IPSec-instellingen configureren
Internet Protocol Security (IPSec of IPsec) bestaat uit een verzameling protocollen voor het coderen van gegevens die worden getransporteerd over een netwerk, inclusief internet-netwerken. Terwijl TLS alleen de gegevens codeert die in een bepaald programma worden gebruikt, zoals een webbrowser of een e-mailprogramma, worden met IPSec complete IP-pakketten of de payloads daarvan gecodeerd, waardoor met IPSec een flexibelere beveiliging kan worden gerealiseerd. De IPSec van het apparaat werkt in de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. Met deze functie kan het apparaat direct worden verbonden met een computer die zich in hetzelfde VPN (Virtual Private Network) bevindt. Controleer de systeemvereisten en stel de juiste configuratie in op de computer voordat u het apparaat gaat configureren.
Systeemvereisten
IPSec op de machine werkt conform RFC4301, RFC4302, RFC4303, en RFC4305.
|
Besturingssystemen die worden ondersteund door communicatiepartners
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Verbindingsmodus
|
Transportmodus
|
|
|
Protocol voor uitwisselen van sleutels
|
IKEv1
|
|
|
Afdrukmodus
|
Hoofdmodus
Agressieve modus
|
|
|
Verificatiemethode
|
Gedeelde sleutel
Digitale handtekening
|
|
|
Hash-algoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Coderingsalgoritme
(en sleutellengte) |
3DES-CBC
AES-CBC (128 bits, 192 bits of 256 bits)
|
|
|
Algoritme/groep voor uitwisselen van sleutel (en sleutellengte)
|
Diffie-Hellman (DH)
Groep 1 (768 bits)
Groep 2 (1024 bits)
Groep 14 (2048 bits)
|
|
|
ESP (Encapsulating Security Payload)
|
Hash-algoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Coderingsalgoritme
(en sleutellengte) |
3DES-CBC
AES-CBC (128 bits, 192 bits of 256 bits)
|
|
|
AH (Authentication Header)
|
Hash-algoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Voordat u IPSec communicatie-instellingen configureertControleer de IPSec instellingen in het besturingssysteem waarmee het apparaat zal communiceren. Een onjuiste combinatie van besturingssysteem- en apparaatinstellingen schakelt de IPSec-communicatie uit.
|
 |
Functionele beperkingen van IPSecIPSec ondersteunt communicatie naar een unicast-adres (of een bepaald apparaat).
Het apparaat kan niet tegelijkertijd IPSec en DHCPv6 gebruiken.
IPSec is niet beschikbaar in netwerken waarin NAT of IP-masquerade is geïmplementeerd.
In IKEv1 fase1 wordt PFS niet ondersteund.
IPSec gebruiken met een IP-adresfilterBij het ontvangen van een pakket worden de IPSec instellingen vóór de filterinstellingen voor IP-adressen toegepast. Bij het verzenden van een pakket worden de juiste instellingen voor IP-adressen vóór de IPSec instellingen toegepast. IP-adressen opgeven voor firewallregels
|
Beveiligingsprincipes registreren
U kunt IPSec voor gecodeerde communicatie pas gebruiken als u beleidsinstellingen (SP) voor beveiliging hebt geregistreerd en de IPSec instellingen (IPSec communicatie inschakelen) hebt ingeschakeld. Een dergelijke beleidsinstelling bestaat uit de hieronder beschreven groepen met instellingen. U kunt maximaal 10 beleidsinstellingen registreren. U kunt meerdere beleidsinstellingen registreren overeenkomstig een combinatie van het IP-adres en het poortnummer. Als u klaar bent met de instellingen, geeft u de volgorde aan waarin u de beleidsinstellingen wilt toepassen.
Selector
De beleidsinstelling Selector definieert voorwaarden waaraan IP-pakketten moeten voldoen om met IPSec-communicatie te worden uitgewisseld. Voorbeelden van voorwaarden zijn IP-adressen en poortnummers van de machine en van de apparaten waarmee wordt gecommuniceerd.
IKE
De beleidsinstelling IKE configureert de IKEv1 die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. De instructies verschillen naargelang de geselecteerde verificatiemethode.
[Vooraf gedeelde sleutelmethode]
U kunt een sleutel van maximaal 24 alfanumerieke tekens delen met de andere apparaten. Schakel vooraf TLS voor de externe UI in (TLS gebruiken voor beveiligde communicatie).
U kunt een sleutel van maximaal 24 alfanumerieke tekens delen met de andere apparaten. Schakel vooraf TLS voor de externe UI in (TLS gebruiken voor beveiligde communicatie).
