IPSec-protokolli seadete konfigureerimine
Internetiprotokolli andmeturve (IPSec või IPsec) on standard andmete krüpteerimiseks edastamisel võrgus, sh internetis. Kui TLS krüptib ainult konkreetses rakenduses, nt veebibrauser või e-posti rakendus, kasutatavad andmed, krüptib IPSec kas kõik IP-paketid tervikuna või IP pakettide sõnumit sisaldav osa, pakkudes selle abil paindlikumat turbesüsteemi. IPsec masin töötab transpordirežiimis, kus krüpteeritakse IP pakettide sõnumit sisaldav osa. Selle funktsiooni abil saab seade ühenduda otse arvutisse mis on samas virtuaalses privaatvõrgus (VPN). Kontrollige süsteemi nõudeid ja määrake vajalik seadistus arvutis enne seadme seadistamist.
Süsteeminõuded
Seadme toetatav IPSec vastab dokumentide RFC2401, RFC2402, RFC2406 ja RFC4305 nõuetele.
|
Operatsioonisüsteem
|
Windows Vista / 7 / 8 / Server 2003 / Server 2008 / Server 2012
|
|
|
Ühendusrežiim
|
Transpordirežiim
|
|
|
Võtmevahetuse protokoll
|
IKEv1 (põhirežiim)
|
|
|
Autentimismeetod
|
Eelnevalt jaotatud võti
Digiallkiri
|
|
|
Räsialgoritm
(ja võtme pikkus) |
HMAC-SHA1-96
HMAC-SHA2 (256 või 384 bitti)
|
|
|
Krüptimisalgoritm
(ja võtme pikkus) |
3DES-CBC
AES-CBC (128, 192 või 256 bitti)
|
|
|
Võtmevahetuse algoritm/rühm (ja võtme pikkus)
|
Diffie-Hellman (DH)
1. rühm (768 bitti)
2. rühm (1024 bitti)
14. rühm (2048 bitti)
|
|
|
ESP
|
Räsialgoritm
|
HMAC-SHA1-96
|
|
Krüptimisalgoritm
(ja võtme pikkus) |
3DES-CBC
AES-CBC (128, 192 või 256 bitti)
|
|
|
Räsialgoritm/krüptimisalgoritm (ja võtme pikkus)
|
AES-GCM (128, 192 või 256 bitti)
|
|
|
AH
|
Räsialgoritm
|
HMAC-SHA1-96
|
 |
IPSec-protokolli funktsionaalsed piirangudIPSec toetab sidet ainusaateaadressiga (ehk ühe seadmega).
Seade ei saa kasutada samaaegselt nii IPSec-protokolli kui ka DHCPv6-protokolli.
IPSec-protokoll pole saadaval võrkudes, milles kasutatakse NAT- või IP-aadressi maskimist.
IPSec-protokolli kasutamine koos IP-aadressi filtrigaIP-aadressi filtri seaded rakendatakse enne IPSec-protokolli reegleid.IP-aadresside määramine tulemüüri reeglite jaoks
|
IPSec-protokolli seadete konfigureerimine
Enne IPSec-protokolli kasutamist krüptitud sides peate registreerima turbereeglid (SP). Turbereegel koosneb allpool kirjeldatud seadekogumitest. Registreerida saab kuni 10 reeglit. Pärast reeglite registreerimist määrake nende rakendamise järjestus.
Valits
Valits määratleb IPSec-side rakendamiseks vajalikud IP-pakettide tingimused. Valitavad tingimused hõlmavad seadme IP-aadresse ja pordinumbreid ning seadmeid, millega ühendus luuakse.
IKE
IKE konfigureerib võtmevahetuse protokollis kasutatava režiimi IKEv1. Võtke arvesse, et juhised võivad olenevalt valitud autentimisviisist erineda.
[Pre-Shared Key Method]
Teiste seadetega saab ühiskasutusse anda kuni 24-kohalise tähtedest ja numbritest koosneva võtme. Lubage enne selle autentimisviisi määramist rakenduse Remote UI (Kaugkasutajaliides) jaoks TLS (TLS-standardi abil krüptitud ühenduse lubamine rakenduse Remote UI (Kaugkasutajaliides) jaoks).
Teiste seadetega saab ühiskasutusse anda kuni 24-kohalise tähtedest ja numbritest koosneva võtme. Lubage enne selle autentimisviisi määramist rakenduse Remote UI (Kaugkasutajaliides) jaoks TLS (TLS-standardi abil krüptitud ühenduse lubamine rakenduse Remote UI (Kaugkasutajaliides) jaoks).
