Konfiguracja ustawień protokołu IPSec
Internet Protocol Security (IPSec lub IPsec) to pakiet protokołów do szyfrowania danych transportowanych w sieci, w tym w sieciach internetowych. Podczas gdy protokół TLS szyfruje tylko dane używane w poszczególnych aplikacjach, np. przeglądarce internetowej lub aplikacji pocztowej, protokół IPSec szyfruje całe pakiety IP lub ich ładunki, zapewniając bardziej kompleksowy system zabezpieczeń. Protokół IPSec urządzenia pracuje w trybie transportu, w którym szyfrowane są ładunki pakietów IP. Dzięki tej funkcji urządzenie może bezpośrednio łączyć się z komputerem znajdującym się w tej samej wirtualnej sieci prywatnej (VPN). Sprawdź wymagania systemowe i odpowiednio skonfiguruj komputer przed przystąpieniem do konfiguracji urządzenia.
Wymagania systemowe
Obsługiwany przez urządzenie protokół IPSec jest zgodny z normami RFC4301, RFC4302, RFC4303 i RFC4305.
|
Systemy operacyjne obsługiwane przez partnerów komunikacyjnych
|
Windows Vista/7/8/10/Server 2008/Server 2012
|
|
|
Tryb połączenia
|
Tryb transportu
|
|
|
Protokół wymiany kluczy
|
IKEv1
|
|
|
Tryb drukowania
|
Tryb główny
Tryb agresywny
|
|
|
Metoda uwierzytelniania
|
Klucz współdzielony
Podpis cyfrowy
|
|
|
Algorytm hashowania
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Algorytm szyfrowania
(i długość klucza) |
3DES-CBC
AES-CBC (128 bitów, 192 bity lub 256 bitów)
|
|
|
Algorytm/grupa wymiany kluczy (i długość klucza)
|
Diffie-Hellman (DH)
Grupa 1 (768 bitów)
Grupa 2 (1024 bitów)
Grupa 14 (2048 bitów)
|
|
|
ESP (Encapsulating Security Payload)
|
Algorytm hashowania
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Algorytm szyfrowania
(i długość klucza) |
3DES-CBC
AES-CBC (128 bitów, 192 bity lub 256 bitów)
|
|
|
AH (nagłówek uwierzytelniania)
|
Algorytm hashowania
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Przed przystąpieniem do konfiguracji ustawień komunikacji IPSecSprawdź ustawienia IPSec w systemie operacyjnym, z którym będzie się komunikować urządzenie. Niewłaściwa kombinacja ustawień systemu operacyjnego i ustawień urządzenia spowoduje wyłączenie komunikacji IPSec.
|
 |
Ograniczenie funkcji protokołu IPSecProtokół IPSec obsługuje komunikację do adresów emisji pojedynczej (lub jednego urządzenia).
Nie jest możliwe jednoczesne używanie protokołu IPSec i DHCPv6.
Protokół IPSec jest niedostępny w sieciach z maskowaniem NAT lub IP.
W IKEv1 faza1 protokół PFS nie jest obsługiwany.
Używanie protokołu IPSec z filtrem adresów IPUstawienia IPSec są nadrzędne względem ustawień filtra adresów IP podczas odbioru pakietu, natomiast ustawienia adresu IP są nadrzędne w stosunku do ustawień IPSec podczas wysyłania pakietu. Określanie adresów IP dla zasad zapory
|
Rejestrowanie strategii bezpieczeństwa
Aby użyć protokołu IPSec do szyfrowania komunikacji należy zarejestrować zasady bezpieczeństwa (SP) przed aktywacją ustawień IPSec (Włączanie komunikacji z użyciem protokołu IPSec). Zasada bezpieczeństwa składa się z grupy ustawień opisanych poniżej. Można zarejestrować maksymalnie 10 zasad. Istnieje możliwość zarejestrowania wielu zasad według kombinacji adresu IP i numeru portu. Po zakończeniu rejestracji zasad należy określić kolejność ich stosowania.
Selektor
Selektor określa warunki dla pakietów IP w celu zastosowania komunikacji z szyfrowaniem IPSec. Dostępne warunki to m.in. adresy IP i numery portów urządzenia oraz urządzeń, z którymi chcesz nawiązać komunikację.
