Настроювання параметрів протоколу IPSec
Інтернет-протокол безпеки (IPSec або IPsec) — це пакет протоколів для шифрування даних, які передаються через мережу, зокрема через інтернет-мережі. Тимчасом як TLS шифрує лише дані, які використовуються для певної програми, як-от веб-браузер або прикладна програма електронної пошти, IPSec шифрує всі IP-пакети або корисну інформацію, що вони містять, забезпечуючи гнучкішу систему безпеки. Протокол IPSec апарата працює в режимі передавання, у якому шифрується корисна інформація IP-пакетів. За допомогою цієї функції апарат може підключатися безпосередньо до комп’ютера, який перебуває в тій самій віртуальній приватній мережі (VPN). Перевірте системні вимоги та встановіть необхідні параметри на комп’ютері перед налаштуванням апарата. Функція керування
|
Використання протоколу IPSec із фільтром IP-адресПараметри протоколу IPSec застосовуються перед параметрами фільтру IP-адрес під час отримання пакетів, але параметри фільтра IP-адрес застосовуються перед параметрами протоколу IPSec під час передавання пакетів. Зазначення IP-адрес для правил брандмауера |
Реєстрація політик безпеки
Щоб використовувати протокол IPSec для зашифрованого зв’язку, потрібно зареєструвати політики безпеки (SP) перед увімкненням параметрів протоколу IPSec (Увімкнення зв’язку IPSec). Політика безпеки складається з груп параметрів, які описані нижче. Можна зареєструвати кілька політик безпеки, які відповідають комбінації IP-адреси та номера порту. Після реєстрації політик укажіть порядок, у якому вони застосовуються.
Селектор
Селектор визначає умови для IP-пакетів із метою застосування зв’язку IPSec. Доступні умови включають IP-адреси та номери портів апарата та пристроїв для зв’язку.
Протокол IKE
Протокол IKE настроює IKEv1, який використовується для протоколу ключового обміну. Зверніть увагу, що інструкції відрізняються залежно від обраного методу автентифікації.
[Pre-Shared Key Method]
Ключ із букв і цифр може одночасно використовуватися на кількох пристроях. Заздалегідь увімкніть протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Використання протоколу TLS для зашифрованих з’єднань).
Ключ із букв і цифр може одночасно використовуватися на кількох пристроях. Заздалегідь увімкніть протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Використання протоколу TLS для зашифрованих з’єднань).
[Digital Signature Method]
Апарат та інші пристрої автентифікують один одного, взаємно перевіряючи свої цифрові підписи. Підготуйте пару ключів до використання (див. розділ Використання пар ключів, наданих центром сертифікації, і цифрових сертифікатів).
Апарат та інші пристрої автентифікують один одного, взаємно перевіряючи свої цифрові підписи. Підготуйте пару ключів до використання (див. розділ Використання пар ключів, наданих центром сертифікації, і цифрових сертифікатів).
Налаштування протоколів і параметрів
Зазначте параметри для ESP та AH, які додаються до пакетів під час обміну даними через протокол IPSec. ESP та AH не можна використовувати одночасно. Можна також активувати PFS для надійнішого захисту.
1
Запустіть Remote UI (Інтерфейс віддаленого користувача) і виконайте вхід у режимі керування. Початок роботи з Remote UI
2
Натисніть [Settings/Registration].
3
Натисніть такі елементи: [Security] 
[IPSec Settings].
[IPSec Settings].
4
Натисніть [IPSec Policy List].
5
Натисніть [Register IPSec Policy].
6
Введіть ім’я політики в полі [Policy Name] і встановіть прапорець [Enable Policy].
[Policy Name]
За допомогою буквено-цифрових символів введіть ім’я, яке використовується для ідентифікації політики.
За допомогою буквено-цифрових символів введіть ім’я, яке використовується для ідентифікації політики.
[Enable Policy]
Установіть прапорець, щоб увімкнути політику. Якщо політика не використовується, зніміть прапорець.
Установіть прапорець, щоб увімкнути політику. Якщо політика не використовується, зніміть прапорець.
7
Укажіть параметри селектора.
[Local Address]
Виберіть зі списку нижче тип IP-адреси апарата, до якого застосовувати політику.
Виберіть зі списку нижче тип IP-адреси апарата, до якого застосовувати політику.
