Процесс конфигурирования Настройки автообмена ключами шифрования

Иллюстрация процесса настройки параметров автоматического обмена ключами шифрования

Важно

  • Для использования сертификата аутентификации партнера по передаче в настройках автоматического обмена ключами шифрования необходимо установить сертификат устройства.

  • После настройки IPsec можно использовать команду "Ping" для контроля правильности соединения. Однако команду "Ping" нельзя использовать, если ICMP исключается из передачи IPsec на стороне компьютера. Кроме того, поскольку при первоначальном обмене ключами отклик происходит медленно, подтверждение установления соединения может занять некоторое время.

Указание настроек автообмена ключами шифрования

Чтобы изменить метод аутентификации партнера передачи для настроек автообмена ключом шифрования в "Сертификат", нужно сначала установить и назначить сертификат. Для получения сведений о создании и установке сертификата устройства см. Руководство Пользователя к устройству. Для получения подробных сведений о методах назначения установленных сертификатов IPsec см. Выбор сертификата для IPsec.

  1. Войдите в систему в качестве администратора сети из Web Image Monitor.
    Для получения сведений о входе в систему см. Руководство Пользователя к устройству.

  2. Наведите указатель мыши на [Управление устройством], а затем нажмите [Конфигурация].

  3. Нажмите [IPsec] в разделе "Безопасность".

  4. Нажмите [Правка] в разделе "Настройки автообмена ключами шифрования".

  5. Выполните настройки ключа шифрования с автоматическим обменом в [Настройки 1].
    Если требуется выполнить сразу несколько настроек, выберите количество настроек и добавьте настройки.

  6. Нажмите [ОК].

  7. Выберите [Активн.] для "IPsec" в "IPsec".

  8. Установите "Исключая соединение HTTPS" на [Активн.], если использовать IPsec для передачи HTTPS не требуется.

  9. Нажмите [ОК].

  10. Отобразится Обновление.... Подождите 1 или 2 минуты, а затем нажмите [ОК].
    Если после нажатия кнопки [ОК] предыдущий экран не отображается, подождите некоторое время, после чего нажмите кнопку обновления страницы в веб-браузере.

  11. Выйдите из системы.

В начало раздела

Выбор сертификата для IPsec

С помощью Web Image Monitor выберите сертификат, используемый для IPsec. Сертификат необходимо установить до начала его использования. Для получения сведений о создании и установке сертификата устройства см. Руководство Пользователя к устройству.

  1. Войдите в систему в качестве администратора сети из Web Image Monitor.
    Для получения сведений о входе в систему см. Руководство Пользователя к устройству.

  2. Наведите указатель мыши на [Управление устройством], а затем нажмите [Конфигурация].

  3. Нажмите [Сертификат устройства] в разделе "Безопасность".

  4. Выберите сертификат, который будет использоваться для IPsec, из раскрывающегося списка в "IPsec" в разделе "Сертификация".

  5. Нажмите [ОК].
    Сертификат для IPsec задан.

  6. Отобразится Обновление.... Подождите 1 или 2 минуты, а затем нажмите [ОК].
    Если после нажатия кнопки [ОК] предыдущий экран не отображается, подождите некоторое время, после чего нажмите кнопку обновления страницы в веб-браузере.

  7. Выйдите из системы.

В начало раздела

Укажите параметры IPsec компьютера.

Настройте параметры SA IPsec компьютера таким образом, чтобы они в точности совпадали с уровнем безопасности аппарата. Метод настройки зависит от операционной системы компьютера. Приведенная ниже процедура выбора уровня безопасности при заданном параметре "Аутентификация и шифрование коротким ключом" разработана на базе ОС Windows 10.

  1. Нажмите кнопку [Пуск], затем [Система Windows] - [Панель управления] - [Система и безопасность] - [Брандмауэр Windows Defender].

  2. Нажмите [Расширенные настройки] - [Свойства] и выберите вкладку [Настройки IPsec].

  3. Выберите [Да] в блоке [Исключения IPsec], а затем нажмите [Настроить] в блоке [IPsec по умолчанию].

  4. Выберите [Дополнительно] в блоке [Обмен ключами (основной режим)], а затем нажмите [Настроить].

