Настроювання параметрів протоколу IPSec

Інтернет-протокол безпеки (IPSec або IPsec) – це пакет протоколів для шифрування даних, які передаються через мережу, зокрема через інтернет-мережі. У той час, коли TLS шифрує лише дані, які використовуються для певної програми, такої як веб-браузер або прикладна програма електронної пошти, IPSec шифрує всі IP-пакети або корисну інформацію, що вони містять, забезпечуючи гнучкішу систему безпеки. Протокол IPSec апарата працює в режимі передавання, у якому шифрується корисна інформація IP-пакетів. За допомогою цієї функції апарат може підключатися безпосередньо до комп’ютера, який перебуває в тій самій віртуальній приватній мережі (VPN). Перевірте системні вимоги (Функція керування) і встановіть необхідні параметри на комп’ютері перед налаштуванням апарата.
Використання протоколу IPSec із фільтром IP-адрес
Параметри фільтра IP-адрес пріоритетніші за політики IPSec. Зазначення IP-адрес для налаштувань брандмауера

Настроювання параметрів протоколу IPSec

Перед використанням протоколу IPSec для зашифрованого зв’язку потрібно зареєструвати політики безпеки (SP). Політика безпеки складається з груп параметрів, які описані нижче. Після реєстрації політик укажіть порядок, у якому вони застосовуються.
Селектор
Селектор визначає умови для IP-пакетів із метою застосування зв’язку IPSec. Доступні умови включають IP-адреси та номери портів апарата та пристроїв для зв’язку.
Протокол IKE
Протокол IKE настроює IKEv1, який використовується для протоколу ключового обміну. Зверніть увагу, що інструкції відрізняються залежно від обраного методу автентифікації.
[Pre-Shared Key Method]
Цей метод автентифікації використовує загальне ключове слово (спільний ключ) для зв’язку між апаратом та іншими пристроями. Перш ніж використовувати цей метод автентифікації, слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача) (див. розділ Налаштування ключа та сертифіката для протоколу TLS).
[Digital Signature Method]
Апарат та інші пристрої автентифікують один одного, взаємно перевіряючи свої цифрові підписи. Створіть або інсталюйте ключ і сертифікат заздалегідь (Реєстрація ключа та сертифіката для встановлення зв’язку з мережею).
AH/ESP
Зазначте параметри для AH/ESP, які додаються до пакетів під час зв’язку IPSec. AH та ESP можна використовувати одночасно. Можна також активувати PFS для надійнішого захисту.
 
