IPSec-asetusten määrittäminen
Internet Protocol Security (IPSec tai IPsec) on protokolla verkossa siirrettävien tietojen salaamiseen, mukaan lukien Internet-verkot. Siinä missä TLS salaa vain tietyn sovelluksen, kuten web-selaimen tai sähköpostisovelluksen käyttämät tiedot, IPSec salaa kaikki IP-paketit tai IP-pakettivirrat ja tarjoaa näin monipuolisemman suojausjärjestelmän. Laitteen IPSec-toiminto toimii siirtotilassa, jossa IP-pakettien virrat salataan. Tämän ominaisuuden avulla laite voi ottaa yhteyden suoraan tietokoneeseen, joka on samassa VPN (virtual private network) -verkossa. Tarkista järjestelmän vaatimukset ja aseta vaadittu kokoonpano tietokoneeseen ennen laitteen määrittämistä.
Järjestelmävaatimukset
Laitteen tukema IPSec noudattaa seuraavia: RFC4301, RFC4302, RFC4303 ja RFC4305.
|
Tiedonsiirtokumppaneiden tukemat käyttöjärjestelmät
|
Windows Vista/7/8/10/Server 2003/Server 2008/Server 2012
|
|
|
Yhteystila
|
Siirtotila
|
|
|
Avaintenvaihtoprotokolla
|
IKEv1
|
|
|
Tulostustila
|
Päätila
Aggressiivinen tila
|
|
|
Todennustapa
|
PSK-avain
Digitaalinen allekirjoitus
|
|
|
Hash-algoritmi
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Salausalgoritmi
(ja avaimen pituus) |
3DES-CBC
AES-CBC (128 bittiä, 192 bittiä tai 256 bittiä)
|
|
|
Avaimenvaihtoalgoritmi/ryhmä (ja avaimen pituus)
|
Diffie-Hellman (DH)
Ryhmä 1 (768 bittiä)
Ryhmä 2 (1024 bittiä)
Ryhmä 14 (2048 bittiä)
|
|
|
ESP (Encapsulating Security Payload)
|
Hash-algoritmi
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Salausalgoritmi
(ja avaimen pituus) |
3DES-CBC
AES-CBC (128 bittiä, 192 bittiä tai 256 bittiä)
|
|
|
AH (Authentication Header)
|
Hash-algoritmi
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Ennen IPSec-tiedonsiirtoasetusten määrittämistäTarkista IPSec-asetukset käyttöjärjestelmässä, jonka kanssa laite siirtää tietoja. Käyttöjärjestelmän ja laitteen asetusten virheellinen yhdistelmä poistaa IPSec-tiedonsiirron käytöstä.
|
 |
IPSec-toiminnon rajoituksetIPSec tukee tiedonsiirtoa yksittäislähetysosoitteeseen (tai yksittäiseen laitteeseen).
Laite ei voi käyttää IPSec- ja DHCPv6-toimintoja samaan aikaan.
IPSec ei ole käytettävissä verkoissa, joissa on käytössä NAT tai IP masquerade -toiminto.
IKEv1-vaihe 1 ei tue PFS:ää.
IPSec-toiminnon käyttäminen IP-osoitesuodattimen kanssaPaketin vastaanoton aikana käytetään IPSec-asetuksia ennen IP-osoitteen suodatusasetuksia, kun taas paketin lähetyksen aikana käytetään IP-osoitteen asetuksia ennen IPSec-asetuksia. IP-osoitteiden määrittäminen palomuurisääntöihin
|
Turvallisuuskäytäntöjen tallentaminen
Kun IPSec-protokollaa halutaan käyttää salattuun tiedonsiirtoon, turvallisuuskäytännöt (SP) täytyy tallentaa ennen IPSec-asetusten ottamista käyttöön (IPSec-tiedonsiirron ottaminen käyttöön). Turvallisuuskäytäntö koostuu ryhmästä asetuksia alla kuvatun mukaisesti. Voit tallentaa enintään 10 käytäntöä. Määritä käytäntöjen tallentamisen jälkeen järjestys, jossa niitä käytetään.
Valitsin
Valitsin määrittää IP-pakettien ehdot, kun käytetään IPSec-tiedonsiirtoa. Valittavissa oleviin ehtoihin sisältyvät laitteen IP-osoitteet ja porttinumerot sekä laitteet joiden kanssa kommunikoidaan.
IKE
IKE määrittää IKEv1:n, jota käytetään avaimenvaihtoprotokollana. Huomaa, että ohjeet vaihtelevat valitun todennustavan mukaan.
[Esijaettu avain -menetelmä]
Avain, jossa on enintään 24 aakkosnumeerista merkkiä, voidaan jakaa muiden laitteiden kanssa. Ota TLS käyttöön etäkäyttöliittymässä ennen tätä (TLS:n käyttäminen salattuun tiedonsiirtoon).