[Methode digitale handtekening]
Het apparaat en de andere apparaten verifiëren elkaar door elkaars digitale handtekening te controleren. U moet een sleutelpaar gereed hebben (Door een CA uitgegeven sleutelparen en digitale certificaten gebruiken).
Het apparaat en de andere apparaten verifiëren elkaar door elkaars digitale handtekening te controleren. U moet een sleutelpaar gereed hebben (Door een CA uitgegeven sleutelparen en digitale certificaten gebruiken).
Protocollen en opties instellen
Geef de instellingen op voor ESP en AH, die tijdens IPSec-communicatie worden toegevoegd aan pakketten. ESP en AH kunnen niet tegelijkertijd worden gebruikt. U kunt ook aangeven of u PFS wilt inschakelen voor een nog betere beveiliging.
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] 
[IPSec-instellingen].
[IPSec-instellingen].
4
Klik op [IPSec-beleidslijst].
5
Klik op [Registreer IPSec-beleid].
6
Voer de naam van een beleid in [Policy-naam] en activeer het selectievakje [Beleid inschakelen].
[Policy-naam]
Typ maximaal 24 alfanumerieke tekens als de naam die wordt gebruikt voor het identificeren van het beleid.
Typ maximaal 24 alfanumerieke tekens als de naam die wordt gebruikt voor het identificeren van het beleid.
[Beleid inschakelen]
Schakel dit selectievakje in om het beleid in te schakelen. Als u het beleid niet gebruikt, schakelt u het selectievakje uit.
Schakel dit selectievakje in om het beleid in te schakelen. Als u het beleid niet gebruikt, schakelt u het selectievakje uit.
7
Geef de selectorinstellingen op.
[Lokaal adres]
Selecteer in onderstaande lijst het type IP-adres van het apparaat waarop u het beleid wilt toepassen.
Selecteer in onderstaande lijst het type IP-adres van het apparaat waarop u het beleid wilt toepassen.
|
[Alle IP-adressen]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten.
|
|
[IPv4-adres]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar het IPv4-adres van het apparaat worden verstuurd.
|
|
[IPv6-adres]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar het IPv6-adres van het apparaat worden verstuurd.
|
|
[Handmatige IPv4-instellingen]
|
Selecteer deze optie om een specifiek IPv4-adres of een bereik van IPv4-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv4-adres (of het bereik van adressen) in het tekstvak [Handmatig in te stellen adressen].
|
|
[Handmatige IPv6-instellingen]
|
Selecteer deze optie om een specifiek IPv6-adres of een bereik van IPv6-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv6-adres (of het bereik van adressen) in het tekstvak [Handmatig in te stellen adressen].
|
[Handmatig in te stellen adressen]
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Lokaal adres], typt u het IP-adres waarop het beleid moet worden toegepast.
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Lokaal adres], typt u het IP-adres waarop het beleid moet worden toegepast.
[Subnetinstellingen]
Als u IPv4-adressen handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken. Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld:'255.255.255.240').
Als u IPv4-adressen handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken. Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld:'255.255.255.240').
[Extern adres]
Selecteer in onderstaande lijst het type IP-adres van de andere toestellen waarop u het beleid wilt toepassen.
Selecteer in onderstaande lijst het type IP-adres van de andere toestellen waarop u het beleid wilt toepassen.
|
[Alle IP-adressen]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten.
|
|
[Alle IPv4-adressen]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar een IPv4 adres worden verstuurd.
|
|
[Alle IPv6-adressen]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar een IPv6 adres worden verstuurd.
|
|
[Handmatige IPv4-instellingen]
|
Selecteer deze optie om een specifiek IPv4-adres of een bereik van IPv4-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv4-adres (of het bereik van adressen) in het tekstvak [Handmatig in te stellen adressen].
|
|
[Handmatige IPv6-instellingen]
|
Selecteer deze optie om een specifiek IPv6-adres of een bereik van IPv6-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv6-adres (of het bereik van adressen) in het tekstvak [Handmatig in te stellen adressen].
|
[Handmatig in te stellen adressen]
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Extern adres], typt u het IP-adres waarop het beleid moet worden toegepast.
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Extern adres], typt u het IP-adres waarop het beleid moet worden toegepast.
[Subnetinstellingen]
Als u IPv4-adressen handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken. Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld:'255.255.255.240').
Als u IPv4-adressen handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken. Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld:'255.255.255.240').
[Lokale poort]/[Externe poort]
Als u voor elk protocol afzonderlijke beleidsinstellingen wilt opgeven, bijvoorbeeld voor HTTP en SMTP, voert u hier het poortnummer van het protocol in als daarvoor IPSec moet worden gebruikt.
