно-цифровых символов. Заранее включите протокол TLS для Удаленного ИП (Использование TLS для шифрованной связи).
Совместно с другими устройствами может использоваться ключ, состоящий из 24 алфавитно-цифровых символов. Заранее включите протокол TLS для Удаленного ИП (Использование TLS для шифрованной связи).
[Способ цифровой подписи]
Данное устройство, а также другие подобные устройства, опознают друг друга путем выполнения операции взаимного подтверждения своих цифровых подписей. Подготовьте пару ключей для использования (Использование пар ключей и цифровых сертификатов, выданных центром сертификации (СА)).
Данное устройство, а также другие подобные устройства, опознают друг друга путем выполнения операции взаимного подтверждения своих цифровых подписей. Подготовьте пару ключей для использования (Использование пар ключей и цифровых сертификатов, выданных центром сертификации (СА)).
Задание протоколов и параметров
Укажите параметры для ESP и AH, которые добавляются к пакету во время передачи IPSec. ESP и AH не могут использоваться в одно и то же время. Вы также можете включить PFS для повышения безопасности.
1
Запустите Удаленный ИП и войдите в режиме управления. Запуск Удаленного ИП
2
Щелкните [Параметры/Регистрация].
3
Щелкните [Защита] 
[Настройки IPSec].
[Настройки IPSec].
4
Щелкните [Список концепций IPSec].
5
Щелкните [Регистрировать концепцию IPSec].
6
Введите имя политики в поле [Имя концепции] и установите флажок [Включить концепцию].
[Имя концепции]
Введите имя, использующееся для идентификации политики, длиной до 24 алфавитно-цифровых символов.
Введите имя, использующееся для идентификации политики, длиной до 24 алфавитно-цифровых символов.
[Включить концепцию]
Установите флажок для включения политики. Если политика не используется, снимите флажок.
Установите флажок для включения политики. Если политика не используется, снимите флажок.
7
Укажите параметры селектора.
[Локальный адрес]
Выберите тип IP-адреса аппарата для применения политики из следующего списка.
Выберите тип IP-адреса аппарата для применения политики из следующего списка.
|
[Все IP-адреса]
|
Использование IPSec для всех IP-пакетов.
|
|
[IPv4-адрес]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с аппарата на IPv4-адрес или поступают в него с этого адреса.
|
|
[IPv6-адрес]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с аппарата на IPv6-адрес или поступают в него с этого адреса.
|
|
[Настройки IPv4, задаваемые вручную]
|
Выберите, чтобы указать один адрес IPv4 или диапазон адресов IPv4, к которым будет применяться IPSec. Введите адрес IPv4 (или диапазон адресов) в текстовом поле [Адреса для задания вручную].
|
|
[Настройки IPv6, задаваемые вручную]
|
Выберите, чтобы указать один адрес IPv6 или диапазон адресов IPv6, к которым будет применяться IPSec. Введите адрес IPv6 (или диапазон адресов) в текстовом поле [Адреса для задания вручную].
|
[Адреса для задания вручную]
Если [Настройки IPv4, задаваемые вручную] или [Настройки IPv6, задаваемые вручную] выбраны для [Локальный адрес], введите IP-адрес для применения политики.
Если [Настройки IPv4, задаваемые вручную] или [Настройки IPv6, задаваемые вручную] выбраны для [Локальный адрес], введите IP-адрес для применения политики.
[Настройки подсети]
Указывая адресы IPv4 вручную, можно указать диапазон с помощью маски подсети. Укажите маску подсети, разделяя цифры точками (например: 255.255.255.240).
Указывая адресы IPv4 вручную, можно указать диапазон с помощью маски подсети. Укажите маску подсети, разделяя цифры точками (например: 255.255.255.240).
[Дистанционный адрес]
Выберите тип IP-адреса других устройств для применения политики из следующего списка.
Выберите тип IP-адреса других устройств для применения политики из следующего списка.
|
[Все IP-адреса]
|
Использование IPSec для всех IP-пакетов.
|
|
[Все IPv4-адреса]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с адреса IPv4 или на адрес IPv4.
|
|
[Все IPv6-адреса]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с адреса IPv6 или на адрес IPv6.
|
|
[Настройки IPv4, задаваемые вручную]
|
Выберите, чтобы указать один адрес IPv4 или диапазон адресов IPv4, к которым будет применяться IPSec. Введите адрес IPv4 (или диапазон адресов) в текстовом поле [Адреса для задания вручную].
|
|
[Настройки IPv6, задаваемые вручную]
|
Выберите, чтобы указать один адрес IPv6 или диапазон адресов IPv6, к которым будет применяться IPSec. Введите адрес IPv6 (или диапазон адресов) в текстовом поле [Адреса для задания вручную].
|
[Адреса для задания вручную]
Если [Настройки IPv4, задаваемые вручную] или [Настройки IPv6, задаваемые вручную] выбраны для [Дистанционный адрес], введите IP-адрес для применения политики.
