Konfigurere IPSec-innstillinger
Internet Protocol Security (IPSec eller IPsec) er en protokollpakke for å kryptere data som transporteres over et nettverk, inkludert Internett-nettverk. Mens TLS bare krypterer data som brukes i et spesifikt program, for eksempel en nettleser eller et e-postprogram, krypterer IPSec hele IP-pakker eller lastinger med IP-pakker, noe som gir et mer allsidig sikkerhetssystem. IPSec i maskinen virker i transportmodus, der lastingene med IP-pakker er kryptert. Med denne funksjonen kan maskinen kobles direkte til en datamaskin som er i det samme virtuelle private nettverket (VPN). Kontroller systemkravene, og angi den nødvendige konfigurasjonen på datamaskinen før du konfigurerer maskinen.
Systemkrav
IPSec som støttes på maskinen, overholder RFC4301, RFC4302, RFC4303 og RFC4305.
|
Operativsystemer som støttes av kommunikasjonspartnere
|
Windows Vista / 7 / 8 / Server 2003 / Server 2008 / Server 2012
|
|
|
Tilkoblingsmodus
|
Transportmodus
|
|
|
Nøkkelutvekslingsprotokoll
|
IKEv1
|
|
|
Utskriftsmodus
|
Hovedmodus
Aggressiv modus
|
|
|
Godkjenningsmetode
|
Nøkkel delt på forhånd
Digital signatur
|
|
|
Hash-algoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Krypteringsalgoritme
(og nøkkellengde) |
3DES-CBC
AES-CBC (128 biter, 192 biter eller 256 biter)
|
|
|
Nøkkelutvekslingsalgoritme/-gruppe (og nøkkellengde)
|
Diffie-Hellman (DH)
Gruppe 1 (768 biter)
Gruppe 2 (1024 biter)
Gruppe 14 (2048 biter)
|
|
|
ESP (Encapsulating Security Payload)
|
Hash-algoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Krypteringsalgoritme
(og nøkkellengde) |
3DES-CBC
AES-CBC (128 biter, 192 biter eller 256 biter)
|
|
|
AH (Authentication Header)
|
Hash-algoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Før du konfigurerer innstillinger for IPSec-kommunikasjonKontroller IPSec-innstillingene i operativsystemet som maskinen vil kommunisere med. En feil kombinasjon av operativsysteminnstillinger og maskinens innstillinger vil deaktivere IPSec-kommunikasjonen.
|
 |
Funksjonelle begrensninger for IPsecIPsec støtter kommunikasjon til en unikastadresse (eller én enkelt enhet).
Maskinen kan ikke bruke både IPsec og DHCPv6 samtidig.
IPsec er utilgjengelig i nettverk der NAT- eller IP-maskering er implementert.
PFS støttes ikke i IKEv1 phase1.
Bruke IPsec med IP-adressefilterIPSec-innstillingene brukes før IP-adressefilterinnstillingene under pakkemottak mens IP-adresseinnstillingene brukes før IPSec-innstillingene under pakkesending. Angi regler for IP-adresser for brannmurer
|
Registrere sikkerhetspolitikker
For å bruke IPSec for kryptert kommunikasjon må du registrere sikkerhetspolitikker (SP) før du aktiverer IPSec-innstillingene (Aktivere IPSec-kommunikasjon). En sikkerhetspolitikk består av innstillingsgruppene beskrevet nedenfor. Du kan registrere inntil 10 politikker. Du kan registrere flere politikker i henhold til en kombinasjon av IP-adressen og portnummeret. Etter at du har registrert politikkene, angir du rekkefølgen de skal brukes i.
Velger
Velgeren definerer betingelser for IP-pakker som skal brukes ved IPSec-kommunikasjon. Betingelsene som kan velges, inkluderer IP-adresser og portnumre for maskinen og hvilke enheter det skal kommuniseres med.
IKE
IKE konfigurerer IKEv1 som brukes til nøkkelutvekslingsprotokollen. Legg merke til at instruksjonene kan variere, alt etter hvilken godkjenningsmetode som er valgt.
[Forhåndsdelt nøkkel-metode]
En nøkkel med inntil 24 alfanumeriske tegn kan deles med andre enheter. Aktiver TLS for Fjernkontroll på forhånd (Bruke TLS for kryptert kommunikasjon).
En nøkkel med inntil 24 alfanumeriske tegn kan deles med andre enheter. Aktiver TLS for Fjernkontroll på forhånd (Bruke TLS for kryptert kommunikasjon).
