IPSec iestatījumu konfigurēšana
Interneta protokolu drošība (Internet Protocol Security) (IPSec vai IPsec) ir protokolu komplekts, kas paredzēts tīklā (arī interneta tīklos) pārsūtīto datu šifrēšanai. SSL šifrē tikai konkrētā lietojumprogrammā, piemēram, tīmekļa pārlūkprogrammā vai e-pasta lietojumprogrammā, izmantotos datus, taču IPSec šifrē vai nu visas IP paketes, vai IP pakešu vērtumus, sniedzot daudzpusīgāku drošības sistēmu. Iekārtas IPSec darbojas transportēšanas režīmā, un tajā tiek šifrēti IP pakešu vērtumi. Izmantojot šo funkciju, iekārta nevar tieši izveidot savienojumu ar datoru, kas atrodas tajā pašā virtuālajā privātajā tīklā (VPN). Pirms iekārtas konfigurēšanas pārbaudiet sistēmas prasības un datorā iestatiet nepieciešamo konfigurāciju.
Sistēmas prasības
Iekārtas atbalstītais IPSec atbilst RFC2401, RFC2402, RFC2406 un RFC4305.
|
Operētājsistēma
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Savienojuma režīms
|
Transportēšanas režīms
|
|
|
Atslēgu apmaiņas protokols
|
IKEv1 (galvenais režīms)
|
|
|
Autentifikācijas metode
|
Sākotnēji koplietojama atslēga
Ciparparaksts
|
|
|
Jaucējvērtības algoritms
(un atslēgas garums) |
HMAC-SHA1-96
HMAC-SHA2 (256 biti vai 384 biti)
|
|
|
Šifrēšanas algoritms
(un atslēgas garums) |
3DES-CBC
AES-CBC (128 biti, 192 biti vai 256 biti)
|
|
|
Atslēgu apmaiņas algoritms/grupa (un atslēgas garums)
|
Diffie-Hellman (DH)
1. grupa (768 biti)
2. grupa (1024 biti)
14. grupa (2048 biti)
|
|
|
ESP
|
Jaucējvērtības algoritms
|
HMAC-SHA1-96
|
|
Šifrēšanas algoritms
(un atslēgas garums) |
3DES-CBC
AES-CBC (128 biti, 192 biti vai 256 biti)
|
|
|
Jaucējvērtības algoritms/šifrēšanas algoritms (un atslēgas garums)
|
AES-GCM (128 biti, 192 biti vai 256 biti)
|
|
|
AH
|
Jaucējvērtības algoritms
|
HMAC-SHA1-96
|
 |
IPSec funkciju ierobežojumiIPSec atbalsta sakarus ar uniraides adresi (jeb vienu ierīci).
Iekārta vienlaikus nevar izmantot gan IPSec, gan DHCPv6.
IPSec nav pieejams tīklos, kuros ir ieviesta NAT vai IP maskarāde.
IPSec izmantošana ar IP adreses filtruIP adreses filtra iestatījumi tiek piemēroti pirms IPSec politikām.Ugunsmūra kārtulu IP adrešu norādīšana
|
IPSec iestatījumu konfigurēšana
Pirms IPSec lietošanas šifrētiem sakariem, ir jāreģistrē drošības politikas. Drošības politika sastāv no tālāk aprakstīto iestatījumu grupām. Var reģistrēt līdz 10 politikām. Pēc politiku reģistrēšanas norādiet to lietošanas secību.
Atlasītājs
Atlasītājs nosaka nosacījumus, kādos IP pakešdatos tiek lietoti IPSec sakari. Nosacījumi, kurus var izvēlēties, ietver iekārtas IP adreses un portu numurus, kā arī ierīces, ar kurām veidot sakarus.
IKE
IKE konfigurē IKEv1, ko izmanto atslēgu apmaiņas protokolam. Ņemiet vērā, ka norādījumi atšķiras atkarībā no izvēlētās autentifikācijas metodes.