Если [Настройки IPv4, задаваемые вручную] или [Настройки IPv6, задаваемые вручную] выбраны для [Дистанционный адрес], введите IP-адрес для применения политики.
[Настройки подсети]
Указывая адресы IPv4 вручную, можно указать диапазон с помощью маски подсети. Укажите маску подсети, разделяя цифры точками (например: 255.255.255.240).
Указывая адресы IPv4 вручную, можно указать диапазон с помощью маски подсети. Укажите маску подсети, разделяя цифры точками (например: 255.255.255.240).
[Локальный порт]/[Дистанционный порт]
При необходимости создать отдельную политику для каждого протокола, например HTTP или SMTP, введите номер соответствующего порта для протокола, чтобы указать, нужно ли использовать IPSec.
При необходимости создать отдельную политику для каждого протокола, например HTTP или SMTP, введите номер соответствующего порта для протокола, чтобы указать, нужно ли использовать IPSec.
Протокол IPSec не применяется к пакетам, для которых указан адрес многоадресной или широковещательной рассылки.
8
Укажите настройки IKE.
[Режим IKE]
Отображается режим, использующийся для протокола обмена ключами. Обычно следует выбирать основной режим.
Выбирайте агрессивный режим, если IP-адрес не фиксирован. Обратите внимание, что в агрессивном режиме безопасность ниже, чем в обычном режиме.
[Метод AUTH]
Выберите [Способ защищенного общего ключа] или [Способ цифровой подписи] для метода, используемого при аутентификации аппарата.
Выберите [Способ защищенного общего ключа] или [Способ цифровой подписи] для метода, используемого при аутентификации аппарата.
Если в пункте [Режим IKE] выбран агрессивный режим, при настройке [Способ защищенного общего ключа] общий ключ не шифруется.
[Алгоритм аутентификации/шифрования]
Для автоматического задания алгоритма, используемого при обмене ключами, установите флажок [Авто]. Если этот флажок установлен, алгоритм задается как указано ниже.
Для автоматического задания алгоритма, используемого при обмене ключами, установите флажок [Авто]. Если этот флажок установлен, алгоритм задается как указано ниже.
|
[Аутентификация]
|
[SHA1 и MD5]
|
|
[Шифрование]
|
[3DES-CBC и AES-CBC]
|
|
[Группа DH]
|
[Группа 2 (1024)]
|
Чтобы вручную задать алгоритм, снимите флажок и выберите алгоритм.
|
[Аутентификация]
|
Выберите хэш-алгоритм.
|
|
[Шифрование]
|
Выберите алгоритм шифрования.
|
|
[Группа DH]
|
Выберите группу шифрования по Диффи — Хеллману, номер группы определяет длину ключа.
|
Использование [Способ защищенного общего ключа] для аутентификации
|
1
|
Выберите значение [Способ защищенного общего ключа] для параметра [Метод AUTH] и нажмите [Параметры общего ключа].
|
|
2
|
Введите предварительный ключ длиной до 24 алфавитно-цифровых символов и нажмите [OK].
 |
Использование [Способ цифровой подписи] для аутентификации
|
1
|
Выберите значение [Способ цифровой подписи] для параметра [Метод AUTH] и нажмите [Ключ и сертификат].
|
|
2
|
Выберите пару ключей, которую требуется использовать, и нажмите [Настройки ключа по умолчанию].
 Просмотр информации о паре ключей или сертификате
Можно проверить информацию сертификате или подтвердить сертификат, щелкнув соответствующую текстовую ссылку под [Имя ключа] или нажав значок сертификата. Проверка пары ключей и цифровых сертификатов
|
9
Укажите параметры сети IPSec.
[Использовать PFS]
Установите этот флажок для включения режима совершенной прямой секретности (PFS) для ключей сеансов IPSec. Режим PFS повышает безопасность, но в то же время увеличивает нагрузку на соединение. Убедитесь, что функция PFS включена и на других устройствах. Если функция PFS не используется, снимите этот флажок.
