Konfigurere IPSec-innstillinger
Internet Protocol Security (IPSec eller IPsec) er en protokollpakke for å kryptere data som transporteres over et nettverk, inkludert Internett-nettverk. Mens SSL bare krypterer data som brukes i et spesifikt program, for eksempel en nettleser eller et e-postprogram, krypterer IPSec hele IP-pakker eller lastinger med IP-pakker, noe som gir et mer allsidig sikkerhetssystem. IPSec i maskinen virker i transportmodus, der lastingene med IP-pakker er kryptert. Med denne funksjonen kan maskinen kobles direkte til en datamaskin som er i det samme virtuelle private nettverket (VPN). Kontroller systemkravene, og angi den nødvendige konfigurasjonen på datamaskinen før du konfigurerer maskinen.
Systemkrav
IPSec som støttes på maskinen, overholder RFC2401, RFC2402, RFC2406 og RFC4305.
|
Operativsystem
|
Windows Vista / 7 / 8 / Server 2003 / Server 2008 / Server 2012
|
|
|
Tilkoblingsmodus
|
Transportmodus
|
|
|
Nøkkelutvekslingsprotokoll
|
IKEv1 (hovedmodus)
|
|
|
Godkjenningsmetode
|
Nøkkel delt på forhånd
Digital signatur
|
|
|
Hash-algoritme
(og nøkkellengde) |
HMAC-SHA1-96
HMAC-SHA2 (256 biter eller 384 biter)
|
|
|
Krypteringsalgoritme
(og nøkkellengde) |
3DES-CBC
AES-CBC (128 biter, 192 biter eller 256 biter)
|
|
|
Nøkkelutvekslingsalgoritme/-gruppe (og nøkkellengde)
|
Diffie-Hellman (DH)
Gruppe 1 (768 biter)
Gruppe 2 (1024 biter)
Gruppe 14 (2048 biter)
|
|
|
ESP
|
Hash-algoritme
|
HMAC-SHA1-96
|
|
Krypteringsalgoritme
(og nøkkellengde) |
3DES-CBC
AES-CBC (128 biter, 192 biter eller 256 biter)
|
|
|
Hash-algoritme/krypteringsalgoritme (og nøkkellengde)
|
AES-GCM (128 biter, 192 biter eller 256 biter)
|
|
|
AH
|
Hash-algoritme
|
HMAC-SHA1-96
|
 |
Funksjonelle begrensninger for IPsecIPsec støtter kommunikasjon til en unikastadresse (eller én enkelt enhet).
Maskinen kan ikke bruke både IPsec og DHCPv6 samtidig.
IPsec er utilgjengelig i nettverk der NAT- eller IP-maskering er implementert.
Bruke IPsec med IP-adressefilterInnstillinger for IP-adressefilter brukes før IPsec-policyene.Angi regler for IP-adresser for brannmurer
|
Konfigurere IPSec-innstillinger
Før du kan bruke IPSec til kryptert informasjon, må du registrere sikkerhetspolicyer. En sikkerhetspolicy består av gruppene med innstillinger beskrevet nedenfor. Opptil 10 policyer kan registreres. Når du har registrert policyene, må du angi i hvilken rekkefølge de skal brukes.
Velger
Velgeren definerer betingelser for IP-pakker som skal brukes ved IPSec-kommunikasjon. Betingelsene som kan velges, inkluderer IP-adresser og portnumre for maskinen og hvilke enheter det skal kommuniseres med.
IKE
IKE konfigurerer IKEv1 som brukes til nøkkelutvekslingsprotokollen. Legg merke til at instruksjonene kan variere, alt etter hvilken godkjenningsmetode som er valgt.
[Forhåndsdelt nøkkelmetode]
En nøkkel på opptil 24 alfanumeriske tegn kan deles med de andre enhetene. Aktiver SSL for Fjernkontroll før du angir denne godkjenningsmetoden (Aktivere SSL-kryptert kommunikasjon for Fjernkontroll).
En nøkkel på opptil 24 alfanumeriske tegn kan deles med de andre enhetene. Aktiver SSL for Fjernkontroll før du angir denne godkjenningsmetoden (Aktivere SSL-kryptert kommunikasjon for Fjernkontroll).
