Konfiguracja ustawień protokołu IPSec
Internet Protocol Security (IPSec lub IPsec) to pakiet protokołów do szyfrowania danych transportowanych w sieci, w tym w sieciach internetowych. Podczas gdy protokół TLS szyfruje tylko dane używane w poszczególnych aplikacjach, np. przeglądarce internetowej lub aplikacji pocztowej, protokół IPSec szyfruje całe pakiety IP lub ich ładunki, zapewniając bardziej kompleksowy system zabezpieczeń. Protokół IPSec urządzenia pracuje w trybie transportu, w którym szyfrowane są ładunki pakietów IP. Dzięki tej funkcji urządzenie może bezpośrednio łączyć się z komputerem znajdującym się w tej samej wirtualnej sieci prywatnej (VPN). Sprawdź wymagania systemowe (Funkcje zarządzania) i odpowiednio skonfiguruj komputer przed przystąpieniem do konfiguracji urządzenia.
|
|
Używanie protokołu IPSec z filtrem adresów IPUstawienia filtru adresu IP są nadrzędne wobec zasad protokołu IPSec. Określanie adresów IP na potrzeby konfiguracji zapory ogniowej
|
Konfiguracja ustawień protokołu IPSec
Przed użyciem protokołu IPSec do szyfrowania komunikacji należy zarejestrować zasady bezpieczeństwa (SP). Zasada bezpieczeństwa składa się z grupy ustawień opisanych poniżej. Po zakończeniu rejestracji zasad należy określić kolejność ich stosowania.
Selektor
Selektor określa warunki dla pakietów IP w celu zastosowania komunikacji z szyfrowaniem IPSec. Dostępne warunki to m.in. adresy IP i numery portów urządzenia oraz urządzeń, z którymi chcesz nawiązać komunikację.
IKE
Protokół IKE służy do konfiguracji wersji IKEv1 używanej do protokołowania wymiany kluczy. Należy zauważyć, że instrukcje różnią się w zależności od wybranej metody uwierzytelniania.
[Metoda klucza współdzielonego]
Na potrzeby komunikacji miedzy urządzeniem i innymi urządzeniami w ramach tej metody uwierzytelniania wykorzystywane jest wspólne słowo kluczowe nazywane „kluczem wspólnym”. Przed określeniem metody uwierzytelniania włącz szyfrowanie TLS dla Zdalnego interfejsu użytkownika (Konfiguracja klucza i certyfikatu dla TLS).
Na potrzeby komunikacji miedzy urządzeniem i innymi urządzeniami w ramach tej metody uwierzytelniania wykorzystywane jest wspólne słowo kluczowe nazywane „kluczem wspólnym”. Przed określeniem metody uwierzytelniania włącz szyfrowanie TLS dla Zdalnego interfejsu użytkownika (Konfiguracja klucza i certyfikatu dla TLS).
[Metoda podpisu cyfrowego]
To i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemne weryfikowanie podpisów cyfrowych. Najpierw wygeneruj albo zainstaluj klucz i certyfikat (Rejestrowanie klucza i certyfikatu na potrzeby komunikacji sieciowej).
To i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemne weryfikowanie podpisów cyfrowych. Najpierw wygeneruj albo zainstaluj klucz i certyfikat (Rejestrowanie klucza i certyfikatu na potrzeby komunikacji sieciowej).
AH/ESP
Określ ustawienia protokołu AH/ESP, który jest dodawany do pakietów w trakcie trwania komunikacji z użyciem protokołu IPSec. Protokołów AH i ESP można używać równolegle. Można także włączyć protokół PFS w celu zwiększenia zabezpieczeń.
|
|
|
Więcej informacji na temat podstawowych czynności wykonywanych w ramach konfiguracji urządzenia z poziomu Zdalnego interfejsu użytkownika, patrz Konfiguracja opcji menu ze Zdalnego interfejsu użytkownika.
|
1
Uruchom Zdalny interfejs użytkownika i zaloguj się w trybie menedżera systemu. Uruchamianie Zdalnego interfejsu użytkownika
2
Kliknij przycisk [Ustawienia/rejestracja] na stronie portalu. Główny ekran Zdalnego interfejsu użytkownika
3
Wybierz [Ustawienia sieciowe] 
[Ustawienia IPSec].
[Ustawienia IPSec].4
Kliknij [Edycja].
5
Zaznacz pole wyboru [Użyj IPSec] i kliknij przycisk [OK].
Jeśli chcesz, żeby urządzenie tylko odbierało pakiety, które są zgodne z jedną z zasad bezpieczeństwa zdefiniowanych w kolejnych punktach, usuń zaznaczenie w polu wyboru [Odbiór pakietów bez zasad].