[Pre-Shared Key Method]
Atslēgu, kuras garums ir līdz 24 burtciparu rakstzīmēm, var koplietot ar citām ierīcēm. Pirms šīs autentifikācijas metodes norādīšanas aktivizējiet utilītprogrammas Remote UI (Attālais lietotāja interfeiss) SSL (SSL šifrēto sakaru aktivizēšana utilītprogrammai Remote UI (Attālais lietotāja interfeiss)).
Atslēgu, kuras garums ir līdz 24 burtciparu rakstzīmēm, var koplietot ar citām ierīcēm. Pirms šīs autentifikācijas metodes norādīšanas aktivizējiet utilītprogrammas Remote UI (Attālais lietotāja interfeiss) SSL (SSL šifrēto sakaru aktivizēšana utilītprogrammai Remote UI (Attālais lietotāja interfeiss)).
[Digital Signature Method]
Iekārta un citas ierīces veic savstarpēju autentifikāciju, abpusēji pārbaudot ciparparakstus. Ģenerējiet vai instalējiet atslēgu pāri jau iepriekš (Atslēgu pāru un digitālo sertifikātu iestatījumu konfigurēšana).
Iekārta un citas ierīces veic savstarpēju autentifikāciju, abpusēji pārbaudot ciparparakstus. Ģenerējiet vai instalējiet atslēgu pāri jau iepriekš (Atslēgu pāru un digitālo sertifikātu iestatījumu konfigurēšana).
AH/ESP
Norādiet AH/ESP iestatījumus, kas tiek pievienoti pakešdatiem IPSec sakaru laikā. AH un ESP var lietot vienlaikus. Varat arī izvēlēties, vai papildus drošībai iespējot PFS.
1
Atveriet utilītprogrammu Remote UI (Attālais lietotāja interfeiss) un piesakieties sistēmas pārvaldnieka režīmā. Remote UI (Attālais lietotāja interfeiss) palaišana
2
Noklikšķiniet uz [Settings/Registration].
3
Noklikšķiniet uz [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Noklikšķiniet uz [Edit].
5
Atzīmējiet izvēles rūtiņu [Use IPSec] un noklikšķiniet uz [OK].
Ja vēlaties, lai iekārta saņemtu tikai tādas paketes, kas atbilst kādai no drošības politikām, kuras esat definējis tālāk esošajās darbībās, notīriet izvēles rūtiņu [Receive Non-Policy Packets].
6
Noklikšķiniet uz [Register New Policy].
7
Norādiet politikas iestatījumus.
|
1
|
Tekstlodziņā [Policy Name] kā politikas identificēšanas nosaukumu ievadiet maks. 24 burtciparu rakstzīmes.
|
|
2
|
Atzīmējiet izvēles rūtiņu [Enable Policy].
 |
8
Norādiet atlasītāja iestatījumus.
[Local Address]
Lai lietotu politiku, noklikšķiniet uz iekārtas IP adreses tipa radiopogas.
Lai lietotu politiku, noklikšķiniet uz iekārtas IP adreses tipa radiopogas.
|
[All IP Addresses]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem.
|
|
[IPv4 Address]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz iekārtas IPv4 adresi vai no tās.
|
|
[IPv6 Address]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz iekārtas IPv6 adresi vai no tās.
|
[Remote Address]
Lai lietotu politiku, noklikšķiniet uz citu ierīču IP adreses tipa radiopogas.
