Використання IPSec
Використовуйте протокол IPSec для запобігання перехопленню даних або маніпуляцій з IP-пакетами, що надсилаються або отримуються через IP-мережу. Він здійснює шифрування на рівні IP-протоколу, забезпечуючи безпеку незалежно від конфігурації програм та мережі.
Застосовні умови IPSec та підтримувані режими
Пакети, для яких IPSec не застосовується
Пакети, що зазначають адресу замикання на себе, адресу багатопотокового передавання або широкомовну адресу
Пакети IKE, надіслані з порту 500 UDP
Пакети запиту адрес сусідів та оголошень сусідів ICMPv6
Режим роботи протоколу визначення ключів (режим IKE)
Єдиним режимом IKE, що його підтримує апарат, є основний режим, що використовується для шифрування пакетів. Агресивний режим без шифрування не підтримується.
Режим зв’язку
Єдиним режимом зв’язку, що його підтримує апарат, є транспортний режим, що шифрує лише частину даних без IP-заголовка. Тунельний режим не підтримується.
Використання IPSec разом із фільтруванням IP-адрес
Спочатку застосовуються налаштування фільтра IP-адрес. Налаштування брандмауера
Конфігурація політики IPSec
Для здійснення зв’язку за протоколом IPSec на апараті необхідно створити політику IPSec, що включає відповідний діапазон та алгоритми автентифікації та шифрування. Нижче наведено основні компоненти політики.
Селектор
Вкажіть, які саме IP-пакети будуть використовуватися для зв’язку IPSec. Окрім IP-адреси апарата й пристроїв зв’язку потрібно також зазначити їхні номери портів.
IKE
Протокол визначення ключів підтримує версію 1 протоколу визначення ключів IKE (IKEv1). В якості методу автентифікації виберіть метод заздалегідь установленого спільного ключа або метод цифрового підпису.
Метод заздалегідь установленого спільного ключа.
Цей метод передбачає використання спільного ключового слова, що називається спільним ключем, для встановлення зв’язку між апаратом та іншими пристроями.
Цей метод передбачає використання спільного ключового слова, що називається спільним ключем, для встановлення зв’язку між апаратом та іншими пристроями.
Метод цифрового підпису.
Апарат та інші пристрої здійснюють взаємну автентифікацію, перевіряючи цифрові підписи одне одного.
Апарат та інші пристрої здійснюють взаємну автентифікацію, перевіряючи цифрові підписи одне одного.
ESP/AH
Налаштуйте параметри ESP/AH, що є протоколом, який використовується для зв’язку IPSec. ESP та AH можна використовувати одночасно. Ще більшу безпеку забезпечить властивість цілковитої прямої секретності (PFS).
Налаштування IPSec
Активуйте використання IPSec, а потім створіть та зареєструйте політику IPSec. Якщо створено кілька політик, зазначте порядок, в якому вони застосовуватимуться.
У цьому розділі описано, як налаштувати параметри за допомогою інтерфейсу віддаленого користувача (Remote UI) на комп’ютері.
На панелі керування виберіть [Меню] на екрані [Головний], а потім виберіть [Настройки], щоб налаштувати параметри. Однак панель керування можна використовувати лише для ввімкнення або вимкнення IPSec. [Використовувати IPSec]
Вам необхідно мати права адміністратора на комп’ютері. Щоб застосувати налаштування, необхідно перезавантажити пристрій.
На панелі керування виберіть [Меню] на екрані [Головний], а потім виберіть [Настройки], щоб налаштувати параметри. Однак панель керування можна використовувати лише для ввімкнення або вимкнення IPSec. [Використовувати IPSec]
Вам необхідно мати права адміністратора на комп’ютері. Щоб застосувати налаштування, необхідно перезавантажити пристрій.
Необхідні підготовчі операції |
Підключіть апарат безпосередньо до комп’ютера, що підключений до тієї ж самої віртуальної приватної мережі (VPN), що і апарат. Перевірте умови роботи та заздалегідь налаштуйте параметри комп’ютера. IPSec Виконайте таку підготовку згідно зі способом автентифікації IKE: Якщо вибрано метод заздалегідь установленого спільного ключа, активуйте TLS для зв’язку з інтерфейсом віддаленого користувача. Використання TLS Якщо вибрано метод цифрового підпису, підготуйте ключ і сертифікат, які будуть використовуватися. Керування ключем і сертифікатом та підтвердження їхньої відповідності Якщо використовується PFS, переконайтеся, що на пристрої зв’язку активовано PFS. |
1
Авторизуйтеся в інтерфейсі віддаленого користувача (Remote UI) в режимі адміністратора. Запуск інтерфейсу віддаленого користувача
2
На сторінці порталу інтерфейсу віддаленого користувача клацніть [Settings/Registration]. Сторінка порталу інтерфейсу віддаленого користувача
3
Клацніть [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].Відобразиться екран [Edit IPSec Settings].
4
Встановіть прапорець [Use IPSec] і клацніть [OK].
Щоб отримувати лише пакети, що відповідають політиці, зніміть прапорець [Receive Non-Policy Packets].
5
Клацніть [Register New Policy].
Відобразиться екран [Register New IPSec Policy].
6
У розділі [Policy Settings] введіть назву політики та встановіть прапорець [Enable Policy].
