Korzystanie z protokołu IPSec

Użyj protokołu IP Security Protocol (IPSec), aby zapobiec podsłuchiwaniu i manipulowaniu pakietami IP wysyłanymi i odbieranymi przez sieć IP. Wykonuje to szyfrowanie na poziomie protokołu IP, aby zapewnić bezpieczeństwo bez konieczności polegania na konfiguracji aplikacji lub sieci.

Obowiązujące warunki i obsługiwane tryby protokołu IPSec

Pakiety, dla których nie ma zastosowania protokół IPSec
Pakiety określające adres loopback, multiemisji lub emisyjny
Pakiety IKE wysłane z UDP na porcie 500
Pakiety ICMPv6 Neighbor Solicitation i Neighbor Advertisement
Tryb działania protokołu wymiany kluczy (tryb IKE)
Tryb IKE obsługiwany przez urządzenie jest wyłącznie trybem głównym, który jest używany do szyfrowania pakietów. Nie jest obsługiwany nieszyfrujący tryb agresywny.
Tryb komunikacji
Tryb komunikacji obsługiwany przez urządzenie to wyłącznie tryb transportowy, który szyfruje tylko część z wyłączeniem nagłówka IP. Tryb tunelowy, który szyfruje cały pakiet IP, nie jest obsługiwany.
Używanie protokołu IPSec z filtrowaniem adresów IP
Ustawienia filtra adresów IP są stosowane w pierwszej kolejności. Ustawianie zapory sieciowej

Konfiguracja zasady protokołu IPSec

Aby umożliwić komunikację IPSec w urządzeniu, musisz utworzyć zasadę IPSec, która zawiera odpowiedni zakres i algorytmy uwierzytelniania i szyfrowania. Zasada ta składa się głównie z następujących elementów.
Selektor
Określ, dla których pakietów IP ma być stosowana komunikacja przy użyciu protokołu IPSec. Oprócz określenia adresu IP urządzenia i komunikujących się z nim urządzeń, możesz także określić numery ich portów.
IKE
Protokół wymiany kluczy obsługuje Internet Key Exchange Version 1 (IKEv1). Jako metodę uwierzytelniania wybierz metodę klucza współdzielonego lub metodę podpisu cyfrowego.
Metoda klucza współdzielonego:
Ta metoda uwierzytelniania wykorzystuje do komunikacji między urządzeniem a innymi urządzeniami wspólne słowo kluczowe, zwane kluczem współdzielonym.
Metoda podpisu cyfrowego:
Urządzenie i inne urządzenia uwierzytelniają się wzajemnie, weryfikując swoje podpisy cyfrowe.
ESP/AH
Określ ustawienia protokołu ESP/AH, który jest protokołem używanym do komunikacji IPSec. Protokołów ESP i AH można używać jednocześnie. Dla jeszcze większego bezpieczeństwa zastosuj Perfect Forward Secrecy (PFS).

