Настройка параметров IPSec

Используя протокол IPSec, можно предотвратить перехват или злонамеренное изменение IP-пакетов, передаваемых по IP-сети. Поскольку IPSec является защищенной версией протокола IP, который является основным для работы в Интернете, он обеспечивает защиту независимо от приложений или конфигурации сети. Чтобы организовать подключение к аппарату по протоколу IPSec, необходимо настроить различные параметры, такие как параметры приложения и алгоритм аутентификации и шифрования. Для настройки соответствующих параметров требуются полномочия администратора.

Включение IPSec

Регистрация политики


Режим связи При использовании протокола IPSec данный аппарат поддерживает только режим передачи. Поэтому аутентификация и шифрование выполняются только в отношении тех частей IP-пакетов, в которых находятся данные. Протокол распределения ключей Данный аппарат поддерживает протокол Internet Key Exchange версии 1 (IKEv1) для обмена ключами на основе протокола Internet Security Association and Key Management Protocol (ISAKMP). Для аутентификации следует выбрать способ с использованием общего ключа или цифровой подписи. При выборе способа с использованием общего ключа необходимо заранее задать парольную фразу (общий ключ), которая используется для взаимодействия аппарата с кэширующим узлом IPSec. При выборе второго способа для следует использовать сертификат, выданный центром сертификации (CA), ключ в формате PKCS#12 и сертификат, который используется для взаимной аутентификации аппарата и кэширующего узла IPSec. Дополнительные сведения о регистрации новых сертификатов CA, а также ключей и сертификатов см. в разделе Регистрация ключа и сертификата для передачи данных по сети. Обратите внимание, что перед использованием этого способа необходимо настроить параметры SNTP. Настройка параметров SNTP

Режим связи

При использовании протокола IPSec данный аппарат поддерживает только режим передачи. Поэтому аутентификация и шифрование выполняются только в отношении тех частей IP-пакетов, в которых находятся данные.

Протокол распределения ключей

Данный аппарат поддерживает протокол Internet Key Exchange версии 1 (IKEv1) для обмена ключами на основе протокола Internet Security Association and Key Management Protocol (ISAKMP). Для аутентификации следует выбрать способ с использованием общего ключа или цифровой подписи.

При выборе способа с использованием общего ключа необходимо заранее задать парольную фразу (общий ключ), которая используется для взаимодействия аппарата с кэширующим узлом IPSec.

При выборе второго способа для следует использовать сертификат, выданный центром сертификации (CA), ключ в формате PKCS#12 и сертификат, который используется для взаимной аутентификации аппарата и кэширующего узла IPSec. Дополнительные сведения о регистрации новых сертификатов CA, а также ключей и сертификатов см. в разделе Регистрация ключа и сертификата для передачи данных по сети. Обратите внимание, что перед использованием этого способа необходимо настроить параметры SNTP. Настройка параметров SNTP


Независимо от настроек [Форм. метод кодирования в FIPS 140-2] для связи по протоколу IPSec, для шифрования будет использован модуль, уже прошедший сертификацию FIPS140-2. Чтобы связь по протоколу IPSec соответствовала стандарту FIPS 140-2, необходимо указать длину ключа как DH, так и RSA для IPSec не менее 2048 бит в сети, к которой относится аппарат. С аппарата можно указать только длину ключа DH. Обратите внимание, что при конфигурировании сети с аппарата настройки RSA недоступны. Можно зарегистрировать до 10 политик безопасности.

Независимо от настроек [Форм. метод кодирования в FIPS 140-2] для связи по протоколу IPSec, для шифрования будет использован модуль, уже прошедший сертификацию FIPS140-2.

Чтобы связь по протоколу IPSec соответствовала стандарту FIPS 140-2, необходимо указать длину ключа как DH, так и RSA для IPSec не менее 2048 бит в сети, к которой относится аппарат.

С аппарата можно указать только длину ключа DH.

Обратите внимание, что при конфигурировании сети с аппарата настройки RSA недоступны.

Можно зарегистрировать до 10 политик безопасности.

Включение IPSec

Запустите удаленный интерфейс пользователя. Запуск Remote UI (Удаленный ИП)

На странице портала нажмите кнопку [Параметры/Регистрация]. Экран Remote UI (Удаленный ИП)

Нажмите кнопку [Параметры сети]

[Параметры IPSec].

Выберите [Использовать IPSec] и щелкните [OK].

Чтобы получать пакеты, соответствующие политике безопасности, выберите [Отказать] для [Прием пакетов вне концепции].

Регистрация политики

Запустите удаленный интерфейс пользователя. Запуск Remote UI (Удаленный ИП)

На странице портала нажмите кнопку [Параметры/Регистрация]. Экран Remote UI (Удаленный ИП)

Нажмите кнопку [Параметры сети]

[Список концепций IPSec].

