Konfiguracija nastavitev IPSec
Internet Protocol Security (IPSec ali IPsec) je nabor protokolov za šifriranje podatkov, ki se prenašajo prek omrežja, vključno z internetnimi omrežji. Medtem ko TLS šifrira samo podatke, uporabljene v določenem programu, na primer spletnem brskalniku ali e-poštnem odjemalcu, IPSec šifrira bodisi vse pakete ali vsebino paketov IP in je zato bolj univerzalen varnostni sistem. IPSec naprave deluje v prenosnem načinu (transport mode), v katerem so vsebine paketov IP šifrirane. S to funkcijo se naprava lahko neposredno poveže z računalnikom, ki je v istem navideznem zasebnem omrežju (VPN). Preverite sistemske zahteve in nastavite potrebno konfiguracijo na računalniku, še preden konfigurirate napravo.
Sistemske zahteve
IPSec, ki ga podpira naprava, je v skladu z RFC2401, RFC2402, RFC2406 in RFC4305.
|
Operacijski sistem
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Način povezave
|
Način prenosa
|
|
|
Protokol za izmenjavo ključev
|
IKEv1 (glavni način)
|
|
|
Način overjanja
|
Souporabljeni ključ
Digitalni podpis
|
|
|
Razpršilni algoritem
(in dolžina ključa) |
HMAC-SHA1-96
HMAC-SHA2 (256 ali 384 bitov)
|
|
|
Šifrirni algoritem
(in dolžina ključa) |
3DES-CBC
AES-CBC (128, 192 ali 256 bitov)
|
|
|
Algoritem/skupina izmenjave ključev (in dolžina ključa)
|
Diffie-Hellman (DH)
Skupina 1 (768 bitov)
Skupina 2 (1024 bitov)
Skupina 14 (2048 bitov)
|
|
|
ESP
|
Razpršilni algoritem
|
HMAC-SHA1-96
|
|
Šifrirni algoritem
(in dolžina ključa) |
3DES-CBC
AES-CBC (128, 192 ali 256 bitov)
|
|
|
Razpršilni/šifrirni algoritem (in dolžina ključa)
|
AES-GCM (128, 192 ali 256 bitov)
|
|
|
AH
|
Razpršilni algoritem
|
HMAC-SHA1-96
|
 |
Omejitve funkcije IPSecIPSec podpira komunikacijo z enovrstnim naslovom (ali eno napravo).
Naprava ne more hkrati uporabljati IPSec in DHCPv6.
V omrežjih z NAT ali masko IP funkcija IPSec ni na voljo.
Uporaba funkcije IPSec s filtrom naslovov IPNastavitve filtriranja naslovov IP se uveljavijo pred pravilniki IPSec.Določanje naslovov IP za pravila požarnih zidov
|
Konfiguracija nastavitev IPSec
Preden uporabite IPSec za šifrirano komunikacijo, morate registrirati varnostne pravilnike (SP). Varnostni pravilnik vključuje spodaj opisane skupine nastavitev. Registrirate lahko največ 10 pravilnikov. Po registraciji pravilnikov izberite vrstni red, v katerem bodo uveljavljeni.
Izbirnik
Izbirnik določa pogoje, v katerih bodo paketi IP uporabili komunikacijo IPSec. Pogoji vključujejo naslove IP in številke vrat naprave ter naprave za komunikacijo.
IKE
IKE konfigurira protokol za izmenjavo ključev IKEv1. Upoštevajte, da so navodila lahko drugačna, odvisno od izbranega načina overjanja.
[Pre-Shared Key Method]
Tipkovnica z največ 24 alfanumeričnimi znaki se lahko uporablja tudi z drugimi napravami. Vklopite TLS za Remote UI (Oddaljeni uporabniški vmesnik), še preden določite to metodo overjanja (Vklop šifrirane komunikacije TLS za Remote UI (Oddaljeni uporabniški vmesnik)).
Tipkovnica z največ 24 alfanumeričnimi znaki se lahko uporablja tudi z drugimi napravami. Vklopite TLS za Remote UI (Oddaljeni uporabniški vmesnik), še preden določite to metodo overjanja (Vklop šifrirane komunikacije TLS za Remote UI (Oddaljeni uporabniški vmesnik)).
[Digital Signature Method]
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Prej ustvarite ali namestite par ključev (Konfiguriranje nastavitev za pare ključev in digitalna potrdila).
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Prej ustvarite ali namestite par ključev (Konfiguriranje nastavitev za pare ključev in digitalna potrdila).
AH/ESP
Določite nastavitve za AH/ESP, ki se paketom doda med komunikacijo IPSec. AH in ESP lahko uporabljate hkrati. Izberete lahko tudi, ali želite za večjo varnost omogočiti PFS.
1
Zaženite Remote UI (Oddaljeni uporabniški vmesnik) in se prijavite v načinu upravitelja sistema. Zagon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)
2
Kliknite [Settings/Registration].
3
Kliknite [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Kliknite [Edit].
5
Potrdite polje [Use IPSec] in kliknite [OK].
