Konfigurieren von IPSec-Einstellungen

Internet Protocol Security (IPSec oder IPsec) ist eine Protokollsuite für die Verschlüsselung der über Netzwerke und Internet-Netzwerke übermittelten Daten. Während TLS nur Daten verschlüsselt, die in einer bestimmten Anwendung wie einem Webbrowser oder einer E-Mail-Anwendung verwendet werden, verschlüsselt IPSec ganze IP-Pakete oder die Nutzdaten von IP-Paketen und stellt somit ein flexibleres Sicherheitssystem bereit. Das IPSec-Protokoll des Geräts funktioniert im Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Dank dieser Funktion kann das Gerät direkt mit einem Computer in demselben VPN (Virtuelles Privates Netzwerk) verbunden werden. Prüfen Sie die Systemanforderungen, und legen Sie am Computer die erforderlichen Einstellungen fest, bevor Sie das Gerät konfigurieren.
Systemanforderungen
HINWEIS
Funktionseinschränkungen bei IPSec
IPSec unterstützt die Kommunikation mit einer Unicast-Adresse bzw. einem einzigen Gerät.
Das Gerät kann nicht gleichzeitig IPSec und DHCPv6 verwenden.
IPSec steht in Netzwerken, in denen NAT oder IP-Masquerading implementiert ist, nicht zur Verfügung.
Verwenden von IPSec mit IP-Adressfilterung
IP-Adressfiltereinstellungen haben Vorrang vor den IPSec-Richtlinien.

Konfigurieren von IPSec-Einstellungen

Bevor Sie IPSec für die verschlüsselte Kommunikation verwenden können, müssen Sie Sicherheitsrichtlinien speichern. Eine Sicherheitsrichtlinie besteht aus Gruppen von Einstellungen (siehe die Erläuterungen unten). Bis zu 10 Richtlinien können gespeichert werden. Geben Sie nach dem Speichern von Richtlinien an, in welcher Reihenfolge diese angewendet werden sollen.
Selektor
Der Selektor definiert die Bedingungen, unter denen für IP-Pakete die IPSec-Kommunikation verwendet wird. Zu den auswählbaren Bedingungen gehören IP-Adressen und Portnummern dieses Geräts und der Geräte, mit denen es kommunizieren soll.
IKE
IKE konfiguriert das Schlüsselaustauschprotokoll IKEv1. Beachten Sie, dass sich die Anweisungen je nach gewählter Authentisierungsmethode unterscheiden.
[Methode Pre-Shared Key:]
Ein Schlüssel aus bis zu 24 alphanumerischen Zeichen kann gemeinsam mit anderen Geräten genutzt werden. Aktivieren Sie TLS für Remote UI, bevor Sie diese Authentisierungsmethode festlegen (Aktivieren der Kommunikation mit TLS-Verschlüsselung für Remote UI).
[Methode digitale Signatur:]
Dieses Gerät und die anderen Geräte authentisieren einander, indem sie ihre digitalen Signaturen gegenseitig verifizieren. Generieren oder installieren Sie vorab das Schlüsselpaar (Konfigurieren von Einstellungen für Schlüsselpaare und digitale Zertifikate).
AH/ESP
Legen Sie die Einstellungen für die AH-/ESP-Angaben fest, die während der IPSec-Kommunikation zu den Paketen hinzugefügt werden. AH und ESP können gleichzeitig verwendet werden. Sie können auch angeben, ob für eine größere Sicherheit PFS aktiviert sein soll.
1
Starten Sie Remote UI, und melden Sie sich im Systemmanager-Modus an. Starten von Remote UI
2
Klicken Sie auf [Einstellungen/Registrierung].
3
Klicken Sie auf [Sicherheitseinstellungen]  [IPSec-Einstellungen].
4
Klicken Sie auf [Bearbeiten...].
5
Aktivieren Sie das Kontrollkästchen [IPSec verwenden], und klicken Sie auf [OK].
Wenn das Gerät nur Pakete empfangen soll, die einer der in den Schritten unten festgelegten Sicherheitsrichtlinien entsprechen, deaktivieren Sie das Kontrollkästchen [Empf. von Pak. ohne Richtlinie].
6
Klicken Sie auf [Neue Richtlinie speichern...].
7
Legen Sie die Einstellungen für die Richtlinie fest.
1
Geben Sie in das Textfeld [Name Richtlinie] bis zu 24 alphanumerische Zeichen für den Richtliniennamen ein.
2
Aktivieren Sie das Kontrollkästchen [Richtlinie aktivieren].
8
Legen Sie die Einstellungen für den Selektor fest.
 
[Lokale Adresse:]
Klicken Sie auf das Optionsfeld für den IP-Adresstyp dieses Geräts, auf den die Richtlinie angewendet werden soll.
[Alle IP-Adressen]
Wählen Sie diese Einstellung, wenn IPSec für alle IP-Pakete verwendet werden soll.
[IPv4-Adresse]
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von der IPv4-Adresse des Geräts gesendeten IP-Pakete verwendet werden soll.
[IPv6-Adresse]
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von der IPv6-Adresse des Geräts gesendeten IP-Pakete verwendet werden soll.
 
