IPSec-beállítások konfigurálása
Az Internetprotokoll-biztonság (Internet Protocol Security, IPSec vagy IPsec) olyan protokollcsomag, amely a hálózatokon, többek között az internetes hálózatokon keresztül továbbított adatok titkosítására szolgál. Míg a TLS csak egy adott alkalmazás, például webböngésző vagy levelezőprogram adatait titkosítja, addig az IPSec a teljes IP-csomagokat, illetve az általuk szállított adatokat is, ezzel sokoldalúbb biztonsági rendszert kínálva. A készülék IPSec protokollja továbbítási üzemmódban működik, azaz az IP-csomagok által szállított adatokat titkosítja. E funkcióval a készülék közvetlenül csatlakozhat egy azonos virtuális magánhálózaton (VPN) elhelyezkedő számítógéphez. Ellenőrizze, hogy teljesülnek-e a rendszerkövetelmények, és állítsa be a szükséges konfigurációt a számítógépen, mielőtt konfigurálná a készüléket.
Rendszerkövetelmények
A készülék által támogatott IPSec protokoll az RFC2401, RFC2402, RFC2406 és RFC4305 előírásnak megfelelő.
|
Operációs rendszer
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Csatlakozás módja
|
Szállítási mód
|
|
|
Kulcscsere-protokoll
|
IKEv1 (fő mód)
|
|
|
Hitelesítés módja
|
Előre megosztott kulcs
Digitális aláírás
|
|
|
Tördelő algoritmus
(és kulcshossz) |
HMAC-SHA1-96
HMAC-SHA2 (256 vagy 384 bites)
|
|
|
Titkosító algoritmus
(és kulcshossz) |
3DES-CBC
AES-CBC (128, 192 vagy 256 bites)
|
|
|
Kulcscsere-algoritmus/csoport (és kulcshossz)
|
Diffie-Hellman (DH)
1. csoport (768 bites)
2. csoport (1024 bites)
14-es csoport (2048 bites)
|
|
|
ESP
|
Tördelő algoritmus
|
HMAC-SHA1-96
|
|
Titkosító algoritmus
(és kulcshossz) |
3DES-CBC
AES-CBC (128, 192 vagy 256 bites)
|
|
|
Tördelő algoritmus/titkosító algoritmus (és kulcshossz)
|
AES-GCM (128, 192 vagy 256 bites)
|
|
|
AH
|
Tördelő algoritmus
|
HMAC-SHA1-96
|
 |
Az IPSec funkcionális korlátaiAz IPSec az unicast címekkel (vagyis egyetlen eszközzel) folytatott kommunikációt támogatja.
A készülék DHCPv6-hálózaton keresztül nem tud IPSec protokollal kommunikálni.
Az IPSec nem érhető el olyan hálózatokon, amelyeken NAT fordítást vagy IP-maszkolást alkalmaznak.
IPSec használata IP-cím szűrővelAz IP-címszűrési beállítások az IPSec-szabályok előtt vannak alkalmazva.IP-címek megadása tűzfalszabályokhoz
|
IPSec-beállítások konfigurálása
Ahhoz, hogy az IPSec protokollal titkosíthassa a kommunikációt, biztonsági házirendeket kell regisztrálnia. Egy biztonsági házirend az alábbi beállításcsoportokból áll. Legfeljebb 10 házirend regisztrálható. A házirendek regisztrálása után meg kell adnia az alkalmazásuk sorrendjét.
Választó
A választóval feltételeket határozhat meg, amelyekkel kiválaszthatja, hogy milyen IP-csomagokra alkalmazza az IPSec-kommunikációt. A választható feltételek között a készülék IP-címei és portszámai, valamint a készülékkel kommunikáló eszközök szerepelnek.
IKE
Az IKE az IKEv1 kulcscsere-protokollt konfigurálja. Az utasítások a kiválasztott hitelesítési módtól függően változnak.
[Előre megosztott kulcsos mód]
A többi eszközzel egy legfeljebb 24 alfanumerikus karakterből álló kulcs osztható meg. E hitelesítési módszer megadása előtt engedélyezze a TLS-t a távoli felhasználói felülethez (TLS protokollal titkosított kommunikáció engedélyezése a Távoli felhasználói felülethez).
A többi eszközzel egy legfeljebb 24 alfanumerikus karakterből álló kulcs osztható meg. E hitelesítési módszer megadása előtt engedélyezze a TLS-t a távoli felhasználói felülethez (TLS protokollal titkosított kommunikáció engedélyezése a Távoli felhasználói felülethez).
[Digitális aláírás mód]
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez elő kell állítania és telepítenie kell a kulcspárt (Kulcspárok és digitális tanúsítványok beállításainak konfigurálása).