В якості назви політики введіть ім’я, за допомогою якого ви будете ідентифікувати цю політику, використовуючи однобайтові цифри та літери.
7
У розділі [Selector Settings] задайте селектор.
[Local Address Settings]
Виберіть тип IP-адреси апарата, до якого застосовується політика.
Щоб застосувати IPSec до всіх IP-пакетів, виберіть [All IP Addresses].
Щоб застосувати IPSec до IP-пакетів, надісланих та отриманих із використанням адреси IPv4 або IPv6, виберіть [IPv4 Address] або [IPv6 Address].
[Remote Address Settings]
Виберіть тип IP-адреси пристрою зв’язку, до якого застосовується політика.
Щоб застосувати IPSec до всіх IP-пакетів, виберіть [All IP Addresses].
Щоб застосувати IPSec до IP-пакетів, надісланих та отриманих із використанням адреси IPv4 або IPv6, виберіть [All IPv4 Addresses] або [All IPv6 Addresses].
Щоб зазначити адресу IPv4 або IPv6, до якої буде застосовано IPSec, виберіть [IPv4 Manual Settings] або [IPv6 Manual Settings].
[Addresses to Set Manually]
Якщо вибрано [IPv4 Manual Settings] або [IPv6 Manual Settings], введіть IP-адресу. Ви також можете зазначити діапазон IP-адрес через дефіс (-).
Приклад вводу:
Одна адреса IPv4
192.168.0.10
192.168.0.10
Одна адреса IPv6
fe80::10
fe80::10
Діапазон
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Якщо вибрано [IPv4 Manual Settings], можна, використовуючи маску підмережі, вказати діапазон адрес IPv4.
Приклад вводу:
255.255.255.240
255.255.255.240
[Prefix Length]
Якщо вибрано [IPv6 Manual Settings], можна, використовуючи довжину префікса, вказати діапазон адрес IPv6. Введіть довжину префікса в діапазоні від 0 до 128.
[Port Settings]
Задайте порт, до якого застосовуватиметься IPSec, у полі [Local Port] в апараті та [Remote Port] на пристрої зв’язку.
Щоб застосувати IPSec до всіх номерів портів, виберіть [All Ports].
Щоб застосувати IPSec до конкретного протоколу, як-от HTTP або WSD, виберіть [Single Port] та введіть номер порту протоколу.
8
У розділі [IKE Settings] задайте IKE.
[IKE Mode]
Апарат підтримує лише основний режим.
[Authentication Method]
Виберіть спосіб автентифікації апарата.
Якщо вибрано [Pre-Shared Key Method], клацніть [Shared Key Settings] введіть рядок, що служитиме буде спільним ключем, використовуючи однобайтові цифри та літери, клацніть [OK].
введіть рядок, що служитиме буде спільним ключем, використовуючи однобайтові цифри та літери, клацніть [OK].Якщо вибрано [Digital Signature Method], клацніть [Key and Certificate] [Register Default Key] праворуч від ключа та сертифіката, які будуть використовуватися.
[Register Default Key] праворуч від ключа та сертифіката, які будуть використовуватися.[Validity]
Введіть термін дії IKE SA (ISAKMP SA), що служитиме в якості контрольного каналу зв’язку (у хвилинах).
[Authentication/Encryption Algorithm]
Виберіть алгоритм визначення ключів.
9
У розділі [IPSec Network Settings] налаштуйте параметри мережі IPSec.
[Use PFS]
Встановіть прапорець, щоб налаштувати PFS для ключа сеансу.
[Validity]
Зазначте термін дії IPSec SA, що служитиме в якості каналу передавання даних за часом чи розміром або за обома цими показниками.
Якщо встановлено прапорець [Specify by Time], введіть термін дії у хвилинах.
Якщо встановлено прапорець [Specify by Size], введіть термін дії у мегабайтах.
Якщо встановлено обидва прапорці, буде застосовано елемент, чиє задане значення буде досягнуто першим.
[Authentication/Encryption Algorithm]
Встановіть прапорець залежно від заголовка IPSec (ESP та AH), що буде використовуватися в цьому алгоритмі.
[ESP Authentication]
Якщо вибрано [ESP], виберіть алгоритм автентифікації. Щоб виконати автентифікацію ESP, виберіть [SHA1]. В іншому разі виберіть [Do Not Use].
[ESP Encryption]
Якщо вибрано [ESP], виберіть алгоритм шифрування. Якщо ви не бажаєте задавати алгоритм, виберіть [NULL]. Щоб вимкнути шифрування, виберіть [Do Not Use].
[Connection Mode]
Апарат підтримує лише транспортний режим.
10
Клацніть [OK].
Щойно зареєстровану політику буде додано в область [Registered IPSec Policies] на екрані [IPSec Settings].
Якщо зареєстровано кілька політик
Клацніть [Up] або [Down] праворуч від імені політики, щоб установити пріоритет. Політики вищого рівня мають пріоритет у застосуванні до зв’язку IPSec.
11
Перезавантажте апарат. Перезавантаження апарата
Налаштування будуть застосовані.
 |
Редагування зареєстрованих політикЩоб змінити зареєстровані дані, клацніть назву політики, яку необхідно відредагувати, в області [Registered IPSec Policies] на екрані [IPSec Settings]. |