Конфигуриране на IPSec настройки
Internet Protocol Security (IPSec или IPsec) е протокол за шифроване на данни, прехвърляни чрез мрежа, включително чрез интернет мрежи. Докато TLS шифрова само данните, които се използват от специфично приложение, като например уеб браузър или имейл приложение, IPSec шифрова целите IP пакети (или тяхното полезно съдържание), като предлага по-гъвкава система за сигурност. IPSec на машината работи в транспортен режим, който шифрова полезното съдържание на IP пакетите. С тази функция машината може да се свърже директно към компютър, който е в същата виртуална частна мрежа (VPN). Проверете изискванията към системата и задайте необходимите настройки на компютъра, преди да конфигурирате машината.
Изисквания към системата
IPSec протоколът, който се поддържа то машината, отговаря на RFC2401, RFC2402, RFC2406 и RFC4305.
|
Операционна система
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Режим на свързване
|
Транспортен режим
|
|
|
Протокол за обмен на ключове
|
IKEv1 (основен режим)
|
|
|
Метод за автентикация
|
Предварително споделен ключ
Електронен подпис
|
|
|
Hash алгоритъм
(и дължина на ключ) |
HMAC-SHA1-96
HMAC-SHA2 (256 бита или 384 бита)
|
|
|
Алгоритъм за криптиране
(и дължина на ключ) |
3DES-CBC
AES-CBC (128 бита, 192 бита или 256 бита)
|
|
|
Група/алгоритъм за обмен на ключове (и дължина на ключа)
|
Diffie-Hellman (DH)
Група 1 (768 бита)
Група 2 (1024 бита)
Група 14 (2048 бита)
|
|
|
ESP
|
Hash алгоритъм
|
HMAC-SHA1-96
|
|
Алгоритъм за криптиране
(и дължина на ключ) |
3DES-CBC
AES-CBC (128 бита, 192 бита или 256 бита)
|
|
|
Hash алгоритъм/алгоритъм за криптиране (и дължина на ключа)
|
AES-GCM (128 бита, 192 бита или 256 бита)
|
|
|
AH
|
Hash алгоритъм
|
HMAC-SHA1-96
|
|
ЗАБЕЛЕЖКА
|
Функционални ограничения на IPSecIPSec поддържа комуникация към уникаст адрес (или едно устройство).
Машината не може да използва IPSec и DHCPv6 едновременно.
IPSec протоколът не е достъпен в мрежите с NAT или IP адресна транслация.
Използване на IPSec с филтър за IP адресиНастройките за филтриране на IP адреси се прилагат преди IPSec политиките.
|
Конфигуриране на IPSec настройки
Преди да се използва IPSec за криптирана комуникация, трябва да запаметите политики за сигурност (SP). Политиката за сигурност се състои от групите с настройки, описани по-долу. Могат да бъдат запаметени до 10 политики. След като запаметите политиките, задайте реда, в който да се прилагат.
Селектор
Селекторът определя условия за IP пакетите, за да се приложи IPSec комуникация. Условията, които могат да се избират, включват IP адреси и номера на портове на машината и устройствата, с които се осъществява комуникация.
IKE
IKE конфигурира IKEv1, който се използва за протокол за обмен ма ключове. Имайте предвид, че инструкциите се различават в зависимост от избрания метод за автентикация.
[Pre-Shared Key Method:] (Метод с предварително споделен ключ)
Ключът до 24 символа (цифри и букви) може да бъде споделян с другите устройства. Разрешете TLS за отдалечения ПИ, преди да зададете този метод за удостоверяване (Активиране на шифрована с TLS комуникация за отдалечения ПИ).
Ключът до 24 символа (цифри и букви) може да бъде споделян с другите устройства. Разрешете TLS за отдалечения ПИ, преди да зададете този метод за удостоверяване (Активиране на шифрована с TLS комуникация за отдалечения ПИ).
[Digital Signature Method:]
Машината и другите устройства получават автентикация помежду си чрез взаимна проверка на цифровите си подписи. Генерирайте или инсталирайте двойката ключове предварително (Конфигуриране на настройки за двойки ключове и цифрови сертификати).