[Действительность]
Укажите время, в течение которого сеанс SA используется в качестве туннеля связи. Установите флажок [Задать по времени], [Задать по размеру] или оба, как требуется. Если установлены оба флажка, сеанс SA протокола IPSec прерывается при выполнении любого из условий.
Укажите время, в течение которого сеанс SA используется в качестве туннеля связи. Установите флажок [Задать по времени], [Задать по размеру] или оба, как требуется. Если установлены оба флажка, сеанс SA протокола IPSec прерывается при выполнении любого из условий.
|
[Задать по времени]
|
Введите продолжительность сеанса в минутах. Введенное время применяется для IPSec SA и IKE SA.
|
|
[Задать по размеру]
|
Укажите максимальный объем данных для передачи во время сеанса в мегабайтах. Введенный размер применяется только для IPSec SA.
|
Если установлен только флажок [Задать по размеру]
Действительность сеанса IKE SA не может быть задана его размером, поэтому применяется исходное значение (480 минут) параметра [Задать по времени].
[Алгоритм аутентификации/шифрования]
Выберите протокол и алгоритм, используемые для связи по протоколу IPSec.
Выберите протокол и алгоритм, используемые для связи по протоколу IPSec.
Автоматическое установление соединенияВыберите [Авто].
|
[Аутентификация ESP]
|
ESP включен, задается алгоритм аутентификации [SHA1 и MD5].
|
|
[Шифрование ESP]
|
ESP включен, задается алгоритм шифрования [3DES-CBC и AES-CBC].
|
Использование ESPВыберите пункт [ESP], затем выберите алгоритмы аутентификации и шифрования.
|
[Аутентификация ESP]
|
Выберите алгоритм хеширования, используемый для аутентификации ESP.
|
|
[Шифрование ESP]
|
Выберите алгоритм шифрования для ESP.
|
Использование AHВыберите пункт [AH], затем выберите алгоритм хеширования, используемый для аутентификации AH, в поле [Аутентификация AH].
[Режим соединения]
Отображается режим с установлением соединения IPSec. Аппарат поддерживает режим передачи, при котором шифруется полезная часть IP-пакета. Туннельный режим, при котором происходит инкапсуляция всего IP-пакета (заголовок и полезная часть), недоступен.
Отображается режим с установлением соединения IPSec. Аппарат поддерживает режим передачи, при котором шифруется полезная часть IP-пакета. Туннельный режим, при котором происходит инкапсуляция всего IP-пакета (заголовок и полезная часть), недоступен.
10
Щелкните [OK].
При необходимости зарегистрировать дополнительную концепцию безопасности, вернитесь к шагу 5.
11
Задайте порядок применения концепций в списке [Список концепций IPSec].
Концепции применяются в порядке от верхней к нижней. Щелкните [Повысить приоритет] или [Понизить приоритет], чтобы переместить концепцию вверх или вниз по списку.
Редактирование политики
Для изменения настроек можно нажать текстовую ссылку в столбце [Имя концепции].
Удаление политики
Щелкните [Удалить] справа от политики, которую требуется удалить.
12
Выполните полную перезагрузку.
Нажмите [Контроль устройства], выберите [Полный сброс], затем нажмите [Выполнить].
Настройки вводятся в действие после полной перезагрузки.
Включение связи IPSec
После завершения регистрации политик безопасности включите связь IPSec.
1
Запустите Удаленный ИП и войдите в режиме управления. Запуск Удаленного ИП
2
Щелкните [Параметры/Регистрация].
3
Щелкните [Защита] [Настройки IPSec].
[Настройки IPSec].4
Щелкните [Правка].
5
Установите флажок [Использовать IPSec] и щелкните [OK].
[Использовать IPSec]
Если в аппарате используется IPSec, установите этот флажок. Если не используется, снимите этот флажок.
[Разрешить прием пакетов вне концепции]
Если при использовании IPSec установлен этот флажок, также отправляются и принимаются пакеты, недоступные для зарегистрированных политик. Чтобы отключить отправку и прием пакетов, недоступных для политик, снимите этот флажок.
Если при использовании IPSec установлен этот флажок, также отправляются и принимаются пакеты, недоступные для зарегистрированных политик. Чтобы отключить отправку и прием пакетов, недоступных для политик, снимите этот флажок.
6
Выполните полную перезагрузку.
Нажмите [Контроль устройства], выберите [Полный сброс], затем нажмите [Выполнить].
Настройки вводятся в действие после полной перезагрузки.
|
|
Использование панели управленияСвязь IPSec можно также включать и отключать из меню настройки на панели управления. IPSec
|