IKE
Protokół IKE służy do konfiguracji wersji IKEv1 używanej do protokołowania wymiany kluczy. Należy zauważyć, że instrukcje różnią się w zależności od wybranej metody uwierzytelniania.
[Metoda klucza współdzielonego]
Klucz składający się maksymalnie z 24 znaków alfanumerycznych można udostępniać innym urządzeniom. Uprzednio należy aktywować protokół TLS dla Zdalnego interfejsu użytkownika (Korzystanie z protokołu TLS do komunikacji szyfrowanej).
Klucz składający się maksymalnie z 24 znaków alfanumerycznych można udostępniać innym urządzeniom. Uprzednio należy aktywować protokół TLS dla Zdalnego interfejsu użytkownika (Korzystanie z protokołu TLS do komunikacji szyfrowanej).
[Metoda podpisu cyfrowego]
To i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemne weryfikowanie podpisów cyfrowych. Najpierw przygotuj parę kluczy (Używanie wygenerowanych przez CA par kluczy i certyfikatów cyfrowych).
To i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemne weryfikowanie podpisów cyfrowych. Najpierw przygotuj parę kluczy (Używanie wygenerowanych przez CA par kluczy i certyfikatów cyfrowych).
Ustawianie protokołów i opcji
Określ ustawienia protokołów ESP i AH, które są dodawane do pakietów w trakcie trwania komunikacji z użyciem protokołu IPSec. Protokołów ESP i AH nie można używać równolegle. Można także włączyć protokół PFS w celu zwiększenia zabezpieczeń.
1
Uruchom Zdalny interfejs użytkownika i zaloguj się w trybie zarządzania. Uruchamianie Zdalnego interfejsu użytkownika
2
Kliknij [Ustawienia/Rejestracja].
3
Kliknij [Zabezpieczenia] 
[Ustawienia IPSec].
[Ustawienia IPSec].
4
Kliknij [Lista polityk IPSec].
5
Kliknij [Rejestruj politykę IPSec].
6
Wpisz nazwę zasady w polu [Nazwa polityki] i zaznacz pole wyboru [Włącz politykę].
[Nazwa polityki]
W tym polu wprowadź nazwę zasady składającą się maksymalnie z 24 znaków alfanumerycznych.
W tym polu wprowadź nazwę zasady składającą się maksymalnie z 24 znaków alfanumerycznych.
[Włącz politykę]
Zaznaczenie tego pola wyboru spowoduje włączenie zasad. Jeśli zasady nie są używane, należy usunąć zaznaczenie pola wyboru.
Zaznaczenie tego pola wyboru spowoduje włączenie zasad. Jeśli zasady nie są używane, należy usunąć zaznaczenie pola wyboru.
7
Określ ustawienia selektora.
[Adres lokalny]
Umożliwia wybór typu adresu IP urządzenia w celu zastosowania zasady z następującej listy.
Umożliwia wybór typu adresu IP urządzenia w celu zastosowania zasady z następującej listy.
|
[Wszystkie adresy IP]
|
Wybierz tę opcję, aby używać protokołu IPSec dla wszystkich pakietów IP.
|
|
[Adres IPv4]
|
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv4 urządzenia lub z tego adresu.
|
|
[Adres IPv6]
|
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv6 urządzenia lub z tego adresu.
|
|
[Ustawienia ręczne IPv4]
|
Wybierz tę opcję, aby określić pojedynczy adres IPv4 lub zakres adresów IPv4, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv4 (lub zakres) w polu tekstowym [Adres ustawiany ręcznie].
|
|
[Ustawienia ręczne IPv6]
|
Wybierz tę opcję, aby określić pojedynczy adres IPv6 lub zakres adresów IPv6, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv6 (lub zakres) w polu tekstowym [Adres ustawiany ręcznie].
|
[Adres ustawiany ręcznie]
Jeśli wybrano opcje ustawień [Ustawienia ręczne IPv4] lub [Ustawienia ręczne IPv6] dla pozycji [Adres lokalny], wprowadź adres IP, aby zastosować zasady.
Jeśli wybrano opcje ustawień [Ustawienia ręczne IPv4] lub [Ustawienia ręczne IPv6] dla pozycji [Adres lokalny], wprowadź adres IP, aby zastosować zasady.