Выберите команду [Регистрировать новую политику IPSec].

Установите политику.

[Имя политики]

Введите имя для идентификации политики.

[Вкл./Выкл. политики]

Выберите [Вкл.], чтобы включить зарегистрированную политику.

[Разрешить длину ключа AES только 256 бит]

Установите этот флажок, чтобы ограничить длину ключа при способе шифрования AES до 256 бит и обеспечить соответствие стандартам аутентификации CC.

Настройте параметры приложения IPSec.

Выберите команду [Настройки селектора].

Укажите IP-адрес, в отношении которого необходимо применить политику IPSec.

Укажите IP-адрес аппарата в поле [Локальный адрес], а затем укажите IP-адрес однорангового узла связи в поле [Дистанционный адрес].

[Все IP-адреса]	Политика IPSec применяется ко всем отправленным и полученным IP-пакетам.
[IPv4-адрес]	Политика IPSec применяется к IP-пакетам, отправленным с IPv4-адреса аппарата и полученным на него.
[IPv6-адрес]	Политика IPSec применяется к IP-пакетам, отправленным с IPv6-адреса аппарата и полученным на него.
[Все IPv4-адреса]	Политика IPSec применяется к IP-пакетам, отправленным с IPv4-адреса кэширующего узла и полученным на него.
[Все IPv6-адреса]	Политика IPSec применяется к IP-пакетам, отправленным с IPv6-адреса кэширующего узла и полученным на него.
[Пар.IPv4, уст.вручн.]	Укажите IPv4-адрес, в отношении которого необходимо применить политику IPSec. Выберите [Один адрес], чтобы указать отдельный IPv4-адрес. Выберите [Несколько адресов], чтобы указать диапазон IPv4-адресов. Укажите адреса в полях [Первый адрес] и [Последний адрес]. Выберите [Параметры подсети], чтобы указать диапазон IPv4-адресов, используя маску подсети. Укажите значения в полях [Первый адрес] и [Параметры подсети].
[Пар.IPv6, уст.вручн.]	Укажите IPv6-адрес, в отношении которого необходимо применить политику IPSec. Выберите [Один адрес], чтобы указать отдельный IPv6-адрес. Выберите [Несколько адресов], чтобы указать диапазон IPv6-адресов. Укажите адреса в полях [Первый адрес] и [Последний адрес]. Выберите [Адрес с префиксом], чтобы указать диапазон IPv6-адресов, используя префикс. Укажите значения в полях [Первый адрес] и [Длина префикса].

Укажите порт, в отношении которого необходимо применить политику IPSec.

Выберите [Указать по номеру порта], чтобы ввести номера портов, в отношении которых необходимо применить политику IPSec. Выберите [Все порты], чтобы применить политику IPSec ко всем номерам портов. Чтобы применить политику IPSec только к определенному порту, выберите [Один порт] и введите номер порта. Укажите порт аппарата в поле [Локальный порт] а затем укажите порт однорангового узла связи в поле [Дистанционный порт].

Чтобы указать порты для применения IPSec по имени службы, выберите [Указать по имени службы] и выберите используемые службы.

Выберите команду [OK].

Настройте параметры аутентификации и шифрования.

Выберите команду [Настройки IKE].

Настройте необходимые параметры.

[Режим IKE]

Выберите режим работы протокола обмена ключами. Безопасность повышается, если выбрано [Основн.], так как шифруется сам сеанс IKE, но скорость сеанса будет ниже, чем при выборе [Aggressive], когда весь сеанс не шифруется.

[Действит.]

Укажите срок действия созданного IKE SA.

[Способ аутентификации]

Выберите один из способов аутентификации, которые описаны ниже.

[Способ защ. общ. ключа]

Установите ту же парольную фразу (предустановленный общий ключ), которая установлена для однорангового узла связи. Выберите [Настройки общего ключа], введите строку символов, которая будет использоваться в качестве общего ключа, и выберите [OK].

[Способ цифровой подписи]

Установите ключ и сертификат, которые будут использоваться для взаимной аутентификации с одноранговым узлом связи. Щелкните [Ключ и сертификат], затем щелкните [Использовать], чтобы выбрать ключ.

[Алгоритм аутент./кодирования]

Выберите [Авто] или [Ручная настройка], чтобы указать способ задания алгоритма аутентификации и шифрования для этапа 1 подключения по протоколу IKE. Выберите [Авто], чтобы алгоритм для аппарата и однорангового узла связи задавался автоматически. Чтобы задать определенный алгоритм, выберите вариант [Ручная настройка] и настройте указанные ниже параметры.

