Настройка параметров IPSec
IPSec (или IPsec) — это протокол, который подходит для шифрования данных, передающихся по сети, а также посредством Интернета. В то время как TLS шифрует только данные, использующиеся в определенных приложениях, например, веб-браузере или почтовом клиенте, шифрование IPSec обеспечивает защиту всех IP-пакетов или полезной их части, обеспечивая тем самым более надежную защиту. Функция IPSec аппарата работает в режиме передачи, при котором шифруется полезная часть IP-пакета. Благодаря этой функции аппарат можно подключить напрямую к компьютеру, который находится в той же виртуальной частной сети (VPN). Перед настройкой аппарата проверьте системные требования и настройте необходимые параметры на компьютере.
|
|
Использование IPSec с фильтрацией IP-адресовСначала применяются параметры фильтрации IP-адресов, затем — политики IPSec. Указание IP-адресов для параметров брандмауэра
|
Настройка параметров IPSec
Перед использованием IPSec для передачи зашифрованных данных необходимо зарегистрировать политики безопасности (SP). Политика безопасности включает группы параметров, описанных ниже. После регистрации политик укажите порядок их применения.
Селектор
Селектор определяет условия применения IPSec для передачи IP-пакетов. Эти условия включают IP-адреса и номера портов аппарата и устройства, между которыми будет происходить обмен данными.
Протокол IKE
IKE настраивает IKEv1, который используется для протокола распределения ключей. Помните, что инструкции зависят от выбранного метода аутентификации.
[Способ защищенного общего ключа (Pre-Shared Key Method)]
В этом способе аутентификации для связи между аппаратом и другими устройствами используется общее ключевое слово, которое называется «Общий ключ». Включите TLS для Удаленного ИП, прежде чем указать данный способ аутентификации (Задание ключа и сертификата для TLS).
В этом способе аутентификации для связи между аппаратом и другими устройствами используется общее ключевое слово, которое называется «Общий ключ». Включите TLS для Удаленного ИП, прежде чем указать данный способ аутентификации (Задание ключа и сертификата для TLS).
[Способ цифровой подписи (Digital Signature Method)]
Данный аппарат, а также другие подобные устройства, опознают друг друга путем выполнения операции взаимного подтверждения своих цифровых подписей. Заблаговременно создайте или установите ключ и сертификат (Регистрация ключа и сертификата для связи с сетью).
Данный аппарат, а также другие подобные устройства, опознают друг друга путем выполнения операции взаимного подтверждения своих цифровых подписей. Заблаговременно создайте или установите ключ и сертификат (Регистрация ключа и сертификата для связи с сетью).
AH/ESP
Укажите параметры заголовка AH/ESP, который добавляется к пакету во время передачи IPSec. AH и ESP могут использоваться в одно и то же время. Вы также можете включить PFS для повышения безопасности.
|
|
|
Дополнительные сведения о базовых операциях, которые требуется выполнить при настройке аппарата из Удаленного ИП, см. в разделе Настройка параметров меню с помощью Удаленного ИП.
|
1
Запустите Удаленный ИП и войдите в систему в режиме администратора системы. Запуск Удаленного ИП
2
Нажмите [Настройки/Регистрация (Settings/Registration)] на странице портала. Экран Удаленного ИП
3
Выберите [Настройки сети (Network Settings)] 
[Параметры IPSec (IPSec Settings)].
[Параметры IPSec (IPSec Settings)].4
Щелкните [Изменить (Edit)].
5
Установите флажок [Использовать IPSec (Use IPSec)] и щелкните [OK (OK)].
Если вы хотите, чтобы устройство принимало исключительно пакеты, которые соответствуют условиям одной из политик безопасности, определенных вами в предыдущих шагах, снимите флажок [Прием пакетов вне политики (Receive Non-Policy Packets)].
6
Щелкните [Регистрировать новую политику (Register New Policy)].
7
Укажите параметры концепции.
|
1
|
В поле [Имя политики (Policy Name)] введите алфавитно-цифровые символы имени для идентификации политики.
|
|
2
|
Установите флажок [Включить политику (Enable Policy)].
|
8
Укажите параметры селектора.
