IPSec-beállítások konfigurálása
Az Internet Protocol Security (IPSec vagy IPsec) protokoll hálózaton keresztül (azon belül az interneten keresztül is) továbbított adatok titkosítására szolgáló protokollcsomag. Míg a TLS csak egy adott alkalmazás, például webböngésző vagy levelezőprogram adatait, addig az IPSec a teljes IP-csomagokat, illetve az általuk szállított adatokat is titkosítja, ezáltal sokoldalúbb biztonsági rendszert kínál. A készülék IPSec funkciója szállítási módban működik, tehát az IP-csomagok hasznos adattartalmát titkosítja. E funkciónak köszönhetően a készülék közvetlenül csatlakozni tud azokhoz a számítógépekhez, amelyek vele megegyező virtuális magánhálózatban (VPN) vannak. Mielőtt konfigurálná a készüléket, ellenőrizze a rendszerkövetelményeket, és állítsa be a számítógépen a szükséges konfigurációt.
Rendszerkövetelmények
A készülék által támogatott IPSec protokoll az RFC4301, RFC4302, RFC4303 és RFC4305 előírásnak megfelelő.
|
Kommunikációs partnerek által támogatott operációs rendszerek
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Csatlakozás módja
|
Szállítási mód
|
|
|
Kulcscsere-protokoll
|
IKEv1
|
|
|
Nyomtatás mód
|
Elsődleges mód
Agresszív mód
|
|
|
Hitelesítés módja
|
Előre megosztott kulcs
Digitális aláírás
|
|
|
Tördelő algoritmus
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Titkosító algoritmus
(és kulcshossz) |
3DES-CBC
AES-CBC (128, 192 vagy 256 bites)
|
|
|
Kulcscsere-algoritmus/csoport (és kulcshossz)
|
Diffie-Hellman (DH)
1. csoport (768 bites)
2-es csoport (1024 bites)
14-es csoport (2048 bites)
|
|
|
ESP (Encapsulating Security Payload)
|
Tördelő algoritmus
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Titkosító algoritmus
(és kulcshossz) |
3DES-CBC
AES-CBC (128, 192 vagy 256 bites)
|
|
|
AH (Authentication Header)
|
Tördelő algoritmus
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Az IPSec kommunikációs beállításainak konfigurálása előttEllenőrizze annak az operációs rendszernek az IPSec beállításait, amellyel a készülék kommunikációt fog folytatni. Ha az operációs rendszer és a készülék beállításai nem kompatibilisek egymással, az letiltja az IPSec kommunikációt.
|
 |
Az IPSec funkcionális korlátaiAz IPSec az unicast címekkel (vagyis egyetlen eszközzel) folytatott kommunikációt támogatja.
A készülék DHCPv6-hálózaton keresztül nem tud IPSec protokollal kommunikálni.
Az IPSec nem érhető el olyan hálózatokon, amelyeken NAT fordítást vagy IP-maszkolást alkalmaznak.
Az IKEv1 1. fázisában a PFS nem támogatott.
IPSec használata IP-cím szűrővelBejövő csomagok esetén az IP-cím szűrési beállításai előtt az IPSec beállítások kerülnek alkalmazásra, míg kimenő csomagok esetén az IPSec beállítások előtt az IP-cím szűrési beállítások kerülnek alkalmazásra. IP-címek megadása tűzfalszabályokhoz
|
Biztonsági házirendek regisztrálása
Ahhoz, hogy az IPSec protokollal titkosíthassa a kommunikációt, az IPSec beállítások engedélyezése előtt biztonsági házirendeket kell regisztrálnia (Az IPSec kommunikáció engedélyezése). Egy biztonsági házirend az alábbi beállításcsoportokból áll. Legfeljebb 10 házirend regisztrálható. Az IP-címek és a portszámok kombinációjával több házirendet regisztrálhat. A házirendek regisztrálása után meg kell adnia az alkalmazásuk sorrendjét.
Választó
A választóval feltételeket határozhat meg, amelyekkel kiválaszthatja, hogy milyen IP-csomagokra alkalmazza az IPSec-kommunikációt. A választható feltételek között a készülék IP-címei és portszámai, valamint a készülékkel kommunikáló eszközök szerepelnek.