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez elő kell állítania és telepítenie kell a kulcspárt (Kulcspárok és digitális tanúsítványok beállításainak konfigurálása).
AH/ESP
Az AH/ESP beállításait határozza meg, amely az IPSec-kommunikáció során a csomagok részévé válik. Az AH és ESP egyszerre használható. Szigorúbb biztonsági feltételek esetén a PFS használatát is engedélyezheti.
1
Indítsa el a Távoli felhasználói felületet, és jelentkezzen be rendszerkezelői módban.A Távoli felhasználói felület indítása
2
Kattintson a [Beállítások/Bejegyzés] gombra.
3
Kattintson az [Biztonsági beállítások] 
[IPSec-beállítások] gombra.
[IPSec-beállítások] gombra.
4
Kattintson a [Szerkesztés] gombra.
5
Jelölje be a [IPSec használata] jelölőnégyzetet, és kattintson a [OK] gombra.
Ha szeretné, hogy a készülék csak az alábbi lépések során meghatározott biztonsági szabályoknak megfelelő csomagokat fogadjon, akkor törölje a jelet a [Házirendnek meg nem felelő csomag vétele] jelölőnégyzetből.
6
Kattintson a [Új házirend bejegyzése] gombra.
7
Adja meg a házirend-beállításokat.
|
1
|
A [Házirend neve] szövegmezőben legfeljebb 24 alfanumerikus karakterrel adja meg a házirendet azonosító nevet.
|
|
2
|
Jelölje be az [Házirend engedélyezése] jelölőnégyzetet.
 |
8
Adja meg a választóbeállításokat.
[Helyi cím]
Kattintson a készülék IP-címtípusai közül azoknak a választógombjára, amelyekre alkalmazni kell a házirendet.
Kattintson a készülék IP-címtípusai közül azoknak a választógombjára, amelyekre alkalmazni kell a házirendet.
|
[Minden IP-cím]
|
Akkor válassza, ha minden IP-csomagra alkalmazza az IPSec protokollt.
|
|
[IPv4-cím]
|
Akkor válassza, ha a készülék IPv4-címéről vagy címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv6-cím]
|
Akkor válassza, ha a készülék IPv6-címéről vagy címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
[Távoli cím]
Kattintson a készülék IP-címtípusai közül azoknak a választógombjára, amelyekre alkalmazni kell a házirendet.
Kattintson a készülék IP-címtípusai közül azoknak a választógombjára, amelyekre alkalmazni kell a házirendet.
|
[Minden IP-cím]
|
Akkor válassza, ha minden IP-csomagra alkalmazza az IPSec protokollt.
|
|
[Minden IPv4-cím]
|
Akkor válassza, ha az egyéb készülékek IPv4-címéről és címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[Minden IPv6-cím]
|
Akkor válassza, ha az egyéb készülékek IPv6-címéről és címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv4 kézi beállításai]
|
Válassza ki, ha szeretne megadni egy IPv4-címet vagy IPv4-címek egy tartományát az IPSec protokollhoz. Adja meg az IPv4-címet (vagy a tartományt) a [Kézzel beállítandó címek] mezőben.
|
|
[IPv6 kézi beállításai]
|
Válassza ki, ha szeretne megadni egy IPv6-címet vagy IPv6-címek egy tartományát az IPSec protokollhoz. Adja meg az IPv6-címet (vagy a tartományt) a [Kézzel beállítandó címek] mezőben.
|
[Kézzel beállítandó címek]
Ha a [IPv4 kézi beállításai] vagy a [IPv6 kézi beállításai] lehetőség van kiválasztva a [Távoli cím]mezőben, akkor adja meg azt az IP-címet, amelyre alkalmazni kell a házirendet. Címtartományt is megadhat, ebben az esetben kötőjellel válassza el egymástól a címeket.
Ha a [IPv4 kézi beállításai] vagy a [IPv6 kézi beállításai] lehetőség van kiválasztva a [Távoli cím]mezőben, akkor adja meg azt az IP-címet, amelyre alkalmazni kell a házirendet. Címtartományt is megadhat, ebben az esetben kötőjellel válassza el egymástól a címeket.
IP-címek beírása
|
Leírás
|
Példa
|
|
|
Egyetlen IP-cím megadása
|
IPv4:
A számokat pontokkal válassza el. |
192.168.0.10
|
|
IPv6:
Az alfanumerikus karaktereket kettőspontokkal válassza el. |
fe80::10
|
|
|
Címtartomány megadása
|
A címek közé tegyen kötőjelet.
|
192.168.0.10-192.168.0.20
|
[Alhálózat beállításai]
Ha kézzel ad meg IPv4-címeket, akkor alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
Ha kézzel ad meg IPv4-címeket, akkor alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
[Előtag hossza]
Az IPv6-címek tartományának kézi megadásakor a tartományt is megadhatja előtagok használatával. Adja meg 0–128 közötti számmal az előtaghosszúságot.