[Локальный адрес (Local Address)]
Чтобы применить политику, щелкните командную кнопку рядом с типом IP-адреса аппарата.
Чтобы применить политику, щелкните командную кнопку рядом с типом IP-адреса аппарата.
|
[Все IP-адреса (All IP Addresses)]
|
Использование IPSec для всех IP-пакетов.
|
|
[IPv4-адрес (IPv4 Address)]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с аппарата на IPv4-адрес или поступают в него с этого адреса.
|
|
[IPv6-адрес (IPv6 Address)]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с аппарата на IPv6-адрес или поступают в него с этого адреса.
|
[Удаленный адрес (Remote Address)]
Чтобы применить политику, щелкните командную кнопку рядом с типом IP-адреса других устройств.
Чтобы применить политику, щелкните командную кнопку рядом с типом IP-адреса других устройств.
|
[Все IP-адреса (All IP Addresses)]
|
Использование IPSec для всех IP-пакетов.
|
|
[Все IPv4-адреса (All IPv4 Addresses)]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с IPv4-адресов других устройств или поступают в них.
|
|
[Все IPv6-адреса (All IPv6 Addresses)]
|
Включите использование IPSec для всех IP-пакетов, которые отправляются с IPv6-адресов других устройств или поступают в них.
|
|
[Параметры IPv4, устанавливаемые вручную (IPv4 Manual Settings)]
|
Выберите, чтобы указать один адрес IPv4 или диапазон адресов IPv4, к которым будет применяться IPSec. Введите адрес IPv4 (или диапазон адресов) в текстовом поле [Адреса для установки вручную (Addresses to Set Manually)].
|
|
[Параметры IPv6, устанавливаемые вручную (IPv6 Manual Settings)]
|
Выберите, чтобы указать один адрес IPv6 или диапазон адресов IPv6, к которым будет применяться IPSec. Введите адрес IPv6 (или диапазон адресов) в текстовом поле [Адреса для установки вручную (Addresses to Set Manually)].
|
[Адреса для установки вручную (Addresses to Set Manually)]
Если [Параметры IPv4, устанавливаемые вручную (IPv4 Manual Settings)] или [Параметры IPv6, устанавливаемые вручную (IPv6 Manual Settings)] выбраны для [Удаленный адрес (Remote Address)], введите IP-адрес для применения политики. Можно также ввести диапазон адресов, разделив адреса знаком тире.
Если [Параметры IPv4, устанавливаемые вручную (IPv4 Manual Settings)] или [Параметры IPv6, устанавливаемые вручную (IPv6 Manual Settings)] выбраны для [Удаленный адрес (Remote Address)], введите IP-адрес для применения политики. Можно также ввести диапазон адресов, разделив адреса знаком тире.
Ввод IP-адресов
|
Описание
|
Пример
|
|
|
Ввод одного адреса
|
IPv4:
цифры разделяются точками. |
192.168.0.10
|
|
IPv6:
буквенно-цифровые символы разделяются двоеточием. |
fe80::10
|
|
|
Ввод диапазона адресов
|
Адреса разделяются знаком тире.
|
192.168.0.10-192.168.0.20
|
[Параметры подсети (Subnet Settings)]
Указывая адрес IPv4 вручную, можно указать диапазон с помощью маски подсети. Укажите маску подсети, разделяя цифры точками (например: 255.255.255.240).
Указывая адрес IPv4 вручную, можно указать диапазон с помощью маски подсети. Укажите маску подсети, разделяя цифры точками (например: 255.255.255.240).
[Длина префикса (Prefix Length)]
При указании диапазонов адресов IPv6 вручную также можно указывать диапазон с префиксами. Задайте диапазон от 0 до 128 в качестве длины префикса.
При указании диапазонов адресов IPv6 вручную также можно указывать диапазон с префиксами. Задайте диапазон от 0 до 128 в качестве длины префикса.
[Локальный порт (Local Port)]/[Удаленный порт (Remote Port)]
При необходимости создать отдельную политику для каждого протокола, например HTTP или WSD, введите номер соответствующего порта для протокола, чтобы указать, нужно ли использовать IPSec.