[Digital Signature Method]
See seade ja muud seadmed autendivad üksteist digitaalallkirjade vastastikuse kontrollimisega. Looge või installige eelnevalt võtmepaar (Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine).
See seade ja muud seadmed autendivad üksteist digitaalallkirjade vastastikuse kontrollimisega. Looge või installige eelnevalt võtmepaar (Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine).
AH/ESP
Määrake AH/ESP seaded, mis lisatakse IPSec-side käigus pakettidele. Päiseid AH ja ESP saab kasutada samaaegselt. Samuti saate valida, kas suurema turvalisuse nimel valida või mitte valida PFS.
1
Käivitage Remote UI (Kaugkasutajaliides) ja logige sisse süsteemihaldurirežiimis. Tarkvara Remote UI (Kaugkasutajaliides) käivitamine
2
Klõpsake klahvi [Settings/Registration].
3
Klõpsake nuppe [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Klõpsake klahvi [Edit].
5
Märkige ruut [Use IPSec] ja klõpsake nuppu [OK].
Kui soovite, et seade võtaks vastu ainult allpool esitatud juhendites määratletud turbereeglitele vastavaid pakette, tühjendage ruut [Receive Non-Policy Packets].
6
Klõpsake klahvi [Register New Policy].
7
Määrake reegli seaded.
|
1
|
Sisestage tekstiväljale [Policy Name] kuni 24-kohaline tähtedest ja numbritest koosnev nimi, mida kasutatakse reegli tuvastamiseks.
|
|
2
|
Märkige ruut [Enable Policy].
 |
8
Määrake valitsa seaded.
[Local Address]
Klõpsake reegli rakendamiseks seadme IP-aadressi tüübi raadionuppu.
Klõpsake reegli rakendamiseks seadme IP-aadressi tüübi raadionuppu.
|
[All IP Addresses]
|
Valige, et kasutada IPSec-protokolli kõikide IP-pakettide korral.
|
|
[IPv4 Address]
|
Valige kõikide IP-pakettide jaoks, mis saadetakse seadme IPv4-aadressile või sellelt aadressilt, IPSec.
|
|
[IPv6 Address]
|
Valige kõikide IP-pakettide jaoks, mis saadetakse seadme IPv6-aadressile või sellelt aadressilt, IPSec.
|
[Remote Address]
Klõpsake reegli rakendamiseks muude seadmete IP-aadressi tüübi raadionuppu.
Klõpsake reegli rakendamiseks muude seadmete IP-aadressi tüübi raadionuppu.
|
[All IP Addresses]
|
Valige, et kasutada IPSec-protokolli kõikide IP-pakettide korral.
|
|
[All IPv4 Addresses]
|
Valige kõikide IP-pakettide muu seadme IPv4 aadressilt või muu seadme IPv4 aadressile saatmiseks, IPSec.
|
|
[All IPv6 Addresses]
|
Valige kõikide IP-pakettide muu seadme IPv6 aadressilt või muu seadme IPv6 aadressile saatmiseks, IPSec.
|
|
[IPv4 Manual Settings]
|
Valige, et määrata üks IPv4-aadress või IPv4-aadresside vahemik, mille korral rakendatakse IPSec-protokolli. Sisestage IPv4-aadress (või vahemik) tekstiväljale [Addresses to Set Manually] .
|
|
[IPv6 Manual Settings]
|
Valige, et määrata üks IPv6-aadress või IPv6-aadresside vahemik, mille korral rakendatakse IPSec-protokolli. Sisestage IPv6-aadress (või vahemik) tekstiväljale [Addresses to Set Manually] .
|
[Addresses to Set Manually]
Kui [Remote Address] korral valitakse seaded [IPv4 Manual Settings] või [IPv6 Manual Settings], sisestage reegli rakendamiseks IP-aadress. Lisades aadresside vahele sidekriipsu saate sisestada ka aadressivahemiku.
Kui [Remote Address] korral valitakse seaded [IPv4 Manual Settings] või [IPv6 Manual Settings], sisestage reegli rakendamiseks IP-aadress. Lisades aadresside vahele sidekriipsu saate sisestada ka aadressivahemiku.
IP-aadressi sisestamine
|
Kirjeldus
|
Näide
|
|
|
Ühe aadressi sisestamine
|
IPv4:
eraldage numbrid punktidega. |
192.168.0.10
|
|
IPv6:
eraldage tähe- ja numbrimärgid koolonitega. |
fe80::10
|
|
|
Aadressivahemiku määramine
|
Eraldage aadressid sidekriipsuga.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
IPv4-aadresside käsitsi määramisel saate vahemikku väljendada alamvõrgu maski abil. Sisestage alamvõrgu mask, eraldades numbrid punktidega (nt: 255.255.255.240).