Als u voor elk protocol afzonderlijke beleidsinstellingen wilt opgeven, bijvoorbeeld voor HTTP en SMTP, voert u hier het poortnummer van het protocol in als daarvoor IPSec moet worden gebruikt.
IPSec wordt niet toegepast voor de pakketten die een gespecificeerd multicast- of broadcast-adres hebben.
8
Geef de IKE-instellingen op.
[IKE-modus]
Hier ziet u de modus die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. Gewoonlijk selecteert u de hoofdmodus.
Selecteer de agressieve modus als er geen vast IP-adres is. Let op: in de agressieve modus is de veiligheid lager dan in de hoofdmodus.
[AUTH-methode]
Selecteer [Vooraf gedeelde sleutelmethode] of [Methode digitale handtekening] voor de methode die wordt gebruikt bij het verifiëren van het apparaat.
Selecteer [Vooraf gedeelde sleutelmethode] of [Methode digitale handtekening] voor de methode die wordt gebruikt bij het verifiëren van het apparaat.
Als de agressieve modus is geselecteerd in [IKE-modus], codeert de instelling [Vooraf gedeelde sleutelmethode] de gedeelde sleutel niet.
[Authentificatie/Encryptie-algoritme]
Om het algoritme dat wordt gebruikt voor het automatisch uitwisselen van de sleutels in te stellen, activeert u het selectievakje [Automatisch]. Als u het selectievakje activeert, wordt het algoritme ingesteld zoals hieronder weergegeven.
Om het algoritme dat wordt gebruikt voor het automatisch uitwisselen van de sleutels in te stellen, activeert u het selectievakje [Automatisch]. Als u het selectievakje activeert, wordt het algoritme ingesteld zoals hieronder weergegeven.
|
[Authentificatie]
|
[SHA1 en MD5]
|
|
[Encryptie]
|
[3DES-CBC en AES-CBC]
|
|
[DH-groep]
|
[Groep 2 (1024)]
|
Om het algoritme handmatig in te stellen, deactiveert u het selectievakje en selecteert u het algoritme.
|
[Authentificatie]
|
Selecteer het hash-algoritme.
|
|
[Encryptie]
|
Selecteer het coderingsalgoritme.
|
|
[DH-groep]
|
Selecteer de Diffie-Hellman-groep, die bepalend is voor de sterkte van de sleutel.
|
[Vooraf gedeelde sleutelmethode] gebruiken voor verificatie
|
1
|
Selecteer [Vooraf gedeelde sleutelmethode] voor [AUTH-methode] en klik op [Instellingen gedeelde sleutel].
|
|
2
|
Typ maximaal 24 alfanumerieke tekens voor de gedeelde sleutel en klik op [OK].
 |
[Methode digitale handtekening] gebruiken voor verificatie
|
1
|
Selecteer [Methode digitale handtekening] bij [AUTH-methode] en klik op [Sleutel en certificaat].
|
|
2
|
Selecteer het sleutelpaar dat u wilt gebruiken en klik op [Standaard sleutelinstellingen].
 Details weergeven van een sleutelpaar of certificaat
U kunt de details van het certificaat controleren of het certificaat verifiëren door op de gewenste tekstkoppeling onder [Sleutelnaam] te klikken of op het pictogram van het certificaat. Sleutelparen en digitale certificaten verifiëren
|
9
Geef de IPSec-instellingen op.
[PFS gebruiken]
Schakel dit selectievakje in om PFS (Perfect Forward Secrecy) in te schakelen voor sleutels van IPSec-sessies. Als u PFS inschakelt, wordt de beveiliging verbeterd maar wordt de communicatie ook extra belast. Zorg ervoor dat PFS ook is ingeschakeld voor de andere apparaten. Als u PFS niet gebruikt, deactiveer het selectievakje dan.
[Geldigheid]
Geef hier op hoe lang SA wordt gebruikt als een communicatietunnel. Schakel de selectievakjes [Volgens tijd opgeven] of [Volgens grootte opgeven] in (of, indien nodig, beiden). Als u beide selectievakjes activeert, wordt de SA-sessie beëindigd als aan één van de beide voorwaarden wordt voldaan.