IKE
Az IKE az IKEv1 kulcscsere-protokollt konfigurálja. Az utasítások a kiválasztott hitelesítési módtól függően változnak.
[Előmegosztott kulcs mód]
A többi eszközzel megosztható egy legfeljebb 24 alfanumerikus karakterből álló kulcs. Ezelőtt engedélyezze a TLS-t a Távoli felhasználói felülethez (TLS használata a kommunikáció titkosításához).
A többi eszközzel megosztható egy legfeljebb 24 alfanumerikus karakterből álló kulcs. Ezelőtt engedélyezze a TLS-t a Távoli felhasználói felülethez (TLS használata a kommunikáció titkosításához).
[Digitális aláírás mód]
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez gondoskodnia kell egy kulcspárról (Hitelesítésszolgáltató által kiadott kulcspárok és digitális tanúsítványok használata).
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez gondoskodnia kell egy kulcspárról (Hitelesítésszolgáltató által kiadott kulcspárok és digitális tanúsítványok használata).
Protokollok és beállítások megadása
Határozza meg az ESP és az AH beállításait, amelyek az IPSec-kommunikáció során a csomagok részévé válnak. Az ESP és az AH nem használható egyszerre. Szigorúbb biztonsági feltételek esetén a PFS használatát is engedélyezheti.
1
Indítsa el a Távoli felhasználói felületet, és jelentkezzen be rendszerkezelői módban. A Távoli felhasználói felület indítása
2
Kattintson a [Beállítások/Bejegyzés] gombra.
3
Kattintson az [Biztonság] 
[IPSec-beállítások] gombra.
[IPSec-beállítások] gombra.
4
Kattintson a [IPSec-házirendlista] gombra.
5
Kattintson a [IPSec házirend bejegyzés] gombra.
6
Adja meg a házirend nevét a [Házirend neve] mezőben, majd jelölje be a [Házirend engedélyezése] jelölőnégyzetet.
[Házirend neve]
Adja meg a házirend azonosítására szolgáló nevet legfeljebb 24 alfanumerikus karakterrel.
Adja meg a házirend azonosítására szolgáló nevet legfeljebb 24 alfanumerikus karakterrel.
[Házirend engedélyezése]
A házirend engedélyezéséhez jelölje be ezt a jelölőnégyzetet. Ha nem használja a házirendet, akkor törölje a jelet a jelölőnégyzetből.
A házirend engedélyezéséhez jelölje be ezt a jelölőnégyzetet. Ha nem használja a házirendet, akkor törölje a jelet a jelölőnégyzetből.
7
Adja meg a választóbeállításokat.
[Helyi cím]
Az alábbi listából válassza ki a készülék IP-címtípusai közül azokat, amelyekre alkalmazni kell a házirendet.
Az alábbi listából válassza ki a készülék IP-címtípusai közül azokat, amelyekre alkalmazni kell a házirendet.
|
[Minden IP cím]
|
Akkor válassza, ha minden IP-csomagra alkalmazza az IPSec protokollt.
|
|
[IPv4 cím]
|
Akkor válassza, ha a készülék IPv4-címéről vagy címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv6 cím]
|
Akkor válassza, ha a készülék IPv6-címéről vagy címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv4 kézi beállítások]
|
Válassza ki, ha szeretne megadni egy IPv4-címet vagy IPv4-címek egy tartományát az IPSec protokollhoz. Adja meg az IPv4-címet (vagy a tartományt) a [Kézzel megadandó címek] mezőben.
|
|
[IPv6 kézi beállítások]
|
Válassza ki, ha szeretne megadni egy IPv6-címet vagy IPv6-címek egy tartományát az IPSec protokollhoz. Adja meg az IPv6-címet (vagy a tartományt) a [Kézzel megadandó címek] mezőben.
|
[Kézzel megadandó címek]
Ha az [IPv4 kézi beállítások] vagy az [IPv6 kézi beállítások] lehetőség van kiválasztva a [Helyi cím] mezőben, akkor adja meg azt az IP-címet, amelyre alkalmazni kell a házirendet.