Avain, jossa on enintään 24 aakkosnumeerista merkkiä, voidaan jakaa muiden laitteiden kanssa. Ota TLS käyttöön etäkäyttöliittymässä ennen tätä (TLS:n käyttäminen salattuun tiedonsiirtoon).
[Digitaalinen allekirjoitus -menetelmä]
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Pidä avainpari käyttövalmiina (CA:n myöntämien avainparien ja digitaalisten varmenteiden käyttäminen).
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Pidä avainpari käyttövalmiina (CA:n myöntämien avainparien ja digitaalisten varmenteiden käyttäminen).
Protokollien ja asetusten määrittäminen
Määritä asetukset ESP:lle ja AH:lle, jotka lisätään paketteihin IPSec-tiedonsiirron aikana. AH:ta ja ESP:tä ei voi käyttää yhtä aikaa. Voit myös valita, otatko PFS:n käyttöön turvallisuuden parantamiseksi.
1
Käynnistä etäkäyttöliittymä ja kirjaudu sisään hallintatilassa. Etäkäyttöliittymän käynnistäminen
2
Valitse [Asetukset/Tallennus].
3
Valitse [Turva] 
[IPSec-asetukset].
[IPSec-asetukset].
4
Valitse [IPSec-toimintaohjelista].
5
Valitse [Tallenna IPSec-toimintaohje].
6
Syötä käytännön nimi kohtaan [Toimintaohjeen nimi] ja valitse [Ota käyttöön toimintaohje]-valintaruutu.
[Toimintaohjeen nimi]
Syötä enintään 24 aakkosnumeerisen merkin mittainen nimi, jota käytetään käytännön tunnistamiseen.
Syötä enintään 24 aakkosnumeerisen merkin mittainen nimi, jota käytetään käytännön tunnistamiseen.
[Ota käyttöön toimintaohje]
Valitse valintaruutu, kun haluat ottaa käytännön käyttöön. Jos käytäntöä ei käytetä, tyhjennä valintaruutu.
Valitse valintaruutu, kun haluat ottaa käytännön käyttöön. Jos käytäntöä ei käytetä, tyhjennä valintaruutu.
7
Määritä valitsimen asetukset.
[Paikallinen osoite]
Valitse seuraavasta luettelosta laitteen IP-osoitetyyppi, johon käytäntöä käytetään.
Valitse seuraavasta luettelosta laitteen IP-osoitetyyppi, johon käytäntöä käytetään.
|
[Kaikki IP-osoitteet]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin.
|
|
[IPv4-osoite]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv4-osoitteesta.
|
|
[IPv6-osoite]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv6-osoitteesta.
|
|
[IPv4:n manuaaliset asetukset]
|
Valitse tämä, kun haluat määrittää yksittäisen IPv4-osoitteen tai IPv4-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv4-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun.
|
|
[IPv6:n manuaaliset asetukset]
|
Valitse tämä, kun haluat määrittää yksittäisen IPv6-osoitteen tai IPv6-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv6-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun.
|
[Manuaalisesti asetettavat osoitteet]
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] kohdassa [Paikallinen osoite], syötä IP-osoite, johon käytäntöä käytetään.
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] kohdassa [Paikallinen osoite], syötä IP-osoite, johon käytäntöä käytetään.
[Aliverkon asetukset]
Kun määrität IPv4-osoitteita manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkki: "255.255.255.240").
Kun määrität IPv4-osoitteita manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkki: "255.255.255.240").
[Etäosoite]
Valitse alla olevasta luettelosta muiden laitteiden IP-osoitetyyppi, johon käytäntöä käytetään.
Valitse alla olevasta luettelosta muiden laitteiden IP-osoitetyyppi, johon käytäntöä käytetään.
|
[Kaikki IP-osoitteet]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin.
|
|
[Kaikki IPv4-osoitteet]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan IPv4-osoitteesta.
|
|
[Kaikki IPv6-osoitteet]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan IPv6-osoitteesta.
|
|
[IPv4:n manuaaliset asetukset]
|
Valitse tämä, kun haluat määrittää yksittäisen IPv4-osoitteen tai IPv4-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv4-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun.
|
|
[IPv6:n manuaaliset asetukset]
|
Valitse tämä, kun haluat määrittää yksittäisen IPv6-osoitteen tai IPv6-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv6-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun.
|
[Manuaalisesti asetettavat osoitteet]
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] kohdassa [Etäosoite], syötä IP-osoite, johon käytäntöä käytetään.
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] kohdassa [Etäosoite], syötä IP-osoite, johon käytäntöä käytetään.
[Aliverkon asetukset]
Kun määrität IPv4-osoitteita manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkki: "255.255.255.240").