Машината и другите устройства получават автентикация помежду си чрез взаимна проверка на цифровите си подписи. Генерирайте или инсталирайте двойката ключове предварително (Конфигуриране на настройки за двойки ключове и цифрови сертификати).
AH/ESP
Посочете настройките за AH/ESP, които се добавят към пакетите по време на IPSec комуникация. AH и ESP могат да се използват едновременно. Можете също така да изберете дали да разрешите PFS за по-стриктни мерки за сигурност.
1
Стартирайте потребителския интерфейс за отдалечено управление и влезте в режим на системeн оператор. Стартиране на Remote UI (Отдалечен ПИ)
2
Щракнете върху [Settings/Registration].
3
Щракнете върху [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Щракнете върху [Edit...].
5
Поставете отметка за [Use IPSec] и щракнете върху [OK].
Ако желаете машината да получава само пакети, които съответстват на една от политиките за сигурност, които сте определили на стъпките по-долу, отстранете отметката от [Receive Non-Policy Packets].
6
Щракнете върху [Register New Policy...].
7
Задайте настройки за политики
|
1
|
В текстовото поле [Policy Name] въведете до 24 символа (цифри и букви) за име, което да се използва за идентифициране на политиката.
|
|
2
|
Сложете отметка в полето [Enable Policy].
 |
8
Задайте настройки за селектор
[Local Address:]
Щракнете върху опцията за типа IP адреси на машината, за които да приложите политиката.
Щракнете върху опцията за типа IP адреси на машината, за които да приложите политиката.
|
[All IP Addresses]
|
Изберете, за да използвате IPSec за всички IP пакети.
|
|
[IPv4 Address]
|
Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреса на машината.
|
|
[IPv6 Address]
|
Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреса на машината.
|
[Remote Address:]
Щракнете върху опцията за типа IP адреси на другите устройства, за които да приложите политиката.
Щракнете върху опцията за типа IP адреси на другите устройства, за които да приложите политиката.
|
[All IP Addresses]
|
Изберете, за да използвате IPSec за всички IP пакети.
|
|
[All IPv4 Addresses]
|
Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv4 адреси на другите устройства.
|
|
[All IPv6 Addresses]
|
Изберете, за да използвате IPSec за всички IP пакети, които са изпратени до или от IPv6 адреси на другите устройства.
|
|
[IPv4 Manual Settings]
|
Изберете, за да зададете един IPv4 адрес или диапазон от IPv4 адреси, за които да приложите IPSec. Въведете IPv4 адреса (или диапазона) в текстовото поле [Addresses to Set Manually:] (Адреси, задавани ръчно).
|
|
[IPv6 Manual Settings]
|
Изберете, за да зададете един IPv6 адрес или диапазон от IPv6 адреси, за които да приложите IPSec. Въведете IPv6 адреса (или диапазона) в текстовото поле [Addresses to Set Manually:].
|
[Addresses to Set Manually:]
Ако [IPv4 Manual Settings] или [IPv6 Manual Settings] е избрано за [Remote Address:], въведете IP адреса, за който да приложите политиката. Можете също така да въведете диапазон от адреси чрез вмъкване на тире между адресите.
Ако [IPv4 Manual Settings] или [IPv6 Manual Settings] е избрано за [Remote Address:], въведете IP адреса, за който да приложите политиката. Можете също така да въведете диапазон от адреси чрез вмъкване на тире между адресите.
ЗАБЕЛЕЖКА:
Въвеждане на IP адреси
Въвеждане на IP адреси
|
Описание
|
Пример
|
|
|
Въвеждане на един адрес
|
IPv4:
Числа, разделени с точки. |
192.168.0.10
|
|
IPv6:
Цифри и букви, разделени с двоеточие. |
fe80::10
|
|
|
Задаване на диапазон от адреси
|
Поставете тире между адресите.
|
192.168.0.10-192.168.0.20
|
|
Задаване на диапазон от адреси с префикс (само за IPv6)
|
Въведете адресите, последвани от наклонена черта и число, показващо дължината на префикса.
|
fe80::1234/64
|
[Subnet Settings:]
При ръчно задаване на IPv4 адрес, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (Например: "255.255.255.240").
При ръчно задаване на IPv4 адрес, можете да зададете диапазона чрез подмрежова маска. Въведете подмрежовата маска чрез точки, за да отделите числата (Например: "255.255.255.240").