  5. Нажмите [Добавить] в разделе [Методы безопасности], чтобы добавить новый метод безопасности.
    Выберите [SHA-1] для параметра [Алгоритм целостности], [3DES] для параметра [Алгоритм шифрования], [Группа Диффи-Хеллмана 14] для параметра [Алгоритм обмена ключами].

  6. В поле [Минуты] установите значение [300] в блоке [Срок действия ключа] и установите флажок [Использовать протокол Диффи-Хеллмана для повышения безопасности.] в блоке [Параметры обмена ключами], а затем нажмите [ОК].

  7. Выберите [Дополнительно] в блоке [Защита данных (основной режим)], а затем нажмите [Настроить].

  8. Установите флажок [Требовать шифрование для всех правил безопасности соединения, использующих эти настройки].

  9. Нажмите [Добавить] в блоке [Целостность и шифрование данных], чтобы добавить новую настройку.
    Выберите [ESP] для параметра [Протокол], [3DES] для параметра [Алгоритм шифрования], [SHA-1] для параметра [Алгоритм целостности] и в поле [Срок действия ключа] установите значение "5 (минут)/100 000 (КБ)".
    Если комбинация [ESP], [3DES] и [SHA-1] уже зарегистрирована, создать новую настройку невозможно. В этом случае выберите зарегистрированную настройку, нажмите [Изменить] и измените значение в поле [Срок действия ключа].

  10. Нажмите [OK].

  11. Выберите [Дополнительно] в блоке[Метод аутентификации], а затем нажмите [Настроить].

  12. Нажмите [Добавить] в блоке [Методы первой аутентификации], чтобы добавить новый метод аутентификации.
    Выберите [Предопределенный ключ] в качестве типа учетных данных и введите ключ.

  13. Трижды нажмите [OK].

  14. На экране [Брандмауэр Windows Defender с расширенной безопасностью] нажмите правой кнопкой мыши пункт [Правила безопасности подключения] и нажмите [Новое правило].
    Откроется [Мастер создания нового правила безопасности подключения].

  15. Выберите [Пользовательский] и дважды нажмите [Далее].

  16. Выберите [Запрашивать аутентификацию для входящих и исходящих соединений] и нажмите [Далее].

  17. Выберите [По умолчанию] и нажмите [Далее].

  18. Выберите [Любой] или [TCP] в блоке [Тип протокола] и нажмите [Далее].
    Если выбрано [TCP], при необходимости укажите порт конечной точки.

  19. Убедитесь, что установлен флажок [Домен], и нажмите [Далее].

  20. В поле [Имя] введите необходимое имя, при необходимости заполните поле [Описание] и нажмите [Завершить].

  21. Правой кнопкой мыши нажмите на созданное правило и выберите [Свойства].

  22. На вкладке [Удаленные компьютеры] выберите [Эти IP-адреса] для параметра [Конечная точка 1] и [Конечная точка 2] и нажмите [Добавить], чтобы задать IP-адреса.
    Введите IP-адрес компьютера в поле [Конечная точка 1] и IP-адрес устройства в поле [Конечная точка 2].

  23. На вкладке [Аутентификация] выберите [Входящие и исходящие запросы] в блоке [Режим аутентификации] и нажмите [ОК].
    Чтобы включить Perfect Forward Secrecy (PFS), перейдите к шагу 24.
    Если PFS не будет использоваться, перейдите к шагу 27.

  24. Нажмите кнопку [Пуск], а затем [Windows PowerShell] - [Windows PowerShell].

  25. Введите "Get-NetIPsecQuickModeCryptoSet" и нажмите [Enter].

  26. Введите "Set-NetIPsecQuickModeCryptoSet" и нажмите [Enter], чтобы задать параметры "Name" и "PerfectForwardSecrecyGroup".
    В поле "Имя" введите значение имени, отображаемого командой "Get-NetIPsecQuickModeCryptoSet".
    Для параметра "PerfectForwardSecrecyGroup" укажите "none/DH1/DH2/DH14".

  27. На экране [Брандмауэр Windows Defender с расширенной безопасностью] нажмите правой кнопкой мыши на пункт [Правила безопасности подключения] и нажмите [Новое правило].
    Настройки IPsec на компьютере будут активированы.

В начало раздела

x

QR Code