IPv4-aadresside käsitsi määramisel saate vahemikku väljendada alamvõrgu maski abil. Sisestage alamvõrgu mask, eraldades numbrid punktidega (nt: 255.255.255.240).
[Prefix Length]
IPv6-aadresside vahemiku käsitsi määramine võimaldab teil määrata prefiksi pikkuse abil vahemiku. Määrake prefiksi pikkuse vahemikuks 0 kuni 128.
IPv6-aadresside vahemiku käsitsi määramine võimaldab teil määrata prefiksi pikkuse abil vahemiku. Määrake prefiksi pikkuse vahemikuks 0 kuni 128.
[Local Port]/[Remote Port]
Kui soovite iga protokolli (nt HTTP või SMTP) jaoks luua eraldi reeglid, sisestage protokolli jaoks vastav pordinumber, et määrata, kas IPSec-protokolli kasutada või mitte.
Kui soovite iga protokolli (nt HTTP või SMTP) jaoks luua eraldi reeglid, sisestage protokolli jaoks vastav pordinumber, et määrata, kas IPSec-protokolli kasutada või mitte.
IPSeci ei rakendata järgmistele pakettidele
Tsükli-, multisaate- ja leviedastuspaketid
IKE paketid (mis kasutavad pordi 500 puhul UDP-d)
ICMPv6 naabri taotlemise ja naabri väljakuulutamise paketid
9
Määrake IKE seaded.
[IKE Mode]
Kuvatakse võtmevahetuse protokolli korral kasutatav režiim. Seade toetab põhirežiimi, mitte agressiivset režiimi.
Kuvatakse võtmevahetuse protokolli korral kasutatav režiim. Seade toetab põhirežiimi, mitte agressiivset režiimi.
[Authentication Method]
Valige [Pre-Shared Key Method] või [Digital Signature Method] masina autentimismeetodiks. Enne valikut peate lubama TLS rakenduse Remote UI (Kaugkasutajaliides) jaoks [Pre-Shared Key Method] (TLS-standardi abil krüptitud ühenduse lubamine rakenduse Remote UI (Kaugkasutajaliides) jaoks). Enne valikut peate looma või paigaldama võtmepaari [Digital Signature Method] (Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine).
Valige [Pre-Shared Key Method] või [Digital Signature Method] masina autentimismeetodiks. Enne valikut peate lubama TLS rakenduse Remote UI (Kaugkasutajaliides) jaoks [Pre-Shared Key Method] (TLS-standardi abil krüptitud ühenduse lubamine rakenduse Remote UI (Kaugkasutajaliides) jaoks). Enne valikut peate looma või paigaldama võtmepaari [Digital Signature Method] (Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine).
[Valid for]
Määrake IKE SA seansi kestus (ISAKMP SA). Sisestage minutite arv.
Määrake IKE SA seansi kestus (ISAKMP SA). Sisestage minutite arv.
[Authentication]/[Encryption]/[DH Group]
Valige ripploendist algoritm. Iga algoritmi kasutatakse võtmevahetuses.
Valige ripploendist algoritm. Iga algoritmi kasutatakse võtmevahetuses.
|
[Authentication]
|
Valige räsialgoritm.
|
|
[Encryption]
|
Valige krüptimisalgoritm.
|
|
[DH Group]
|
Valige võtme tugevuse määramiseaks Diffie-Hellmani rühm.
|
Autentimine eelnevalt jaotatud võtme abil
|
1
|
Klõpsake seade [Authentication Method] raadionuppu [Pre-Shared Key Method] ja seejärel üksust [Shared Key Settings].
|
|
2
|
Sisestage kuni 24-kohaline tähtedest ja numbritest koosnev eelnevalt jaotatud võti ja seejärel klõpsake nuppu [OK].
 |
|
3
|
Määrake seadete [Valid for] ja [Authentication]/[Encryption]/[DH Group] väärtused.
|
Võtmepaari ja eelinstallitud CA-sertifikaatide kasutamine autentimiseks
|
1
|
Klõpsake seade [Authentication Method] raadionuppu [Digital Signature Method] ja seejärel üksust [Key and Certificate].
|
|
2
|
Klõpsake kasutatavast võtmepaarist paremal asuvat nuppu [Register Default Key].
