Руководство ПользователяM C2000

Передача с помощью IPsec

Для обеспечения безопасного соединения в данном аппарате используется протокол IPsec. В случае применения этого протокола IPsec осуществляет шифрование пакетов данных на сетевом уровне с помощью технологии шифрования общим ключом. В аппарате используется обмен ключами шифрования для создания общего ключа для отправителя и получателя. Для достижения большей безопасности можно обновлять общий ключ после окончания периода действия.

Важно

  • IPsec не применяется к данным, полученным через DHCP или DNS.

  • Операционные системы, совместимые с IPsec: Windows 7 и выше, Windows Server 2012 и выше, macOS 10.13 и выше, Red Hat Enterprise Linux 6.8, 6.9, 6.10, 7.4, 7.5 и 7.6. Однако в зависимости от операционной системы некоторые элементы настроек могут не поддерживаться. Убедитесь в совместимости указанных настроек IPsec с настройками IPsec операционной системы.

  • Если невозможно получить доступ к приложению Web Image Monitor из-за проблем с конфигурацией IPsec, отключите IPsec в меню [Инструм.админ.] на панели управления, а затем запустите приложение Web Image Monitor.

Примечание

Шифрование и аутентификация в IPsec

IPsec состоит из двух основных функций: функция шифрования, которая обеспечивает защиту данных, и функция аутентификации, которая выполняет проверку отправителя и целостность данных. Функция IPsec этого аппарата поддерживает два протокола защиты: протокол ESP, включающий одновременно обе функции IPsec, и протокол AH, включающий только функцию аутентификации.

ESP-протокол

Протокол ESP обеспечивает безопасную передачу посредством шифрования и аутентификации. Этот протокол не обеспечивает выполнение аутентификации заголовка.

  • Для успешного шифрования как отправитель, так и получатель должны задать один и тот же алгоритм и ключ шифрования. Алгоритм шифрования и ключ шифрования задаются автоматически.

  • Для успешной аутентификации отправитель и получатель должны задать один и тот же алгоритм и ключ аутентификации. Алгоритм аутентификации и ключ аутентификации задаются автоматически.

AH-протокол

Протокол AH обеспечивает безопасную передачу посредством только аутентификации пакетов, включая заголовки.

  • Для успешной аутентификации отправитель и получатель должны задать один и тот же алгоритм и ключ аутентификации. Алгоритм аутентификации и ключ аутентификации задаются автоматически.

AH-протокол и ESP протокол

При совместном использовании протоколы ESP и AH обеспечивают безопасную передачу посредством шифрования и аутентификации. Эти протоколы обеспечивают аутентификацию заголовка.

  • Для успешного шифрования как отправитель, так и получатель должны задать один и тот же алгоритм и ключ шифрования. Алгоритм шифрования и ключ шифрования задаются автоматически.

  • Для успешной аутентификации отправитель и получатель должны задать один и тот же алгоритм и ключ аутентификации. Алгоритм аутентификации и ключ аутентификации задаются автоматически.

Примечание

  • В некоторых операционных системах вместо "Аутентификация" используется термин "Совместимость".

Сопоставление безопасности

В качестве способа настройки ключа на этом аппарате используется обмен ключом шифрования. При этом методе такие соглашения, как алгоритм IPsec и ключ, должны указываться как для отправителя, так и получателя. Такие соглашения образуют то, что известно как SA (Сопоставление безопасности). Соединение IPsec возможно только в том случае, если настройки SA получателя и отправителя идентичны.

Параметры SA настраиваются автоматически на аппаратах обеих сторон. Однако, прежде чем станет возможно установление сопоставления безопасности IPsec SA, должна произойти автоматическая настройка параметра ISAKMP SA (Фаза 1). После этого автоматически настраиваются параметры IPsec SA (Фаза 2), разрешающие фактическую передачу по протоколу IPsec.

Кроме того, для дополнительной безопасности SA может периодически автоматически обновляться в соответствии с периодом действия (временные ограничения) для этих настроек. Этот аппарат поддерживает только IKEv1 для обмена ключом шифрования.

В SA можно настроить различные параметры.

Параметры 1-10

Можно настроить десять отдельных комплектов данных SA (например, различные общие ключи и алгоритмы IPsec).

Поиск политик IPsec осуществляется поочередно, начиная с [№ 1].