[Ustawienia podsieci]
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład:„255.255.255.240”).
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład:„255.255.255.240”).
[Zdalny adres]
Wybierz typ adresu IP innego urządzenia, aby zastosować zasadę.
Wybierz typ adresu IP innego urządzenia, aby zastosować zasadę.
|
[Wszystkie adresy IP]
|
Wybierz tę opcję, aby używać protokołu IPSec dla wszystkich pakietów IP.
|
|
[Wszystkie adresy IPv4]
|
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv4 lub z tego adresu.
|
|
[Wszystkie adresy IPv6]
|
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv6 lub z tego adresu.
|
|
[Ustawienia ręczne IPv4]
|
Wybierz tę opcję, aby określić pojedynczy adres IPv4 lub zakres adresów IPv4, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv4 (lub zakres) w polu tekstowym [Adres ustawiany ręcznie].
|
|
[Ustawienia ręczne IPv6]
|
Wybierz tę opcję, aby określić pojedynczy adres IPv6 lub zakres adresów IPv6, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv6 (lub zakres) w polu tekstowym [Adres ustawiany ręcznie].
|
[Adres ustawiany ręcznie]
Jeśli wybrano opcje ustawień [Ustawienia ręczne IPv4] lub [Ustawienia ręczne IPv6] dla pozycji [Zdalny adres], wprowadź adres IP, aby zastosować zasady.
Jeśli wybrano opcje ustawień [Ustawienia ręczne IPv4] lub [Ustawienia ręczne IPv6] dla pozycji [Zdalny adres], wprowadź adres IP, aby zastosować zasady.
[Ustawienia podsieci]
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład:„255.255.255.240”).
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład:„255.255.255.240”).
[Port lokalny]/[Port zdalny]
Aby utworzyć osobne zasady dla każdego protokołu, np. HTTP czy SMTP, wprowadź odpowiedni numer portu dla protokołu, aby zdecydować o stosowaniu lub niestosowaniu protokołu IPSec.
Aby utworzyć osobne zasady dla każdego protokołu, np. HTTP czy SMTP, wprowadź odpowiedni numer portu dla protokołu, aby zdecydować o stosowaniu lub niestosowaniu protokołu IPSec.
Protokół IPSec nie jest stosowany do pakietów, dla których określono adres multiemisji lub emisji.
8
Określ ustawienia protokołu IKE.
[Tryb IKE]
Wyświetlony jest tryb używany do protokołu wymiany kluczy. Normalnie należy wybrać tryb główny.
Jeśli adres IP nie jest stały, należy wybrać tryb agresywny. Trzeba pamiętać, że poziom bezpieczeństwa w trybie agresywnym jest niższy niż w trybie normalnym.
[Metoda AUTH]
Wybierz opcję [Metoda klucza współdzielonego] lub [Metoda podpisu cyfrowego] dla metody stosowanej podczas uwierzytelniania urządzenia.
Wybierz opcję [Metoda klucza współdzielonego] lub [Metoda podpisu cyfrowego] dla metody stosowanej podczas uwierzytelniania urządzenia.
Po wybraniu trybu agresywnego w opcji [Tryb IKE], ustawienie [Metoda klucza współdzielonego] nie szyfruje udostępnianego klucza.
[Algorytm uwierzytelniania/szyfrowania]
Aby automatycznie ustawić algorytm wymiany klucza, należy zaznaczyć pole wyboru [Automatycznie]. Zaznaczenie tego pola wyboru sprawi, że algorytm zostanie ustawiony, jak niżej.
Aby automatycznie ustawić algorytm wymiany klucza, należy zaznaczyć pole wyboru [Automatycznie]. Zaznaczenie tego pola wyboru sprawi, że algorytm zostanie ustawiony, jak niżej.
|
[Uwierzytelnienie]
|
[SHA1 i MD5]
|
|
[Szyfrowanie]
|
[3DES-CBC i AES-CBC]
|
|
[Grupa DH]
|
[Grupa 2 (1024)]
|
Aby ustawić algorytm ręcznie, należy usunąć zaznaczenie tego pola wyboru i wybrać algorytm.
|
[Uwierzytelnienie]
|
Wybór algorytmu hashowania.