[All IP Addresses] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів. |
[IPv4 Address] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, що надсилаються до або з IPv4-адреси апарата. |
[IPv6 Address] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, що надсилаються до або з IPv6-адреси апарата. |
[IPv4 Manual Settings] | Виберіть, щоб указати єдину адресу IPv4 або діапазон адрес IPv4, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv4-адресу або діапазон таких адрес. |
[IPv6 Manual Settings] | Виберіть, щоб указати єдину адресу IPv6 або діапазон адрес IPv6, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv6-адресу або діапазон таких адрес. |
[Addresses to Set Manually]
Якщо для параметра [Local Address] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику.
Якщо для параметра [Local Address] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику.
[Subnet Settings]
Зазначаючи IPv4-адреси вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
Зазначаючи IPv4-адреси вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
[Remote Address]
Виберіть зі списку нижче тип IP-адреси інших пристроїв, до якого застосовувати політику.
Виберіть зі списку нижче тип IP-адреси інших пристроїв, до якого застосовувати політику.
[All IP Addresses] | Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів. |
[All IPv4 Address] | Виберіть, щоб використовувати протокол IPSec для IP-пакетів, які надсилаються на IPv4-адресу або з неї. |
[All IPv6 Address] | Виберіть, щоб використовувати протокол IPSec для IP-пакетів, які надсилаються на IPv6-адресу або з неї. |
[IPv4 Manual Settings] | Виберіть, щоб указати єдину адресу IPv4 або діапазон адрес IPv4, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv4-адресу або діапазон таких адрес. |
[IPv6 Manual Settings] | Виберіть, щоб указати єдину адресу IPv6 або діапазон адрес IPv6, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv6-адресу або діапазон таких адрес. |
[Addresses to Set Manually]
Якщо для параметра [Remote Address] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику.
Якщо для параметра [Remote Address] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику.
[Subnet Settings]
Зазначаючи IPv4-адреси вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
Зазначаючи IPv4-адреси вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
[Local Port]/[Remote Port]
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP або SMTP), введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP або SMTP), введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
Протокол IPSec не застосовується до пакетів, які мають визначену групову або широкомовну адресу.
8
Укажіть параметри протоколу IKE.
[IKE Mode]
Відображається режим, що використовується для протоколу ключового обміну. Зазвичай потрібно вибрати основний режим.
Виберіть динамічний режим, якщо IP-адреса не зафіксована. Зверніть увагу, що в динамічному режимі рівень безпеки нижче, ніж в основному.
[AUTH Method]
Виберіть [Pre-Shared Key Method] або [Digital Signature Method] як метод автентифікації апарата.
Виберіть [Pre-Shared Key Method] або [Digital Signature Method] як метод автентифікації апарата.
Якщо в розділі [IKE Mode] вибрано динамічний режим, параметр [Pre-Shared Key Method] не шифрує спільний ключ.
[Authentication/Encryption Algorithm]
Щоб автоматично визначити алгоритм обміну ключем, установіть прапорець [Auto]. Якщо встановити цей прапорець, алгоритм визначається так, як показано нижче.
Щоб автоматично визначити алгоритм обміну ключем, установіть прапорець [Auto]. Якщо встановити цей прапорець, алгоритм визначається так, як показано нижче.
[Authentication] | [SHA1 and MD5] |
[Encryption] | [3DES-CBC and AES-CBC] |
[DH Group] | [Group 2 (1024)] |
Щоб установити алгоритм вручну, зніміть прапорець і виберіть алгоритм.
[Authentication] | Виберіть алгоритм гешування. |
[Encryption] | Виберіть алгоритм шифрування. |
[DH Group] | Виберіть групу Діффі – Геллмана, яка визначає стійкість ключа. |
Використання функції [Pre-Shared Key Method] для автентифікації
1 | Виберіть [Pre-Shared Key Method] для параметра [AUTH Method] і натисніть [Shared Key Settings]. |
2 | Введіть буквено-цифрові символи для попередньо наданого ключа та натисніть кнопку [OK].  |
Використання функції [Digital Signature Method] для автентифікації
1 | Виберіть [Digital Signature Method] для параметра [AUTH Method] і натисніть [Key and Certificate]. |
2 | Виберіть пару ключів, яку потрібно використовувати, і натисніть [Default Key Settings].  Перегляд докладних відомостей про пару ключів або сертифікат Можна перевірити сертифікат або докладні відомості про нього, вибравши відповідне текстове посилання в рядку [Key Name] або натиснувши піктограму сертифіката. Перевірка пар ключів і цифрових сертифікатів |
9
Укажіть параметри мережі IPSec.
[Use PFS]
Установіть цей прапорець, щоб увімкнути функцію досконалої прямої секретності (PFS) для ключів сеансу IPSec. Увімкнення функції PFS покращує безпеку, проте збільшує обсяг даних, що передаються. Переконайтеся, що функцію PFS активовано також на інших пристроях. Якщо функція PFS не використовується, зніміть прапорець.
