Konfiguracja ustawień protokołu IPSec
Internet Protocol Security (IPSec lub IPsec) to pakiet protokołów do szyfrowania danych transportowanych w sieci, w tym w sieciach internetowych. Podczas gdy protokół TLS szyfruje tylko dane używane w poszczególnych aplikacjach, np. przeglądarce internetowej lub aplikacji pocztowej, protokół IPSec szyfruje całe pakiety IP lub ich ładunki, zapewniając bardziej kompleksowy system zabezpieczeń. Protokół IPSec urządzenia pracuje w trybie transportu, w którym szyfrowane są ładunki pakietów IP. Dzięki tej funkcji urządzenie może bezpośrednio łączyć się z komputerem znajdującym się w tej samej wirtualnej sieci prywatnej (VPN). Przed przystąpieniem do konfiguracji urządzenia skonfiguruj odpowiednio komputer.
|
Używanie protokołu IPSec z filtrem adresów IPPodczas odbioru pakietów ustawienia IPSec są stosowane przed ustawieniami filtra adresów IP, natomiast podczas nadawania pakietów odwrotnie. Określanie adresów IP dla zasad zapory |
Rejestrowanie polityk bezpieczeństwa
Aby korzystać z protokołu IPSec na potrzeby komunikacji szyfrowanej, konieczne jest zarejestrowanie zasad bezpieczeństwa (SP) przed włączeniem ustawień IPSec (Włączanie komunikacji z użyciem protokołu IPSec). Zasada bezpieczeństwa składa się z grupy ustawień opisanych poniżej. Można zarejestrować wiele zasad stosownie do używanego adresu IP i numeru portu. Po zakończeniu rejestracji zasad należy określić kolejność ich stosowania.
Selektor
Selektor określa warunki dla pakietów IP w celu zastosowania komunikacji z szyfrowaniem IPSec. Dostępne warunki to m.in. adresy IP i numery portów urządzenia oraz urządzeń, z którymi chcesz nawiązać komunikację.
IKE
Protokół IKE służy do konfiguracji wersji IKEv1 używanej do protokołowania wymiany kluczy. Należy zauważyć, że instrukcje różnią się w zależności od wybranej metody uwierzytelniania.
[Metoda klucza współdzielonego]
Klucz składający się ze znaków alfanumerycznych można udostępniać innym urządzeniom. Należy wcześniej włączyć szyfrowanie TLS dla Zdalnego interfejsu użytkownika (Korzystanie z protokołu TLS do komunikacji szyfrowanej).
Klucz składający się ze znaków alfanumerycznych można udostępniać innym urządzeniom. Należy wcześniej włączyć szyfrowanie TLS dla Zdalnego interfejsu użytkownika (Korzystanie z protokołu TLS do komunikacji szyfrowanej).
[Metoda podpisu cyfrowego]
To i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemne weryfikowanie podpisów cyfrowych. Przygotuj parę kluczy (Używanie wygenerowanych przez CA par kluczy i certyfikatów cyfrowych).
To i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemne weryfikowanie podpisów cyfrowych. Przygotuj parę kluczy (Używanie wygenerowanych przez CA par kluczy i certyfikatów cyfrowych).
Ustawianie protokołów i opcji
Określ ustawienia protokołu ESP i AH, który jest dodawany do pakietów w trakcie trwania komunikacji z użyciem protokołu IPSec. Protokołów ESP i AH można używać równolegle. Można także włączyć protokół PFS w celu zwiększenia zabezpieczeń.
1
Uruchom Zdalny interfejs użytkownika i zaloguj się w trybie zarządzania. Uruchamianie Zdalnego interfejsu użytkownika
2
Kliknij [Ustawienia/Rejestracja].
3
Kliknij [Zabezpieczenia] 
[Ustawienia IPSec].
[Ustawienia IPSec].
4
Kliknij [Lista polityk IPSec].
5
Kliknij [Rejestruj politykę IPSec].
6
Wprowadź nazwę polityki w obszarze [Nazwa polityki] i zaznacz pole wyboru [Włącz politykę].
[Nazwa polityki]
Należy wprowadzić nazwę składającą się ze znaków alfanumerycznych, która służy do identyfikacji zasady.
Należy wprowadzić nazwę składającą się ze znaków alfanumerycznych, która służy do identyfikacji zasady.
[Włącz politykę]
Zaznacz to pole wyboru, aby włączyć politykę. Jeśli polityka nie jest używana, usuń zaznaczenie tego pola wyboru.
Zaznacz to pole wyboru, aby włączyć politykę. Jeśli polityka nie jest używana, usuń zaznaczenie tego pola wyboru.
7
Określ ustawienia selektora.
