Конфигуриране на IPSec настройки
Internet Protocol Security (IPSec или IPsec) е протокол за шифроване на данни, прехвърляни чрез мрежа, включително чрез интернет мрежи. Докато TLS шифрова само данните, които се използват от специфично приложение, като например уеб браузър или имейл приложение, IPSec шифрова целите IP пакети (или тяхното полезно съдържание), като предлага по-гъвкава система за сигурност. IPSec на устройството работи в транспортен режим, който шифрова полезното съдържание на IP пакетите. С тази функция устройството може да се свърже директно към компютър, който е в същата виртуална частна мрежа (VPN). Проверете изискванията към системата и задайте необходимите настройки на компютъра, преди да конфигурирате устройството.
Изисквания към системата
IPSec протоколът, който се поддържа от устройството, отговаря на RFC2401, RFC2402, RFC2406 и RFC4305.
|
Операционна система
|
Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
|
|
|
Режим на свързване
|
Транспортен режим
|
|
|
Протокол за обмен на ключове
|
IKEv1 (основен режим)
|
|
|
Метод за автентикация
|
Предварително споделен ключ
Електронен подпис
|
|
|
Hash алгоритъм
(и дължина на ключ) |
HMAC-SHA1-96
HMAC-SHA2 (256 бита или 384 бита)
|
|
|
Алгоритъм за криптиране
(и дължина на ключ) |
3DES-CBC
AES-CBC (128 бита, 192 бита или 256 бита)
|
|
|
Група/алгоритъм за обмен на ключове (и дължина на ключа)
|
Diffie-Hellman (DH)
Група 1 (768 бита)
Група 2 (1024 бита)
Група 14 (2048 бита)
|
|
|
ESP
|
Hash алгоритъм
|
HMAC-SHA1-96
|
|
Алгоритъм за криптиране
(и дължина на ключ) |
3DES-CBC
AES-CBC (128 бита, 192 бита или 256 бита)
|
|
|
Hash алгоритъм/алгоритъм за криптиране (и дължина на ключа)
|
AES-GCM (128 бита, 192 бита или 256 бита)
|
|
|
AH
|
Hash алгоритъм
|
HMAC-SHA1-96
|
 |
Функционални ограничения на IPSecIPSec поддържа комуникация към уникаст адрес (или едно устройство).
IPSec протоколът не е достъпен в мрежите с NAT или IP адресна транслация.
Използване на IPSec с филтър за IP адресиНастройките за филтриране на IP адреси се прилагат преди IPSec политиките.
|
Конфигуриране на IPSec настройки
Преди да се използва IPSec за криптирана комуникация, трябва да запаметите политики за сигурност (SP). Политиката за сигурност се състои от групите с настройки, описани по-долу. Могат да бъдат запаметени до 10 политики. След като запаметите политиките, задайте реда, в който да се прилагат.
Селектор
Селекторът определя условия за IP пакетите, за да се приложи IPSec комуникация. Условията, които могат да се избират, включват IP адреси и номера на портове на устройството и устройствата, с които се осъществява комуникация.
IKE
IKE конфигурира IKEv1, който се използва за протокол за обмен на ключове. Имайте предвид, че инструкциите се различават в зависимост от избрания метод за автентикация.
[Метод на предв. сподел. ключ]
Ключът до 24 символа (цифри и букви) може да бъде споделян с другите устройства. Разрешете TLS за Remote UI (Потребителски интерфейс за отдалечено управление), преди да зададете този метод за удостоверяване (Активиране на шифрована с TLS комуникация за Remote UI (Потребителски интерфейс за отдалечено управление)).
Ключът до 24 символа (цифри и букви) може да бъде споделян с другите устройства. Разрешете TLS за Remote UI (Потребителски интерфейс за отдалечено управление), преди да зададете този метод за удостоверяване (Активиране на шифрована с TLS комуникация за Remote UI (Потребителски интерфейс за отдалечено управление)).
[Метод на цифров подпис]
Устройството и другите устройства получават автентикация помежду си чрез взаимна проверка на цифровите си подписи. Генерирайте или инсталирайте двойката ключове предварително (Конфигуриране на настройки за двойки ключове и цифрови сертификати).