 Võtmepaari või sertifikaadi üksikasjade vaatamine
Klõpsates rea [Key Name] all asuvat vastavat tekstilinki või sertifikaadi ikooni saate kontrollida sertifikaati või selle üksikasju. Võtmepaaride ja digitaalsete sertifikaatide kontrollimine
|
|
3
|
Määrake seadete [Valid for] ja [Authentication]/[Encryption]/[DH Group] väärtused.
|
10
Määrake IPSec-protokolli võrguseaded.
[Use PFS]
IPSeci seansivõtmete jaoks PFS-i lubamiseks märkige see ruut. PFS-i lubamine suurendab turvalisust, ent samal ajal ka sidekoormust. Veenduge, et PFS on lubatud ka muude seadmete jaoks.
IPSeci seansivõtmete jaoks PFS-i lubamiseks märkige see ruut. PFS-i lubamine suurendab turvalisust, ent samal ajal ka sidekoormust. Veenduge, et PFS on lubatud ka muude seadmete jaoks.
[Specify by Time]/[Specify by Size]
Määrake IPSec SA seansi lõpetamise tingimused. IPSec SA-d kasutatakse sidetunnelina. Vajadusel märkige kas üks ruut või mõlemad ruudud. Kui märgitakse mõlemad ruudu, lõpetatakse IPSec SA seanss, kui üks neist kahest tingimusest on täidetud.
Määrake IPSec SA seansi lõpetamise tingimused. IPSec SA-d kasutatakse sidetunnelina. Vajadusel märkige kas üks ruut või mõlemad ruudud. Kui märgitakse mõlemad ruudu, lõpetatakse IPSec SA seanss, kui üks neist kahest tingimusest on täidetud.
|
[Specify by Time]
|
Sisestage seansi kestus minutites.
|
|
[Specify by Size]
|
Sisestage seansi jooksul transporditavate andmete maht megabaitides.
|
[Select Algorithm]
Olenevalt kasutatavast IPSec-päisest ja algoritmist märkige ruut (ruudud) [ESP], [ESP (AES-GCM)] või [AH (SHA1)]. AES-GCM on algoritm nii autentimiseks kui ka krüptimiseks. [ESP]valimise korral valige ka autentimis- ja krüptimisalgoritmid rippmenüüdest [ESP Authentication] ja [ESP Encryption].
Olenevalt kasutatavast IPSec-päisest ja algoritmist märkige ruut (ruudud) [ESP], [ESP (AES-GCM)] või [AH (SHA1)]. AES-GCM on algoritm nii autentimiseks kui ka krüptimiseks. [ESP]valimise korral valige ka autentimis- ja krüptimisalgoritmid rippmenüüdest [ESP Authentication] ja [ESP Encryption].
|
[ESP Authentication]
|
ESP autentimise lubamiseks valige räsialgoritmiks [SHA1]. Kui soovite ESP autentimise keelata, valige väärtus [Do Not Use].
|
|
[ESP Encryption]
|
Valige ESP krüptimisalgoritm. Kui te ei soovi algoritmi määrata, valige [NULL] või kui soovite ESP-krüptimise keelata, valige [Do Not Use].
|
[Connection Mode]
Kuvatakse IPSec-protokolli ühendusrežiim. Seade toetab transpordirežiimi, milles IP-pakettide kogumid on krüptitud. Tunnelirežiim, milles terved IP-paketid (päised ja kogumid) on kapseldatud, pole saadaval.
Kuvatakse IPSec-protokolli ühendusrežiim. Seade toetab transpordirežiimi, milles IP-pakettide kogumid on krüptitud. Tunnelirežiim, milles terved IP-paketid (päised ja kogumid) on kapseldatud, pole saadaval.
11
Klõpsake klahvi [OK].
Täiendava turbereegli registreerimiseks naaske juhise 6 juurde.
12
Määrake loendis [Registered IPSec Policies] loetletud reeglite järjestus.
Reegleid rakendatakse alates loendi esimesest üksusest kuni viimaseni. Reegli liigutamiseks loendis üles või alla klõpsake nuppe [Up] või [Down].
Reegli redigeerimine
Klõpsake redigeerimiskuval rea [Policy Name] all olevat tekstilinki.
Reegli kustutamine
Klõpsake kustutatavast reegli nimest paremal nuppu [Delete] ja seejärel klõpsake nuppu [OK].
klõpsake nuppu [OK].13
Taaskäivitage seade.
Lülitage seade välja, oodake vähemalt 10 sekundit ning lülitage seejärel uuesti sisse.
|
|
Juhtpaneeli kasutamineIPSec suhtust saate lubada või keelata ka menüüst <Menüü> kuval Avamenüü . IPSec-i kasutus
|