Настройка параметров IPSec

IPSec или IPsec — это протокол, который подходит для кодирования данных, передающихся по сети, в том числе и Интернету. В то время как TLS шифрует только данные определенного приложения, например веб-браузера или почтовой программы, IPSec шифрует либо все IP-пакеты, либо рабочие нагрузки IP-пакетов, обеспечивая более универсальную систему безопасности. Функция IPSec аппарата работает в режиме передачи, при котором кодируется полезная часть IP-пакета. Благодаря этой функции аппарат можно подключить напрямую к компьютеру, который находится в той же виртуальной частной сети (VPN). Перед настройкой аппарата проверьте системные требования и настройте необходимые параметры на компьютере.

Требования к системе

Протокол IPSec, поддерживаемый аппаратом, соответствует стандартам RFC2401, RFC2402, RFC2406 и RFC4305.

Операционная система	Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
Режим с установлением соединения	Режим передачи
Протокол распределения ключей	IKEv1 (основной режим)
	Метод аутентификации	Предварительный ключ Цифровая подпись
	Хэш-алгоритм (и длина ключа)	HMAC-SHA1-96 HMAC-SHA2 (256 бит или 384 бит)
	Алгоритм кодирования (и длина ключа)	3DES-CBC AES-CBC (128, 192 или 256 бит)
	Алгоритм/группа распределения ключей (и длина ключа)	Алгоритм Диффи — Хеллмана (DH) Группа 1 (768 бит) Группа 2 (1024 бит) Группа 14 (2048 бит)
ESP	Хэш-алгоритм	HMAC-SHA1-96
	Алгоритм кодирования (и длина ключа)	3DES-CBC AES-CBC (128, 192 или 256 бит)
	Хэш-алгоритм/алгоритм шифрования (и длина ключа)	AES-GCM (128, 192 или 256 бит)
AH	Хэш-алгоритм	HMAC-SHA1-96

ПРИМЕЧАНИЕ
Функциональные ограничения IPSec IPSec поддерживает передачу данных на однопунктовые адреса (или одиночные устройства). Аппарат не может одновременно использовать протоколы IPSec и DHCPv6. Протокол IPSec недоступен в сетях с преобразованием интернет-протокола. Использование IPSec с фильтрацией IP-адресов Сначала применяются параметры фильтрации IP-адресов, затем — политики IPSec. Указание IP-адресов по правилам брандмауэра

ПРИМЕЧАНИЕ

Функциональные ограничения IPSec

IPSec поддерживает передачу данных на однопунктовые адреса (или одиночные устройства).

Аппарат не может одновременно использовать протоколы IPSec и DHCPv6.

Протокол IPSec недоступен в сетях с преобразованием интернет-протокола.

Использование IPSec с фильтрацией IP-адресов

Сначала применяются параметры фильтрации IP-адресов, затем — политики IPSec.

Указание IP-адресов по правилам брандмауэра

Настройка параметров IPSec

Перед использованием IPSec для передачи зашифрованных данных необходимо зарегистрировать концепции безопасности (SP). Политика безопасности включает группы параметров, описанных ниже. Можно зарегистрировать до 10 концепций. После регистрации концепций укажите порядок их применения.

Селектор

Селектор определяет условия применения IPSec для передачи IP-пакетов. Эти условия включают IP-адреса и номера портов аппарата и устройства, между которыми будет происходить обмен данными.

Протокол IKE

IKE настраивает IKEv1, который используется для протокола распределения ключей. Помните, что инструкции зависят от выбранного метода аутентификации.

[Способ защищенного общего ключа:]
Совместно с другими устройствами можно использовать ключ, состоящий из 24 алфавитно-цифровых символов. Включение TLS для удаленного ИП до указания этого метода аутентификации (Включение связи, защищенной с помощью кодирования TLS, для удаленного ИП (Включение связи, защищенной с помощью кодирования TLS, для удаленного ИП)).

[Способ цифровой подписи:]
Данный аппарат, а также другие подобные устройства, опознают друг друга путем выполнения операции взаимного подтверждения своих цифровых подписей. Заблаговременно создайте или установите пару ключей (Настройка параметров для пар ключей и цифровых сертификатов).

AH/ESP

Укажите параметры заголовка AH/ESP, который добавляется к пакету во время передачи IPSec. AH и ESP могут использоваться в одно и то же время. Можно также включить PFS для повышения безопасности.