Kun määrität IPv4-osoitteita manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkki: "255.255.255.240").
[Paikallinen portti]/[Etäportti]
Jos haluat luoda erilliset toimintaohjeet kullekin protokollalle, kuten HTTP tai SMTP, syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
Jos haluat luoda erilliset toimintaohjeet kullekin protokollalle, kuten HTTP tai SMTP, syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
IPSec-toimintoa ei käytetä paketteihin, joilla on määritetty monilähetys- tai lähetysosoite.
8
Määritä IKE-asetukset.
[IKE-tila]
Avaintenvaihtoprotokollalle käytetty tila näytetään. Valitse yleensä päätila.
Valitse aggressiivinen tila, jos IP-osoite ei ole kiinteä. Huomaa, että suojaus on aggressiivisessa tilassa heikompi kuin päätilassa.
[AUTENT.-menetelmä]
Valitse laitteen todentamiseen käytettäväksi tavaksi [Esijaettu avain -menetelmä] tai [Digitaalinen allekirjoitus -menetelmä].
Valitse laitteen todentamiseen käytettäväksi tavaksi [Esijaettu avain -menetelmä] tai [Digitaalinen allekirjoitus -menetelmä].
Kun kohdassa [IKE-tila] on valittu aggressiivinen tila, [Esijaettu avain -menetelmä]-asetus ei salaa jaettua avainta.
[Autentikointi/Salausalgoritmi]
Jos haluat asettaa avaimen vaihtoon käytettävän algoritmin automaattisesti, valitse [Automaattinen]-valintaruutu. Jos valintaruutu valitaan, algoritmi asetetaan kuten alla.
Jos haluat asettaa avaimen vaihtoon käytettävän algoritmin automaattisesti, valitse [Automaattinen]-valintaruutu. Jos valintaruutu valitaan, algoritmi asetetaan kuten alla.
|
[Autentikointi]
|
[SHA1 ja MD5]
|
|
[Salaus]
|
[3DES-CBC ja AES-CBC]
|
|
[DH-ryhmä]
|
[Ryhmä 2 (1024)]
|
Jos haluat asettaa algoritmin manuaalisesti, tyhjennä valintaruutu ja valitse algoritmi.
|
[Autentikointi]
|
Valitse hash-algoritmi.
|
|
[Salaus]
|
Valitse salausalgoritmi.
|
|
[DH-ryhmä]
|
Valitse Diffie-Hellman-ryhmä, joka määrittää avaimen vahvuuden.
|
[Esijaettu avain -menetelmä] -ominaisuuden käyttäminen todennukseen
|
1
|
Valitse [Esijaettu avain -menetelmä] kohdassa [AUTENT.-menetelmä] ja napsauta [Jaetut avainasetukset].
|
|
2
|
Syötä enintään 24 aakkosnumeerista merkkiä esijaetuksi avaimeksi ja napsauta [OK].
 |
[Digitaalinen allekirjoitus -menetelmä] -ominaisuuden käyttäminen todennukseen
|
1
|
Valitse [Digitaalinen allekirjoitus -menetelmä] kohdassa [AUTENT.-menetelmä] ja napsauta [Avain ja varmenne].
|
|
2
|
Valitse avainpari, jota haluat käyttää, ja napsauta [Oletusavainasetukset].
 Avainparin tai varmenteen tietojen näyttäminen
Voit tarkistaa varmenteen tiedot tai varmistaa varmenteen napsauttamalla kohdan [Avaimen nimi] alla olevaa vastaavaa tekstilinkkiä tai varmenteen kuvaketta. Avainparien ja digitaalisten varmenteiden varmistaminen
|
9
Määritä IPSec-verkkoasetukset.
[Käytä PFS:ää]
Valitse tämä valintaruutu, kun haluat ottaa käyttöön PFS (Perfect Forward Secrecy) -toiminnon IPSec-istuntoavaimille. PFS:n käyttöön ottaminen parantaa turvallisuutta, mutta lisää tietoliikenteen kuormitusta. Varmista, että PFS on käytössä myös muissa laitteissa. Jos FPS:ää ei käytetä, tyhjennä tämä valintaruutu.
[Voimassaolo]
Määritä, miten pitkään SA:ta käytetään tiedonsiirtotunnelina. Valitse [Määritä ajan mukaan]- tai [Määritä koon mukaan]-valintaruutu tai molemmat valintaruudut tarpeen mukaan. Jos valitaan molemmat valintaruudut, IPSec SA -istunto lopetetaan, kun jompikumpi ehdoista täyttyy.