[Prefix Length:]
Когато ръчно задавате IPv6, можете да зададете дължина на префикс.
Когато ръчно задавате IPv6, можете да зададете дължина на префикс.
[Local Port:]/[Remote Port:]
Ако желаете да създадете отделни политики за всеки протокол, като например HTTP или SNMP, въведете съответния номер на порт на протокола, за да определите дали да се използва IPSec.
Ако желаете да създадете отделни политики за всеки протокол, като например HTTP или SNMP, въведете съответния номер на порт на протокола, за да определите дали да се използва IPSec.
ВАЖНО:
IPSec не се прилага към следните пакети
IPSec не се прилага към следните пакети
Луупбек, мултикаст и броадкаст пакети
IKE пакети (с използване на UDP на порт 500)
ICMPv6 пакети за запитване за достъпни съседи и отговор на съседа
9
Задайте настройки за IKE
[IKE Mode:]
Показва се режимът, който се използва за протокол за обмен на ключове. Машината поддържа основния режим, а не агресивен режим.
Показва се режимът, който се използва за протокол за обмен на ключове. Машината поддържа основния режим, а не агресивен режим.
[Authentication Method:] (Метод на удостоверяване:)
Изберете [Pre-Shared Key Method:] (Метод с предварително споделен ключ: илиDigital Signature Method:] (Метод с цифров подпис:) за метода, който се използва за удостоверяване на машината. Трябва да разрешите TLS за отдалечения ПИ, преди да изберете [Pre-Shared Key Method:] (Метод с предварително споделен ключ:) (Активиране на шифрована с TLS комуникация за отдалечения ПИ). Трябва да генерирате или инсталирате двойка ключове, преди да изберете [Digital Signature Method:] (Метод с цифров подпис:) (Конфигуриране на настройки за двойки ключове и цифрови сертификати).
Изберете [Pre-Shared Key Method:] (Метод с предварително споделен ключ: илиDigital Signature Method:] (Метод с цифров подпис:) за метода, който се използва за удостоверяване на машината. Трябва да разрешите TLS за отдалечения ПИ, преди да изберете [Pre-Shared Key Method:] (Метод с предварително споделен ключ:) (Активиране на шифрована с TLS комуникация за отдалечения ПИ). Трябва да генерирате или инсталирате двойка ключове, преди да изберете [Digital Signature Method:] (Метод с цифров подпис:) (Конфигуриране на настройки за двойки ключове и цифрови сертификати).
[Valid for:]
Посочете с каква продължителност е сесията за IKE SA (ISAKMP SA). Въведете времето в минути.
Посочете с каква продължителност е сесията за IKE SA (ISAKMP SA). Въведете времето в минути.
[Authentication:]/[Encryption:]/[DH Group:]
Изберете алгоритъм от падащия списък за протокол. Всеки алгоритъм се използва за обмен на ключове.
Изберете алгоритъм от падащия списък за протокол. Всеки алгоритъм се използва за обмен на ключове.
|
[Authentication:]
|
Изберете hash алгоритъм.
|
|
[Encryption:]
|
Изберете алгоритъм за криптиране.
|
|
[DH Group:]
|
Изберете групата Diffie-Hellman, която определя силата на ключа.
|
Използване на предварително споделен ключ за автентикация
|
1
|
Щракнете върху опцията [Pre-Shared Key Method:] за[Authentication Method:] и след това щракнете върху [Shared Key Settings...].
|
|
2
|
Въведете до 24 символа (цифри и букви) за предварително споделен ключ и щракнете върху [OK].
 |
|
3
|
Задайте настройките [Valid for:] и [Authentication:]/[Encryption:]/[DH Group:].
|
Използване на двойка ключове и предварително инсталирани CA сертификати за автентикация
|
1
|
Щракнете върху опцията [Digital Signature Method:] за[Authentication Method:] и след това щракнете върху [Key and Certificate...].
|
|
2
|
Щракнете върху [Register Default Key] отдясно на двойката ключове, която желаете да използвате.