[Digital signaturmetode]
Maskinen og de andre enhetene godkjenner hverandre ved en felles verifisering av de digitale signaturene. Generer eller installer nøkkelparet på forhånd (Konfigurere innstillinger for nøkkelpar og digitale sertifikater).
Maskinen og de andre enhetene godkjenner hverandre ved en felles verifisering av de digitale signaturene. Generer eller installer nøkkelparet på forhånd (Konfigurere innstillinger for nøkkelpar og digitale sertifikater).
AH/ESP
Angi innstillingene for AH/ESP, som leges til i pakker under IPSec-kommunikasjon. AH og ESP kan brukes samtidig. Du kan også velge om du vil aktivere PFS for økt sikkerhet.
1
Start Fjernkontroll, og logg på i systemstyrermodus. Starte Fjernkontroll
2
Klikk på [Innstillinger/lagring].
3
Klikk på [Sikkerhetsinnstillinger] 
[IPSec-innstillinger].
[IPSec-innstillinger].
4
Klikk på [Rediger].
5
Merk av for [Bruk IPSec], og klikk på [OK].
Hvis du vil at maskinen bare skal motta pakker som svarer til en av sikkerhetspolicyene du definerer i trinnene nedenfor, fjerner du merket for [Motta ikke-policypakker].
6
Klikk på [Lagre ny policy].
7
Angi policyinnstillingene.
|
1
|
Tast inn opptil 24 alfanumeriske tegn i tekstboksen [Policynavn] for et navn som skal brukes til å identifisere policyen.
|
|
2
|
Merk av for [Aktiver policy].
 |
8
Angi velgerinnstillingene.
[Lokal adresse]
Klikk alternativknappen for IP-adressetypen for maskinen for å aktivere policyen.
Klikk alternativknappen for IP-adressetypen for maskinen for å aktivere policyen.
|
[Alle IP-adresser]
|
Velg å bruke IPSec for alle IP-pakker.
|
|
[IPv4-adresse]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv4-adressen til maskinen.
|
|
[IPv6-adresse]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra en IPv6-adresse til maskinen.
|
[Ekstern adresse]
Klikk alternativknappen for IP-adressetypen for de andre enhetene for å aktivere policyen.
Klikk alternativknappen for IP-adressetypen for de andre enhetene for å aktivere policyen.
|
[Alle IP-adresser]
|
Velg å bruke IPSec for alle IP-pakker.
|
|
[Alle IPv4-adresser]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv4-adressene til de andre enhetene.
|
|
[Alle IPv6-adresser]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv6-adressene til de andre enhetene.
|
|
[IPv4 manuelle innstillinger]
|
Velg å angi én enkelt IPv4-adresse eller et område med IPv4-adresser for å bruke IPSec. Angi IPv4-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt].
|
|
[IPv6 manuelle innstillinger]
|
Velg å angi én enkelt IPv6-adresse eller et område med IPv6-adresser for å bruke IPSec. Angi IPv6-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt].
|
[Adresser som skal angis manuelt]
Hvis [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger] er valgt for [Ekstern adresse], angir du IP-adressen for å aktivere policyen. Du kan også angi et område med adresser ved å sette inn en bindestrek mellom adressene.
Hvis [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger] er valgt for [Ekstern adresse], angir du IP-adressen for å aktivere policyen. Du kan også angi et område med adresser ved å sette inn en bindestrek mellom adressene.
Angi IP-adresser
|
Beskrivelse
|
Eksempel
|
|
|
Angi én enkelt adresse
|
IPv4:
Skill tall med punktum. |
192.168.0.10
|
|
IPv6:
Skill alfanumeriske tegn med kolon. |
fe80::10
|
|
|
Angi et adresseområde
|
Sett inn en bindestrek mellom adressene.
|
192.168.0.10-192.168.0.20
|
[Subnettinnstillinger]
Når du angir IPv4-adresser manuelt, kan du uttrykke området ved hjelp av nettverksmasken. Angi nettverksmasken ved å bruke punktum til å skille tallene (eksempel: "255.255.255.240").
Når du angir IPv4-adresser manuelt, kan du uttrykke området ved hjelp av nettverksmasken. Angi nettverksmasken ved å bruke punktum til å skille tallene (eksempel: "255.255.255.240").
[Prefikslengde]
Ved å spesifisere IPv6-adresser manuelt kan du også bruke prefikslengden til å angi området. Angi et område fra 0 til 128 for prefikslengde.
