Параметры IPSec

IPSec — это протокол для обеспечения защиты пакетов IP, отправляемых и принимаемых по сети IP, от похищения, изменения и персонации (передачи от чужого имени). IPSec применяется для пакетов TCP, пакетов UDP (User Datagram Protocol) и пакетов ICMP (Internet Control Message Protocol). Причина, по которой IPSec превосходит другие протоколы защиты, заключается в том, что, поскольку этот протокол добавляет функции защиты к IP — основному протоколу Интернета — он не зависит от прикладных программ и конфигурации сети.
В этом разделе приводится описание процедуры создания политики безопасности для задания связи IPSec с помощью панели управления аппарата. Политика безопасности регистрирует настройки параметров IPSec, такие как пакеты, которые следует обрабатывать по протоколу IPSec, и алгоритм, который следует использовать для аутентификации и шифрования. Логическая связь, устанавливаемая для трафика путем проведения переговоров в соответствии с политикой безопасности IPSe, получила название IPSec SA (Security Association).
Далее приводятся функции IPSec, используемые аппаратом.

Режим связи

Поскольку IPSec аппарата поддерживает только режим передачи, аутентификация и шифрование применяются только к той части пакетов IP, которая содержит данные.

Способ аутентификации и шифрования

Для аппарата необходимо задать по меньшей мере один их способов, приведенных ниже. Оба способа нельзя задавать одновременно.
AH (Authentication Header)
Протокол для сертификации аутентификации путем обнаружения изменений передаваемых данных, в том числе заголовка IP. Передаваемые данные не зашифрованы.
ESP (Encapsulating Security Payload)
Протокол, обеспечивающий конфиденциальность путем шифрования при сертификации целостности и аутентификации только полезной части передаваемых данных.

Протокол обмена ключами

Поддерживает IKEv1 (Internet Key Exchange version 1) для обмена ключами на основе протокола ISAKMP (Internet Security Association and Key Management Protocol). IKE состоит из двух фаз: в фазе 1 создается логическая связь SA, используемая для IKE (IKE SA), а в фазе 2 создается SA, используемая для IPSec (IPSec SA).
Для того чтобы задать аутентификацию методом общего ключа, необходимо заранее принять решение об общем ключе — ключевом слове, которое используется обоими аппаратами для отправки и приема данных. С помощью панели управления аппарата задайте тот же общий ключ, что и для адресата, с которым следует осуществлять связь по протоколу IPSec, и производите аутентификацию методом общего ключа.
Для того чтобы выбрать аутентификацию с помощью цифровой подписи, необходимо зарегистрировать сертификат CA (сертификат X.509) для двусторонней аутентификации адресата IPSec. Сведения об установке сертификата CA с помощью удаленного ИП см. в разделе "Установка файла сертификата CA". Указания по регистрации установленного файла сертификата CA см. в разделе "Регистрация/редактирование сертификата CA".
Типы криптографической пары и сертификата, которые можно использовать на этом аппарате, приведены ниже.
Алгоритм RSA (Rivest Shamir Adleman)
Криптографическая пара формата PKCS#12
Подробные сведения о регистрации или редактировании политики безопасности см. в руководстве по эксплуатации модуля imagePRESS Server.
ВАЖНО
Если при задании основного режима и способа аутентификации с помощью общего ключа на экране Параметры IKE требуется зарегистрировать несколько политик безопасности, применяются следующие ограничения.
Ключ для метода общего ключа: при указании нескольких удаленных IP адресов, к которым следует применить политику безопасности, все общие ключи для этой политики являются идентичными (это не применяется, если указан один адрес).
Приоритет: при указании нескольких удаленных IP адресов, к которым следует применить политику безопасности, приоритет этой политики безопасности ниже, чем у тех политик безопасности, для которых указан единственный адрес.
6Y5L-180