6
Kliknij [Zarejestruj nową zasadę].
7
Określ zasady ustawień.
|
1
|
W polu tekstowym [Nazwa zasady] wprowadź nazwę zasady składającą się ze znaków alfanumerycznych, aby móc później ją zidentyfikować.
|
|
2
|
Zaznacz pole wyboru [Włącz zasadę].
|
8
Określ ustawienia selektora.
[Adres lokalny]
Kliknij przycisk radiowy odpowiadający adresowi IP urządzenia, aby zastosować zasadę.
Kliknij przycisk radiowy odpowiadający adresowi IP urządzenia, aby zastosować zasadę.
|
[Wszystkie adresy IP]
|
Wybierz tę opcję, aby używać protokołu IPSec dla wszystkich pakietów IP.
|
|
[Adres IPv4]
|
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv4 urządzenia lub z tego adresu.
|
|
[Adres IPv6]
|
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv6 urządzenia lub z tego adresu.
|
[Adres zdalny]
Kliknij przycisk radiowy odpowiadający adresowi IP innego urządzenia, aby zastosować zasadę.
Kliknij przycisk radiowy odpowiadający adresowi IP innego urządzenia, aby zastosować zasadę.
|
[Wszystkie adresy IP]
|
Wybierz tę opcję, aby używać protokołu IPSec dla wszystkich pakietów IP.
|
|
[Wszystkie adresy IPv4]
|
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adresy IPv4 innych urządzeń lub z tych adresów.
|
|
[Wszystkie adresy IPv6]
|
Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adresy IPv6 innych urządzeń lub z tych adresów.
|
|
[Ustawienia ręczne IPv4]
|
Wybierz tę opcję, aby określić pojedynczy adres IPv4 lub zakres adresów IPv4, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv4 (lub zakres) w polu tekstowym [Adresy do ręcznej konfiguracji].
|
|
[Ustawienia ręczne IPv6]
|
Wybierz tę opcję, aby określić pojedynczy adres IPv6 lub zakres adresów IPv6, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv6 (lub zakres) w polu tekstowym [Adresy do ręcznej konfiguracji].
|
[Adresy do ręcznej konfiguracji]
Jeśli wybrano opcję [Ustawienia ręczne IPv4] albo [Ustawienia ręczne IPv6] dla pozycji [Adres zdalny], wprowadź adres IP, aby zastosować zasady. Można wprowadzić również zakres adresów, rozdzielając je myślnikami.
Jeśli wybrano opcję [Ustawienia ręczne IPv4] albo [Ustawienia ręczne IPv6] dla pozycji [Adres zdalny], wprowadź adres IP, aby zastosować zasady. Można wprowadzić również zakres adresów, rozdzielając je myślnikami.
Wprowadzanie adresów IP
|
Opis
|
Przykład
|
|
|
Wprowadzanie pojedynczego adresu
|
IPv4:
Oddzielaj numery kropkami. |
192.168.0.10
|
|
IPv6:
Oddzielaj znaki alfanumeryczne dwukropkami. |
fe80::10
|
|
|
Określanie zakresu adresów
|
Wstaw myślnik między adresami.
|
192.168.0.10-192.168.0.20
|
[Ustawienia podsieci]
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład: „255.255.255.240”).
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład: „255.255.255.240”).
[Długość prefiksu]
Ręczne podanie zakresu adresów IPv6 pozwala również określić zakres przy użyciu prefiksów. Podaj wartość w zakresie od 0 do 128, aby określić długość prefiksu.
Ręczne podanie zakresu adresów IPv6 pozwala również określić zakres przy użyciu prefiksów. Podaj wartość w zakresie od 0 do 128, aby określić długość prefiksu.
[Port lokalny]/[Port zdalny]
Aby utworzyć osobne zasady dla każdego protokołu, np. HTTP czy WSD, wprowadź odpowiedni numer portu dla protokołu, aby zdecydować o stosowaniu albo niestosowaniu protokołu IPSec.
Aby utworzyć osobne zasady dla każdego protokołu, np. HTTP czy WSD, wprowadź odpowiedni numer portu dla protokołu, aby zdecydować o stosowaniu albo niestosowaniu protokołu IPSec.
Protokół IPSec nie jest stosowany w przypadku następujących pakietów
Pakiety loopback, multiemisyjny i emisyjny
Pakiety IKE (przy użyciu UDP na porcie 500)
Pakiety ICMPv6 pytające o adres sieciowy sąsiada i ogłoszenia adresu sieciowego sąsiada
9
Określ ustawienia protokołu IKE.