[Аутентификац.]	Выберите алгоритм хеширования.
[Кодирование]	Выберите алгоритм шифрования.
[Группа DH]	Выберите группу шифрования по Диффи — Хеллману, чтобы задать надежность ключа.

Выберите команду [OK].


Когда для параметра [Режим IKE] установлено значение [Основн.] на экране [IKE] и для параметра [Способ аутентификации] установлено значение [Способ защ. общ. ключа]; при регистрации нескольких политик безопасности применяются следующие ограничения. Ключ для метода общего ключа: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, все общие ключи для этой политики являются идентичными (это не применяется, если указан один адрес). Приоритет: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, приоритет этой политики безопасности ниже, чем у тех политик безопасности, для которых указан единственный адрес.

Когда для параметра [Режим IKE] установлено значение [Основн.] на экране [IKE] и для параметра [Способ аутентификации] установлено значение [Способ защ. общ. ключа]; при регистрации нескольких политик безопасности применяются следующие ограничения.

Ключ для метода общего ключа: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, все общие ключи для этой политики являются идентичными (это не применяется, если указан один адрес).

Приоритет: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, приоритет этой политики безопасности ниже, чем у тех политик безопасности, для которых указан единственный адрес.

Настройте параметры связи по протоколу IPSec.

Выберите команду [Настройки сети IPSec].

Настройте необходимые параметры.

[Действит.]

Укажите срок действия созданного IPSec SA. Обязательно укажите значение в поле [Время] или [Формат]. Если заданы оба значения, будет применен параметр со значением, которое будет достигнуто первым.

[PFS]

При выборе [Использовать PFS] секретность ключа шифрования увеличивается, но скорость передачи данных снижается. Кроме того, на одноранговом устройстве связи должна быть включена функция «Совершенная прямая секретность (PFS)».

[Алгоритм аутент./кодирования]

Выберите [Авто] или [Ручная настройка], чтобы указать способ задания алгоритма аутентификации и шифрования для этапа 2 подключения по протоколу IKE. Если выбрать вариант [Авто], аутентификация ESP и алгоритм шифрования задаются автоматически. Чтобы указать определенный способ аутентификации, выберите вариант [Ручная настройка] и выберите один из следующих способов аутентификации.

[ESP]	Выполняются и аутентификация, и шифрование. Выберите алгоритм для [Аутентификация ESP] и [Кодирование ESP]. Если алгоритм аутентификации или шифрования задавать не требуется, выберите [NULL].
[ESP (AES-GCM)]	В качестве алгоритма ESP используется AES-GCM; выполняются и аутентификация, и шифрование.
[AH (SHA1)]	Аутентификация выполняется, однако данные не шифруются. В качестве алгоритма используется SHA1.

Выберите команду [OK].

Включите зарегистрированные политики и проверьте порядок их приоритета.

Политики применяются в том порядке, в котором они указаны в списке, начиная с самой верхней. Чтобы изменить порядок приоритета, выберите в списке нужную политику и щелкните [Повысить приоритет] или [Понизить приоритет].


Управление политиками IPSec На экране, который отображается на шаге 4, можно изменить политики. Чтобы изменить параметры политики, щелкните по ней в списке. Чтобы отключить политику, щелкните имя политики в списке выберите [Выкл.] для [Вкл./Выкл. политики] щелкните [OK]. Чтобы удалить политику, выберите ее в списке щелкните [Удалить] [OK]. Использование панели управления Включить или отключить связь по протоколу IPSec можно также в <З-ть> на экране <Главный>. <Параметры IPSec> Пакетный импорт/пакетный экспорт Этот параметр можно импортировать/экспортировать на моделях, которые поддерживают пакетный импорт этого параметра. Импорт и экспорт данных о настройке аппарата При пакетном экспорте данная настройка включается в [Основная информация о параметрах/регистрации]. Импорт и экспорт всех параметров

Управление политиками IPSec

На экране, который отображается на шаге 4, можно изменить политики.

Чтобы изменить параметры политики, щелкните по ней в списке.

Чтобы отключить политику, щелкните имя политики в списке

выберите [Выкл.] для [Вкл./Выкл. политики]

щелкните [OK].

Чтобы удалить политику, выберите ее в списке

щелкните [Удалить]

[OK].

Использование панели управления

Включить или отключить связь по протоколу IPSec можно также в <З-ть> на экране <Главный>. <Параметры IPSec>

Пакетный импорт/пакетный экспорт

Этот параметр можно импортировать/экспортировать на моделях, которые поддерживают пакетный импорт этого параметра. Импорт и экспорт данных о настройке аппарата

При пакетном экспорте данная настройка включается в [Основная информация о параметрах/регистрации]. Импорт и экспорт всех параметров