|
|
[Szyfrowanie]
|
Wybór algorytmu szyfrowania.
|
|
[Grupa DH]
|
Wybór grupy Diffie-Hellman, która określa siłę klucza.
|
[Metoda klucza współdzielonego] w uwierzytelnianiu
|
1
|
Wybierz ustawienia [Metoda klucza współdzielonego] dla opcji [Metoda AUTH] i kliknij przycisk [Ustawienia klucza dzielonego].
|
|
2
|
Wprowadź klucz współdzielony, składający się maksymalnie z 24 znaków alfanumerycznych, i kliknij przycisk [OK].
 |
[Metoda podpisu cyfrowego] w uwierzytelnianiu
|
1
|
Wybierz ustawienia [Metoda podpisu cyfrowego] dla opcji [Metoda AUTH] i kliknij przycisk [Klucz i certyfikat].
|
|
2
|
Wybierz parę kluczy, której chcesz użyć i kliknij [Ustawienia klucza domyślnego].
 Wyświetlanie informacji na temat pary kluczy lub certyfikatu
Certyfikat można zweryfikować lub sprawdzić jego szczegóły, klikając odpowiednie łącze umieszczone pod pozycją [Nazwa klucza] lub ikonę certyfikatu. Weryfikowanie par kluczy i certyfikatów cyfrowych
|
9
Określ ustawienia sieci z protokołem IPSec.
[Użyj PFS]
Zaznacz to pole wyboru, aby włączyć protokół Doskonałe utajnienie przekazywania (PFS) w odniesieniu do kluczy sesji IPSec. Protokół PFS zwiększa poziom zabezpieczeń oraz ilość komunikowanych danych. Upewnij się, że protokół PFS jest włączony dla innych urządzeń. Jeśli nie korzystasz z protokołu PFS, usuń zaznaczenie tego pola wyboru.
[Ważność]
Określ czas korzystania z zabezpieczeń w tunelu komunikacyjnym. Zaznacz pole wyboru [Wyświetl wedłóg czasu] lub [Wyświetl wedłóg rozmiaru] bądź obydwa pola jednocześnie, zgodnie z potrzebą. W przypadku zaznaczenia dwóch pól wyboru sesja kojarzenia zabezpieczeń IPSec SA zostaje zakończona, gdy spełniony zostanie jeden z warunków.
Określ czas korzystania z zabezpieczeń w tunelu komunikacyjnym. Zaznacz pole wyboru [Wyświetl wedłóg czasu] lub [Wyświetl wedłóg rozmiaru] bądź obydwa pola jednocześnie, zgodnie z potrzebą. W przypadku zaznaczenia dwóch pól wyboru sesja kojarzenia zabezpieczeń IPSec SA zostaje zakończona, gdy spełniony zostanie jeden z warunków.
|
[Wyświetl wedłóg czasu]
|
Wprowadź czas w minutach, aby określić długość trwania sesji. Wprowadzony czas zostaje zastosowany zarówno w przypadku kojarzenia zabezpieczeń IPSec jak i IKE.
|
|
[Wyświetl wedłóg rozmiaru]
|
Wprowadź rozmiar w megabajtach, aby określić maksymalną ilość danych transportowanych w trakcie jednej sesji. Wprowadzony rozmiar stosuje się tylko do zabezpieczeń IPSec.
|
Jeśli zaznaczono wyłącznie pole wyboru [Wyświetl wedłóg rozmiaru]
Nie można określić ważności zabezpieczeń IKE według rozmiaru, tak że zastosowana zostaje wartość początkowa (480 minut) wprowadzona w ustawieniu [Wyświetl wedłóg czasu].
[Algorytm uwierzytelniania/szyfrowania]
Pozwala wybrać protokół i algorytm do korzystania z komunikacji IPSec.
Pozwala wybrać protokół i algorytm do korzystania z komunikacji IPSec.