[Tryb IKE]
Wyświetlony jest tryb używany do protokołu wymiany kluczy. Urządzenie obsługuje tryb główny, nie obsługuje natomiast trybu agresywnego.
Wyświetlony jest tryb używany do protokołu wymiany kluczy. Urządzenie obsługuje tryb główny, nie obsługuje natomiast trybu agresywnego.
[Metoda uwierzytelniania]
Wybierz [Metoda klucza współdzielonego] lub [Metoda podpisu cyfrowego], wybierając metodę stosowaną podczas uwierzytelniania urządzenia. Przed wybraniem opcji [Metoda klucza współdzielonego] należy włączyć szyfrowanie TLS dla Zdalnego interfejsu użytkownika. Przed wybraniem opcji [Metoda podpisu cyfrowego] należy wygenerować albo zainstalować klucz i certyfikat. Konfiguracja klucza i certyfikatu dla TLS
Wybierz [Metoda klucza współdzielonego] lub [Metoda podpisu cyfrowego], wybierając metodę stosowaną podczas uwierzytelniania urządzenia. Przed wybraniem opcji [Metoda klucza współdzielonego] należy włączyć szyfrowanie TLS dla Zdalnego interfejsu użytkownika. Przed wybraniem opcji [Metoda podpisu cyfrowego] należy wygenerować albo zainstalować klucz i certyfikat. Konfiguracja klucza i certyfikatu dla TLS
[Ważne do]
Określ długość trwania sesji dla kojarzenia zabezpieczeń IKE SA (ISAKMP SA). Wprowadź czas w minutach.
Określ długość trwania sesji dla kojarzenia zabezpieczeń IKE SA (ISAKMP SA). Wprowadź czas w minutach.
[Uwierzytelnianie]/[Szyfrowanie]/[Grupa DH]
Wybierz algorytm z rozwijanej listy. Każdy algorytm jest używany do wymiany kluczy.
Wybierz algorytm z rozwijanej listy. Każdy algorytm jest używany do wymiany kluczy.
|
[Uwierzytelnianie]
|
Wybór algorytmu hashowania.
|
|
[Szyfrowanie]
|
Wybór algorytmu szyfrowania.
|
|
[Grupa DH]
|
Wybór grupy Diffie-Hellman, która określa siłę klucza.
|
Uwierzytelnianie urządzenia przy użyciu klucza współdzielonego
|
1
|
Kliknij przycisk radiowy [Metoda klucza współdzielonego] opcji [Metoda uwierzytelniania], a następnie kliknij pozycję [Ustawienia klucza współdzielonego].
|
|
2
|
Wprowadź klucz współdzielony, używając znaków alfanumerycznych i kliknij przycisk [OK].
|
|
3
|
Skonfiguruj opcje [Ważne do] i [Uwierzytelnianie]/[Szyfrowanie]/[Grupa DH].
|
Uwierzytelnianie urządzenia przy użyciu podpisu cyfrowego
|
1
|
Kliknij przycisk radiowy [Metoda podpisu cyfrowego] opcji [Metoda uwierzytelniania], a następnie kliknij pozycję [Klucz i certyfikat].
|
|
2
|
Kliknij opcję [Zarejestruj klucz domyślny] widoczną na prawo od klucza i certyfikatu, których chcesz użyć.
Wyświetlanie informacji na temat certyfikatu
Certyfikat można zweryfikować lub sprawdzić jego szczegóły, klikając odpowiednie łącze umieszczone pod pozycją [Nazwa klucza] albo ikonę certyfikatu.
|
|
3
|
Skonfiguruj opcje [Ważne do] i [Uwierzytelnianie]/[Szyfrowanie]/[Grupa DH].
|
10
Określ ustawienia sieci z protokołem IPSec.
[Użyj PFS]
Zaznacz to pole wyboru, aby włączyć protokół Doskonałe utajnienie przekazywania (PFS) w odniesieniu do kluczy sesji IPSec. Protokół PFS zwiększa poziom zabezpieczeń oraz ilość komunikowanych danych. Upewnij się, że protokół PFS jest włączony dla innych urządzeń.
Zaznacz to pole wyboru, aby włączyć protokół Doskonałe utajnienie przekazywania (PFS) w odniesieniu do kluczy sesji IPSec. Protokół PFS zwiększa poziom zabezpieczeń oraz ilość komunikowanych danych. Upewnij się, że protokół PFS jest włączony dla innych urządzeń.