Konfiguracja IPSec

Włącz korzystanie z protokołu IPSec, a następnie utwórz i zarejestruj zasadę IPSec. W przypadku utworzenia wielu zasad należy określić kolejność ich stosowania.
W tym rozdziale opisano, jak skonfigurować ustawienia za pomocą zdalnego interfejsu użytkownika z komputera.
Na panelu sterowania wybierz [Menu] na ekranie [Główny], a następnie wybierz [Ustawienia], aby skonfigurować ustawienia. Jednak panel sterowania może być używany tylko do włączania lub wyłączania protokołu IPSec. [Użyj IPSec]
Wymagane są uprawnienia administratora. Aby zastosować ustawienia, urządzenie musi zostać uruchomione ponownie.
Wymagane czynności przygotowawcze
Podłącz urządzenie bezpośrednio do komputera znajdującego się w tej samej wirtualnej sieci prywatnej (VPN), co urządzenie. Upewnij się, jakie są warunki działania urządzenia i zakończ wcześniej wprowadzanie ustawień na komputerze. IPSec
Poczyń poniższe przygotowania zgodnie z metodą uwierzytelniania IKE:
Jeśli korzystasz z metody klucza współdzielonego, włącz protokół TLS do komunikacji ze zdalnym interfejsem użytkownika. Korzystanie z protokołu TLS
Jeśli korzystasz z metody podpisu cyfrowego, przygotuj do użycia klucz i certyfikat. Zarządzanie i weryfikacja klucza i certyfikatu
Jeśli używasz PFS, sprawdź, czy w urządzeniu komunikującym się włączona jest obsługa PFS.
1
Zaloguj się w zdalnym interfejsie użytkownika w trybie menedżera systemu. Uruchamianie Zdalnego interfejsu użytkownika
2
Na stronie portalu zdalnego interfejsu użytkownika kliknij na [Ustawienia/rejestracja]. Strona portalu zdalnego interfejsu użytkownika
3
Kliknij na [Ustawienia sieciowe] [Ustawienia IPSec] [Edycja].
Zostanie wyświetlony ekran [Edycja ustawień IPSec].
4
Zaznacz pole wyboru [Użyj IPSec], a następnie kliknij na [OK].
Aby tylko odbierać pakiety zgodne z zasadą, odznacz pole wyboru [Odbiór pakietów bez zasad].
5
Kliknij [Zarejestruj nową zasadę].
Zostanie wyświetlony ekran [Zarejestruj nową zasadę IPSec].
6
W [Ustawienia zasad] wprowadź nazwę zasady, a następnie zaznacz pole wyboru [Włącz zasadę].
W polu nazwy zasady używając jednobajtowych znaków alfanumerycznych wpisz nazwę, która będzie identyfikować zasadę.
7
W [Ustawienia selektora] ustaw selektor.
[Ustawienia adresu lokalnego]
Wybierz typ adresu IP urządzenia, do którego ma być zastosowana zasada.
Aby zastosować IPSec do wszystkich pakietów IP, wybierz [Wszystkie adresy IP].
Aby zastosować IPSec do pakietów IP wysyłanych i odbieranych przy użyciu adresu IPv4 lub IPv6, wybierz [Adres IPv4] lub [Adres IPv6].
[Ustawienia adresu zdalnego]
Wybierz typ adresu IP urządzenia komunikacyjnego, do którego ma być zastosowana zasada.
Aby zastosować IPSec do wszystkich pakietów IP, wybierz [Wszystkie adresy IP].
Aby zastosować IPSec do pakietów IP wysyłanych i odbieranych przy użyciu adresu IPv4 lub IPv6, wybierz [Wszystkie adresy IPv4] lub [Wszystkie adresy IPv6].
Aby określić adres IPv4 lub IPv6, do którego ma być zastosowany IPSec, wybierz [Ustawienia ręczne IPv4] lub [Ustawienia ręczne IPv6].
[Adresy do ręcznej konfiguracji]
Gdy wybrano [Ustawienia ręczne IPv4] lub [Ustawienia ręczne IPv6], wprowadź adres IP. Możesz też określić zakres adresów IP za pomocą myślnika (-).
Przykładowy wpis:
Jeden adres IPv4
192.168.0.10
Jeden adres IPv6
fe80::10
Specyfikacja zakresu
192.168.0.10-192.168.0.20
[Ustawienia podsieci]
Gdy wybrano [Ustawienia ręczne IPv4], możesz użyć maski podsieci, aby określić zakres adresów IPv4.
Przykładowy wpis:
255.255.255.240
[Długość prefiksu]
Gdy wybrano [Ustawienia ręczne IPv6], możesz użyć długości prefiksu, aby określić zakres adresów IPv6. Wprowadź długość prefiksu z zakresu od 0 do 128.
[Ustawienia portu]
Ustaw port, do którego ma być zastosowany IPSec w [Port lokalny] w urządzeniu i w [Port zdalny] w urządzeniu komunikującym się.
Aby zastosować IPSec do wszystkich numerów portów, wybierz [Wszystkie porty].
Aby zastosować IPSec do konkretnego protokołu, na przykład HTTP lub WSD, wybierz [Pojedynczy port], a następnie wprowadź numer portu protokołu.
8
W [Ustawienia IKE] ustaw IKE.
[Tryb IKE]
Urządzenie obsługuje tylko główny tryb.
[Metoda uwierzytelniania]
Wybierz metodę uwierzytelniania urządzenia.
Gdy wybrano [Metoda klucza współdzielonego], kliknij [Ustawienia klucza współdzielonego] wprowadź ciąg znaków, który ma być użyty jako klucz współdzielony używając jednobajtowych znaków alfanumerycznych kliknij [OK].
Gdy wybrano [Metoda podpisu cyfrowego], kliknij [Klucz i certyfikat] [Zarejestruj klucz domyślny], po prawej stronie klucza i certyfikatu, którego chcesz użyć.
[Ważność]
Wprowadź w minutach okres ważności IKE SA (ISAKMP SA), który ma być używany jako ścieżka komunikacji kontrolnej.
[Algorytm uwierzytelniania/szyfrowania]
Wybierz algorytm, który będzie używany do wymiany kluczy.
9
W [Ustawienia sieci IPSec] skonfiguruj ustawienia sieciowe IPSec.
[Użyj PFS]
Zaznacz to pole wyboru, aby skonfigurować PFS dla klucza sesji.
[Ważność]
Określ okres ważności IPSec SA, który ma być używany jako ścieżka transmisji danych (czas, rozmiar lub oba te parametry jednocześnie).
Gdy zaznaczono pole wyboru [Określ termin], wprowadź okres ważności w minutach.
Gdy zaznaczono pole wyboru [Określ rozmiar], wprowadź okres ważności w megabajtach.
Gdy zaznaczone są oba, zastosowany zostanie element, którego określona wartość zostanie osiągnięta jako pierwsza.
[Algorytm uwierzytelniania/szyfrowania]
Zaznacz to pole wyboru w zależności od nagłówka IPSec (ESP i AH), który ma być użyty, i jego algorytmu.
[Uwierzytelnianie ESP]
Gdy wybrano [ESP], wybierz algorytm uwierzytelniania. Aby zastosować uwierzytelnianie ESP, wybierz [SHA1]. W przeciwnym wypadku wybierz [Nie używaj].
[Szyfrowanie ESP]
Gdy wybrano [ESP], wybierz algorytm szyfrowania. Jeśli nie chcesz określać algorytmu, wybierz [NULL]. Aby wyłączyć szyfrowanie, wybierz [Nie używaj].
[Tryb połączenia]
Urządzenie obsługuje tylko tryb transportowy.
10
Kliknij [OK].
Nowo zarejestrowana zasada jest dodawana do [Zarejestrowane zasady IPSec] na ekranie [Ustawienia IPSec].
W przypadku zarejestrowania wielu zasad
Kliknij [W górę] lub [W dół] po prawej stronie nazwy zasady, aby ustawić priorytet. Zasada wyższego poziomu ma pierwszeństwo w zastosowaniu do komunikacji IPSec.
11
Uruchom urządzenie ponownie. Ponowne uruchamianie urządzenia
Ustawienia zostały zastosowane.
Edycja zarejestrowanej zasady
Aby edytować zarejestrowane informacje, w [Zarejestrowane zasady IPSec] na ekranie [Ustawienia IPSec] kliknij nazwę zasady, którą chcesz edytować.
9RXX-083