Налаштування параметрів протоколу IPSec

За допомогою використання протоколу IPSec можна запобігти перехопленню або підробці третіми особами IP-пакетів, що передаються IP-мережею. Оскільки IPSec — це версія IP з додатковими функціями безпеки (основний пакет протоколів, що використовується в Інтернеті), він забезпечує безпеку незалежно від програм або конфігурації мережі. Щоб установити зв’язок з апаратом за протоколом IPSec, необхідно налаштувати параметри, як-от параметри програм і алгоритм автентифікації та шифрування. Для налаштування цих параметрів потрібні прав адміністратора.

Увімкнення IPSec

Реєстрація політики


Режим зв’язку За використання протоколу IPSec цей апарат підтримує лише режим передавання. Тому автентифікація та шифрування застосовуються лише до частин IP-пакетів, у яких розміщено дані. Протокол ключового обміну Цей апарат підтримує протокол обміну ключами версії 1 (IKEv1) для обміну ключами на основі інтернет протоколу асоціацій безпеки та керування ключами (ISAKMP). Для автентифікації слід вибрати метод із використанням попередньо наданого ключа або цифрового підпису. Установлюючи метод із використанням попередньо наданого ключа, потрібно заздалегідь визначитися з парольною фразою (попередньо наданий ключ), яка використовується для зв’язку апарата з вузлом зв’язку IPSec. Установлюючи метод із використанням цифрового підпису, використовуйте сертифікат, виданий центром сертифікації, ключ формату PKCS#12 і сертифікат для здійснення взаємної автентифікації між апаратом і вузлом зв’язку IPSec. Додаткові відомості про реєстрацію нових сертифікатів центра сертифікації або ключів чи сертифікатів див. в розділі Реєстрація ключа та сертифіката для встановлення зв’язку з мережею. Зауважте, що перед використанням цього методу слід налаштувати SNTP для апарата. Настроювання параметрів SNTP

Режим зв’язку

За використання протоколу IPSec цей апарат підтримує лише режим передавання. Тому автентифікація та шифрування застосовуються лише до частин IP-пакетів, у яких розміщено дані.

Протокол ключового обміну

Цей апарат підтримує протокол обміну ключами версії 1 (IKEv1) для обміну ключами на основі інтернет протоколу асоціацій безпеки та керування ключами (ISAKMP). Для автентифікації слід вибрати метод із використанням попередньо наданого ключа або цифрового підпису.

Установлюючи метод із використанням попередньо наданого ключа, потрібно заздалегідь визначитися з парольною фразою (попередньо наданий ключ), яка використовується для зв’язку апарата з вузлом зв’язку IPSec.

Установлюючи метод із використанням цифрового підпису, використовуйте сертифікат, виданий центром сертифікації, ключ формату PKCS#12 і сертифікат для здійснення взаємної автентифікації між апаратом і вузлом зв’язку IPSec. Додаткові відомості про реєстрацію нових сертифікатів центра сертифікації або ключів чи сертифікатів див. в розділі Реєстрація ключа та сертифіката для встановлення зв’язку з мережею. Зауважте, що перед використанням цього методу слід налаштувати SNTP для апарата. Настроювання параметрів SNTP


Незалежно від значення параметра [Format Encryption Method to FIPS 140-2], для встановлення зв’язку за протоколом IPSec використовуватимуться модуль шифрування, який уже пройшов сертифікацію FIPS140-2. Щоб зв’язок за протоколом IPSec відповідав вимогам стандарту FIPS 140-2, потрібно встановити довжину ключа для DH і RSA для IPSec до 2048 бітів або довше в мережевому середовищі, до якого належить апарат. З апарата можна вказати лише довжину ключа для DH. Зверніть увагу, що під час налаштування середовища з апарата параметри RSA недоступні. Ви можете зареєструвати до 10 політик безпеки.

Незалежно від значення параметра [Format Encryption Method to FIPS 140-2], для встановлення зв’язку за протоколом IPSec використовуватимуться модуль шифрування, який уже пройшов сертифікацію FIPS140-2.

Щоб зв’язок за протоколом IPSec відповідав вимогам стандарту FIPS 140-2, потрібно встановити довжину ключа для DH і RSA для IPSec до 2048 бітів або довше в мережевому середовищі, до якого належить апарат.

З апарата можна вказати лише довжину ключа для DH.

Зверніть увагу, що під час налаштування середовища з апарата параметри RSA недоступні.

Ви можете зареєструвати до 10 політик безпеки.

Увімкнення IPSec

Запустіть Remote UI (Інтерфейс віддаленого користувача). Запуск Remote UI (Інтерфейс віддаленого користувача)

Клацніть [Settings/Registration] на сторінці порталу. Екран Remote UI (Інтерфейс віддаленого користувача)

Клацніть [Network Settings]

[IPSec Settings].

Виберіть [Use IPSec] і натисніть [OK].

Щоб додати тільки ті пакети, які відповідають політиці безпеки, виберіть значення [Reject] для параметра [Receive Non-Policy Packets].