 ЗАБЕЛЕЖКА:
Преглед на подробности за двойка ключове или сертификат Можете да проверите данните на сертификата или да проверите сертификата, като щракнете върху съответната текстова връзката в [Key Name] или върху иконата на сертификата. Проверка на двойки ключове и цифрови сертификати
|
|
3
|
Задайте настройките [Valid for:] и [Authentication:]/[Encryption:]/[DH Group:].
|
10
Задаване на IPSec мрежови настройки.
[Use PFS]
Поставете отметка, за да разрешите Perfect Forward Secrecy (PFS) за сесийни ключове за IPSec. Разрешаването на PFS подобрява сигурността, но повишава натоварването на комуникацията. Уверете се, че функцията PFS е активирана и за другите устройства.
Поставете отметка, за да разрешите Perfect Forward Secrecy (PFS) за сесийни ключове за IPSec. Разрешаването на PFS подобрява сигурността, но повишава натоварването на комуникацията. Уверете се, че функцията PFS е активирана и за другите устройства.
[Specify by Time]/[Specify by Size]
Задайте условията за прекратяване на сесия за IPSec SA. IPSec SA се използва като комуникационен тунел. Поставете една или две отметки, ако е необходимо. Ако са поставени и двете отметки, сесията IPSec SA се прекратява, когато едно от условията е изпълнено.
Задайте условията за прекратяване на сесия за IPSec SA. IPSec SA се използва като комуникационен тунел. Поставете една или две отметки, ако е необходимо. Ако са поставени и двете отметки, сесията IPSec SA се прекратява, когато едно от условията е изпълнено.
|
[Specify by Time]
|
Въведете времето в минути, за да определите продължителността на една сесия.
|
|
[Specify by Size]
|
Въведете размер в мегабайти, за да зададете количеството данни, които могат да бъдат прехвърлени в една сесия.
|
[Select Algorithm:]
Поставете отметка(и) за [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимост от IPSec хедъра и използвания алгоритъм. AES-GCM е алгоритъм за автентикация и криптиране. Ако сте избрали [ESP], изберете също и алгоритми за автентикация и криптиране от падащите списъци [ESP Authentication:] и [ESP Encryption:].
Поставете отметка(и) за [ESP], [ESP (AES-GCM)] или [AH (SHA1)] в зависимост от IPSec хедъра и използвания алгоритъм. AES-GCM е алгоритъм за автентикация и криптиране. Ако сте избрали [ESP], изберете също и алгоритми за автентикация и криптиране от падащите списъци [ESP Authentication:] и [ESP Encryption:].
|
[ESP Authentication:]
|
За да разрешите ESP автентикация, изберете [SHA1] за hash алгоритъма. Изберете [Do Not Use], ако желаете да забраните ESP автентикацията.
|
|
[ESP Encryption:]
|
Изберете алгоритъм за криптиране за ESP. Можете да изберете [NULL], ако не желаете да задавате алгоритъма, или да изберете [Do Not Use], ако желаете да забраните ESP криптирането.
|
[Connection Mode]
Показва се режимът на свързване на IPSec. Машината поддържа транспортен режим, който криптира полезното съдържание на IP пакетите. Тунелен режим, в който се капсулират цели IP пакети (хедъри и полезно съдържание), не е достъпен.
Показва се режимът на свързване на IPSec. Машината поддържа транспортен режим, който криптира полезното съдържание на IP пакетите. Тунелен режим, в който се капсулират цели IP пакети (хедъри и полезно съдържание), не е достъпен.
11
Щракнете върху [OK].
Ако трябва да запаметите допълнителна политика за сигурност, се върнете към стъпка 6.
12
Задайте поредността на политиките, посочени в [Registered IPSec Policies].
Политиките се прилагат от най-високата позиция към най-ниската. Щракнете върху [Up] или [Down], за да преместите политика нагоре или надолу.
ЗАБЕЛЕЖКА:
Редактиране на политика
Щракнете върху върху съответната текстова връзка в [Policy Name], за да извикате екрана за редактиране.
Редактиране на политика
Щракнете върху върху съответната текстова връзка в [Policy Name], за да извикате екрана за редактиране.
Изтриване на политика
Щракнете върху [Delete] отдясно на името на политиката, която желаете да изтриете щракнете върху [OK].
щракнете върху [OK].13
Рестартирайте машината.
Изключете машината, изчакайте най-малко 10 секунди и я включете отново.