[Validity]
Укажіть, як довго SA використовується як тунель зв’язку. За потребою установіть один або обидва прапорці [Specify by Time] і [Specify by Size]. Якщо встановлено обидва прапорці, сеанс SA протоколу IPSec завершується після виконання однієї з умов.
Укажіть, як довго SA використовується як тунель зв’язку. За потребою установіть один або обидва прапорці [Specify by Time] і [Specify by Size]. Якщо встановлено обидва прапорці, сеанс SA протоколу IPSec завершується після виконання однієї з умов.
[Specify by Time] | Введіть час у хвилинах, щоб указати тривалість сеансу. Введений час застосовується як до IPSec SA, так і до IKE SA. |
[Specify by Size] | Введіть розмір у мегабайтах, щоб указати, скільки даних можна передати за сеанс. Введений розмір застосовується тільки до IPSec SA. |
Якщо встановлено лише прапорець [Specify by Size]
Дійсність IKE SA неможливо визначити розміром, тому застосовується початкове значення (480 хвилин) параметра [Specify by Time].
[Authentication/Encryption Algorithm]
Виберіть протокол і алгоритм, які будуть використовуватися для зв’язку IPSec.
Виберіть протокол і алгоритм, які будуть використовуватися для зв’язку IPSec.
Автоматичне настроювання підключенняВиберіть елемент [Auto].
[ESP Authentication] | ESP увімкнуто, а для алгоритму автентифікації встановлено значення [SHA1 and MD5]. |
[ESP Encryption] | ESP увімкнуто, а для алгоритму шифрування встановлено значення [3DES-CBC and AES-CBC]. |
Використання ESPВиберіть пункт [ESP] й алгоритми автентифікації та шифрування.
[ESP Authentication] | Виберіть алгоритм гешування, який буде використовуватися для автентифікації ESP. |
[ESP Encryption] | Виберіть алгоритм шифрування для протоколу ESP. |
Використання AHВиберіть пункт [AH], потім у розділі [AH Authentication] виберіть алгоритм гешування який буде використовуватися для автентифікації AH.
[Connection Mode]
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
10
Натисніть [OK].
Якщо потрібно зареєструвати додаткову політику безпеки, поверніться до кроку 5.
11
Упорядкуйте список політик під елементом [IPSec Policy List].
Політики застосовуються в порядку спадання (від найвищої до найнижчої). Натисніть елемент [Raise Priority] або [Lower Priority], щоб перемістити політику вгору або вниз у списку.
Змінення політики
Можна натиснути текстове посилання в розділі [Policy Name], щоб змінити параметри.
Видалення політики
Натисніть кнопку [Delete] праворуч від імені політики, яку потрібно видалити.
12
Виконайте апаратне скидання.
Натисніть елемент [Device Control], виберіть пункт [Hard Reset], потім натисніть кнопку [Execute].
Параметри вмикаються після апаратного скидання.
Увімкнення зв’язку IPSec
Увімкніть зв’язок IPSec після завершення реєстрації політик безпеки.
1
Запустіть Remote UI (Інтерфейс віддаленого користувача) і виконайте вхід у режимі керування. Початок роботи з Remote UI
2
Натисніть [Settings/Registration].
3
Натисніть такі елементи: [Security] [IPSec Settings].
[IPSec Settings].4
Натисніть [Edit].
5
Установіть прапорець [Use IPSec] і натисніть кнопку [OK].
[Use IPSec]
Установіть прапорець, якщо для апарата використовується протокол IPSec. Якщо протокол IPSec не використовується, зніміть прапорець.
[Allow Receive Non-Policy Packets]
Якщо встановити цей прапорець під час використання IPSec, недоступні для зареєстрованих політик пакети також будуть надсилатися/прийматися. Щоб вимкнути надсилання/отримання недоступних для політик пакетів, зніміть прапорець.
Якщо встановити цей прапорець під час використання IPSec, недоступні для зареєстрованих політик пакети також будуть надсилатися/прийматися. Щоб вимкнути надсилання/отримання недоступних для політик пакетів, зніміть прапорець.
6
Виконайте апаратне скидання.
Натисніть елемент [Device Control], виберіть пункт [Hard Reset], потім натисніть кнопку [Execute].
Параметри вмикаються після апаратного скидання.
|
Використання панелі керуванняЗв’язок IPSec можна також увімкнути або вимкнути в меню параметрів на панелі керування. IPSec |