[Określ termin]/[Określ rozmiar]
Ustaw warunki zakończenia sesji w przypadku kojarzenia zabezpieczeń IPSec SA. Kojarzenie zabezpieczeń IPSec SA pełni funkcję tunelu komunikacyjnego. Zaznacz jedno lub dwa pola wyboru według potrzeb. W przypadku zaznaczenia dwóch pól wyboru sesja kojarzenia zabezpieczeń IPSec SA zostaje zakończona, gdy spełniony zostanie jeden z warunków.
Ustaw warunki zakończenia sesji w przypadku kojarzenia zabezpieczeń IPSec SA. Kojarzenie zabezpieczeń IPSec SA pełni funkcję tunelu komunikacyjnego. Zaznacz jedno lub dwa pola wyboru według potrzeb. W przypadku zaznaczenia dwóch pól wyboru sesja kojarzenia zabezpieczeń IPSec SA zostaje zakończona, gdy spełniony zostanie jeden z warunków.
|
[Określ termin]
|
Wprowadź czas w minutach, aby określić długość trwania sesji.
|
|
[Określ rozmiar]
|
Wprowadź rozmiar w megabajtach, aby określić maksymalną ilość danych transportowanych w trakcie jednej sesji.
|
[Wybierz algorytm]
Zaznacz pole wyboru [ESP], [ESP (AES-GCM)] lub [AH (SHA1)] w zależności od nagłówka protokołu IPSec oraz użytego algorytmu. AES-GCM to algorytm uwierzytelniania i szyfrowania. W przypadku wyboru opcji [ESP] należy wybrać również algorytmy uwierzytelniania i szyfrowania z rozwijanych list [Uwierzytelnianie ESP] i [Szyfrowanie ESP].
Zaznacz pole wyboru [ESP], [ESP (AES-GCM)] lub [AH (SHA1)] w zależności od nagłówka protokołu IPSec oraz użytego algorytmu. AES-GCM to algorytm uwierzytelniania i szyfrowania. W przypadku wyboru opcji [ESP] należy wybrać również algorytmy uwierzytelniania i szyfrowania z rozwijanych list [Uwierzytelnianie ESP] i [Szyfrowanie ESP].
|
[Uwierzytelnianie ESP]
|
Aby włączyć funkcję uwierzytelniania z użyciem protokołu ESP, wybierz opcję [SHA1] dla algorytmu hashowania. Wybór ustawienia [Nie używaj] oznacza wyłączenie funkcji uwierzytelniania z użyciem protokołu ESP.
|
|
[Szyfrowanie ESP]
|
Wybór algorytmu szyfrowania z użyciem protokołu ESP. Można wybrać ustawienie [NULL], aby nie określać algorytmu, albo wybrać ustawienie [Nie używaj], aby wyłączyć funkcję szyfrowania z użyciem protokołu ESP.
|
[Tryb połączenia]
Opcja pozwala wyświetlić tryb połączenia protokołu IPSec. Urządzenie obsługuje tryb transportu, w którym ładunki pakietów IP są szyfrowane. Tryb tunelu, w którym zawarte są całe pakiety IP (nagłówki i ładunki), nie jest dostępny.
Opcja pozwala wyświetlić tryb połączenia protokołu IPSec. Urządzenie obsługuje tryb transportu, w którym ładunki pakietów IP są szyfrowane. Tryb tunelu, w którym zawarte są całe pakiety IP (nagłówki i ładunki), nie jest dostępny.
11
Kliknij [OK].
Aby zarejestrować dodatkową zasadę bezpieczeństwa, wróć do kroku 6.
12
Ustaw kolejność zasad wyszczególnionych na liście w pozycji [Zarejestrowane zasady IPSec].
Zasady są stosowane w kolejności od pozycji na górze listy do pozycji znajdującej się na samym dole. Klikaj przyciski [W górę] i [W dół], aby przesuwać zasady w górę lub w dół i tym samym zmieniać kolejność ich stosowania.
Edytowanie zasady
Kliknij odpowiednie łącze tekstowe znajdujące się pod pozycją [Nazwa zasady], aby wyświetlić ekran edycji.
Usuwanie zasady
Kliknij przycisk [Usuń] znajdujący się na prawo od nazwy zasady, którą chcesz usunąć kliknij przycisk [OK].
kliknij przycisk [OK].13
Uruchom urządzenie ponownie.
Wyłącz urządzenie, odczekaj co najmniej 10 sekund, a następnie włącz je ponownie.
|
|
Korzystanie z panelu sterowaniaKomunikację szyfrowaną z użyciem protokołu IPSec można również włączyć albo wyłączyć z poziomu <Menu> na ekranie Główny. <Użyj IPSec>
|