Ha az [IPv4 kézi beállítások] vagy az [IPv6 kézi beállítások] lehetőség van kiválasztva a [Helyi cím] mezőben, akkor adja meg azt az IP-címet, amelyre alkalmazni kell a házirendet.
[Alhálózati beállítások]
Ha kézzel ad meg IPv4-címeket, akkor alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
Ha kézzel ad meg IPv4-címeket, akkor alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
[Távoli cím]
Az alábbi listából válassza ki a többi készülék IP-címtípusai közül azokat, amelyekre alkalmazni kell a házirendet.
Az alábbi listából válassza ki a többi készülék IP-címtípusai közül azokat, amelyekre alkalmazni kell a házirendet.
|
[Minden IP cím]
|
Akkor válassza, ha minden IP-csomagra alkalmazza az IPSec protokollt.
|
|
[Minden IPv4 cím]
|
Akkor válassza, ha az IPv4-címekre és IPv4-címekről küldött minden IP-csomagra alkalmazni szeretné az IPSec protokollt.
|
|
[Minden IPv6 cím]
|
Akkor válassza, ha az IPv6-címekre és IPv6-címekről küldött minden IP-csomagra alkalmazni szeretné az IPSec protokollt.
|
|
[IPv4 kézi beállítások]
|
Válassza ki, ha szeretne megadni egy IPv4-címet vagy IPv4-címek egy tartományát az IPSec protokollhoz. Adja meg az IPv4-címet (vagy a tartományt) a [Kézzel megadandó címek] mezőben.
|
|
[IPv6 kézi beállítások]
|
Válassza ki, ha szeretne megadni egy IPv6-címet vagy IPv6-címek egy tartományát az IPSec protokollhoz. Adja meg az IPv6-címet (vagy a tartományt) a [Kézzel megadandó címek] mezőben.
|
[Kézzel megadandó címek]
Ha az [IPv4 kézi beállítások] vagy az [IPv6 kézi beállítások] lehetőség van kiválasztva a [Távoli cím] mezőben, akkor adja meg azt az IP-címet, amelyre alkalmazni kell a házirendet.
Ha az [IPv4 kézi beállítások] vagy az [IPv6 kézi beállítások] lehetőség van kiválasztva a [Távoli cím] mezőben, akkor adja meg azt az IP-címet, amelyre alkalmazni kell a házirendet.
[Alhálózati beállítások]
Ha kézzel ad meg IPv4-címeket, akkor alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
Ha kézzel ad meg IPv4-címeket, akkor alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
[Helyi port]/[Távoli port]
Ha az egyes protokollokhoz, például a HTTP vagy SMTP protokollhoz külön házirendeket szeretne létrehozni, akkor a protokoll helyes portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Ha az egyes protokollokhoz, például a HTTP vagy SMTP protokollhoz külön házirendeket szeretne létrehozni, akkor a protokoll helyes portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Az IPSec meghatározott csoportos vagy körözvényadásos címmel rendelkező csomagok esetében nem alkalmazható.
8
Határozza meg az IKE-beállításokat.
[IKE mód]
A kulcscsere-protokollként használt mód jelenik meg. Normál esetben válassza az elsődleges módot.
Az agresszív módot akkor válassza, ha az IP-cím nem rögzített. Agresszív módban a biztonság alacsonyabb szintű, mint elsődleges módban.
[Hitelesítési mód]
Válassza az [Előmegosztott kulcs mód] vagy a [Digitális aláírás mód] lehetőséget a készülék hitelesítésének módjaként.
Válassza az [Előmegosztott kulcs mód] vagy a [Digitális aláírás mód] lehetőséget a készülék hitelesítésének módjaként.
Amennyiben az [IKE mód] beállításban az agresszív módot választotta, a [Előmegosztott kulcs mód] beállítás nem titkosítja a megosztott kulcsot.
[Hitelesítési/titkosítási algoritmus]
A kulcscserében résztvevő algoritmus automatikus beállításához jelölje be a [Automatikus] jelölőnégyzetet. A jelölőnégyzet bejelölésekor az algoritmus az alábbiak szerint kerül meghatározásra.