[Remote-Adresse:]
Klicken Sie auf das Optionsfeld für den IP-Adresstyp der anderen Geräte, auf den die Richtlinie angewendet werden soll.
[Alle IP-Adressen]
Wählen Sie diese Einstellung, wenn IPSec für alle IP-Pakete verwendet werden soll.
[Alle IPv4-Adressen]
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von den IPv4-Adressen der anderen Geräte gesendeten IP-Pakete verwendet werden soll.
[Alle IPv6-Adressen]
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von den IPv6-Adressen der anderen Geräte gesendeten IP-Pakete verwendet werden soll.
[Manuelle Einstellungen IPv4]
Wählen Sie diese Einstellung, wenn Sie eine IPv4-Adresse oder einen Bereich von IPv4-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv4-Adresse oder den Bereich in das Textfeld [Adressen, die manuell eingestellt werden:] ein.
[Manuelle Einstellungen IPv6]
Wählen Sie diese Einstellung, wenn Sie eine IPv6-Adresse oder einen Bereich von IPv6-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv6-Adresse oder den Bereich in das Textfeld [Adressen, die manuell eingestellt werden:] ein.
 
[Adressen, die manuell eingestellt werden:]
Wenn Sie für [Remote-Adresse:] die Einstellung [Manuelle Einstellungen IPv4] oder [Manuelle Einstellungen IPv6] gewählt haben, geben Sie die IP-Adresse ein, auf die die Richtlinie angewendet werden soll. Sie können auch einen Adressbereich eingeben, indem Sie zwischen den Adressen einen Bindestrich einfügen.
HINWEIS:
Eingeben von IP-Adressen
Beschreibung
Beispiel
Eingeben einer Adresse
IPv4:
Verwenden Sie Punkte als Trennzeichen für die Zahlen.
192.168.0.10
IPv6:
Verwenden Sie Doppelpunkte als Trennzeichen für die alphanumerischen Zeichen.
fe80::10
Angeben eines Adressbereichs
Fügen Sie zwischen den Adressen einen Bindestrich ein.
192.168.0.10-192.168.0.20
Angeben eines Adressbereichs mit einem Präfix (nur IPv6)
Geben Sie die Adresse gefolgt von einem Schrägstrich und einer Zahl zur Angabe der Präfixlänge ein.
fe80::1234/64
 