Запустите удаленный ИП и войдите в систему в режиме администратора системы. Запуск удаленного ИП

Нажмите кнопку [Настройки/Регистрация].

Нажмите кнопки [Настройки защиты]

[Параметры IPSec].

Нажмите кнопку [Изменить...].

Установите флажок [Использовать IPSec] и нажмите [OK].

Если требуется, чтобы аппарат принимал только те пакеты, которые соответствуют условиям одной из политик безопасности, определенных вами в предыдущих шагах, снимите флажок [Прием пакетов вне политики].

Нажмите кнопку [Регистрировать новую политику...].

Укажите параметры политики.

1	В поле [Имя политики] введите имя длиной до 24 алфавитно-цифровых символов для идентификации политики.
2	Установите флажок [Включить политику].

Укажите параметры селектора.

[Локальный адрес:]
Чтобы применить политику, нажмите переключатель рядом с типом IP-адреса аппарата.

[Все IP-адреса]	Использование IPSec для всех IP-пакетов.
[IPv4-адрес]	Включите использование IPSec для всех IP-пакетов, которые отправляются с аппарата на IPv4-адрес или поступают в него с этого адреса.
[IPv6-адрес]	Включите использование IPSec для всех IP-пакетов, которые отправляются с аппарата на IPv6-адрес или поступают в него с этого адреса.

[Удаленный адрес:]
Чтобы применить политику, нажмите переключатель рядом с типом IP-адреса других устройств.

[Все IP-адреса]	Использование IPSec для всех IP-пакетов.
[Все IPv4-адреса]	Включите использование IPSec для всех IP-пакетов, которые отправляются с IPv4-адресов других устройств или поступают в них.
[Все IPv6-адреса]	Включите использование IPSec для всех IP-пакетов, которые отправляются с IPv6-адресов других устройств или поступают в них.
[Параметры IPv4, устанавливаемые вручную]	Выберите, чтобы указать один адрес IPv4 или диапазон адресов IPv4, к которым будет применяться IPSec. Введите адрес IPv4 (или диапазон адресов) в поле [Адреса для установки вручную:].
[Параметры IPv6, устанавливаемые вручную]	Выберите, чтобы указать один адрес IPv6 или диапазон адресов IPv6, к которым будет применяться IPSec. Введите адрес IPv6 (или диапазон адресов) в поле [Адреса для установки вручную:].

[Адреса для установки вручную:]
Если для параметра [Удаленный адрес:] выбран вариант [Параметры IPv4, устанавливаемые вручную] или [Параметры IPv6, устанавливаемые вручную], для применения политики введите IP-адрес. Можно также ввести диапазон адресов, разделив адреса дефисом.

ПРИМЕЧАНИЕ
Ввод IP-адресов

	Описание	Пример
Ввод одного адреса	IPv4: цифры разделяются точками.	192.168.0.10
Ввод одного адреса	IPv6: алфавитно-цифровые символы разделяются двоеточием.	fe80::10
Ввод диапазона адресов	Адреса разделяются дефисом.	192.1680.10-192.1680.20
Ввод диапазона адресов с префиксом (только для IPv6)	Введите адрес, затем косую черту и число, указывающее длину префикса.	fe80::1234/64

[Параметры подсети:]
Указывая адрес IPv4 вручную, можно указать диапазон с помощью маски подсети. Введите маску подсети, разделяя цифры точками (пример: «255.255.255.240»).

[Длина префикса:]
Указывая IPv6 вручную, можно задать длину префикса.

[Локальный порт:]/[Удаленный порт:]
При необходимости создать отдельную политику для каждого протокола, например HTTP или SMTP, введите номер соответствующего порта для протокола, чтобы указать, нужно ли использовать IPSec.

ВАЖНО!
Действие пакета протоколов IPSec не распространяется на следующие пакеты

Возвратные, многоадресные и широковещательные пакеты

Пакеты IKE (при использовании UDP на порте 500)

Пакеты ICMPv6, такие как запрос к соседу и ответ (предложение) соседа

Укажите настройки IKE.

[Режим IKE:]
Отображается режима, использующийся для протокола распределения ключей. Аппарат поддерживает основной режим, а не активный.

[Способ аутентификации:]
Выберите [Способ защищенного общего ключа:] или [Способ цифровой подписи:] в качестве метода аутентификации аппарата. Необходимо включить TLS для удаленного ИП, прежде чем выбирать [Способ защищенного общего ключа:] (Включение связи, защищенной с помощью кодирования TLS, для удаленного ИП). Перед выбором настройки параметра [Способ цифровой подписи:] необходимо создать или установить пару ключей (Настройка параметров для пар ключей и цифровых сертификатов).