[Adres lokalny]
Z poniższej listy należy wybrać typ adresu IP urządzenia, który ma być zastosowany w polityce.
Z poniższej listy należy wybrać typ adresu IP urządzenia, który ma być zastosowany w polityce.
[Wszystkie adresy IP] | Wybierz tę opcję, aby używać protokołu IPSec dla wszystkich pakietów IP. |
[Adres IPv4] | Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv4 urządzenia lub z tego adresu. |
[Adres IPv6] | Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych na adres IPv6 urządzenia lub z tego adresu. |
[Ustawienia ręczne IPv4] | Wybierz tę opcję, aby określić pojedynczy adres IPv4 lub zakres adresów IPv4, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv4 (lub zakres) w polu tekstowym [Adres ustawiany ręcznie]. |
[Ustawienia ręczne IPv6] | Wybierz tę opcję, aby określić pojedynczy adres IPv6 lub zakres adresów IPv6, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv6 (lub zakres) w polu tekstowym [Adres ustawiany ręcznie]. |
[Adres ustawiany ręcznie]
Jeśli wybrano opcję [Ustawienia ręczne IPv4] albo [Ustawienia ręczne IPv6] dla pozycji [Adres lokalny], wprowadź adres IP, aby zastosować zasady.
Jeśli wybrano opcję [Ustawienia ręczne IPv4] albo [Ustawienia ręczne IPv6] dla pozycji [Adres lokalny], wprowadź adres IP, aby zastosować zasady.
[Ustawienia podsieci]
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład: „255.255.255.240”).
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład: „255.255.255.240”).
[Zdalny adres]
Z poniższej listy należy wybrać typ adresu IP urządzenia, który ma być zastosowany w polityce.
Z poniższej listy należy wybrać typ adresu IP urządzenia, który ma być zastosowany w polityce.
[Wszystkie adresy IP] | Wybierz tę opcję, aby używać protokołu IPSec dla wszystkich pakietów IP. |
[Wszystkie adresy IPv4] | Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych do lub z adresu IPv4. |
[Wszystkie adresy IPv6] | Wybierz tę opcję, aby używać protokołu IPSec w przypadku wszystkich pakietów IP wysyłanych do lub z adresu IPv6. |
[Ustawienia ręczne IPv4] | Wybierz tę opcję, aby określić pojedynczy adres IPv4 lub zakres adresów IPv4, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv4 (lub zakres) w polu tekstowym [Adres ustawiany ręcznie]. |
[Ustawienia ręczne IPv6] | Wybierz tę opcję, aby określić pojedynczy adres IPv6 lub zakres adresów IPv6, dla których chcesz zastosować protokół IPSec. Wprowadź adres IPv6 (lub zakres) w polu tekstowym [Adres ustawiany ręcznie]. |
[Adres ustawiany ręcznie]
Jeśli wybrano opcję [Ustawienia ręczne IPv4] albo [Ustawienia ręczne IPv6] dla pozycji [Zdalny adres], wprowadź adres IP, aby zastosować zasady.
Jeśli wybrano opcję [Ustawienia ręczne IPv4] albo [Ustawienia ręczne IPv6] dla pozycji [Zdalny adres], wprowadź adres IP, aby zastosować zasady.
[Ustawienia podsieci]
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład: „255.255.255.240”).
W przypadku ręcznego wprowadzania adresów IPv4 można określić zakres, używając maski podsieci. Wprowadź maskę podsieci, oddzielając numery kropkami (przykład: „255.255.255.240”).
[Port lokalny]/[Port zdalny]
Aby utworzyć osobne zasady dla każdego protokołu, np. HTTP czy SMTP, wprowadź odpowiedni numer portu dla protokołu, aby zdecydować o stosowaniu lub niestosowaniu protokołu IPSec.
Aby utworzyć osobne zasady dla każdego protokołu, np. HTTP czy SMTP, wprowadź odpowiedni numer portu dla protokołu, aby zdecydować o stosowaniu lub niestosowaniu protokołu IPSec.
Protokół IPSec nie jest stosowany do pakietów, które mają określony adres multiemisji lub adres rozsyłania.
8
Określ ustawienia protokołu IKE.
[Tryb IKE]
Wyświetlony jest tryb używany do protokołu wymiany kluczy. Standardowo należy wybrać tryb główny.
Tryb agresywny należy wybrać, gdy adres IP nie jest stały. Warto pamiętać, że zabezpieczenia w trybie agresywnym są niższe niż w trybie głównym.
[Metoda AUTH]
Wybierz [Metoda klucza współdzielonego] lub [Metoda podpisu cyfrowego], wybierając metodę stosowaną podczas uwierzytelniania urządzenia.