Automatyczna konfiguracja połączeniaWybierz [Automatycznie].
|
[Uwierzytelnienie ESP]
|
Protokół ESP jest włączony, a ustawienie algorytmu uwierzytelniania to [SHA1 i MD5].
|
|
[Szyfrowanie ESP]
|
Protokół ESP jest włączony, a ustawienie algorytmu szyfrowania to [3DES-CBC i AES-CBC].
|
Korzystanie z protokołu ESPWybierz opcję [ESP], a następnie wybierz algorytm uwierzytelniania i algorytm szyfrowania.
|
[Uwierzytelnienie ESP]
|
Wybór algorytmu hashowania na potrzeby uwierzytelniania z zastosowaniem protokołu ESP.
|
|
[Szyfrowanie ESP]
|
Wybór algorytmu szyfrowania na potrzeby protokołu ESP.
|
Korzystanie z protokołu AHWybierz opcję [AH], a następnie wybierz algorytm hashowania na potrzeby formularza uwierzytelniania AH [Uwierzytelnianie AH].
[Tryb podłączenia]
Zostaje wyświetlony tryb połączenia protokołu IPSec. Urządzenie obsługuje tryb transportu, w którym ładunki pakietów IP są szyfrowane. Tryb tunelu, w którym zawarte są całe pakiety IP (nagłówki i ładunki), nie jest dostępny.
Zostaje wyświetlony tryb połączenia protokołu IPSec. Urządzenie obsługuje tryb transportu, w którym ładunki pakietów IP są szyfrowane. Tryb tunelu, w którym zawarte są całe pakiety IP (nagłówki i ładunki), nie jest dostępny.
10
Kliknij [OK].
Aby zarejestrować dodatkową zasadę bezpieczeństwa, wróć do kroku 5.
11
Ustaw kolejność zasad wyszczególnionych na liście w pozycji [Lista polityk IPSec].
Zasady są stosowane w kolejności od pozycji na górze listy do pozycji znajdującej się na samym dole. Kliknij polecenie [Podnieś priorytet] lub [Obniż priorytet], aby przesuwać zasady w górę lub w dół.
Edytowanie zasady
Aby edytować ustawienia, należy kliknąć łącze tekstowe dostępne w opcji [Nazwa polityki].
Usuwanie zasady
Kliknij opcję [Usuń] znajdującą się po prawej stronie zasady, którą chcesz usunąć.
12
Wykonaj reset sprzętowy.
Kliknij opcję [Sterowanie urządzeniem], wybierz polecenie [Twardy reset], a następnie kliknij [Wykonaj].
Ustawienia zostaną zastosowane po wykonaniu resetu sprzętowego.
Włączanie komunikacji z użyciem protokołu IPSec
Po zakończeniu rejestracji zasad bezpieczeństwa należy włączyć komunikację IPSec.
1
Uruchom Zdalny interfejs użytkownika i zaloguj się w trybie zarządzania. Uruchamianie Zdalnego interfejsu użytkownika
2
Kliknij [Ustawienia/Rejestracja].
3
Kliknij [Zabezpieczenia] [Ustawienia IPSec].
[Ustawienia IPSec].4
Kliknij [Edytuj].
5
Zaznacz pole [Użyj IPSec] i kliknij przycisk [OK].
[Użyj IPSec]
To pole wyboru należy zaznaczyć w przypadku korzystania z protokołu IPSec na urządzeniu. Jeśli protokół IPSec nie jest używany, należy usunąć zaznaczenie pola wyboru.
[Zezwól na odbiór pakietów bez polityki]
Jeśli to pole wyboru zostanie zaznaczone podczas korzystania z protokołu IPSec, pakiety niedostępne dla zarejestrowanych zasad również będą wysyłane/odbierane. Aby wyłączyć wysyłanie/odbieranie pakietów niedostępnych dla zasad, należy usunąć zaznaczenie tego pola wyboru.
Jeśli to pole wyboru zostanie zaznaczone podczas korzystania z protokołu IPSec, pakiety niedostępne dla zarejestrowanych zasad również będą wysyłane/odbierane. Aby wyłączyć wysyłanie/odbieranie pakietów niedostępnych dla zasad, należy usunąć zaznaczenie tego pola wyboru.
6
Wykonaj reset sprzętowy.
Kliknij opcję [Sterowanie urządzeniem], wybierz polecenie [Twardy reset], a następnie kliknij [Wykonaj].
Po wykonaniu resetu sprzętowego ustawienia będą włączone.
|
|
Korzystanie z panelu sterowaniaKomunikację z zastosowaniem protokołu IPSec można również włączać lub wyłączać z poziomu menu ustawień panelu roboczego. IPSec
|