[Digital signatur-metode]
Maskinen og de andre enhetene autentiserer hverandre ved gjensidig å verifisere hverandres digitale signaturer. Ha et nøkkelpar klar til bruk (Bruke nøkkelpar og digitale sertifikater utstedt av en CA).
Maskinen og de andre enhetene autentiserer hverandre ved gjensidig å verifisere hverandres digitale signaturer. Ha et nøkkelpar klar til bruk (Bruke nøkkelpar og digitale sertifikater utstedt av en CA).
Konfigurere protokoller og alternativer
Angi innstillingene for ESP og AH, som leges til i pakker under IPSec-kommunikasjon. AH og ESP kan ikke brukes samtidig. Du kan også velge om du vil aktivere PFS for økt sikkerhet.
1
Start Fjernkontroll og logg på i administrasjonsmodus. Starte Fjernkontroll
2
Klikk på [Innstillinger/lagring].
3
Klikk på [Sikkerhet] 
[IPSec-innstillinger].
[IPSec-innstillinger].
4
Klikk på [IPSec-policyliste].
5
Klikk på [Lagre IPSec-policy].
6
Angi en politikknavn i [Policynavn] og velg [Aktiver policy]-avkrysningsboksen.
[Policynavn]
Angi inntil 24 alfanumeriske tegn for et navn som brukes til å identifisere politikken.
Angi inntil 24 alfanumeriske tegn for et navn som brukes til å identifisere politikken.
[Aktiver policy]
Velg avkrysningsboksen for å aktivere politikken. Når du ikke brukere politikken, fjerner du merket i boksen.
Velg avkrysningsboksen for å aktivere politikken. Når du ikke brukere politikken, fjerner du merket i boksen.
7
Angi velgerinnstillingene.
[Lokal adresse]
Velg maskinens type IP-adresse for å bruke politikken, fra følgende liste.
Velg maskinens type IP-adresse for å bruke politikken, fra følgende liste.
|
[Alle IP-adresser]
|
Velg å bruke IPSec for alle IP-pakker.
|
|
[IPv4-adresse]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv4-adressen til maskinen.
|
|
[IPv6-adresse]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra en IPv6-adresse til maskinen.
|
|
[IPv4 manuelle innstillinger]
|
Velg å angi én enkelt IPv4-adresse eller et område med IPv4-adresser for å bruke IPSec. Angi IPv4-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt].
|
|
[IPv6 manuelle innstillinger]
|
Velg å angi én enkelt IPv6-adresse eller et område med IPv6-adresser for å bruke IPSec. Angi IPv6-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt].
|
[Adresser som skal angis manuelt]
Hvis [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger] velges for [Lokal adresse], angir du IP-adressen for å bruke politikken.
Hvis [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger] velges for [Lokal adresse], angir du IP-adressen for å bruke politikken.
[Subnettinnstillinger]
Når du angir IPv4-adresser manuelt, kan du angi området ved bruk av nettverksmasken. Angi nettverksmasken ved å bruke punktum for å avgrense numre (f.eks. "255.255.255.240").
Når du angir IPv4-adresser manuelt, kan du angi området ved bruk av nettverksmasken. Angi nettverksmasken ved å bruke punktum for å avgrense numre (f.eks. "255.255.255.240").
[Ekstern adresse]
Velg de andre enhetenes type IP-adresse for å bruke politikken, fra følgende liste.
Velg de andre enhetenes type IP-adresse for å bruke politikken, fra følgende liste.
|
[Alle IP-adresser]
|
Velg å bruke IPSec for alle IP-pakker.
|
|
[Alle IPv4-adresser]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra en IPv4-adresse.
|
|
[Alle IPv6-adresser]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra en IPv6-adresse til maskinen.
|
|
[IPv4 manuelle innstillinger]
|
Velg å angi én enkelt IPv4-adresse eller et område med IPv4-adresser for å bruke IPSec. Angi IPv4-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt].
|
|
[IPv6 manuelle innstillinger]
|
Velg å angi én enkelt IPv6-adresse eller et område med IPv6-adresser for å bruke IPSec. Angi IPv6-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt].
|
[Adresser som skal angis manuelt]
Hvis [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger] velges for [Ekstern adresse], angir du IP-adressen for å bruke politikken.
Hvis [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger] velges for [Ekstern adresse], angir du IP-adressen for å bruke politikken.
[Subnettinnstillinger]
Når du angir IPv4-adresser manuelt, kan du angi området ved bruk av nettverksmasken. Angi nettverksmasken ved å bruke punktum for å avgrense numre (f.eks. "255.255.255.240").