Lai lietotu politiku, noklikšķiniet uz citu ierīču IP adreses tipa radiopogas.
|
[All IP Addresses]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem.
|
|
[All IPv4 Addresses]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz citu ierīču IPv4 adresēm vai no tām.
|
|
[All IPv6 Addresses]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz citu ierīču IPv6 adresēm vai no tām.
|
|
[IPv4 Manual Settings]
|
Izvēlieties, lai norādītu vienu IPv4 adresi vai IPv4 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] ievadiet IPv4 adresi (vai diapazonu).
|
|
[IPv6 Manual Settings]
|
Izvēlieties, lai norādītu vienu IPv6 adresi vai IPv6 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] ievadiet IPv6 adresi (vai diapazonu).
|
[Addresses to Set Manually]
Ja sadaļā [Remote Address] ir izvēlēts [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi, lai lietotu politiku. Varat arī ievadīt adrešu diapazonu, atdalot tās ar defisi.
Ja sadaļā [Remote Address] ir izvēlēts [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi, lai lietotu politiku. Varat arī ievadīt adrešu diapazonu, atdalot tās ar defisi.
IP adrešu ievadīšana
|
Apraksts
|
Piemērs
|
|
|
Vienas adreses ievadīšana
|
IPv4:
Atdaliet ciparus ar punktiem. |
192.168.0.10
|
|
IPv6:
Atdaliet burtciparu rakstzīmes ar koliem. |
fe80::10
|
|
|
Adrešu diapazona norādīšana
|
Atdaliet adreses ar defisi.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Ja IPv4 adresi norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot periodus (piemērs:"255.255.255.240").
Ja IPv4 adresi norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot periodus (piemērs:"255.255.255.240").
[Prefix Length]
Norādot IPv6 adrešu diapazonu manuāli, šo diapazonu varat arī norādīt, izmantojot prefiksus. Kā prefiksa garumu ievadiet diapazonu no 0 līdz 128.
Norādot IPv6 adrešu diapazonu manuāli, šo diapazonu varat arī norādīt, izmantojot prefiksus. Kā prefiksa garumu ievadiet diapazonu no 0 līdz 128.
[Local Port]/[Remote Port]
Ja katram protokolam, piemēram, HTTP vai SMTP, vēlaties izveidot atsevišķas politikas, ievadiet attiecīgo protokola porta numuru, lai norādītu, vai jāizmanto IPSec.
Ja katram protokolam, piemēram, HTTP vai SMTP, vēlaties izveidot atsevišķas politikas, ievadiet attiecīgo protokola porta numuru, lai norādītu, vai jāizmanto IPSec.
IPSec nav piemērots tālāk minētajām paketēm
Atgriezeniskās cilpas, multiraides un apraides paketes
IKE paketes (kas portā 500 izmanto UDP)
ICMPv6 kaimiņa darbības un kaimiņa paziņojuma paketes
9
Norādiet IKE iestatījumus.
[IKE Mode]
Tiek parādīts atslēgu apmaiņas protokolam izmantotais režīms. Iekārta atbalsta galveno režīmu, nevis aktīvo režīmu.
Tiek parādīts atslēgu apmaiņas protokolam izmantotais režīms. Iekārta atbalsta galveno režīmu, nevis aktīvo režīmu.
[Authentication Method]
Metodei, kas tiek izmantota iekārtas autentifikācijai, izvēlieties [Pre-Shared Key Method] vai [Digital Signature Method]. Pirms izvēlēties iestatījumu [Pre-Shared Key Method], iespējojiet Remote UI (Attālais lietotāja interfeiss) SSL (SSL šifrēto sakaru aktivizēšana utilītprogrammai Remote UI (Attālais lietotāja interfeiss)). Pirms [Digital Signature Method] (Atslēgu pāru un digitālo sertifikātu iestatījumu konfigurēšana) izvēles ir jāģenerē vai jāinstalē atslēgu pāris.
Metodei, kas tiek izmantota iekārtas autentifikācijai, izvēlieties [Pre-Shared Key Method] vai [Digital Signature Method]. Pirms izvēlēties iestatījumu [Pre-Shared Key Method], iespējojiet Remote UI (Attālais lietotāja interfeiss) SSL (SSL šifrēto sakaru aktivizēšana utilītprogrammai Remote UI (Attālais lietotāja interfeiss)). Pirms [Digital Signature Method] (Atslēgu pāru un digitālo sertifikātu iestatījumu konfigurēšana) izvēles ir jāģenerē vai jāinstalē atslēgu pāris.