Реєстрація політики

Запустіть Remote UI (Інтерфейс віддаленого користувача). Запуск Remote UI (Інтерфейс віддаленого користувача)

Клацніть [Settings/Registration] на сторінці порталу. Екран Remote UI (Інтерфейс віддаленого користувача)

Клацніть [Network Settings]

[IPSec Policy List].

Клацніть [Register New IPSec Policy].

Установіть політику.

[Policy Name]

Введіть назву для ідентифікації політики.

[Policy On/Off]

Виберіть [On], щоб задіяти зареєстровану політику.

[Only Allow 256-bit for AES Key Length]

Установіть цей прапорець, щоб обмежити довжину ключа методу шифрування AES значенням 256 бітів і забезпечити відповідність стандартам автентифікації.

Налаштуйте параметри програми IPSec.

Клацніть [Selector Settings].

Укажіть IP-адресу, до якої слід застосувати політику IPSec.

Укажіть IP-адресу цього апарата в полі [Local Address], а IP-адресу однорангового вузла зв’язку вкажіть у полі [Remote Address].

[All IP Addresses]	IPSec застосовується до всіх надісланих і отриманих IP-пакетів.
[IPv4 Address]	IPSec застосовується до IP-пакетів, надісланих з IPv4-адреси цього апарата та отриманих на неї.
[IPv6 Address]	IPSec застосовується до IP-пакетів, надісланих з IPv6-адреси цього апарата та отриманих на неї.
[All IPv4 Addresses]	IPSec застосовується до IP-пакетів, надісланих з IPv4-адреси однорангового вузла зв’язку та отриманих на неї.
[All IPv6 Addresses]	IPSec застосовується до IP-пакетів, надісланих з IPv6-адреси однорангового вузла зв’язку та отриманих на неї.
[IPv4 Manual Settings]	Укажіть IPv4-адресу, до якої слід застосувати політику IPSec. Виберіть [Single Address], щоб увести окрему адресу IPv4. Виберіть [Range Address], щоб указати діапазон адрес IPv4. Введіть окремі адреси для параметрів [First Address] і [Last Address]. Виберіть [Subnet Settings], щоб указати діапазон адрес IPv4 із використанням маски підмережі. Введіть окремі значення для параметрів [First Address] і [Subnet Settings].
[IPv6 Manual Settings]	Укажіть IPv6-адресу, до якої слід застосувати політику IPSec. Виберіть [Single Address], щоб увести окрему адресу IPv6. Виберіть [Range Address], щоб указати діапазон адрес IPv6. Введіть окремі адреси для параметрів [First Address] і [Last Address]. Виберіть [Prefix Address], щоб указати діапазон адрес IPv6 із використанням префікса. Введіть окремі значення для параметрів [First Address] і [Prefix Length].

Укажіть порт, до якого слід застосувати політику IPSec.

Виберіть [Specify by Port Number], щоб використовувати номери портів для визначення портів, до яких застосовується політика IPSec. Виберіть [All Ports], щоб застосувати політику IPSec до всіх номерів портів. Щоб застосувати політику IPSec до певного номера порту, натисніть [Single Port] і введіть номер порту. Укажіть порт цього апарата в полі [Local Port], а порт однорангового вузла зв’язку — у полі [Remote Port].

Щоб зазначити порти, до яких слід застосовувати IPSec, за назвою служби, виберіть [Specify by Service Name] і виберіть служби, які потрібно використовувати.

Клацніть [OK].

Налаштуйте параметри автентифікації та шифрування.

Клацніть [IKE Settings].

Налаштуйте необхідні параметри.

[IKE Mode]

Виберіть режим роботи протоколу обміну ключами. Безпека посилюється, якщо вибрати [Main], оскільки сеанс IKE зашифрований, але швидкість передавання даних у сеансі нижча, ніж у режимі [Aggressive], у якому весь сеанс не шифрується.

[Validity]

Установіть термін дії створеного IKE SA.

[Authentication Method]

Виберіть один з описаних нижче методів автентифікації.

[Pre-Shared Key Method]

Установіть ту саму парольну фразу (попередній спільний ключ), яку встановлено для однорангового вузла зв’язку. Виберіть [Shared Key Settings], введіть послідовність символів, яка використовуватиметься як спільний ключ, і виберіть [OK].

[Digital Signature Method]

Установіть ключ і сертифікат, які використовуватимуться для взаємної автентифікації з одноранговим вузлом зв’язку. Натисніть [Key and Certificate], а потім натисніть [Use] для потрібного ключа.

[Authentication/Encryption Algorithm]

Виберіть [Auto] або [Manual Settings], щоб установити спосіб зазначення алгоритму автентифікації та шифрування для етапу 1 підключення за протоколом IKE. Якщо ви вибрали [Auto], алгоритм, який можна використовувати для цього апарата й однорангового вузла зв’язку, установлюється автоматично. Щоб указати певний алгоритм, виберіть [Manual Settings] і налаштуйте вказані далі параметри.

[Authentication]	Виберіть алгоритм гешування.
[Encryption]	Виберіть алгоритм шифрування.
[DH Group]	Виберіть групу для методу обміну ключами Діффі-Хелмана, щоб установити надійність ключа.