Wybierz [Metoda klucza współdzielonego] lub [Metoda podpisu cyfrowego], wybierając metodę stosowaną podczas uwierzytelniania urządzenia.
Po wybraniu trybu agresywnego w obszarze [Tryb IKE], ustawienie [Metoda klucza współdzielonego] nie szyfruje klucza dzielonego.
[Algorytm uwierzytelniania/szyfrowania]
Aby automatycznie ustawić algorytm wymiany kluczy, należy zaznaczyć pole wyboru [Automatycznie]. Po zaznaczeniu pola wyboru algorytm jest ustawiany w sposób przedstawiony poniżej.
Aby automatycznie ustawić algorytm wymiany kluczy, należy zaznaczyć pole wyboru [Automatycznie]. Po zaznaczeniu pola wyboru algorytm jest ustawiany w sposób przedstawiony poniżej.
[Uwierzytelnienie] | [SHA1 i MD5] |
[Szyfrowanie] | [3DES-CBC i AES-CBC] |
[Grupa DH] | [Grupa 2 (1024)] |
Aby ręcznie ustawić algorytm, należy usunąć zaznaczenie tego pola wyboru i wybrać algorytm.
[Uwierzytelnienie] | Wybór algorytmu hashowania. |
[Szyfrowanie] | Wybór algorytmu szyfrowania. |
[Grupa DH] | Wybór grupy Diffie-Hellman, która określa siłę klucza. |
Używanie funkcji [Metoda klucza współdzielonego] do uwierzytelniania
1 | Wybierz ustawienie [Metoda klucza współdzielonego] dla opcji [Metoda AUTH] i kliknij pozycję [Ustawienia klucza dzielonego]. |
2 | Wprowadź klucz współdzielony, używając znaków alfanumerycznych i kliknij przycisk [OK].  |
Używanie funkcji [Metoda podpisu cyfrowego] do uwierzytelniania
1 | Wybierz ustawienie [Metoda podpisu cyfrowego] dla opcji [Metoda AUTH] i kliknij pozycję [Klucz i certyfikat]. |
2 | Wybierz parę kluczy, której chcesz użyć, a następnie kliknij [Ustawienia klucza domyślnego].  Wyświetlanie informacji na temat pary kluczy lub certyfikatu Certyfikat można zweryfikować lub sprawdzić jego szczegóły, klikając odpowiednie łącze umieszczone pod pozycją [Nazwa klucza] albo ikonę certyfikatu. Weryfikowanie par kluczy i certyfikatów cyfrowych |
9
Określ ustawienia sieci z protokołem IPSec.
[Użyj PFS]
Zaznacz to pole wyboru, aby włączyć protokół Doskonałe utajnienie przekazywania (PFS) w odniesieniu do kluczy sesji IPSec. Protokół PFS zwiększa poziom zabezpieczeń oraz ilość komunikowanych danych. Upewnij się, że protokół PFS jest włączony dla innych urządzeń. Jeśli usługa PFS nie jest używana, należy usunąć zaznaczenie tego pola wyboru.
[Ważność]
Określ sposób używania SA jako tunelu komunikacyjnego. Zaznacz pole wyboru [Wyświetl wedłóg czasu] lub [Wyświetl wedłóg rozmiaru]. W przypadku zaznaczenia dwóch pól wyboru sesja kojarzenia zabezpieczeń IPSec SA zostaje zakończona, gdy spełniony zostanie jeden z warunków.
Określ sposób używania SA jako tunelu komunikacyjnego. Zaznacz pole wyboru [Wyświetl wedłóg czasu] lub [Wyświetl wedłóg rozmiaru]. W przypadku zaznaczenia dwóch pól wyboru sesja kojarzenia zabezpieczeń IPSec SA zostaje zakończona, gdy spełniony zostanie jeden z warunków.
[Wyświetl wedłóg czasu] | Wprowadź czas w minutach, aby określić długość trwania sesji. Wprowadzony czas zostaje zastosowany zarówno w przypadku kojarzenia zabezpieczeń IPSec, jak i IKE. |
[Wyświetl wedłóg rozmiaru] | Wprowadź rozmiar w megabajtach, aby określić maksymalną ilość danych transportowanych w trakcie jednej sesji. Wprowadzony rozmiar jest stosowany tylko w przypadku kojarzenia zabezpieczeń IPSec. |
Jeśli zaznaczysz tylko pole wyboru [Wyświetl wedłóg rozmiaru]
Prawidłowość kojarzenia zabezpieczeń IKE nie może być określona wielkością, dlatego stosuje się wartość początkową (480 minut) [Wyświetl wedłóg czasu].
[Algorytm uwierzytelniania/szyfrowania]
Wybierz protokół i algorytm do wykorzystania w komunikacji IPSec.