Ved å spesifisere IPv6-adresser manuelt kan du også bruke prefikslengden til å angi området. Angi et område fra 0 til 128 for prefikslengde.
[Lokal port] / [Ekstern port]
Hvis du vil opprette separate policyer for hver protokoll, for eksempel HTTP eller SMTP, angir du det aktuelle portnummeret for protokollen for å finne ut om IPSec skal brukes.
Hvis du vil opprette separate policyer for hver protokoll, for eksempel HTTP eller SMTP, angir du det aktuelle portnummeret for protokollen for å finne ut om IPSec skal brukes.
IPsec brukes ikke for pakkene nedenfor
Tilbakekoblings-, multikast- og kringkastingspakker
IKE-pakker (bruker UDP på port 500)
ICMPv6-naboanmodningspakker og -naboannonseringspakker
9
Angi IKE-innstillingene.
[IKE-modus]
Modusen som brukes for nøkkelutvekslingsprotokollen, vises. Maskinen støtter hovedmodusen, og ikke den aggressive modusen.
Modusen som brukes for nøkkelutvekslingsprotokollen, vises. Maskinen støtter hovedmodusen, og ikke den aggressive modusen.
[Autentiseringsmetode]
Velg [Forhåndsdelt nøkkelmetode] eller [Digital signaturmetode] for metoden som skal brukes ved godkjenning av maskinen. Du må aktivere SSL for Fjernkontroll før du velger [Forhåndsdelt nøkkelmetode] (Aktivere SSL-kryptert kommunikasjon for Fjernkontroll). Du må generere eller installere et nøkkelpar før du velger [Digital signaturmetode] (Konfigurere innstillinger for nøkkelpar og digitale sertifikater).
Velg [Forhåndsdelt nøkkelmetode] eller [Digital signaturmetode] for metoden som skal brukes ved godkjenning av maskinen. Du må aktivere SSL for Fjernkontroll før du velger [Forhåndsdelt nøkkelmetode] (Aktivere SSL-kryptert kommunikasjon for Fjernkontroll). Du må generere eller installere et nøkkelpar før du velger [Digital signaturmetode] (Konfigurere innstillinger for nøkkelpar og digitale sertifikater).
[Gyldig for]
Angi hvor lenge en økt varer for IKE SA (ISAKMP SA). Angi tiden i minutter.
Angi hvor lenge en økt varer for IKE SA (ISAKMP SA). Angi tiden i minutter.
[Autentisering]/[Kryptering]/[DH-gruppe]
Velg en algoritme fra rullegardinlisten. Hver algoritme brukes i nøkkelutvekslingen.
Velg en algoritme fra rullegardinlisten. Hver algoritme brukes i nøkkelutvekslingen.
|
[Autentisering]
|
Velg hash-algoritmen.
|
|
[Kryptering]
|
Velg krypteringsalgoritmen.
|
|
[DH-gruppe]
|
Velg Diffie-Hellman-gruppen, som fastslår nøkkelstyrken.
|
Bruke en forhåndsdelt nøkkel til godkjenning
|
1
|
Klikk på alternativknappen [Forhåndsdelt nøkkelmetode] for [Autentiseringsmetode], og klikk deretter på [Delte tasteinnstillinger].
|
|
2
|
Tast inn opptil 24 alfanumeriske tegn for den forhåndsdelte nøkkelen, og klikk på [OK].
 |
|
3
|
Angi innstillingene [Gyldig for] og [Autentisering]/[Kryptering]/[DH-gruppe].
|
Bruke et nøkkelpar og forhåndsinstallerte CA-sertifikater for godkjenning
|
1
|
Klikk på alternativknappen [Digital signaturmetode] for [Autentiseringsmetode], og klikk deretter på [Nøkkel og sertifikat].
|
|
2
|
Klikk på [Lagre standardnøkkel] til høyre for nøkkelparet du vil bruke.
 Vise detaljer for et nøkkelpar eller sertifikat
Du kan kontrollere detaljene for sertifikatet eller verifisere sertifikatet ved å klikke på den tilhørende tekstkoblingen under [Nøkkelnavn] eller på sertifikatikonet. Verifisere nøkkelpar og digitale sertifikater
|
|
3
|
Angi innstillingene [Gyldig for] og [Autentisering]/[Kryptering]/[DH-gruppe].
|
10
Angi IPSec-nettverksinnstillingene.