Geef hier op hoe lang SA wordt gebruikt als een communicatietunnel. Schakel de selectievakjes [Volgens tijd opgeven] of [Volgens grootte opgeven] in (of, indien nodig, beiden). Als u beide selectievakjes activeert, wordt de SA-sessie beëindigd als aan één van de beide voorwaarden wordt voldaan.
|
[Volgens tijd opgeven]
|
Typ het aantal minuten voor de tijdsduur van een sessie. De ingevoerde tijd wordt toegepast op zowel IPSec SA als IKE SA.
|
|
[Volgens grootte opgeven]
|
Typ een grootte in MB om aan te geven hoeveel gegevens er in een sessie kunnen worden getransporteerd. Het ingevoerde formaat wordt alleen toegepast op IPSec SA.
|
Als u uitsluitend het selectievakje [Volgens grootte opgeven] hebt geselecteerd
De geldigheid van IKE SA kan niet worden opgegeven met formaat, zodat de beginwaarde (480 minuten) van [Volgens tijd opgeven] wordt toegepast.
[Authentificatie/Encryptie-algoritme]
Selecteer het protocol en algoritme voor gebruik van IPSec communicatie.
Selecteer het protocol en algoritme voor gebruik van IPSec communicatie.
Verbinding automatisch instellenSelecteer [Automatisch].
|
[ESP-authentificatie]
|
ESP wordt ingeschakeld en het verificatie-algoritme wordt ingesteld op [SHA1 en MD5].
|
|
[ESP-encryptie]
|
ESP wordt ingeschakeld en het encryptie-algoritme wordt ingesteld op [3DES-CBC en AES-CBC].
|
ESP gebruikenKies [ESP] en selecteer het verificatie- en encryptie-algoritme.
|
[ESP-authentificatie]
|
Selecteer het hash-algoritme om ESP-verificatie te gebruiken.
|
|
[ESP-encryptie]
|
Selecteer het encryptie-algoritme voor ESP.
|
AH gebruikenKies [AH] en selecteer het hash-algoritme om AH-verificatie uit [AH-authentificatie] te gebruiken.
[Verbindingsmodus]
Hier wordt de verbindingsmodus van IPSec weergegeven. Het apparaat biedt ondersteuning voor de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. De tunnelmodus is niet beschikbaar. In deze modus worden complete IP-pakketten (headers en payloads) ingekapseld.
Hier wordt de verbindingsmodus van IPSec weergegeven. Het apparaat biedt ondersteuning voor de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. De tunnelmodus is niet beschikbaar. In deze modus worden complete IP-pakketten (headers en payloads) ingekapseld.
10
Klik op [OK].
Als u nog een beveiligingsbeleid wilt registreren, gaat u terug naar stap 5.
11
Bepaal de volgorde van de beleidsinstellingen onder [IPSec-beleidslijst].
De bovenste set met beleidsinstellingen (ook wel beleidslijnen genoemd) wordt als eerst toegepast, dan de volgende in de lijst, enzovoort. Klik op [Prioriteit verhogen] of [Prioriteit verlagen] om een instelling één positie omhoog of omlaag te verplaatsen.
Een beleid bewerken
U kunt op de tekstlink onder [Policy-naam] klikken om de instellingen te bewerken.
Een beleid verwijderen
Klik op [Verwijderen] rechts van het beleid dat u wilt verwijderen.
12
Een harde reset uitvoeren.
Klik op [Apparaatcontrole], selecteer [Harde reset] en klik vervolgens op [Uitvoeren].
De instellingen worden ingeschakeld nadat een harde reset is verricht.
IPSec communicatie inschakelen
Als het veiligheidsbeleid is geregistreerd, schakelt u de IPSec communicatie in.
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] [IPSec-instellingen].
[IPSec-instellingen].4
Klik op [Bewerken].
5
Schakel het selectievakje [Gebruik IPSec] in en klik op [OK].
[Gebruik IPSec]
Activeer dit selectievakje als uw apparaat gebruikmaakt van IPsec. Als dat niet zo is, schakelt u het selectievakje uit.
[Ontvangst non-policy pakketten toestaan]
Als u het selectievakje activeert bij het gebruiken van IPSec, worden pakketten die niet beschikbaar zijn voor het geregistreerde beleid ook verzonden / ontvangen. Om verzenden / ontvangen van de pakketten die niet beschikbaar zijn voor het beleid uit te schakelen, deactiveert u het selectievakje.
Als u het selectievakje activeert bij het gebruiken van IPSec, worden pakketten die niet beschikbaar zijn voor het geregistreerde beleid ook verzonden / ontvangen. Om verzenden / ontvangen van de pakketten die niet beschikbaar zijn voor het beleid uit te schakelen, deactiveert u het selectievakje.
6
Een harde reset uitvoeren.
Klik op [Apparaatcontrole], selecteer [Harde reset] en klik vervolgens op [Uitvoeren].
De instellingen worden ingeschakeld nadat een harde reset is verricht.
|
|
Het bedieningspaneel gebruikenTevens kunt u IPSec communicatie in- of uitschakelen in het instellingenmenu van het bedieningspaneel. IPSec
|