[Valid for]
Norādiet, cik ilga ir IKE SA (ISAKMP SA) sesija. Ievadiet laiku minūtēs.
Norādiet, cik ilga ir IKE SA (ISAKMP SA) sesija. Ievadiet laiku minūtēs.
[Authentication]/[Encryption]/[DH Group]
Nolaižamajā sarakstā izvēlieties algoritmu. Katrs algoritms tiek izmantots atslēgu apmaiņai.
Nolaižamajā sarakstā izvēlieties algoritmu. Katrs algoritms tiek izmantots atslēgu apmaiņai.
|
[Authentication]
|
Izvēlieties jaucējalgoritmu.
|
|
[Encryption]
|
Izvēlieties šifrēšanas algoritmu.
|
|
[DH Group]
|
Izvēlieties grupu Diffie-Hellman, kas nosaka atslēgas stiprumu.
|
Sākotnēji kopīgotas atslēgas izmantošana autentifikācijai
|
1
|
Noklikšķiniet uz radiopogas [Pre-Shared Key Method], kas paredzēta [Authentication Method], un pēc tam noklikšķiniet uz [Shared Key Settings].
|
|
2
|
Kā sākotnēji kopīgotu atslēgu ievadiet maks. 24 burtciparus un noklikšķiniet uz [OK].
 |
|
3
|
Norādiet iestatījumus [Valid for] un [Authentication]/[Encryption]/[DH Group].
|
Atslēgu pāra un iepriekš instalētu CA sertifikātu izmantošana autentifikācijai
|
1
|
Noklikšķiniet uz radiopogas [Digital Signature Method], kas paredzēta [Authentication Method], un pēc tam noklikšķiniet uz [Key and Certificate].
|
|
2
|
Noklikšķiniet uz [Register Default Key], kas atrodas pa labi no atslēgu pāra, ko vēlaties izmantot.
 Atslēgu pāra vai sertifikāta detalizētas informācijas skatīšana
Varat skatīt detalizētu informāciju par sertifikātu vai pārbaudīt to, sadaļā [Key Name] noklikšķinot uz atbilstošās teksta saites vai sertifikāta ikonas. Atslēgu pāru un digitālo sertifikātu pārbaudīšana
|
|
3
|
Norādiet iestatījumus [Valid for] un [Authentication]/[Encryption]/[DH Group].
|
10
Norādiet IPSec tīkla iestatījumus.
[Use PFS]
Atzīmējiet izvēles rūtiņu, lai aktivizētu IPSec sesiju taustiņu standartu Perfect Forward Secrecy (PFS). Aktivizējot PFS, tiek uzlabota drošība, bet arī palielināta sakaru slodze. Pārbaudiet, vai PFS ir aktivizēts arī citām ierīcēm.
Atzīmējiet izvēles rūtiņu, lai aktivizētu IPSec sesiju taustiņu standartu Perfect Forward Secrecy (PFS). Aktivizējot PFS, tiek uzlabota drošība, bet arī palielināta sakaru slodze. Pārbaudiet, vai PFS ir aktivizēts arī citām ierīcēm.
[Specify by Time]/[Specify by Size]
Iestatiet IPSec SA sesijas pārtraukšanas nosacījumus. IPSec SA tiek izmantots kā sakaru tunelis. Pēc nepieciešamības atzīmējiet vienu vai abas izvēles rūtiņas. Ja ir atzīmētas abas izvēles rūtiņas, IPSec SA sesija tiek pārtraukta, kad notiek jebkurš no nosacījumiem.