[Einstellungen Subnetz:]
Wenn Sie manuell IPv4-Adressen festlegen, können Sie den Bereich über die Subnetmaske ausdrücken. Geben Sie die Subnetmaske mit Punkten zur Trennung der Zahlen ein (Beispiel: "255.255.255.240").
[Präfixlänge:]
Wenn Sie IPv6-Einstellungen manuell vornehmen, können Sie die Präfixlänge einstellen.
[Lokaler Port:]/[Remote-Port:]
Wenn Sie für jedes Protokoll wie HTTP oder SMTP eine eigene Richtlinie erstellen wollen, geben Sie die Portnummer für das jeweilige Protokoll ein, um festzulegen, ob IPSec verwendet wird.
WICHTIG:
IPSec wird nicht bei den folgenden Paketen angewendet
Loopback-, Multicast- und Rundsendungspakete
IKE-Pakete (mit UDP an Port 500)
Neighbor Solicitation- und Neighbor Advertisement-Pakete bei ICMPv6
9
Legen Sie die IKE-Einstellungen fest.
[IKE-Modus:]
Der für das Schlüsselaustauschprotokoll verwendete Modus wird angezeigt. Das Gerät unterstützt den Hauptmodus, nicht den aggressiven Modus.
[Authentisierungsmethode:]
Wählen Sie [Methode Pre-Shared Key:] oder [Methode digitale Signatur:] als Methode für die Authentisierung des Geräts. Sie müssen TLS für Remote UI aktivieren, bevor Sie [Methode Pre-Shared Key:] (Aktivieren der Kommunikation mit TLS-Verschlüsselung für Remote UI) auswählen. Sie müssen ein Schlüsselpaar generieren oder installieren, bevor Sie [Methode digitale Signatur:] auswählen (Konfigurieren von Einstellungen für Schlüsselpaare und digitale Zertifikate).
[Gültig für:]
Legen Sie fest, wie lange eine IKE-SA-Sitzung (ISAKMP-SA) dauert. Geben Sie die Dauer in Minuten ein.
[Authentisierung:]/[Verschlüss.:]/[DH-Gruppe:]
Wählen Sie aus der Dropdown-Liste einen Algorithmus aus. Die einzelnen Algorithmen werden beim Schlüsselaustausch verwendet.
[Authentisierung:]
Wählen Sie den Hash-Algorithmus.
[Verschlüss.:]
Wählen Sie den Verschlüsselungsalgorithmus.
[DH-Gruppe:]
Wählen Sie die Diffie-Hellman-Gruppe, und legen Sie damit die Schlüsselstärke fest.
 Verwenden eines Pre-Shared-Key für die Authentisierung
1
Klicken Sie für [Authentisierungsmethode:] auf das Optionsfeld [Methode Pre-Shared Key:], und klicken Sie dann auf [Einstellungen Gemeinsamer Schlüssel...].
2
Geben Sie bis zu 24 alphanumerische Zeichen für den Pre-Shared-Key ein, und klicken Sie auf [OK].
3
Legen Sie die Einstellungen für [Gültig für:] und [Authentisierung:]/[Verschlüss.:]/[DH-Gruppe:] fest.
 Verwenden eines Schlüsselpaars und vorinstallierter Zertifizierungsstellenzertifikate für die Authentisierung
1
Klicken Sie für [Authentisierungsmethode:] auf das Optionsfeld [Methode digitale Signatur:], und klicken Sie dann auf [Schlüssel und Zertifikat...].
2
Klicken Sie rechts neben einem zu verwendenden Schlüsselpaar auf [Standardschlüssel registrieren].
HINWEIS:
Anzeigen von Details zu Schlüsselpaaren oder Zertifikaten
Sie können die Details zu dem Zertifikat anzeigen oder das Zertifikat verifizieren, indem Sie unter [Schlüsselname] auf den entsprechenden Textlink oder auf das Zertifikatsymbol klicken. Verifizieren von Schlüsselpaaren und digitalen Zertifikaten
3
Legen Sie die Einstellungen für [Gültig für:] und [Authentisierung:]/[Verschlüss.:]/[DH-Gruppe:] fest.
10
Legen Sie die IPSec-Netzwerkeinstellungen fest.
[PFS verwenden]
Aktivieren Sie das Kontrollkästchen, um PFS (Perfect Forward Secrecy) für IPSec-Sitzungsschlüssel zu aktivieren. Die Aktivierung von PFS verbessert die Sicherheit, erhöht jedoch auch den Kommunikationsaufwand. Vergewissern Sie sich, dass PFS auch für die anderen Geräte aktiviert ist.
[Durch Zeit definieren]/[Durch Format definieren]
Legen Sie die Bedingungen für die Beendigung einer IPSec-SA-Sitzung fest. IPSec-SA wird als Kommunikationstunnel verwendet. Aktivieren Sie nach Bedarf eines oder beide Kontrollkästchen. Wenn Sie beide Kontrollkästchen aktivieren, wird die IPSec-SA-Sitzung beendet, sobald eine der beiden Bedingungen erfüllt ist.
[Durch Zeit definieren]
Geben Sie in Minuten ein, wie lange eine Sitzung dauert.
[Durch Format definieren]
Geben Sie in MB ein, wie viele Daten während einer Sitzung übertragen werden können.
[Algorithmus wählen:]
Aktivieren Sie je nach dem verwendeten IPSec-Header und Algorithmus die Kontrollkästchen [ESP], [ESP (AES-GCM)] und [AH (SHA1)]. AES-GCM ist ein Algorithmus für Authentisierung und Verschlüsselung. Wenn Sie [ESP] wählen, wählen Sie zusätzlich die Algorithmen für Authentisierung und Verschlüsselung aus den Dropdown-Listen [ESP-Authentisierung:] und [ESP-Verschlüss.:] aus.
[ESP-Authentisierung:]
Wenn Sie die ESP-Authentisierung aktivieren wollen, wählen Sie [SHA1] als Hash-Algorithmus. Wählen Sie [Nicht verwenden], um die ESP-Authentisierung zu deaktivieren.
[ESP-Verschlüss.:]
Wählen Sie den Verschlüsselungsalgorithmus für ESP. Sie können [NULL] wählen, wenn Sie den Algorithmus nicht festlegen möchten, oder [Nicht verwenden], wenn Sie die ESP-Verschlüsselung deaktivieren möchten.
[Anschlussmodus]
Der IPSec-Verbindungsmodus wird angezeigt. Das Gerät unterstützt den Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Der Tunnelmodus, bei dem ganze IP-Pakete (Header und Nutzdaten) verschlüsselt werden, steht nicht zur Verfügung.
11
Klicken Sie auf [OK].
Wenn Sie eine weitere Sicherheitsrichtlinie speichern müssen, fangen Sie wieder mit Schritt 6 an.
12
Legen Sie die Reihenfolge der unter [Gespeicherte IPSec-Richtlinien] aufgelisteten Richtlinien fest.
Die Richtlinien werden angefangen mit der ganz oben aufgeführten Richtlinie angewendet. Klicken Sie auf [Nach oben] oder [Nach unten], um eine Richtlinie in der Reihenfolge nach oben oder unten zu verschieben.
HINWEIS:
Bearbeiten von Richtlinien
Klicken Sie auf den entsprechenden Textlink unter [Name Richtlinie], um den Bearbeitungsbildschirm anzuzeigen.
Löschen von Richtlinien
Klicken Sie rechts neben dem Namen der zu löschenden Richtlinie auf [Löschen]  klicken Sie auf [OK].
13
Starten Sie das Gerät neu.
Schalten Sie das Gerät AUS, warten Sie mindestens 10 Sekunden, und schalten Sie es dann wieder EIN.
0RL7-085