Wybierz protokół i algorytm do wykorzystania w komunikacji IPSec.
Automatyczna konfiguracja połączeniaWybierz [Automatycznie].
[Uwierzytelnienie ESP] | ESP jest włączone, a algorytm uwierzytelniania jest ustawiony na [SHA1 i MD5]. |
[Szyfrowanie ESP] | ESP jest włączone, a algorytm szyfrowania jest ustawiony na [3DES-CBC i AES-CBC]. |
Używanie ESPWybierz [ESP] oraz algorytm uwierzytelniania i szyfrowania.
[Uwierzytelnienie ESP] | Wybór algorytmu hashowania do użycia w uwierzytelnianiu ESP. |
[Szyfrowanie ESP] | Wybór algorytmu szyfrowania z użyciem protokołu ESP. |
Używanie AHWybierz [AH], oraz algorytm hashowania do użycia w uwierzytelnianiu AH w obszarze [Uwierzytelnianie AH].
[Tryb podłączenia]
Opcja pozwala wyświetlić tryb połączenia protokołu IPSec. Urządzenie obsługuje tryb transportu, w którym ładunki pakietów IP są szyfrowane. Tryb tunelu, w którym zawarte są całe pakiety IP (nagłówki i ładunki), nie jest dostępny.
Opcja pozwala wyświetlić tryb połączenia protokołu IPSec. Urządzenie obsługuje tryb transportu, w którym ładunki pakietów IP są szyfrowane. Tryb tunelu, w którym zawarte są całe pakiety IP (nagłówki i ładunki), nie jest dostępny.
10
Kliknij [OK].
Aby zarejestrować dodatkową zasadę bezpieczeństwa, wróć do kroku 5.
11
Ustaw kolejność zasad wyszczególnionych na liście w pozycji [Lista polityk IPSec].
Zasady są stosowane w kolejności od pozycji na górze listy do pozycji znajdującej się na samym dole. Klikaj przyciski [Podnieś priorytet] i [Obniż priorytet], aby przesuwać zasady w górę lub w dół i tym samym zmieniać kolejność ich stosowania.
Edytowanie zasady
W celu edycji ustawień można kliknąć łącze w obszarze [Nazwa polityki].
Usuwanie zasady
Kliknij przycisk [Usuń] znajdujący się po prawej stronie nazwy zasady, którą chcesz usunąć.
12
Wykonaj reset sprzętowy.
Kliknij opcję [Sterowanie urządzeniem], wybierz [Twardy reset], a następnie kliknij przycisk [Wykonaj].
Ustawienia są aktywowane po wykonaniu resetu sprzętowego.
Włączanie komunikacji z użyciem protokołu IPSec
Po zakończeniu rejestrowania polityk bezpieczeństwa należy włączyć komunikację z użyciem protokołu IPSec.
1
Uruchom Zdalny interfejs użytkownika i zaloguj się w trybie zarządzania. Uruchamianie Zdalnego interfejsu użytkownika
2
Kliknij [Ustawienia/Rejestracja].
3
Kliknij [Zabezpieczenia] [Ustawienia IPSec].
[Ustawienia IPSec].4
Kliknij [Edytuj].
5
Zaznacz pole wyboru [Użyj IPSec] i kliknij przycisk [OK].
[Użyj IPSec]
Zaznacz to pole wyboru w przypadku używania protokołu IPSec w urządzeniu. Jeśli funkcja ta nie jest używana, zaznaczenie tego pola wyboru należy usunąć.
[Zezwól na odbiór pakietów bez polityki]
Jeśli zaznaczysz to pole wyboru podczas używania IPSec, pakiety, które nie są dostępne dla zarejestrowanych polityk, będą również wysyłane/odbierane. Aby wyłączyć wysyłanie/odbieranie pakietów, które nie są dostępne dla polityk, zaznaczenie tego pola wyboru należy usunąć.
Jeśli zaznaczysz to pole wyboru podczas używania IPSec, pakiety, które nie są dostępne dla zarejestrowanych polityk, będą również wysyłane/odbierane. Aby wyłączyć wysyłanie/odbieranie pakietów, które nie są dostępne dla polityk, zaznaczenie tego pola wyboru należy usunąć.
6
Wykonaj reset sprzętowy.
Kliknij opcję [Sterowanie urządzeniem], wybierz [Twardy reset], a następnie kliknij przycisk [Wykonaj].
Ustawienia są aktywowane po wykonaniu resetu sprzętowego.
|
Korzystanie z panelu sterowaniaUstawienia komunikacji z użyciem protokołu IPSec można także włączyć lub wyłączyć za pomocą menu ustawień na panelu sterowania. IPSec |