Устройството и другите устройства получават автентикация помежду си чрез взаимна проверка на цифровите си подписи. Генерирайте или инсталирайте двойката ключове предварително (Конфигуриране на настройки за двойки ключове и цифрови сертификати).
AH/ESP
Посочете настройките за AH/ESP, които се добавят към пакетите по време на IPSec комуникация. AH и ESP могат да се използват едновременно. Можете също така да изберете дали да разрешите PFS за по-стриктни мерки за сигурност.
1
Стартирайте Remote UI (Потребителски интерфейс за отдалечено управление) и влезте в режим на системен оператор. Стартиране на Remote UI (Потребителски интерфейс за отдалечено управление)
2
Щракнете върху [Settings/Registration].
3
Щракнете върху [Security Settings] 
[IPSec настройки].
[IPSec настройки].
4
Щракнете върху [Edit].
5
Поставете отметка за [Use IPSec] и щракнете върху [OK].
Ако желаете устройството да получава само пакети, които съответстват на една от политиките за сигурност, които сте определили на стъпките по-долу, махнете отметката от [Получ. пакети извън правилата].
6
Щракнете върху [Register New Policy].
7
Задайте настройки за политики
|
1
|
В текстовото поле [Име на правило] въведете до 24 символа (цифри и букви) за име, което да се използва за идентифициране на политиката.
|
|
2
|
Поставете отметка за [Разрешаване на правило].
 |
8
Задайте настройки за селектор
[Локален адрес]
Щракнете върху опцията за типа IP адреси на устройството, за които да приложите политиката.
Щракнете върху опцията за типа IP адреси на устройството, за които да приложите политиката.
|
[Всички IP адреси]
|
Изберете, за да използвате IPSec за всички IP пакети.
|
|
[IPv4 адрес]
|
Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреса на устройството.
|
|
[IPv6 адрес]
|
Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреса на устройството.
|
[Отдалечен адрес]
Щракнете върху опцията за типа IP адреси на другите устройства, за които да приложите политиката.
Щракнете върху опцията за типа IP адреси на другите устройства, за които да приложите политиката.
|
[Всички IP адреси]
|
Изберете, за да използвате IPSec за всички IP пакети.
|
|
[All IPv4 Addresses]
|
Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреси на другите устройства.
|
|
[All IPv6 Addresses]
|
Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреси на другите устройства.
|
|
[IPv4 ръчни настройки]
|
Изберете, за да зададете един IPv4 адрес или диапазон от IPv4 адреси, за които да приложите IPSec. Въведете IPv4 адреса (или диапазона) в текстовото поле [Addresses to Set Manually].
|
|
[IPv6 ръчни настройки]
|
Изберете, за да зададете един IPv6 адрес или диапазон от IPv6 адреси, за които да приложите IPSec. Въведете IPv6 адреса (или диапазона) в текстовото поле [Addresses to Set Manually].
|
[Addresses to Set Manually]
Ако [IPv4 ръчни настройки] или [IPv6 ръчни настройки] е избрано за [Отдалечен адрес], въведете IP адреса, за който да приложите политиката. Можете също така да въведете диапазон от адреси чрез вмъкване на тире между адресите.
Ако [IPv4 ръчни настройки] или [IPv6 ръчни настройки] е избрано за [Отдалечен адрес], въведете IP адреса, за който да приложите политиката. Можете също така да въведете диапазон от адреси чрез вмъкване на тире между адресите.
Въвеждане на IP адреси
|
Описание
|
Пример
|
|
|
Въвеждане на един адрес
|
IPv4:
Числа, разделени с точки. |
192.168.0.10
|
|
IPv6:
Цифри и букви, разделени с двоеточие. |
fe80::10
|
|
|
Задаване на диапазон от адреси
|
Поставете тире между адресите.
|
192.168.0.10-192.168.0.20
|
|
Задаване на диапазон от адреси с префикс (само за IPv6)
|
Въведете число, което посочва дължината на префикса.
|
64
|
[Настройки за подмрежа]
При ръчно задаване на IPv4 адрес, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: "255.255.255.240").
При ръчно задаване на IPv4 адрес, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (например: "255.255.255.240").