A kulcscserében résztvevő algoritmus automatikus beállításához jelölje be a [Automatikus] jelölőnégyzetet. A jelölőnégyzet bejelölésekor az algoritmus az alábbiak szerint kerül meghatározásra.
|
[Hitelesítés]
|
[SHA1 és MD5]
|
|
[Titkosítás]
|
[3DES-CBC és AES-CBC]
|
|
[DH csoport]
|
[2. csoport (1024)]
|
Az algoritmus manuális beállításához törölje a jelet a jelölőnégyzetből, majd adja meg az algoritmust.
|
[Hitelesítés]
|
Válasszon tördelő algoritmust.
|
|
[Titkosítás]
|
Válasszon titkosítási algoritmust.
|
|
[DH csoport]
|
Válassza ki a kulcs erősségét meghatározó Diffie-Hellman csoportot.
|
Az [Előmegosztott kulcs mód] használata hitelesítéshez
|
1
|
Válassza az [Előmegosztott kulcs mód] beállítást az [Hitelesítési mód] pontban, majd kattintson a [Megosztott kulcs beállításai] lehetőségre.
|
|
2
|
Adja meg legfeljebb 24 alfanumerikus karakterrel az előmegosztott kulcsot, majd kattintson az [OK] gombra.
 |
Az [Digitális aláírás mód] használata hitelesítéshez
|
1
|
Válassza a [Digitális aláírás mód] beállítást az [Hitelesítési mód] pontban, majd kattintson a [Kulcs és tanúsítvány] elemre.
|
|
2
|
Válassza ki a használni kívánt kulcspárt, majd kattintson az [Alapértelmezett kulcs beállításai] elemre.
 Kulcspár vagy tanúsítvány részleteinek megtekintése
A [Kulcsnév] alatti megfelelő szöveges hivatkozásra vagy a tanúsítvány ikonjára kattintva megtekintheti a tanúsítvány részleteit, illetve ellenőrizheti a tanúsítványt. Kulcspárok és digitális tanúsítványok ellenőrzése
|
9
Adja meg az IPSec hálózati beállításokat.
[PFS használata]
Az IPSec-munkamenetkulcsok tökéletes továbbítási titkosságának (Perfect Forward Secrecy, PFS) engedélyezéséhez jelölje be a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növeli a kommunikációs terhelést. Győződjön meg róla, hogy a PFS a többi eszközön is engedélyezve van. Ha nem használja a PFS-t, akkor törölje a jelet a jelölőnégyzetből.
[Érvényesség]
Adja meg, hogy meddig funkcionáljon az SA kommunikációs csatornaként. Jelölje be szükség szerint a [Megadás idővel] vagy a [Megadás mérettel] jelölőnégyzetek egyikét, illetve mindkét jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenete akkor zárul le, ha a két feltétel közül bármelyik teljesül.
Adja meg, hogy meddig funkcionáljon az SA kommunikációs csatornaként. Jelölje be szükség szerint a [Megadás idővel] vagy a [Megadás mérettel] jelölőnégyzetek egyikét, illetve mindkét jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenete akkor zárul le, ha a két feltétel közül bármelyik teljesül.
|
[Megadás idővel]
|
Adja meg, hogy hány percig tartson egy munkamenet. A megadott időtartam az IPSec SA és az IKE SA munkamenetekre is érvényes.
|
|
[Megadás mérettel]
|
Adja meg, hogy hány megabájtnyi adatot lehessen továbbítani egy munkamenetben. A megadott méret csak az IPSec SA munkamenetre érvényes.
|
Ha csak a [Megadás mérettel] jelölőnégyzetet jelölte be
Az IKE SA érvényessége méret alapján nem határozható meg, így a [Megadás idővel] beállításban megadott kezdeti érték (480 perc) kerül alkalmazásra.
[Hitelesítési/titkosítási algoritmus]
Válassza ki az IPSec kommunikáció során használni kívánt protokollt és algoritmust.
Válassza ki az IPSec kommunikáció során használni kívánt protokollt és algoritmust.