При необходимости создать отдельную политику для каждого протокола, например HTTP или WSD, введите номер соответствующего порта для протокола, чтобы указать, нужно ли использовать IPSec.
Действие пакета протоколов IPSec не распространяется на следующие пакеты
Возвратные, многоадресные и широковещательные пакеты
Пакеты IKE (при использовании UDP на порте 500)
Пакеты ICMPv6, такие как запрос к соседу и ответ (предложение) соседа
9
Укажите настройки IKE.
[Режим IKE (IKE Mode)]
Отображение режима, использующегося для протокола распределения ключей. Аппарат поддерживает основной режим, а не активный.
Отображение режима, использующегося для протокола распределения ключей. Аппарат поддерживает основной режим, а не активный.
[Способ аутентификации (Authentication Method)]
Выберите [Способ защищенного общего ключа (Pre-Shared Key Method)] или [Способ цифровой подписи (Digital Signature Method)] в качестве метода аутентификации аппарата. Перед выбором [Способ защищенного общего ключа (Pre-Shared Key Method)] необходимо включить шифрование TLS для Удаленного ИП. Перед выбором [Способ цифровой подписи (Digital Signature Method)] необходимо создать или установить ключ и сертификат. Задание ключа и сертификата для TLS
Выберите [Способ защищенного общего ключа (Pre-Shared Key Method)] или [Способ цифровой подписи (Digital Signature Method)] в качестве метода аутентификации аппарата. Перед выбором [Способ защищенного общего ключа (Pre-Shared Key Method)] необходимо включить шифрование TLS для Удаленного ИП. Перед выбором [Способ цифровой подписи (Digital Signature Method)] необходимо создать или установить ключ и сертификат. Задание ключа и сертификата для TLS
[Действует (Valid for)]
Укажите длительность сессии для IKE SA (ISAKMP SA). Введите время в минутах.
Укажите длительность сессии для IKE SA (ISAKMP SA). Введите время в минутах.
[Аутентификация (Authentication)]/[Шифрование (Encryption)]/[Группа DH (DH Group)]
Выберите алгоритм из раскрывающегося списка. В распределении ключей используются все алгоритмы.
Выберите алгоритм из раскрывающегося списка. В распределении ключей используются все алгоритмы.
|
[Аутентификация (Authentication)]
|
Выберите хэш-алгоритм.
|
|
[Шифрование (Encryption)]
|
Выберите алгоритм шифрования.
|
|
[Группа DH (DH Group)]
|
Выберите группу шифрования по Диффи — Хеллману, номер группы определяет длину ключа.
|
Аутентификация аппарата с помощью предварительного ключа
|
1
|
Щелкните командную кнопку [Способ защищенного общего ключа (Pre-Shared Key Method)] для [Способ аутентификации (Authentication Method)], затем — [Параметры общего ключа (Shared Key Settings)].
|
|
2
|
Введите алфавитно-цифровые символы для предварительного ключа и щелкните [OK (OK)].
|
|
3
|
Задайте параметры [Действует (Valid for)] и [Аутентификация (Authentication)]/[Шифрование (Encryption)]/[Группа DH (DH Group)].
|
Аутентификация аппарата с использованием способа цифровой подписи
|
1
|
Щелкните командную кнопку [Способ цифровой подписи (Digital Signature Method)] для [Способ аутентификации (Authentication Method)], затем — [Ключ и сертификат (Key and Certificate)].
|
|
2
|
Щелкните [Зарегистрировать ключ по умолчанию (Register Default Key)] справа от ключа и сертификата, которые вы хотите использовать.
Просмотр сведений о сертификате
Можно проверить информацию сертификате или подтвердить сертификат, щелкнув соответствующую текстовую ссылку под [Имя ключа (Key Name)] или нажав значок сертификата.
|
|
3
|
Задайте параметры [Действует (Valid for)] и [Аутентификация (Authentication)]/[Шифрование (Encryption)]/[Группа DH (DH Group)].
|
10
Укажите параметры сети IPSec.
[Использовать PFS (Use PFS)]
Установите этот флажок для включения режима совершенной прямой секретности (PFS) для ключей сеансов IPSec. Режим PFS повышает безопасность, но в то же время увеличивает нагрузку на соединение. Убедитесь, что функция PFS включена и на других устройствах.
