Настроювання параметрів протоколу IPSec
Інтернет-протокол безпеки (IPSec або IPsec) — це пакет протоколів для шифрування даних, які передаються через мережу, зокрема через інтернет-мережі. У той час, коли TLS шифрує лише дані, які використовуються для певної програми, такої як веб-браузер або прикладна програма електронної пошти, IPSec шифрує всі IP-пакети або корисну інформацію, що вони містять, забезпечуючи гнучкішу систему безпеки. Протокол IPSec апарата працює в режимі передавання, у якому шифрується корисна інформація IP-пакетів. За допомогою цієї функції апарат може підключатися безпосередньо до комп’ютера, який перебуває в тій самій віртуальній приватній мережі (VPN). Перевірте системні вимоги та встановіть необхідні параметри на комп’ютері перед настроюванням апарата.
Вимоги до системи
Протокол IPSec, який підтримується апаратом, відповідає RFC2401, RFC2402, RFC2406 і RFC4305.
|
Операційна система
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Режим зв’язку
|
Режим передавання
|
|
|
Протокол ключового обміну
|
IKEv1 (основний режим)
|
|
|
Метод автентифікації
|
Попередньо наданий ключ
Цифровий підпис
|
|
|
Алгоритм гешування
(і довжина ключа) |
HMAC-SHA1-96
HMAC-SHA2 (256 біт або 384 біт)
|
|
|
Алгоритм шифрування
(і довжина ключа) |
3DES-CBC
AES-CBC (128 біт, 192 біт або 256 біт)
|
|
|
Алгоритм та/або група ключового обміну (і довжина ключа)
|
Діффі-Геллмана (DH)
Група 1 (768 біт)
Група 2 (1024 біт)
Група 14 (2048 біт)
|
|
|
ESP
|
Алгоритм гешування
|
HMAC-SHA1-96
|
|
Алгоритм шифрування
(і довжина ключа) |
3DES-CBC
AES-CBC (128 біт, 192 біт або 256 біт)
|
|
|
Алгоритм гешування та/або алгоритм шифрування (і довжина ключа)
|
AES-GCM (128 біт, 192 біт або 256 біт)
|
|
|
AH
|
Алгоритм гешування
|
HMAC-SHA1-96
|
|
ПРИМІТКА
|
Функціональні обмеження протоколу IPSecПротокол IPSec підтримує одноадресне передавання даних (або зв’язок з одним пристроєм).
Апарат не може використовувати протоколи IPSec і DHCPv6 одночасно.
Протокол IPSec недоступний у мережах, у яких виконується трансформація мережевих адрес або перетворення IP.
Використання протоколу IPSec із фільтром IP-адресПараметри фільтра IP-адрес пріоритетніші за політики IPSec.
|
Настроювання параметрів протоколу IPSec
Перед використанням протоколу IPSec для зашифрованого зв’язку потрібно зареєструвати політики безпеки (SP). Політика безпеки складається з груп параметрів, які описані нижче. Можна зареєструвати до 10 політик. Після реєстрації політик укажіть порядок, у якому вони застосовуються.
Селектор
Селектор визначає умови для IP-пакетів із метою застосування зв’язку IPSec. Доступні умови включають IP-адреси та номери портів апарата й пристроїв для зв’язку.
Протокол IKE
Протокол IKE настроює IKEv1, який використовується для протоколу ключового обміну. Зверніть увагу, що інструкції відрізняються залежно від вибраного методу автентифікації.
[Pre-Shared Key Method:]
Ключ завдовжки до 24 символів (букви та цифри) може одночасно використовуватися на кількох пристроях. Перш ніж використовувати цей метод автентифікації, слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Увімкнення зашифрованого зв’язку TLS для Remote UI (Інтерфейс віддаленого користувача)).
Ключ завдовжки до 24 символів (букви та цифри) може одночасно використовуватися на кількох пристроях. Перш ніж використовувати цей метод автентифікації, слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Увімкнення зашифрованого зв’язку TLS для Remote UI (Інтерфейс віддаленого користувача)).