Iestatiet IPSec SA sesijas pārtraukšanas nosacījumus. IPSec SA tiek izmantots kā sakaru tunelis. Pēc nepieciešamības atzīmējiet vienu vai abas izvēles rūtiņas. Ja ir atzīmētas abas izvēles rūtiņas, IPSec SA sesija tiek pārtraukta, kad notiek jebkurš no nosacījumiem.
|
[Specify by Time]
|
Ievadiet laiku minūtēs, lai norādītu sesijas ilgumu.
|
|
[Specify by Size]
|
Ievadiet lielumu megabaitos, lai norādītu, cik datu drīkst transportēt sesijā.
|
[Select Algorithm]
Atzīmējiet izvēles rūtiņu(as) [ESP], [ESP (AES-GCM)] vai [AH (SHA1)] atkarībā no IPSec galvenes un izmantotā algoritma. AES-GCM ir algoritms, kas paredzēts gan autentifikācijai, gan šifrēšanai. Ja ir izvēlēts [ESP], arī nolaižamajā sarakstā [ESP Authentication] un [ESP Encryption] izvēlieties autentifikācijas un šifrēšanas algoritmus.
Atzīmējiet izvēles rūtiņu(as) [ESP], [ESP (AES-GCM)] vai [AH (SHA1)] atkarībā no IPSec galvenes un izmantotā algoritma. AES-GCM ir algoritms, kas paredzēts gan autentifikācijai, gan šifrēšanai. Ja ir izvēlēts [ESP], arī nolaižamajā sarakstā [ESP Authentication] un [ESP Encryption] izvēlieties autentifikācijas un šifrēšanas algoritmus.
|
[ESP Authentication]
|
Lai aktivizētu ESP autentifikāciju, izvēlieties jaucējvērtības algoritma iestatījumu [SHA1]. Izvēlieties [Do Not Use], ja vēlaties deaktivizēt ESP autentifikāciju.
|
|
[ESP Encryption]
|
Izvēlieties ESP šifrēšanas algoritmu. Varat izvēlēties [NULL], ja nevēlaties norādīt algoritmu, vai izvēlieties [Do Not Use], ja vēlaties atspējot ESP šifrēšanu.
|
[Connection Mode]
Tiek parādīts IPSec savienojuma režīms. Iekārta atbalsta transportēšanas režīmu, kurā tiek šifrēti IP pakešdatu vērtējumi. Tuneļa režīms, kurā kapsulā tiek ievietoti visi IP pakešdati (galvenes un vērtējumi), nav pieejams.
Tiek parādīts IPSec savienojuma režīms. Iekārta atbalsta transportēšanas režīmu, kurā tiek šifrēti IP pakešdatu vērtējumi. Tuneļa režīms, kurā kapsulā tiek ievietoti visi IP pakešdati (galvenes un vērtējumi), nav pieejams.
11
Noklikšķiniet uz [OK].
Ja jāreģistrē papildu drošības politika, atgriezieties 6. darbībā.
12
Sadaļā [Registered IPSec Policies] kārtojiet politiku secību.
Politikas tiek lietotas, sākot no tās, kas atrodas visaugstāk, uz leju. Noklikšķiniet uz [Up] vai [Down], lai politiku pārvietotu uz augšu vai uz leju.
Politikas rediģēšana
Noklikšķiniet uz atbilstošās teksta saites zem vienuma [Policy Name], lai atvērtu rediģēšanas ekrānu.
Politikas dzēšana
Noklikšķiniet uz [Delete], kas atrodas pa labi no dzēšamā politikas nosaukuma Noklikšķiniet uz [OK].
Noklikšķiniet uz [OK].13
Restartējiet iekārtu.
Izslēdziet iekārtu, pagaidiet vismaz 10 sekundes un iekārtu atkal ieslēdziet.
|
|
Darbības paneļa izmantošanaIPSec sakarus varat iespējot vai atspējot arī sadaļā <Izvēlne>, kas atrodas ekrānā <Sākums>. Lietot IPSec
|