Для отримання додаткової інформації про основні операції, які необхідно виконати під час налаштування апарата за допомогою Remote UI (Iнтерфейсу віддаленого користувача), див. розділ Налаштування параметрів меню за допомогою Remote UI (Інтерфейс віддаленого користувача).
1
Запустіть Remote UI (Інтерфейс віддаленого користувача) і виконайте вхід у режимі системного адміністратора. Початок роботи з Remote UI (Інтерфейс віддаленого користувача)
2
Клацніть елемент [Settings/Registration] на сторінці порталу. Екран Remote UI (Інтерфейс віддаленого користувача)
3
Виберіть елементи [Network Settings]  [IPSec Settings].
4
Натисніть [Edit].
5
Установіть прапорець [Use IPSec] і натисніть кнопку [OK].
Зніміть прапорець [Receive Non-Policy Packets], якщо для апарата потрібно встановити отримання лише тих пакетів, які збігаються принаймні з однією визначеною нижче політикою безпеки.
6
Натисніть [Register New Policy].
7
Укажіть параметри політики.
1
У текстовому полі [Policy Name] введіть буквено-цифрові символи для назви, яка використовується для ідентифікації політики.
2
Установіть прапорець [Enable Policy].
8
Укажіть параметри селектора.
[Local Address]
Натисніть селективну кнопку потрібного типу IP-адреси апарата, щоб застосувати відповідну політику.
[All IP Addresses]
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів.
[IPv4 Address]
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, що надсилаються до або з IPv4-адреси апарата.
[IPv6 Address]
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, що надсилаються до або з IPv6-адреси апарата.
[Remote Address]
Натисніть селективну кнопку біля потрібного типу IP-адреси інших пристроїв, щоб застосувати відповідну політику.
[All IP Addresses]
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів.
[All IPv4 Addresses]
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, що надсилаються до або з IPv4-адрес інших пристроїв.
[All IPv6 Addresses]
Виберіть, щоб використовувати протокол IPSec для всіх IP-пакетів, що надсилаються до або з IPv6-адрес інших пристроїв.
[IPv4 Manual Settings]
Виберіть, щоб указати єдину адресу IPv4 або діапазон адрес IPv4, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv4-адресу або діапазон таких адрес.
[IPv6 Manual Settings]
Виберіть, щоб указати єдину адресу IPv6 або діапазон адрес IPv6, щоб застосувати протокол IPSec. У текстовому полі [Addresses to Set Manually] введіть IPv6-адресу або діапазон таких адрес.
[Addresses to Set Manually]
Якщо для параметра [Remote Address] вибрано значення [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть потрібну IP-адресу, щоб застосувати цю політику. Також можна ввести діапазон адрес, вставляючи між ними дефіс.
Введення IP-адрес
Опис
Приклад
Введення однієї адреси
IPv4:
Розмежовуйте числа крапками.
192.168.0.10
IPv6:
Розмежовуйте символи двокрапками.
fe80::10
Зазначення діапазону адрес
Вставте дефіс між адресами.
192.168.0.10-192.168.0.20
[Subnet Settings]
Зазначаючи IPv4-адресу вручну, діапазон адрес можна вказати через маску підмережі. Введіть маску підмережі, відокремлюючи числа крапками (наприклад, «255.255.255.240»).
[Prefix Length]
Указання адрес IPv6 вручну також дає змогу вказати діапазон адрес за допомогою префіксів. Введіть довжину префікса в діапазоні від 0 до 128.
[Local Port]/[Remote Port]
Щоб створити для кожного протоколу окремі політики (наприклад, для HTTP або WSD), натисніть перемикач [Single Port] і введіть для протоколу відповідний номер порту, щоб зазначити, коли потрібно використовувати протоколи IPSec.
Протокол IPSec не застосовується до наведених нижче пакетів
Пакети замикання на себе, пакети багатопотокового й широкомовного передавання
Пакети IKE (використовуючи UDP на порту 500)
Пакети ICMPv6 (запит на доступних сусідів та відповідь сусіда)
9
Укажіть параметри протоколу IKE.
[IKE Mode]
Відображається режим, що використовується для протоколу ключового обміну. Апарат підтримує основний режим, динамічний режим не підтримується.
[Authentication Method]
Виберіть елемент [Pre-Shared Key Method] або [Digital Signature Method], щоб зазначити метод, який використовується під час автентифікації апарата. Перш ніж використовувати метод автентифікації [Pre-Shared Key Method], слід активувати протокол TLS для Remote UI (Інтерфейс віддаленого користувача). Потрібно створити або інсталювати ключ і сертифікат, перш ніж вибирати значення для параметра [Digital Signature Method]. Налаштування ключа та сертифіката для протоколу TLS
[Valid for]
Укажіть тривалість сеансу для IKE SA (ISAKMP SA). Введіть час у хвилинах.
[Authentication]/[Encryption]/[DH Group]
У розкривному списку виберіть алгоритм. Кожен алгоритм використовується для ключового обміну.
[Authentication]
Виберіть алгоритм гешування.
[Encryption]
Виберіть алгоритм шифрування.
[DH Group]
Виберіть групу Діффі – Геллмана, яка визначає стійкість ключа.
 Автентифікація апарата за допомогою попередньо наданого ключа
1
Натисніть селективну кнопку [Pre-Shared Key Method] для параметра [Authentication Method], а тоді клацніть елемент [Shared Key Settings].
2
Введіть буквено-цифрові символи для попередньо наданого ключа та натисніть кнопку [OK].
3
Укажіть параметри [Valid for] та [Authentication]/[Encryption]/[DH Group].
 Автентифікація апарата за допомогою цифрового підпису
1
Натисніть селективну кнопку [Digital Signature Method] для параметра [Authentication Method], а тоді клацніть елемент [Key and Certificate].
2
Натисніть кнопку [Register Default Key] праворуч від ключа та сертифіката, які слід використати.
Перегляд докладних відомостей про сертифікат
Можна перевірити докладні відомості про сертифікат або перевірити сертифікат, вибравши відповідне текстове посилання в рядку [Key Name] або піктограму сертифіката.
3
Укажіть параметри [Valid for] та [Authentication]/[Encryption]/[DH Group].
10
Укажіть параметри мережі IPSec.
[Use PFS]
Установіть цей прапорець, щоб увімкнути функцію досконалої прямої секретності (PFS) для ключів сеансу IPSec. Увімкнення функції PFS покращує безпеку, проте збільшує обсяг даних, що передаються. Переконайтеся, що функцію PFS активовано також на інших пристроях.
[Specify by Time]/[Specify by Size]
Налаштуйте умови завершення сеансу для IPSec SA. IPSec SA використовується як тунель зв’язку. За потребою установіть один або два прапорці. Якщо встановлено два прапорці, сеанс IPSec SA завершується після виконання однієї з умов.
[Specify by Time]
Введіть час у хвилинах, щоб указати тривалість сеансу.
[Specify by Size]
Введіть розмір у мегабайтах, щоб указати скільки даних можна передати за сеанс.
[Select Algorithm]
Установіть прапорці [ESP], [ESP (AES-GCM)] або [AH (SHA1)] залежно від використаних заголовка IPSec і алгоритму. AES-GCM – це алгоритм для автентифікації та шифрування. Якщо вибрано елемент [ESP], виберіть також алгоритми для автентифікації та шифрування з розкривних списків [ESP Authentication] і [ESP Encryption].
[ESP Authentication]
Щоб увімкнути автентифікацію ESP, виберіть елемент [SHA1] для алгоритму гешування. Виберіть елемент [Do Not Use], якщо потрібно вимкнути автентифікацію ESP.
[ESP Encryption]
Виберіть алгоритм шифрування для протоколу ESP. Якщо алгоритм використовувати не потрібно, виберіть параметр [NULL]. Щоб вимкнути шифрування за протоколом ESP, виберіть параметр [Do Not Use].
[Connection Mode]
Відображається режим зв’язку IPSec. Апарат підтримує режим передавання, у якому шифрується корисна інформація IP-пакетів. Недоступний режим тунелю, у якому сформовані всі IP-пакети (заголовки та корисна інформація).
11
Натисніть [OK].
Якщо потрібно зареєструвати додаткову політику безпеки, поверніться до кроку 6.
12
Упорядкуйте список політик під елементом [Registered IPSec Policies].
Політики застосовуються в порядку спадання (від найвищої до найнижчої). Натисніть елемент [Up] або [Down], щоб перемістити політику вгору або вниз у списку.
Змінення політики
Щоб відобразити екран редагування, у стовпці [Policy Name] виберіть відповідне текстове посилання.
Видалення політики
Праворуч від імені політики, яку потрібно видалити, натисніть кнопку [Delete]  і натисніть кнопку [OK].
 
13
Перезапустіть апарат. Перезапуск апарата
Використання панелі керування
Зв’язок IPSec можна також увімкнути або вимкнути в меню <Menu> на екрані Home. <Use IPSec>
6U2A-04C