[Digital Signature Method:]
Апарат та інші пристрої виконують взаємну автентифікацію шляхом перевірки сертифікатів один одного. Створіть або інсталюйте пару ключів заздалегідь (див. розділ Настроювання параметрів для пар ключів і цифрових сертифікатів).
Апарат та інші пристрої виконують взаємну автентифікацію шляхом перевірки сертифікатів один одного. Створіть або інсталюйте пару ключів заздалегідь (див. розділ Настроювання параметрів для пар ключів і цифрових сертифікатів).
AH/ESP
Зазначте параметри для AH/ESP, які додаються до пакетів під час зв’язку IPSec. AH та ESP можна використовувати одночасно. Можна також активувати PFS для забезпечення надійнішої безпеки.
1
Запустіть Remote UI (Інтерфейс віддаленого користувача) і виконайте вхід у режимі системного адміністратора. Запуск Remote UI (Інтерфейс віддаленого користувача)
2
Натисніть [Settings/Registration].
3
Натисніть елементи [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Натисніть [Edit...].
5
Установіть прапорець [Use IPSec] і натисніть кнопку [OK].
Зніміть прапорець [Receive Non-Policy Packets], якщо для апарата потрібно встановити отримання лише тих пакетів, які збігаються принаймні з однією визначеною нижче політикою безпеки.
6
Натисніть [Register New Policy...].
7
Укажіть параметри політики.
|
1
|
У текстовому полі [Policy Name] введіть до 24 символів (букви й цифри) для назви, яка використовується для ідентифікації політики.
|
|
2
|
Установіть прапорець [Enable Policy].
 |
8
Укажіть параметри селектора.
[Local Address:]
Натисніть перемикач біля потрібного типу IP-адреси апарата, щоб застосувати відповідну політику.
Натисніть перемикач біля потрібного типу IP-адреси апарата, щоб застосувати відповідну політику.
|
[All IP Addresses]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів.
|
|
[IPv4 Address]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються до або з IPv4-адреси апарата.
|
|
[IPv6 Address]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються до або з IPv6-адреси апарата.
|
[Remote Address:]
Натисніть перемикач біля потрібного типу IP-адреси інших пристроїв, щоб застосувати відповідну політику.
Натисніть перемикач біля потрібного типу IP-адреси інших пристроїв, щоб застосувати відповідну політику.
|
[All IP Addresses]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів.
|
|
[All IPv4 Addresses]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються до або з IPv4-адрес інших пристроїв.
|
|
[All IPv6 Addresses]
|
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, які надсилаються до або з IPv6-адрес інших пристроїв.
|
|
[IPv4 Manual Settings]
|
Виберіть, щоб указати єдину адресу IPv4 або діапазон адрес IPv4, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually:] введіть IPv4-адресу або діапазон таких адрес.
|
|
[IPv6 Manual Settings]
|
Виберіть, щоб указати єдину адресу IPv6 або діапазон адрес IPv6, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually:] введіть IPv6-адресу або діапазон таких адрес.
|
[Addresses to Set Manually:]
Якщо для параметра [Remote Address:] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику. Також можна ввести діапазон адрес, вставляючи між ними дефіс.
Якщо для параметра [Remote Address:] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику. Також можна ввести діапазон адрес, вставляючи між ними дефіс.
ПРИМІТКА
Введення IP-адрес
Введення IP-адрес
|
Значення
|
Приклад
|
|
|
Введення однієї адреси
|
IPv4:
Розмежовуйте числа крапками. |
192.168.0.10
|
|
IPv6:
Розмежовуйте символи двокрапками. |
fe80::10
|
|
|
Зазначення діапазону адрес
|
Вставте дефіс між адресами.
|
192.168.0.10-192.168.0.20
|
|
Зазначення діапазону адрес за допомогою префікса (лише IPv6-адреси)
|
Введіть адресу, а після неї — скісну риску та число, яке позначає довжину префікса.
|
fe80::1234/64
|
[Subnet Settings:]
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (приклад: «255.255.255.240»).