Määritä, miten pitkään SA:ta käytetään tiedonsiirtotunnelina. Valitse [Määritä ajan mukaan]- tai [Määritä koon mukaan]-valintaruutu tai molemmat valintaruudut tarpeen mukaan. Jos valitaan molemmat valintaruudut, IPSec SA -istunto lopetetaan, kun jompikumpi ehdoista täyttyy.
|
[Määritä ajan mukaan]
|
Syötä istunnon keston aika minuutteina. Syötettyä aikaa käytetään sekä IPSec SA:lle että IKE SA:lle.
|
|
[Määritä koon mukaan]
|
Syötä megatavuina tietomäärä, joka voidaan siirtää istunnon aikana. Syötettyä kokoa käytetään vain IPSec SA:lle.
|
Jos valittiin vain [Määritä koon mukaan]-valintaruutu
IKE SA:n voimassaoloa ei voida määrittää koon mukaan, joten kohdan [Määritä ajan mukaan] alkuarvoa (480 minuuttia) käytetään.
[Autentikointi/Salausalgoritmi]
Valitse IPSec-tiedonsiirrossa käytettävä protokolla ja algoritmi.
Valitse IPSec-tiedonsiirrossa käytettävä protokolla ja algoritmi.
Yhteyden määrittäminen automaattisestiValitse [Automaattinen].
|
[ESP-autentikointi]
|
ESP on käytössä, ja todennusalgoritmiksi on valittu [SHA1 ja MD5].
|
|
[ESP-salaus]
|
ESP on käytössä, ja salausalgoritmiksi on valittu [3DES-CBC ja AES-CBC].
|
ESP:n käyttäminenValitse [ESP] ja valitse todennusalgoritmi ja salausalgoritmi.
|
[ESP-autentikointi]
|
Valitse ESP-todennuksessa käytettävä hajautusalgoritmi.
|
|
[ESP-salaus]
|
Valitse ESP:n salausalgoritmi.
|
AH:n käyttäminenValitse [AH] ja valitse AH-todennuksessa käytettävä hajautusalgoritmi kohdasta [AH-autentication].
[Kytkentätapa]
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
10
Valitse [OK].
Jos haluat tallentaa lisää suojauskäytäntöjä, palaa vaiheeseen 5.
11
Järjestä kohdassa [IPSec-toimintaohjelista] luetellut toimintaohjeet.
Toimintaohjeita käytetään ylhäältä alaspäin. Siirrä toimintaohjetta ylös tai alas järjestyksessä valitsemalla [Kohota etusijaisuutta] tai [Madalla etusijaisuutta].
Käytännön muokkaaminen
Voit muokata asetuksia napsauttamalla tekstilinkkiä kohdassa [Toimintaohjeen nimi].
Käytännön poistaminen
Napsauta poistettavan käytännön oikealla puolella [Poista].
12
Suorita laitteistokäynnistys.
Napsauta [Laitteen hallinta], valitse [Kova nollaus] ja napsauta sitten [Suorita].
Asetukset otetaan käyttöön laitteistokäynnistyksen jälkeen.
IPSec-tiedonsiirron ottaminen käyttöön
Kun suojauskäytännöt on tallennettu, ota IPSec-tiedonsiirto käyttöön.
1
Käynnistä etäkäyttöliittymä ja kirjaudu sisään hallintatilassa. Etäkäyttöliittymän käynnistäminen
2
Valitse [Asetukset/Tallennus].
3
Valitse [Turva] [IPSec-asetukset].
[IPSec-asetukset].4
Valitse [Muokkaa].
5
Valitse [Käytä IPSec-muotoa] -valintaruutu ja valitse [OK].
[Käytä IPSec-muotoa]
Valitse valintaruutu, jos laitteessa käytetään IPSec-käytäntöä. Jos sitä ei käytetä, tyhjennä valintaruutu.
[Epätavallisten pakettien vastaanotto]
Jos valintaruutu valitaan, kun käytetään IPSec-tiedonsiirtoa, myös paketit, jotka eivät ole käytettävissä tallennetuille käytännöille, lähetetään/vastaanotetaan. Voit poistaa tällaisten pakettien vastaanottamisen/lähettämisen käytöstä tyhjentämällä valintaruudun.
Jos valintaruutu valitaan, kun käytetään IPSec-tiedonsiirtoa, myös paketit, jotka eivät ole käytettävissä tallennetuille käytännöille, lähetetään/vastaanotetaan. Voit poistaa tällaisten pakettien vastaanottamisen/lähettämisen käytöstä tyhjentämällä valintaruudun.
6
Suorita laitteistokäynnistys.
Napsauta [Laitteen hallinta], valitse [Kova nollaus] ja napsauta sitten [Suorita].
Asetukset otetaan käyttöön laitteistokäynnistyksen jälkeen.
|
|
Käyttöpaneelin käyttäminenVoit ottaa IPSec-tiedonsiirron käyttöön tai pois käytöstä myös käyttöpaneelin asetusvalikosta. IPSec
|