Če želite, da naprava sprejema samo tiste pakete, ki ustrezajo kateremu od varnostnih pravilnikov, ki jih določite po spodnjem postopku, počistite polje [Receive Non-Policy Packets].
6
Kliknite [Register New Policy].
7
Določite nastavitve pravilnika.
|
1
|
V besedilno polje [Policy Name] vnesite največ 24 alfanumeričnih znakov za ime, ki se bo uporabljalo za identifikacijo pravilnika.
|
|
2
|
Potrdite polje [Enable Policy].
 |
8
Določite nastavitve izbirnika.
[Local Address]
Kliknite izbirni gumb pred vrsto naslova IP naprave, za katero bo veljal pravilnik.
Kliknite izbirni gumb pred vrsto naslova IP naprave, za katero bo veljal pravilnik.
|
[All IP Addresses]
|
Izberite, če želite IPSec uporabiti za vse pakete IP.
|
|
[IPv4 Address]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo z naslova IPv4 naprave ali prejmejo nanj.
|
|
[IPv6 Address]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo z naslova IPv6 naprave ali prejmejo nanj.
|
[Remote Address]
Kliknite izbirni gumb pred vrsto naslova IP drugih naprav, za katere bo veljal pravilnik.
Kliknite izbirni gumb pred vrsto naslova IP drugih naprav, za katere bo veljal pravilnik.
|
[All IP Addresses]
|
Izberite, če želite IPSec uporabiti za vse pakete IP.
|
|
[All IPv4 Addresses]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo iz naslova IPv4 drugih naprav ali prejmejo nanj.
|
|
[All IPv6 Addresses]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo iz naslova IPv6 drugih naprav ali prejmejo nanj.
|
|
[IPv4 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv4 ali razpon naslovov IPv4, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv4 v besedilno polje [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv6 ali razpon naslovov IPv6, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv6 v besedilno polje [Addresses to Set Manually].
|
[Addresses to Set Manually]
Če je za [Remote Address] izbrano [IPv4 Manual Settings] ali [IPv6 Manual Settings], vnesite naslov IP, da pravilnik uveljavite. Vnesete lahko tudi razpon naslovov, tako da jih ločite z vezaji.
Če je za [Remote Address] izbrano [IPv4 Manual Settings] ali [IPv6 Manual Settings], vnesite naslov IP, da pravilnik uveljavite. Vnesete lahko tudi razpon naslovov, tako da jih ločite z vezaji.
Vnos naslovov IP
|
Opis
|
Primer
|
|
|
Vnos posameznega naslova
|
IPv4:
Med številke vnesite pike. |
192.168.0.10
|
|
IPv6:
Med alfanumerične znake vnesite dvopičja. |
fe80::10
|
|
|
Določanje razpona naslovov
|
Med naslove vnesite vezaje.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Če naslov IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
Če naslov IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
[Prefix Length]
Če ročno izberete razpon naslovov IPv6, lahko izberete tudi razpon s predponami. Vnesite razpon med 0 in 128 za dolžino predpone.
Če ročno izberete razpon naslovov IPv6, lahko izberete tudi razpon s predponami. Vnesite razpon med 0 in 128 za dolžino predpone.
[Local Port]/[Remote Port]
Če želite ustvariti ločene pravilnike za vsak protokol, na primer HTTP ali SMTP, vnesite ustrezno številko vrat za protokol, da določite, ali se bo IPSec uporabljal.
Če želite ustvariti ločene pravilnike za vsak protokol, na primer HTTP ali SMTP, vnesite ustrezno številko vrat za protokol, da določite, ali se bo IPSec uporabljal.
IPSec ne velja za naslednje pakete
Pakete s povratno zanko, večvrstno oddajanje in oddajanje
Pakete IKE (ki uporabljajo UDP na vratih 500)
Pakete ICMPv6 za spodbujanje sosednjih odjemalcev in oglaševanje
9
Določite nastavitve za IKE.
[IKE Mode]
Prikaže se uporabljeni način za protokol izmenjave ključev. Naprava podpira glavni način, agresivnega načina pa ne.
Prikaže se uporabljeni način za protokol izmenjave ključev. Naprava podpira glavni način, agresivnega načina pa ne.
[Authentication Method]
Izberite [Pre-Shared Key Method] ali [Digital Signature Method] za metodo, ki se uporablja pri overjanju naprave. TLS za Remote UI (Oddaljeni uporabniški vmesnik) morate vklopiti, še preden izberete [Pre-Shared Key Method] (Vklop šifrirane komunikacije TLS za Remote UI (Oddaljeni uporabniški vmesnik)). Par ključev morate ustvariti ali namestiti, še preden izberete [Digital Signature Method] (Konfiguriranje nastavitev za pare ključev in digitalna potrdila).
Izberite [Pre-Shared Key Method] ali [Digital Signature Method] za metodo, ki se uporablja pri overjanju naprave. TLS za Remote UI (Oddaljeni uporabniški vmesnik) morate vklopiti, še preden izberete [Pre-Shared Key Method] (Vklop šifrirane komunikacije TLS za Remote UI (Oddaljeni uporabniški vmesnik)). Par ključev morate ustvariti ali namestiti, še preden izberete [Digital Signature Method] (Konfiguriranje nastavitev za pare ključev in digitalna potrdila).