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (приклад: «255.255.255.240»).
[Prefix Length:]
У разі встановлення IPv6-адреси вручну можна вказати довжину префікса.
У разі встановлення IPv6-адреси вручну можна вказати довжину префікса.
[Local Port:]/[Remote Port:]
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP і SNMP), введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP і SNMP), введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
ВАЖЛИВО!
Протокол IPSec не застосовується до наведених нижче пакетів
Протокол IPSec не застосовується до наведених нижче пакетів
Пакети замикання на себе, пакети багатопотокового й широкомовного передавання
Пакети IKE (використовуючи UDP на порту 500)
Пакети ICMPv6 (запит на доступних сусідів і відповідь сусіда)
9
Укажіть параметри протоколу IKE.
[IKE Mode:]
Відображається режим, який використовується для протоколу ключового обміну. Апарат підтримує основний режим, динамічний режим не підтримується.
Відображається режим, який використовується для протоколу ключового обміну. Апарат підтримує основний режим, динамічний режим не підтримується.
[Authentication Method:]
Виберіть елемент [Pre-Shared Key Method:] або [Digital Signature Method:], щоб зазначити метод, який використовується під час автентифікації апарата. Перш ніж використовувати метод автентифікації [Pre-Shared Key Method:], слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Увімкнення зашифрованого зв’язку TLS для Remote UI (Інтерфейс віддаленого користувача)). Потрібно створити або інсталювати пару ключів, перш ніж вибирати елемент [Digital Signature Method:] (див. розділ Настроювання параметрів для пар ключів і цифрових сертифікатів).
Виберіть елемент [Pre-Shared Key Method:] або [Digital Signature Method:], щоб зазначити метод, який використовується під час автентифікації апарата. Перш ніж використовувати метод автентифікації [Pre-Shared Key Method:], слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Увімкнення зашифрованого зв’язку TLS для Remote UI (Інтерфейс віддаленого користувача)). Потрібно створити або інсталювати пару ключів, перш ніж вибирати елемент [Digital Signature Method:] (див. розділ Настроювання параметрів для пар ключів і цифрових сертифікатів).
[Valid for:]
Укажіть тривалість сеансу для IKE SA (ISAKMP SA). Введіть час у хвилинах.
Укажіть тривалість сеансу для IKE SA (ISAKMP SA). Введіть час у хвилинах.
[Authentication:]/[Encryption:]/[DH Group:]
У розкривному списку виберіть алгоритм. Кожен алгоритм використовується для ключового обміну.
У розкривному списку виберіть алгоритм. Кожен алгоритм використовується для ключового обміну.
|
[Authentication:]
|
Виберіть алгоритм гешування.
|
|
[Encryption:]
|
Виберіть алгоритм шифрування.
|
|
[DH Group:]
|
Виберіть групу Діффі—Геллмана, яка визначає стійкість ключа.
|
Використання попередньо наданого ключа для автентифікації
|
1
|
Натисніть перемикач [Pre-Shared Key Method:] для параметра [Authentication Method:], а потім натисніть кнопку [Shared Key Settings...].
|
|
2
|
Введіть щонайбільше 24 символи (букви й цифри) для попередньо наданого ключа, а потім натисніть кнопку [OK].
 |
|
3
|
Укажіть параметри [Valid for:] і [Authentication:]/[Encryption:]/[DH Group:].
|
Використання пари ключів і попередньо інстальованих сертифікатів ЦС для автентифікації
|
1
|
Натисніть перемикач [Digital Signature Method:] для параметра [Authentication Method:], а потім натисніть кнопку [Key and Certificate...].
|
|
2
|
Натисніть кнопку [Register Default Key] праворуч від пари ключів, яку слід використати.
 ПРИМІТКА.