[Действует:]
Укажите длительность сессии для IKE SA (ISAKMP SA). Введите время в минутах.

[Аутентификация:]/[Шифрование:]/[Группа DH:]
Выберите алгоритм из раскрывающегося списка. В распределении ключей используются все алгоритмы.

[Аутентификация:]	Выберите хэш-алгоритм.
[Шифрование:]	Выберите алгоритм кодирования.
[Группа DH:]	Выберите группу кодирования по Диффи — Хеллману; номер группы определяет длину ключа.

Использование предварительного ключа для аутентификации

1	Нажмите переключатель [Способ защищенного общего ключа:] в пункте [Способ аутентификации:], затем нажмите кнопку [Параметры общего ключа...].
2	Введите предварительный ключ длиной до 24 алфавитно-цифровых символов и нажмите [OK].
3	Укажите настройки параметров [Действует:] и [Аутентификация:]/[Шифрование:]/[Группа DH:].

Использование пары ключей и предустановленных сертификатов CA для выполнения аутентификации

1	Нажмите переключатель [Способ цифровой подписи:] в пункте [Способ аутентификации:], затем нажмите кнопку [Ключ и сертификат...].
2	Нажмите кнопку [Зарегистрировать ключ по умолчанию] справа от пары ключей, которую требуется использовать. ПРИМЕЧАНИЕ. Просмотр информации о ключах и сертификате Можно проверить информацию сертификате или подтвердить сертификат, щелкнув соответствующую текстовую ссылку под кнопкой [Имя ключа] или нажав значок сертификата. Проверка пар ключей и цифровых сертификатов
3	Укажите настройки параметров [Действует:] и [Аутентификация:]/[Шифрование:]/[Группа DH:].

Укажите параметры сети IPSec.

[Использовать PFS]
Установите этот флажок для включения режима совершенной прямой секретности (PFS) для ключей сеансов IPSec. Режим PFS повышает безопасность, но в то же время увеличивает нагрузку на соединение. Убедитесь, что функция PFS включена и на других устройствах.

[Указать по времени]/[Указать по размеру]
Задайте условия прекращения сессии IPSec SA. Соединение IPSec SA используется в качестве туннеля связи. При необходимости установите один или оба флажка. Если флажки установлены, сессия IPSec SA прекращается при выполнении любого из условий.

[Указать по времени]	Введите продолжительность сессии в минутах.
[Указать по размеру]	Укажите максимальный объем данных для передачи во время сессии в мегабайтах.

[Выбор алгоритма:]
Установите флажок [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимости от заголовка IPSec и используемого алгоритма. Алгоритм AES-GCM подходит как для аутентификации, так и для кодирования. Если выбран вариант [ESP], выберите также алгоритмы аутентификации и кодирования из раскрывающихся списков [Аутентификация ESP:] и [Шифрование ESP:].

[Аутентификация ESP:]	Для включения аутентификации ESP выберите [SHA1] в качестве хэш-алгоритма. Выберите [Не использовать] для отключения аутентификации ESP.
[Шифрование ESP:]	Выберите алгоритм кодирования ESP. Выберите [NULL], чтобы не указывать алгоритм, или [Не использовать], чтобы отключить кодирование ESP.

[Режим соединения]
Отображается режим с установлением соединения IPSec. Аппарат поддерживает режим передачи, при котором кодируется полезная часть IP-пакета. Туннельный режим, при котором происходит инкапсуляция всего IP-пакета (заголовок и полезная часть), недоступен.

Нажмите кнопку [OK].

При необходимости зарегистрировать дополнительную политику безопасности, вернитесь к шагу 6.

Задайте порядок применения политик в списке [Зарегистрированные политики IPSec].

Политики применяются в порядке от верхней к нижней. Нажимайте [Вверх] или [Вниз], чтобы переместить политику вверх или вниз по списку.

ПРИМЕЧАНИЕ
Редактирование политики
Нажмите текстовую ссылку под [Имя политики] для вызова экрана редактирования.

Удаление политики

Нажмите кнопку [Удалить] справа от имени политики, которую требуется удалить,

нажмите [OK].

Перезапустите аппарат.

Выключите аппарат и подождите не менее 10 секунд, прежде чем включить его снова.

Настройка параметров для пар ключей и цифровых сертификатов

Список политик IPSec