[Bruk PFS]
Merk av i boksen for å aktivere PFS (Perfect Forward Secrecy) for IPSec-øktnøkler. Ved å aktivere PFS forbedres sikkerheten, men belastningen på kommunikasjonen øker. Sørg for at PFS også er aktivert for de andre enhetene.
Merk av i boksen for å aktivere PFS (Perfect Forward Secrecy) for IPSec-øktnøkler. Ved å aktivere PFS forbedres sikkerheten, men belastningen på kommunikasjonen øker. Sørg for at PFS også er aktivert for de andre enhetene.
[Angi etter tid]/[Angi etter størrelse]
Angi betingelsene for å avslutte en økt for IPSec SA. IPSec SA brukes som en kommunikasjonstunnel. Merk av i én av eller begge boksene etter behov. Hvis det er merket av i begge boksene, avsluttes IPSec SA-økten når én av betingelsene er oppfylt.
Angi betingelsene for å avslutte en økt for IPSec SA. IPSec SA brukes som en kommunikasjonstunnel. Merk av i én av eller begge boksene etter behov. Hvis det er merket av i begge boksene, avsluttes IPSec SA-økten når én av betingelsene er oppfylt.
|
[Angi etter tid]
|
Angi en tid i minutter for å angi hvor lenge en økt skal vare.
|
|
[Angi etter størrelse]
|
Angi en størrelse i megabyte for å angi hvor mye data som kan transporteres i en økt.
|
[Velg algoritme]
Merk av for [ESP], [ESP (AES-GCM)] eller [AH (SHA1)], alt etter IPSec-hodet og algoritmen som brukes. AES-GCM er en algoritme både for godkjenning og kryptering. Hvis [ESP] er valgt, kan du også velge algoritmer for godkjenning og kryptering fra rullegardinlistene [ESP-autentisering] og [ESP-kryptering].
Merk av for [ESP], [ESP (AES-GCM)] eller [AH (SHA1)], alt etter IPSec-hodet og algoritmen som brukes. AES-GCM er en algoritme både for godkjenning og kryptering. Hvis [ESP] er valgt, kan du også velge algoritmer for godkjenning og kryptering fra rullegardinlistene [ESP-autentisering] og [ESP-kryptering].
|
[ESP-autentisering]
|
Hvis du vil aktivere ESP-godkjenning, velger du [SHA1] for hash-algoritmen. Velg [Ikke bruk] hvis du vil deaktivere ESP-godkjenning.
|
|
[ESP-kryptering]
|
Velg krypteringsalgoritmen for ESP. Du kan velge [NULL] hvis du ikke vil angi algoritmen, eller du kan velge [Ikke bruk] hvis du vil deaktivere ESP-krypteringen.
|
[Tilkoblingsmodus]
Tilkoblingsmodusen for IPSec vises. Maskinen støtter transportmodus, der lastingene med IP-pakker er kryptert. Tunnelmodus, der hele IP-pakker (hoder og lastinger) er innkapslet, er ikke tilgjengelig.
Tilkoblingsmodusen for IPSec vises. Maskinen støtter transportmodus, der lastingene med IP-pakker er kryptert. Tunnelmodus, der hele IP-pakker (hoder og lastinger) er innkapslet, er ikke tilgjengelig.
11
Klikk på [OK].
Hvis du må registrere en ny sikkerhetspolicy, går du tilbake til trinn 6.
12
Arranger rekkefølgen for policyene som er oppført under [Lagrede IPSec-policyer].
Policyer brukes fra den øverste policyen til den nederste. Klikk på [Opp] eller [Ned] for å flytte en policy opp eller ned i rekkefølgen.
Redigere en policy
Klikk den tilsvarende tekstkoblingen under [Policynavn] for å redigere skjermbildet.
Slette en policy
Klikk på [Slett] til høyre for navnet på policyen du vil slette klikk på [OK].
klikk på [OK].13
Start maskinen på nytt.
Slå av maskinen og vent i minst 10 sekunder før du slår den på igjen.
|
|
Bruke betjeningspaneletDu kan også aktivere eller deaktivere IPSec-kommunikasjon fra <Meny> i <Hjem>-skjermbildet. Bruk IPSec
|