Перегляд докладних відомостей про пару ключів або сертифікат Можна перевірити докладні відомості про сертифікат або перевірити сертифікат, вибравши відповідне текстове посилання в рядку [Key Name] або піктограму сертифіката. Перевірка пар ключів і цифрових сертифікатів
|
|
3
|
Укажіть параметри [Valid for:] і [Authentication:]/[Encryption:]/[DH Group:].
|
10
Укажіть параметри мережі IPSec.
[Use PFS]
Установіть цей прапорець, щоб увімкнути функцію досконалої прямої секретності (PFS) для ключів сеансу IPSec. Увімкнення функції PFS покращує безпеку, проте збільшує обсяг даних, що передаються. Переконайтеся, що функцію PFS активовано також на інших пристроях.
Установіть цей прапорець, щоб увімкнути функцію досконалої прямої секретності (PFS) для ключів сеансу IPSec. Увімкнення функції PFS покращує безпеку, проте збільшує обсяг даних, що передаються. Переконайтеся, що функцію PFS активовано також на інших пристроях.
[Specify by Time]/[Specify by Size]
Налаштуйте умови завершення сеансу для IPSec SA. IPSec SA використовується як тунель зв’язку. За потребою установіть один або два прапорці. Якщо встановлено два прапорці, сеанс IPSec SA завершується після виконання однієї з умов.
Налаштуйте умови завершення сеансу для IPSec SA. IPSec SA використовується як тунель зв’язку. За потребою установіть один або два прапорці. Якщо встановлено два прапорці, сеанс IPSec SA завершується після виконання однієї з умов.
|
[Specify by Time]
|
Введіть час у хвилинах, щоб указати тривалість сеансу.
|
|
[Specify by Size]
|
Введіть розмір у мегабайтах, щоб указати скільки даних можна передати за сеанс.
|
[Select Algorithm:]
Установіть прапорець [ESP], [ESP (AES-GCM)] або [AH (SHA1)] залежно від використаних заголовка IPSec і алгоритму. AES-GCM — це алгоритм для автентифікації та шифрування. Якщо вибрано елемент [ESP], виберіть також алгоритми для автентифікації та шифрування з розкривних списків [ESP Authentication:] і [ESP Encryption:].
Установіть прапорець [ESP], [ESP (AES-GCM)] або [AH (SHA1)] залежно від використаних заголовка IPSec і алгоритму. AES-GCM — це алгоритм для автентифікації та шифрування. Якщо вибрано елемент [ESP], виберіть також алгоритми для автентифікації та шифрування з розкривних списків [ESP Authentication:] і [ESP Encryption:].
|
[ESP Authentication:]
|
Щоб увімкнути автентифікацію ESP, виберіть елемент [SHA1] для алгоритму гешування. Виберіть елемент [Do Not Use], якщо потрібно вимкнути автентифікацію ESP.
|
|
[ESP Encryption:]
|
Виберіть алгоритм шифрування для протоколу ESP. Якщо алгоритм використовувати не потрібно, виберіть параметр [NULL]. Щоб вимкнути шифрування за протоколом ESP, виберіть параметр [Do Not Use].
|
[Connection Mode]
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
11
Натисніть [OK].
Якщо потрібно зареєструвати додаткову політику безпеки, поверніться до кроку 6.
12
Упорядкуйте список політик, розташований під елементом [Registered IPSec Policies].
Політики застосовуються в порядку спадання (від найвищої до найнижчої). Натисніть елемент [Up] або [Down], щоб перемістити політику вгору або вниз у списку.
ПРИМІТКА.
Змінення політики
Щоб відобразити екран редагування, у стовпці [Policy Name] виберіть відповідне текстове посилання.
Змінення політики
Щоб відобразити екран редагування, у стовпці [Policy Name] виберіть відповідне текстове посилання.
Видалення політики
Праворуч від імені політики, яку потрібно видалити, натисніть кнопку [Delete] і натисніть кнопку [OK].
і натисніть кнопку [OK].13
Перезапустіть апарат.
Вимкніть апарат, зачекайте принаймні 10 секунд і знову ввімкніть його.