[Valid for]
Določite, kako dolga bo seja za IKE SA (ISAKMP SA). Čas vnesite v minutah.
Določite, kako dolga bo seja za IKE SA (ISAKMP SA). Čas vnesite v minutah.
[Authentication]/[Encryption]/[DH Group]
Na spustnem seznamu izberite algoritem. Vsak algoritem se uporablja pri izmenjavi ključev.
Na spustnem seznamu izberite algoritem. Vsak algoritem se uporablja pri izmenjavi ključev.
|
[Authentication]
|
Izberite razpršilni algoritem.
|
|
[Encryption]
|
Izberite algoritem kodiranja.
|
|
[DH Group]
|
Izberite skupino Diffie-Hellman, ki določa moč ključa.
|
Uporaba ključa v vnaprejšnji skupni rabi za overjanje
|
1
|
Kliknite izbirni gumb [Pre-Shared Key Method] za [Authentication Method] in nato [Shared Key Settings].
|
|
2
|
Vnesite največ 24 alfanumeričnih znakov za ključ v vnaprejšnji skupni rabi in kliknite [OK].
 |
|
3
|
Določite nastavitvi [Valid for] in [Authentication]/[Encryption]/[DH Group].
|
S parom ključev in vnaprej nameščenimi potrdili CA za overjanje
|
1
|
Kliknite izbirni gumb [Digital Signature Method] za [Authentication Method] in nato [Key and Certificate].
|
|
2
|
Kliknite [Register Default Key] desno od para ključev, ki ga želite uporabiti.
 Ogled podrobnosti para ključev ali potrdila
Če kliknete ustrezno besedilno povezavo pod [Key Name] ali ikono potrdila, si lahko ogledate podrobnosti potrdila ali ga preverite. Preverjanje parov ključev in digitalnih potrdil
|
|
3
|
Določite nastavitvi [Valid for] in [Authentication]/[Encryption]/[DH Group].
|
10
Določite omrežne nastavitve IPSec.
[Use PFS]
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave.
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave.
[Specify by Time]/[Specify by Size]
Nastavite pogoje za prekinitev seje za IPSec SA. IPSec SA se uporablja kot tunel za komunikacijo. Po želji potrdite eno ali obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
Nastavite pogoje za prekinitev seje za IPSec SA. IPSec SA se uporablja kot tunel za komunikacijo. Po želji potrdite eno ali obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
|
[Specify by Time]
|
Vnesite čas v minutah, da določite trajanje seje.
|
|
[Specify by Size]
|
Vnesite velikost v megabajtih, da določite, koliko podatkov se lahko prenese v seji.
|
[Select Algorithm]
Potrdite polje(a) [ESP], [ESP (AES-GCM)] ali [AH (SHA1)], odvisno od glave IPSec in uporabljenega algoritma. AES-GCM je algoritem za overjanje in šifriranje. Če izberete [ESP], na spustnih seznamih [ESP Authentication] in [ESP Encryption] izberite še algoritma za overjanje in šifriranje.
Potrdite polje(a) [ESP], [ESP (AES-GCM)] ali [AH (SHA1)], odvisno od glave IPSec in uporabljenega algoritma. AES-GCM je algoritem za overjanje in šifriranje. Če izberete [ESP], na spustnih seznamih [ESP Authentication] in [ESP Encryption] izberite še algoritma za overjanje in šifriranje.
|
[ESP Authentication]
|
Za vklop overjanja ESP izberite razpršilni algoritem [SHA1]. Izberite [Do Not Use], če želite onemogočiti overjanje ESP.
|
|
[ESP Encryption]
|
Izberite algoritem kodiranja za ESP. Izberite [NULL], če ne želite določiti algoritma, ali pa izberite [Do Not Use], če želite onemogočiti kodiranje ESP.
|
[Connection Mode]
Prikaže se način povezave za IPSec. Naprava podpira način prenosa, v katerem se vsebina paketov IP šifrira. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
Prikaže se način povezave za IPSec. Naprava podpira način prenosa, v katerem se vsebina paketov IP šifrira. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
11
Kliknite [OK].
Če želite registrirati dodaten varnostni pravilnik, se vrnite na 6. korak.
12
Razvrstite pravilnike, navedene v [Registered IPSec Policies].
Pravilniki se uveljavijo od tistega na najvišjem položaju do najnižjega. Kliknite [Up] ali [Down], da pravilnik pomaknete višje ali nižje.
Urejanje pravilnika
Kliknite ustrezno besedilno povezavo pod [Policy Name], da odprete zaslon za urejanje.
Brisanje pravilnika
Kliknite [Delete] desno od imena pravilnika, ki ga želite izbrisati kliknite [OK].
kliknite [OK].13
Vnovič zaženite napravo.
Izklopite napravo in počakajte vsaj 10 sekund, nato jo znova vklopite.
|
|
Uporaba operacijske ploščeKomunikacijo IPSec lahko omogočite ali onemogočite tudi z možnostjo <Meni> na zaslonu Domov. Uporabi IPSec
|