[Prefix Length]
За да зададете диапазон от IPv6 адреси ръчно, можете също така да използвате дължина на префикса, за да зададете диапазона. Задайте диапазон от 0 до 128 за дължина на префикса (например: "64").
За да зададете диапазон от IPv6 адреси ръчно, можете също така да използвате дължина на префикса, за да зададете диапазона. Задайте диапазон от 0 до 128 за дължина на префикса (например: "64").
[Локален порт]/[Отдалечен порт]
Ако желаете да създадете отделни политики за всеки протокол, като например HTTP или SMTP, въведете съответния номер на порт на протокола, за да определите дали да се използва IPSec.
Ако желаете да създадете отделни политики за всеки протокол, като например HTTP или SMTP, въведете съответния номер на порт на протокола, за да определите дали да се използва IPSec.
IPSec не се прилага към следните пакети
Луупбек, мултикаст и броудкаст пакети
IKE пакети (с използване на UDP на порт 500)
ICMPv6 пакети за запитване за достъпни съседи и отговор на съседа
9
Задайте настройки за IKE
[IKE режим]
Показва се режимът, който се използва за протокол за обмен на ключове. Устройството поддържа основния режим, а не агресивен режим.
Показва се режимът, който се използва за протокол за обмен на ключове. Устройството поддържа основния режим, а не агресивен режим.
[Authentication Method]
Изберете [Метод на предв. сподел. ключ] или [Метод на цифров подпис] за метода, който да се използва при удостоверяването на устройството. Трябва да разрешите TLS за Remote UI (Потребителски интерфейс за отдалечено управление), преди да изберете [Метод на предв. сподел. ключ] (Активиране на шифрована с TLS комуникация за Remote UI (Потребителски интерфейс за отдалечено управление)). Трябва да генерирате или инсталирате двойка ключове, преди да изберете [Метод на цифров подпис] (Конфигуриране на настройки за двойки ключове и цифрови сертификати).
Изберете [Метод на предв. сподел. ключ] или [Метод на цифров подпис] за метода, който да се използва при удостоверяването на устройството. Трябва да разрешите TLS за Remote UI (Потребителски интерфейс за отдалечено управление), преди да изберете [Метод на предв. сподел. ключ] (Активиране на шифрована с TLS комуникация за Remote UI (Потребителски интерфейс за отдалечено управление)). Трябва да генерирате или инсталирате двойка ключове, преди да изберете [Метод на цифров подпис] (Конфигуриране на настройки за двойки ключове и цифрови сертификати).
[Valid for]
Посочете с каква продължителност е сесията за IKE SA (ISAKMP SA). Въведете времето в минути.
Посочете с каква продължителност е сесията за IKE SA (ISAKMP SA). Въведете времето в минути.
[Автентикация]/[Кодиране]/[DH група]
Изберете алгоритъм от падащия списък. Всеки алгоритъм се използва за обмен на ключове.
Изберете алгоритъм от падащия списък. Всеки алгоритъм се използва за обмен на ключове.
|
[Автентикация]
|
Изберете hash алгоритъм.
|
|
[Кодиране]
|
Изберете алгоритъм за криптиране.
|
|
[DH група]
|
Изберете групата Diffie-Hellman, която определя силата на ключа.
|
Използване на предварително споделен ключ за автентикация
|
1
|
Щракнете върху радио бутона [Метод на предв. сподел. ключ] за [Authentication Method] и след това щракнете върху [Shared Key Settings].
|
|
2
|
Въведете до 24 символа (цифри и букви) за предварително споделен ключ и щракнете върху [OK].
 |
|
3
|
Задайте настройките [Valid for] и [Автентикация]/[Кодиране]/[DH група].
|
Използване на двойка ключове и предварително инсталирани CA сертификати за автентикация
|
1
|
Щракнете върху радио бутона [Метод на цифров подпис] за [Authentication Method] и след това щракнете върху [Key and Certificate].
|
|
2
|
Щракнете върху [Register Default Key] отдясно на двойката ключове, която желаете да използвате.