Процедура настройки параметров обмена ключами шифрования

В этом разделе описана процедура настройки параметров обмена ключами шифрования.

Аппарат

ПК

1. Задайте настройки IPsec в приложении Web Image Monitor.

1. Задайте на ПК те же настройки для IPsec, что и на аппарате.

2. Включите настройки IPsec.

2. Включите настройки IPsec.

3. Подтвердите передачу по IPsec.

Примечание

  • После настройки IPsec можно использовать команду "ping" для проверки правильности соединения. Кроме того, поскольку при первоначальном обмене ключами ответ приходит медленно, подтверждение установления соединения может занять некоторое время.

  • Если невозможно получить доступ к приложению Web Image Monitor из-за проблем с конфигурацией IPsec, отключите IPsec в меню [Инструм.админ.] на панели управления, а затем запустите приложение Web Image Monitor.

  • Для получения дополнительной информации об отключении IPsec с панели управления см. Инструменты администратора.

Задание параметров обмена ключом шифрования

Важно

  • Доступ к этой функции возможен только после ввода пароля администратора.

1Запустите веб-браузер.

2Введите в адресной строке веб-браузера "http://(IP-адрес апарата или имя узла)/".

Откроется главная страница Web Image Monitor.

3Нажмите [Настройки IPsec].

4Откройте вкладку [Список IPsec политик].

5Введите в списке номер настройки, которую необходимо изменить.

6Введите пароль администратора и нажмите кнопку [Изменить].

7При необходимости измените параметры IPsec.

8Введите пароль администратора и нажмите [Применить].

9Откройте вкладку [Глобальные настройки IPsec] и выберите значение [Активный] в блоке [Функция IPsec].

10При необходимости также задайте параметры [Политика по умолчанию], [Искл. груп.и ширковещат.передачу] и [В обход AII ICMP].

11Введите пароль администратора и нажмите [Применить].

Примечание

  • Пароль администратора можно указать на вкладке [Администратор].

Настройка параметров IPsec на компьютере

Задайте точно такие же настройки IPsec SA на компьютере, как и те, которые заданы для параметров IPsec на аппарате. Метод настройки зависит от операционной системы компьютера. Процедура, описанная ниже, основана на ОС Windows 10 в среде IPv4.

1В меню [Пуск] выберите пункт [Панель управления], затем категорию [Система и безопасность] и пункт [Администрирование].

2Дважды нажмите [Локальная политика безопасности], а затем [Политики безопасности IP на локальном компьютере].

3В меню "Действия" нажмите [Создать политику безопасности IP…].

Появляется проводник политики безопасности IP.

4Нажмите [Далее].

5В поле "Имя" введите имя политики безопасности, а затем нажмите [Далее].

6Снимите метку с окошечка "Использовать правило по умолчанию", а затем нажмите [Далее].

7Выберите "Изменить свойства", а затем нажмите [Готово].

8Во вкладке "Общие" нажмите кнопку [Параметры...].

9В окне "Проверять подлинность и создавать новый ключ через каждые" введите тот же срок действия (в минутах), который был указан для аппарата в параметре [Время жизни IKE], затем нажмите кнопку [Методы].

10Убедитесь, что параметры алгоритма шифрования ("Шифрование"), алгоритма хеширования ("Целостность") и группы Диффи-Хеллмана для IKE ("Группа Диффе-Хеллмана") в разделе "Упорядочение методов безопасности по предпочтению" совпадают с установленными на принтере в пункте [Настройки IKE].

Если настройки не отображаются, нажмите [Добавить…].

11Дважды нажмите [OK].

12Нажмите [Добавить…] во вкладке "Правила".

Появляется проводник правил безопасности.

13Нажмите [Далее].

14Выберите "Это правило не указывает туннель" и нажмите [Далее].

15Выберите тип сети для IPsec и нажмите [Далее].

16Нажмите [Добавить...] в списке фильтров IP.

17В поле [Имя] введите имя фильтра IP и нажмите [Добавить...].

Появляется проводник фильтра IP.

18Нажмите [Далее].

19В поле [Описание:] введите имя или детальное объяснение фильтра IP и нажмите [Далее].

Для продолжения можно нажать [Далее], чтобы перейти к следующему шагу без ввода информации в это поле.

20Выберите "Мой IP-адрес" в поле "Адрес источника" и нажмите [Далее].