Az IPv6-címek tartományának kézi megadásakor a tartományt is megadhatja előtagok használatával. Adja meg 0–128 közötti számmal az előtaghosszúságot.
[Helyi port]/[Távoli port]
Ha az egyes protokollokhoz, például a HTTP vagy SMTP protokollhoz külön házirendeket szeretne létrehozni, akkor a protokoll helyes portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Ha az egyes protokollokhoz, például a HTTP vagy SMTP protokollhoz külön házirendeket szeretne létrehozni, akkor a protokoll helyes portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Az IPSec nem vonatkozik a következő csomagokra
Visszacsatolt, multicast és üzenetszórásos csomagok
IKE-csomagok (UDP protokollal, az 500-as porton)
ICMPv6 szomszédkeresési és szomszédhirdetési csomagok
9
Határozza meg az IKE-beállításokat.
[IKE mód]
A kulcscsere-protokollként használt mód jelenik meg. A készülék a fő módot támogatja, nem az agresszív módot.
A kulcscsere-protokollként használt mód jelenik meg. A készülék a fő módot támogatja, nem az agresszív módot.
[Hitelesítési mód]
Válassza a következőt: [Előre megosztott kulcsos mód] vagy [Digitális aláírás mód] készülék hitelesítésekor alkalmazandó módszerhez. Engedélyezni kell a TLS-t a távoli felhasználói felülethez, mielőtt kiválasztaná a következőt: [Előre megosztott kulcsos mód] (TLS protokollal titkosított kommunikáció engedélyezése a Távoli felhasználói felülethez). Kulcspárt kell generálni vagy telepíteni a következő kiválasztása előtt: [Digitális aláírás mód] (Kulcspárok és digitális tanúsítványok beállításainak konfigurálása).
Válassza a következőt: [Előre megosztott kulcsos mód] vagy [Digitális aláírás mód] készülék hitelesítésekor alkalmazandó módszerhez. Engedélyezni kell a TLS-t a távoli felhasználói felülethez, mielőtt kiválasztaná a következőt: [Előre megosztott kulcsos mód] (TLS protokollal titkosított kommunikáció engedélyezése a Távoli felhasználói felülethez). Kulcspárt kell generálni vagy telepíteni a következő kiválasztása előtt: [Digitális aláírás mód] (Kulcspárok és digitális tanúsítványok beállításainak konfigurálása).
[Érvényesség]
Határozza meg, hogy mennyi ideig tarthat egy IKE SA (ISAKMP SA) munkamenet. Az időtartamot percekben adhatja meg.
Határozza meg, hogy mennyi ideig tarthat egy IKE SA (ISAKMP SA) munkamenet. Az időtartamot percekben adhatja meg.
[Hitelesítés]/[Titkosítás]/[DH csoport]
Válasszon egy algoritmust a legördülő listából. A kulcscserében mindegyik algoritmus részt vesz.
Válasszon egy algoritmust a legördülő listából. A kulcscserében mindegyik algoritmus részt vesz.
|
[Hitelesítés]
|
Válasszon tördelő algoritmust.
|
|
[Titkosítás]
|
Válasszon titkosítási algoritmust.
|
|
[DH csoport]
|
Válassza ki a kulcs erősségét meghatározó Diffie-Hellman csoportot.
|
Hitelesítés előmegosztott kulccsal
|
1
|
Kattintson a [Előre megosztott kulcsos mód] választógombra a [Hitelesítési mód] mezőben, majd kattintson a [Megosztott kulcs beállításai] lehetőségre.
|
|
2
|
Adja meg legfeljebb 24 alfanumerikus karakterrel az előmegosztott kulcsot, majd kattintson az [OK] gombra.
 |
|
3
|
Adja meg az [Érvényesség] és [Hitelesítés]/[Titkosítás]/[DH csoport] beállításokat.
|
Hitelesítés kulcspárral és előre telepített hitelesítésszolgáltatói tanúsítvánnyal
|
1
|
Kattintson a [Digitális aláírás mód] választógombra a [Hitelesítési mód] mezőben, majd kattintson a [Kulcs és tanúsítvány] lehetőségre.
|
|
2
|
Kattintson a használni kívánt kulcspártól jobbra látható [Alapértelmezett kulcs bejegyzése] parancsra.