Når du angir IPv4-adresser manuelt, kan du angi området ved bruk av nettverksmasken. Angi nettverksmasken ved å bruke punktum for å avgrense numre (f.eks. "255.255.255.240").
[Lokal port] / [Ekstern port]
Hvis du vil opprette separate policyer for hver protokoll, for eksempel HTTP eller SMTP, angir du det aktuelle portnummeret for protokollen for å finne ut om IPSec skal brukes.
Hvis du vil opprette separate policyer for hver protokoll, for eksempel HTTP eller SMTP, angir du det aktuelle portnummeret for protokollen for å finne ut om IPSec skal brukes.
IPSec brukes ikke for alle pakkene som har en angitt multikast- eller kringkastingsadresse.
8
Angi IKE-innstillingene.
[IKE-modus]
Modusene som brukes for nøkkelutvekslingsprotokollen vises. Du skal vanligvis velge hovedmodusen.
Velg den aggressive modusen når IP-adressen ikke er fiksert. Merk av sikkerheten er dårligere i aggressiv modus enn i hovedmodus.
[AUT-metode]
Velg [Forhåndsdelt nøkkel-metode] eller [Digital signatur-metode] for metoden som brukes når maskinen autentiseres.
Velg [Forhåndsdelt nøkkel-metode] eller [Digital signatur-metode] for metoden som brukes når maskinen autentiseres.
Når den aggressive modusen er valgt i [IKE-modus], krypterer ikke [Forhåndsdelt nøkkel-metode]-innstillingen den delte nøkkelen.
[Autentiserings-/krypteringsalgoritme]
For å angi algoritmen som brukes for nøkkelutveksling automatisk, velger du [Auto]-avkrysningsboksen. Hvis du velger avkrysningsboksen, er algoritmen konfigurer som vist nedenfor.
For å angi algoritmen som brukes for nøkkelutveksling automatisk, velger du [Auto]-avkrysningsboksen. Hvis du velger avkrysningsboksen, er algoritmen konfigurer som vist nedenfor.
|
[Autentisering]
|
[SHA1 og MD5]
|
|
[Kryptering]
|
[3DES-CBC og AES-CBC]
|
|
[DH-gruppe]
|
[Gruppe 2 (1024)]
|
Fjern merket i avkrysningsboksen og velg algoritmen, for å angi algoritmen manuelt.
|
[Autentisering]
|
Velg hash-algoritmen.
|
|
[Kryptering]
|
Velg krypteringsalgoritmen.
|
|
[DH-gruppe]
|
Velg Diffie-Hellman-gruppen, som fastslår nøkkelstyrken.
|
Bruke [Forhåndsdelt nøkkel-metode] for autentisering
|
1
|
Velg [Forhåndsdelt nøkkel-metode] for [AUT-metode] og klikk på [Innstillinger for delt nøkkel].
|
|
2
|
Angi inntil 24 alfanumeriske tegn for den forhåndsdelte nøkkelen, og klikk på [OK].
 |
Bruke [Digital signatur-metode] for autentisering
|
1
|
Velg [Digital signatur-metode] for [AUT-metode] og klikk på [Nøkkel og sertifikat].
|
|
2
|
Velg nøkkelparet du ønsker å bruke og klikk på [Standard nøkkelinnstillinger].
 Vise detaljer for et nøkkelpar eller sertifikat
Du kan kontrollere detaljene for sertifikatet eller verifisere sertifikatet ved å klikke på den tilhørende tekstkoblingen under [Navn på nøkkel] eller på sertifikatikonet. Verifisere nøkkelpar og digitale sertifikater
|
9
Angi IPSec-nettverksinnstillingene.
[Bruk PFS]
Merk av i boksen for å aktivere PFS (Perfect Forward Secrecy) for IPSec-øktnøkler. Ved å aktivere PFS forbedres sikkerheten, men belastningen på kommunikasjonen øker. Sørg for at PFS også er aktivert for de andre enhetene. Fjern merket i boksen hvis du ikke bruker PFS.
[Gyldighet]
Angi hvor lenge SA skal brukes som en kommunikasjonstunnel. Velg [Spesifiser etter tid] eller [Spesifiser etter størrelse]-avkrysningsboksen eller begge boksene ved behov. Hvis begge avkrysningsboksene velges, avbrytes IPSec SA-økten når en av betingelsene er oppfylt.