Установите этот флажок для включения режима совершенной прямой секретности (PFS) для ключей сеансов IPSec. Режим PFS повышает безопасность, но в то же время увеличивает нагрузку на соединение. Убедитесь, что функция PFS включена и на других устройствах.
[Указать по времени (Specify by Time)]/[Указать по размеру (Specify by Size)]
Укажите условия прекращения сессии IPSec SA. Соединение IPSec SA используется в качестве туннеля связи. При необходимости установите один или оба флажка. Если флажки установлены, сессия IPSec SA прекращается при выполнении любого из условий.
Укажите условия прекращения сессии IPSec SA. Соединение IPSec SA используется в качестве туннеля связи. При необходимости установите один или оба флажка. Если флажки установлены, сессия IPSec SA прекращается при выполнении любого из условий.
|
[Указать по времени (Specify by Time)]
|
Введите продолжительность сессии в минутах.
|
|
[Указать по размеру (Specify by Size)]
|
Укажите максимальный объем данных для передачи во время сессии в мегабайтах.
|
[Выбор алгоритма (Select Algorithm)]
Установите флажок [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] или [AH (SHA1) (AH (SHA1))] в зависимости от заголовка IPSec и использующегося алгоритма. Алгоритм AES-GCM подходит как для аутентификации, так и для шифрования. Если выбрано [ESP (ESP)], выберите также алгоритмы аутентификации и шифрования из раскрывающихся списков [Аутентификация ESP (ESP Authentication)] и [Шифрование ESP (ESP Encryption)].
Установите флажок [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] или [AH (SHA1) (AH (SHA1))] в зависимости от заголовка IPSec и использующегося алгоритма. Алгоритм AES-GCM подходит как для аутентификации, так и для шифрования. Если выбрано [ESP (ESP)], выберите также алгоритмы аутентификации и шифрования из раскрывающихся списков [Аутентификация ESP (ESP Authentication)] и [Шифрование ESP (ESP Encryption)].
|
[Аутентификация ESP (ESP Authentication)]
|
Для включения аутентификации ESP выберите [SHA1 (SHA1)] в качестве хэш-алгоритма. Выберите [Не использовать (Do Not Use)] для отключения аутентификации ESP.
|
|
[Шифрование ESP (ESP Encryption)]
|
Выберите алгоритм шифрования ESP. Выберите [NULL (NULL)], чтобы не указывать алгоритм, или [Не использовать (Do Not Use)], чтобы отключить шифрование ESP.
|
[Режим соединения (Connection Mode)]
Отображается режим с установлением соединения IPSec. Аппарат поддерживает режим передачи, при котором шифруется полезная часть IP-пакета. Туннельный режим, при котором происходит инкапсуляция всего IP-пакета (заголовок и полезная часть), недоступен.
Отображается режим с установлением соединения IPSec. Аппарат поддерживает режим передачи, при котором шифруется полезная часть IP-пакета. Туннельный режим, при котором происходит инкапсуляция всего IP-пакета (заголовок и полезная часть), недоступен.
11
Щелкните [OK (OK)].
При необходимости зарегистрировать дополнительную политику безопасности, вернитесь к шагу 6.
12
Задайте порядок применения политик в списке [Зарегистрированные политики IPSec (Registered IPSec Policies)].
Политики применяются в порядке от верхней к нижней. Щелкните [Вверх (Up)] или [Вниз (Down)], чтобы переместить политику вверх или вниз по списку.
Редактирование политики
Перейдите по соответствующей ссылке в разделе [Имя политики (Policy Name)], чтобы открыть окно редактирования.
Удаление политики
Щелкните [Удалить (Delete)] справа от имени политики, которую необходимо удалить щелкните [OK (OK)].
щелкните [OK (OK)].13
Перезапустите аппарат.
Выключите аппарат и подождите как минимум 10 секунд, прежде чем включить его снова.
|
|
Использование панели управленияМожно также включить или отключить функцию передачи данных IPSec в <Меню (Menu)> на экране Главный (Home). <Использовать IPSec (Use IPSec)>
|