 Kulcspár vagy tanúsítvány részleteinek megtekintése
A [Kulcsnév] alatti megfelelő szöveges hivatkozásra vagy a tanúsítvány ikonjára kattintva megtekintheti a tanúsítvány részleteit, illetve ellenőrizheti a tanúsítványt. Kulcspárok és digitális tanúsítványok ellenőrzése
|
|
3
|
Adja meg az [Érvényesség] és [Hitelesítés]/[Titkosítás]/[DH csoport] beállításokat.
|
10
Adja meg az IPSec hálózati beállításokat.
[PFS használata]
Az IPSec-munkamenetkulcsok tökéletes továbbítási titkosságának (Perfect Forward Secrecy, PFS) engedélyezéséhez jelölje be a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növelheti a kommunikációs terhelést. Győződjön meg róla, hogy az PFS a többi eszközön is engedélyezve van.
Az IPSec-munkamenetkulcsok tökéletes továbbítási titkosságának (Perfect Forward Secrecy, PFS) engedélyezéséhez jelölje be a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növelheti a kommunikációs terhelést. Győződjön meg róla, hogy az PFS a többi eszközön is engedélyezve van.
[Megadás idővel]/[Megadás mérettel]
Állítsa be, hogy milyen feltételek esetén záruljanak le az IPSec SA-munkamenetek. Az IPSec SA kommunikációs csatornaként szolgál. Jelölje be szükség szerint valamelyik vagy mindkettő jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenet akkor zárul le, ha a kettő feltétel közül bármelyik teljesül.
Állítsa be, hogy milyen feltételek esetén záruljanak le az IPSec SA-munkamenetek. Az IPSec SA kommunikációs csatornaként szolgál. Jelölje be szükség szerint valamelyik vagy mindkettő jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenet akkor zárul le, ha a kettő feltétel közül bármelyik teljesül.
|
[Megadás idővel]
|
Adja meg, hogy hány percig tartson egy munkamenet.
|
|
[Megadás mérettel]
|
Adja meg, hogy hány megabájtnyi adatot lehessen továbbítani egy munkamenetben.
|
[Algoritmus kiválasztása]
Jelölje be az [ESP], [ESP (AES-GCM)] vagy [AH (SHA1)] jelölőnégyzet(ek)et a használt IPSec-fejlécnek és algoritmusnak megfelelően. Az AES-GCM olyan algoritmus, amely egyszerre hitelesítést és titkosítást is végez. Ha az [ESP] lehetőséget választja, akkor az [ESP-hitelesítés] és [ESP-titkosítás] legördülő listából válassza ki a hitelesítési és titkosítási algoritmusokat is.
Jelölje be az [ESP], [ESP (AES-GCM)] vagy [AH (SHA1)] jelölőnégyzet(ek)et a használt IPSec-fejlécnek és algoritmusnak megfelelően. Az AES-GCM olyan algoritmus, amely egyszerre hitelesítést és titkosítást is végez. Ha az [ESP] lehetőséget választja, akkor az [ESP-hitelesítés] és [ESP-titkosítás] legördülő listából válassza ki a hitelesítési és titkosítási algoritmusokat is.
|
[ESP-hitelesítés]
|
Az ESP-hitelesítés engedélyezéséhez válassza az [SHA1] lehetőséget tördelő algoritmusként. Ha le szeretné tiltani az ESP-hitelesítést, akkor válassza a [Ne használja] lehetőséget.
|
|
[ESP-titkosítás]
|
Válasszon titkosítási algoritmust az ESP számára. Választhatja a [NULL] lehetőséget, ha nem kívánja az algoritmust meghatározni, vagy a [Ne használja] lehetőséget, ha le kívánja tiltani az ESP-titkosítást.
|
[Csatlakozási mód]
Az IPSec csatlakozási módja látható. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
Az IPSec csatlakozási módja látható. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
11
Kattintson a [OK] gombra.
Ha további biztonsági házirendet kell regisztrálnia, akkor térjen vissza a 6. lépéshez.
12
Rendezze sorba a [Bejegyzett IPSec-házirendek] mezőben felsorolt házirendeket.
A készülék a legmagasabb pozíciótól kezdve a legalacsonyabbig alkalmazza a házirendeket. A házirendeket a [Fel] és [Le] gombbal helyezheti feljebb vagy lejjebb a listában.
Házirend szerkesztése
A szerkesztési képernyő megnyitásához kattintson a [Házirend neve] alatti megfelelő szöveges hivatkozásra.
Házirend törlése
Kattintson a törölni kívánt házirendnévtől jobbra látható [Törlés] elemre kattintson az [OK] gombra.
kattintson az [OK] gombra.13
Indítsa újra a készüléket.
Kapcsolja ki a készüléket, várjon legalább 10 másodpercet, majd kapcsolja be.
|
|
A kezelőpanel használatávalAz IPSec-kommunikációt a Főképernyő felületén, a <Menü> használatával is engedélyezheti vagy letilthatja. IPSec használata
|