A kapcsolat automatikus beállításaVálassza a [Automatikus] (Könyvnyomtatás) lehetőséget.
|
[ESP hitelesítés]
|
A készülék engedélyezi az ESP-t és [SHA1 és MD5] értékre állítja a hitelesítési algoritmust.
|
|
[ESP titkosítás]
|
A készülék engedélyezi az ESP-t és [3DES-CBC és AES-CBC] értékre állítja a titkosítási algoritmust.
|
ESP használataVálassza az [ESP] lehetőséget, majd adja meg a hitelesítési és a titkosítási algoritmust.
|
[ESP hitelesítés]
|
Adja meg az ESP hitelesítés során használni kívánt tördelő algoritmust.
|
|
[ESP titkosítás]
|
Adja meg az ESP titkosítási algoritmusát.
|
AH használataVálassza az [AH] beállítást, és adja meg az AH hitelesítés során használni kívánt tördelő algoritmust az [AH hitelesítés] pont lehetőségeiből.
[Csatlakozási mód]
Az IPSec csatlakozási módja látható. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
Az IPSec csatlakozási módja látható. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
10
Kattintson a [OK] gombra.
Ha további biztonsági házirendet kell regisztrálnia, akkor térjen vissza az 5. lépéshez.
11
Rendezze sorba a [IPSec-házirendlista] mezőben felsorolt házirendeket.
A készülék a legmagasabb pozíciótól kezdve a legalacsonyabbig alkalmazza a házirendeket. A házirendeket a [Fontosság emelés] és [Kisebb fontosság] gombbal helyezheti feljebb vagy lejjebb a listában.
Házirend szerkesztése
A beállítások szerkesztéséhez kattintson az [Házirend neve] elem alatt található szöveges hivatkozásra.
Házirend törlése
Kattintson a törölni kívánt házirendnévtől jobbra látható [Törlés] pontra.
12
Hajtson végre gyári visszaállítást.
Kattintson az [Eszközvezérlés] menüpontra, válassza a [Hardver újraindítása] lehetőséget, majd kattintson a [Végrehajtás] gombra.
Gyári visszaállítást követően a készülék engedélyezi a beállításokat.
Az IPSec kommunikáció engedélyezése
A biztonsági házirendek regisztrálását követően engedélyezze az IPSec kommunikációt.
1
Indítsa el a Távoli felhasználói felületet, és jelentkezzen be rendszerkezelői módban. A Távoli felhasználói felület indítása
2
Kattintson a [Beállítások/Bejegyzés] gombra.
3
Kattintson az [Biztonság] [IPSec-beállítások] gombra.
[IPSec-beállítások] gombra.4
Kattintson a [Szerkesztés] gombra.
5
Jelölje be a [IPSec használata] jelölőnégyzetet, és kattintson a [OK] gombra.
[IPSec használata]
Ha IPSec protokollt használ a készüléken, akkor jelölje be a jelölőnégyzetet. Ha nem, akkor törölje a jelet a jelölőnégyzetből.
[Házirendnek nem megfelelő csomagok vétele]
Amennyiben az IPSec protokoll használatakor bejelöli ezt a jelölőnégyzetet, akkor a készülék olyan csomagokat is küld, ill. fogad, amelyek nem felelnek meg a regisztrált házirendeknek. Ha le szeretné tiltani azon csomagok küldését, ill. fogadását, amelyek nem felelnek meg a házirendeknek, akkor törölje a jelet a jelölőnégyzetből.
Amennyiben az IPSec protokoll használatakor bejelöli ezt a jelölőnégyzetet, akkor a készülék olyan csomagokat is küld, ill. fogad, amelyek nem felelnek meg a regisztrált házirendeknek. Ha le szeretné tiltani azon csomagok küldését, ill. fogadását, amelyek nem felelnek meg a házirendeknek, akkor törölje a jelet a jelölőnégyzetből.
6
Hajtson végre gyári visszaállítást.
Kattintson az [Eszközvezérlés] menüpontra, válassza a [Hardver újraindítása] lehetőséget, majd kattintson a [Végrehajtás] gombra.
A beállítások a gyári visszaállítást követően lépnek érvénybe.
|
|
A kezelőpanel használatávalAz IPSec kommunikációt a kezelőpanel beállítás menüjében is engedélyezheti, ill. letilthatja. IPSec
|