Angi hvor lenge SA skal brukes som en kommunikasjonstunnel. Velg [Spesifiser etter tid] eller [Spesifiser etter størrelse]-avkrysningsboksen eller begge boksene ved behov. Hvis begge avkrysningsboksene velges, avbrytes IPSec SA-økten når en av betingelsene er oppfylt.
|
[Spesifiser etter tid]
|
Angi en tid i minutter for å angi hvor lenge en økt skal vare. Den angitte tiden gjelder både for IPSec SA og IKE SA.
|
|
[Spesifiser etter størrelse]
|
Angi en størrelse i megabyte for å angi hvor mye data som kan transporteres i en økt. Den angitte størrelsen brukes for IPSec SA.
|
Hvis du kun har valgt [Spesifiser etter størrelse]-avkrysningsboksen
IKE SA-validitet kan ikke angis i størrelse. Dermed brukes den innledende verdien (480 minutter) på [Spesifiser etter tid].
[Autentiserings-/krypteringsalgoritme]
Velg protokollen og algoritmen som skal brukes for IPSec-kommunikasjon.
Velg protokollen og algoritmen som skal brukes for IPSec-kommunikasjon.
Konfigurere tilkobling automatiskVelg [Auto].
|
[ESP-autentisering]
|
ESP aktiveres og autentiseringsalgoritmen er angitt som [SHA1 og MD5].
|
|
[ESP-kryptering]
|
ESP aktiveres og krypteringsalgoritmen er angitt som [3DES-CBC og AES-CBC].
|
Bruke ESPVelg [ESP] og velg autentiserings- og krypteringsalgoritmen.
|
[ESP-autentisering]
|
Velg hash-algoritmen som skal brukes for ESP-autentisering.
|
|
[ESP-kryptering]
|
Velg krypteringsalgoritmen for ESP.
|
Bruke AHVelg [AH] og velg hash-algoritmen som skal brukes for AH-autentisering fra [AH-autentisering].
[Tilkoblingsmodus]
Tilkoblingsmodusen for IPSec vises. Maskinen støtter transportmodus, der lastingene med IP-pakker er kryptert. Tunnelmodus, der hele IP-pakker (hoder og lastinger) er innkapslet, er ikke tilgjengelig.
Tilkoblingsmodusen for IPSec vises. Maskinen støtter transportmodus, der lastingene med IP-pakker er kryptert. Tunnelmodus, der hele IP-pakker (hoder og lastinger) er innkapslet, er ikke tilgjengelig.
10
Klikk på [OK].
Hvis du må registrere en ny sikkerhetspolitikk, går du tilbake til trinn 5.
11
Arranger rekkefølgen for policyene som er oppført under [IPSec-policyliste].
Policyer brukes fra den øverste policyen til den nederste. Klikk på [Hev prioritet] eller [Senk prioritet] for å flytte en policy opp eller ned i rekkefølgen.
Redigere en politikk
Du kan klikke på tekstkoblingen under [Policynavn] for å redigere innstillingene.
Slette en politikk
Klikk på [Slett] til høyre for politikken du vil slette.
12
Utfør en hard tilbakestilling.
Klikk på [Enhetskontroll], velg [Hard omstart] og klikk deretter på [Utfør].
Innstillingene aktiveres etter en hard tilbakestilling.
Aktivere IPSec-kommunikasjon
Aktiver IPSec-kommunikasjon etter registrering av sikkerhetspolitikker.
1
Start Fjernkontroll og logg på i administrasjonsmodus. Starte Fjernkontroll
2
Klikk på [Innstillinger/lagring].
3
Klikk på [Sikkerhet] [IPSec-innstillinger].
[IPSec-innstillinger].4
Klikk på [Rediger].
5
Merk av for [Bruk IPSec], og klikk på [OK].
[Bruk IPSec]
Når du bruker IPSec i maskinen, velger du avkrysningsboksen. Når du ikke bruker det, fjerner du merket i boksen.
[Tillat Motta ikke-policypakker]
Hvis du velger avkrysningsboksen når du bruker IPSec, sendes/mottas også pakker som er utilgjengelige for de registrerte politikkene. For å deaktivere sending/mottak av pakker som er utilgjengelige for politikkene, fjerner du merket i boksen.
Hvis du velger avkrysningsboksen når du bruker IPSec, sendes/mottas også pakker som er utilgjengelige for de registrerte politikkene. For å deaktivere sending/mottak av pakker som er utilgjengelige for politikkene, fjerner du merket i boksen.
6
Utfør en hard tilbakestilling.
Klikk på [Enhetskontroll], velg [Hard omstart] og klikk deretter på [Utfør].
Innstillingene aktiveres etter en hard tilbakestilling.
|
|
Bruke betjeningspaneletDu kan også aktivere eller deaktivere IPSec-kommunikasjon via innstillinger-menyen på betjeningspanelet. IPSec
|