21Выберите значение "Определенный IP-адрес или подсеть" для параметра "Адрес назначения", введите IP-адрес устройства, а затем нажмите [Далее].

22Для типа протокола IPsec выберите "Any" (Любой) и нажмите [Далее].

23Нажмите [Готово], а затем [OK].

24Выберите фильтр IP, который был только что создан, и нажмите [Далее].

25Нажмите [Добавить…] в действии фильтра.

Откроется мастер действия фильтра.

26Нажмите [Далее].

27В поле [Имя] введите имя действия фильтра и нажмите [Далее].

28Выберите вариант "Согласовать безопасность" и нажмите [Далее].

29Выберите один из вариантов для компьютеров, с которыми разрешена связь, и нажмите [Далее].

30Выберите "Особый" и нажмите [Настройки...].

31Если в блоке [Протокол безопасности] для параметра [Настройки IPsec] выбрано значение [ESP], выберите вариант [Целостность данных с шифрованием (ESP)] и настройте следующие параметры:

Установите такое же значение параметра [Алгоритм проверки целостности], как и для параметра [Алгоритм аутентификации для ESP], заданного на аппарате.

Установите такое же значение параметра [Алгоритм шифрования], как и для параметра [Алгоритм шифрования для ESP], заданного на аппарате.

32Если в блоке [Протокол безопасности] для параметра [Настройки IPsec] выбрано значение [AH], выберите вариант [Целостность данных и адресов без шифрования (AH)] и настройте следующие параметры:

Установите такое же значение параметра [Алгоритм проверки целостности], как и для параметра [Алгоритм аутентификации для AH], заданного на аппарате.

Уберите отметку в поле [Целостность данных с шифрованием (ESP)].

33Если в блоке [Протокол безопасности] для параметра [Настройки IPsec] выбрано значение [ESP и AH], выберите вариант [Целостность данных и адресов без шифрования (AH)] и настройте следующие параметры:

В блоке [Целостность данных и адресов без шифрования (AH)] установите такое же значение параметра [Алгоритм проверки целостности], как и для параметра [Алгоритм аутентификации для AH], заданного на аппарате.

В блоке [Целостность данных с шифрованием (ESP)] установите такое же значение параметра [Алгоритм шифрования], как и для параметра [Алгоритм шифрования для ESP], заданного на аппарате.

34В параметрах ключей сеанса выберите вариант "Смена ключа каждые:" и введите такое же время жизни (в [секундах] или [килобайтах]), которое задано для параметра [Время жизни] на аппарате.

35Нажмите кнопку [ОК], затем [Далее].

36Нажмите [Готово] (Finish).

При использовании IPv6 необходимо повторить эту процедуру с шага 12 и указать ICMPv6 в качестве исключения. Дойдя до шага 22, выберите [58] в качестве номера протокола для типа целевого протокола "Other" (другой), а затем для параметра [Согласовать безопасность] выберите значение [Разрешить].

37Выберите действие фильтра, который был только что создан, и нажмите [Далее].

38Выберите один из вариантов для метода аутентификации и нажмите [Далее].

39Нажмите [Готово], а затем дважды [OK].

Новая политика безопасности IP (настройки IPsec) задана.

40Нажмите [Политика безопасности IP на локальном компьютере].

41Выберите политику безопасности, которая была только что создана, нажмите по ней правой кнопкой мыши и нажмите [Назначить].

Настройки IPsec на компьютере включены.

Примечание

  • Для выключения настроек IPsec компьютера выберите политику безопасности, нажмите правой кнопкой мыши, а затем нажмите [Снять].

Включение и отключение протокола IPsec с панели управления

Важно

  • Доступ к этой функции возможен только после ввода пароля администратора.

1Нажмите значок [Настр.] () в окне [Начальный экран].

2Нажмите [Инструм.админ.].

3Если предложено указать пароль, введите пароль с помощью цифровых клавиш и нажмите [OK].

4Нажмите [IPsec].

5Нажмите [Активн.] или [Неактивн.].

Примечание

  • Пароль доступа к меню [Инструм.админ.] можно указать с помощью параметра [Блокир. инстр.адм.]. Для получения подробных сведений о пункте меню [Блокир.инстр.админ.] см. Инструменты администратора.

  • Чтобы вернуться к предыдущему уровню дерева меню, нажмите [Выход].