 Преглед на подробности за двойка ключове или сертификат Можете да проверите данните на сертификата или да проверите сертификата, като щракнете върху съответната текстова връзката в [Key Name] или върху иконата на сертификата. Проверка на двойки ключове, ключове за подпис на устройството и сертификати
|
|
3
|
Задайте настройките [Valid for] и [Автентикация]/[Кодиране]/[DH група].
|
10
Задаване на IPSec мрежови настройки.
[Използване на PFS]
Поставете отметка, за да разрешите Perfect Forward Secrecy (PFS) за сесийни ключове за IPSec. Разрешаването на PFS подобрява сигурността, но повишава натоварването на комуникацията. Уверете се, че функцията PFS е активирана и за другите устройства.
Поставете отметка, за да разрешите Perfect Forward Secrecy (PFS) за сесийни ключове за IPSec. Разрешаването на PFS подобрява сигурността, но повишава натоварването на комуникацията. Уверете се, че функцията PFS е активирана и за другите устройства.
[Specify by Time]/[Specify by Size]
Задайте условията за прекратяване на сесия за IPSec SA. IPSec SA се използва като комуникационен тунел. Поставете една или две отметки, ако е необходимо. Ако са поставени и двете отметки, сесията IPSec SA се прекратява, когато едно от условията е изпълнено.
Задайте условията за прекратяване на сесия за IPSec SA. IPSec SA се използва като комуникационен тунел. Поставете една или две отметки, ако е необходимо. Ако са поставени и двете отметки, сесията IPSec SA се прекратява, когато едно от условията е изпълнено.
|
[Specify by Time]
|
Въведете времето в минути, за да определите продължителността на една сесия.
|
|
[Specify by Size]
|
Въведете размер в мегабайти, за да зададете количеството данни, които могат да бъдат прехвърлени в една сесия.
|
[Избор на алгоритъм]
Поставете отметка(и) за [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимост от горния колонтитул на IPSec и използвания алгоритъм. AES-GCM е алгоритъм за автентикация и криптиране. Ако сте избрали [ESP], изберете също и алгоритми за автентикация и криптиране от падащите списъци [ESP автентикация] и [ESP кодиране].
Поставете отметка(и) за [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимост от горния колонтитул на IPSec и използвания алгоритъм. AES-GCM е алгоритъм за автентикация и криптиране. Ако сте избрали [ESP], изберете също и алгоритми за автентикация и криптиране от падащите списъци [ESP автентикация] и [ESP кодиране].
|
[ESP автентикация]
|
За да разрешите ESP автентикация, изберете [SHA1] за hash алгоритъма. Изберете [Без използване], ако желаете да забраните ESP автентикацията.
|
|
[ESP кодиране]
|
Изберете алгоритъм за криптиране за ESP. Можете да изберете [NULL], ако не желаете да задавате алгоритъма, или да изберете [Без използване], ако желаете да забраните ESP криптирането.
|
[Режим на свързване]
Показва се режимът на свързване на IPSec. Устройството поддържа транспортен режим, който криптира полезното съдържание на IP пакетите. Тунелен режим, в който се капсулират цели IP пакети (хедъри и полезно съдържание), не е достъпен.
Показва се режимът на свързване на IPSec. Устройството поддържа транспортен режим, който криптира полезното съдържание на IP пакетите. Тунелен режим, в който се капсулират цели IP пакети (хедъри и полезно съдържание), не е достъпен.
11
Щракнете върху [OK].
Ако трябва да запаметите допълнителна политика за сигурност, се върнете към стъпка 6.
12
Задайте поредността на политиките, посочени в [Registered IPSec Policies].
Политиките се прилагат от най-високата позиция към най-ниската. Щракнете върху [Up] или [Down], за да преместите политика нагоре или надолу.
Редактиране на политика
Щракнете върху съответната текстова връзка в [Име на правило], за да извикате екрана за редактиране.
Изтриване на политика
Щракнете върху [Delete] отдясно на името на политиката, която желаете да изтриете щракнете върху [OK].
щракнете върху [OK].13
Рестартирайте устройството.
Изключете устройството, изчакайте най-малко 10 секунди и го включете отново.
|
|
|
Можете да активирате или деактивирате IPSec комуникацията от <Меню>. Използване на IPSec
|