Клацніть [OK].


Якщо для параметра [IKE Mode] установлено значення [Main] на екрані [IKE], а для параметра [Authentication Method] — значення [Pre-Shared Key Method], то під час реєстрації кількох політик безпеки застосовуються вказані нижче обмеження. Ключ для методу з використанням попередньо наданого ключа: коли вказано кілька віддалених IP-адрес, до яких слід застосувати політику безпеки, усі попередньо надані ключі для цієї політики безпеки ідентичні (це правило не застосовується, коли вказано одну адресу). Пріоритет: коли вказано кілька віддалених IP-адрес, до яких слід застосувати політику безпеки, пріоритет цієї політики безпеки нижче, ніж у політик безпеки, для яких указано одну адресу.

Якщо для параметра [IKE Mode] установлено значення [Main] на екрані [IKE], а для параметра [Authentication Method] — значення [Pre-Shared Key Method], то під час реєстрації кількох політик безпеки застосовуються вказані нижче обмеження.

Ключ для методу з використанням попередньо наданого ключа: коли вказано кілька віддалених IP-адрес, до яких слід застосувати політику безпеки, усі попередньо надані ключі для цієї політики безпеки ідентичні (це правило не застосовується, коли вказано одну адресу).

Пріоритет: коли вказано кілька віддалених IP-адрес, до яких слід застосувати політику безпеки, пріоритет цієї політики безпеки нижче, ніж у політик безпеки, для яких указано одну адресу.

Налаштуйте параметри зв’язку за протоколом IPSec.

Клацніть [IPSec Network Settings].

Налаштуйте необхідні параметри.

[Validity]

Установіть термін дії згенерованого IKE SA. Обов’язково встановіть або [Time], або [Size]. Якщо встановити обидва значення, застосовуватиметься те з них, якого буде досягнуто раніше.

[PFS]

Якщо встановити значення [Use PFS], рівень секретності ключа шифрування збільшиться, але швидкість передавання даних знизиться. Крім того, на одноранговому вузлі зв’язку слід увімкнути функцію цілковитої прямої секретності (Perfect Forward Secrecy — PFS).

[Authentication/Encryption Algorithm]

Виберіть [Auto] або [Manual Settings], щоб установити спосіб зазначення алгоритму автентифікації та шифрування для етапу 2 підключення за протоколом IKE. Якщо ви вибрали [Auto], алгоритм автентифікації та шифрування ESP встановлюється автоматично. Якщо потрібно вказати певний метод автентифікації, виберіть [Manual Settings] і виберіть один з указаних далі методів автентифікації.

[ESP]	Виконуються автентифікація й шифрування. Виберіть алгоритм для параметрів [ESP Authentication] і [ESP Encryption]. Виберіть [NULL], якщо встановлювати алгоритм автентифікації або шифрування не потрібно.
[ESP (AES-GCM)]	AES-GCM використовується як алгоритм ESP; виконується автентифікація й шифрування.
[AH (SHA1)]	Виконується автентифікація, але дані не шифруються. Як алгоритм використовується SHA1.

Клацніть [OK].

Увімкніть зареєстровані політики та перевірте порядок пріоритетності.

Політики застосовуються в тому порядку, у якому вони вказані в списку, починаючи зверху. Якщо слід змінити порядок пріоритетності, виберіть політику в списку та натисніть [Raise Priority] або [Lower Priority].


Керування політиками IPSec Ви можете редагувати політики на екрані, який показано на кроці 4. Щоб відредагувати відомості про політику, клацніть її назву в списку. Щоб вимкнути політику, виберіть назву політики в списку виберіть [Off] для параметра [Policy On/Off] натисніть [OK]. Щоб видалити політику, виберіть її в списку натисніть [Delete] [OK]. Використання панелі керування Також вмикати або вимикати зв’язок IPSec можна з меню <Устан.> на екрані <Головний>. <Параметри IPSec> Пакетний імпорт/експорт Цей параметр можна імпортувати або експортувати в моделях, які підтримують пакетний імпорт цього параметра. Імпорт і експорт даних налаштувань Під час пакетного експорту цей параметр додається до розділу [Settings/Registration Basic Information]. Імпорт/експорт усіх параметрів

Керування політиками IPSec

Ви можете редагувати політики на екрані, який показано на кроці 4.

Щоб відредагувати відомості про політику, клацніть її назву в списку.

Щоб вимкнути політику, виберіть назву політики в списку

виберіть [Off] для параметра [Policy On/Off]

натисніть [OK].

Щоб видалити політику, виберіть її в списку

натисніть [Delete]

[OK].

Використання панелі керування

Також вмикати або вимикати зв’язок IPSec можна з меню <Устан.> на екрані <Головний>. <Параметри IPSec>

Пакетний імпорт/експорт

Цей параметр можна імпортувати або експортувати в моделях, які підтримують пакетний імпорт цього параметра. Імпорт і експорт даних налаштувань

Під час пакетного експорту цей параметр додається до розділу [Settings/Registration Basic Information]. Імпорт/експорт усіх параметрів