Konfiguriranje postavki za IPSec
Sigurnosni protokol za zaštitu mreže (IPSec ili IPsec) predstavlja skup protokola za šifriranje podataka koji se prenose preko mreže, uključujući internetske mreže. Dok TLS šifrira samo podatke koji se koriste u određenoj aplikaciji, kao što je mrežni preglednik ili aplikacija za elektroničku poštu, IPSec šifrira cijele pakete IP ili njihov sadržaj te tako nudi prilagodljiviji sigurnosni sustav. IPSec uređaja funkcionira u načinu prijenosa, u kojem se sadržaj paketa IP šifrira. Uz tu se značajku uređaj može izravno povezati s računalom u istoj virtualnoj privatnoj mreži (VPN-u). Prije konfiguriranja uređaja provjerite sistemske preduvjete i postavite potrebnu konfiguraciju na računalu.
Sistemski preduvjeti
IPSec koji uređaj podržava usklađen je sa standardima RFC2401, RFC2402, RFC2406 i RFC4305.
|
Operacijski sustav
|
Windows Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Način povezivanja
|
način prijenosa
|
|
|
Protokol razmjene ključeva
|
IKEv1 (glavni način)
|
|
|
Način provjere autentičnosti
|
Unaprijed razmijenjeni ključ
Digitalni potpis
|
|
|
Algoritam raspršivanja
(i duljina ključa) |
HMAC-SHA1-96
HMAC-SHA2 (256-bitni ili 384-bitni)
|
|
|
algoritam šifriranja
(i duljina ključa) |
3DES-CBC
AES-CBC (128-bitni, 192-bitni ili 256-bitni)
|
|
|
algoritam razmjene ključeva / grupa (i duljina ključa)
|
Diffie-Hellman (DH)
grupa 1 (768-bitni)
grupa 2 (1024-bitni)
grupa 14 (2048-bitni)
|
|
|
ESP
|
algoritam raspršivanja
|
HMAC-SHA1-96
|
|
algoritam šifriranja
(i duljina ključa) |
3DES-CBC
AES-CBC (128-bitni, 192-bitni ili 256-bitni)
|
|
|
algoritam raspršivanja / algoritam šifriranja (i duljina ključa)
|
AES-GCM (128-bitni, 192-bitni ili 256-bitni)
|
|
|
AH
|
algoritam raspršivanja
|
HMAC-SHA1-96
|
 |
Funkcionalna ograničenja protokola IPSecIPSec podržava komunikaciju s jednosmjernom adresom (ili jednim uređajem).
Uređaj ne može istodobno koristiti IPSec i DHCPv6.
IPSec nije dostupan u mrežama s implementiranim NAT ili IP maskiranjem.
Korištenje protokola IPSec s filtrom IP adresaPrije IPSec pravilnika primjenjuju se postavke filtra IP adresa. Definiranje IP adresa za pravila vatrozida
|
Konfiguriranje postavki za IPSec
Prije korištenja protokola IPSec za šifriranu komunikaciju potrebno je registrirati sigurnosna pravila. Sigurnosna se pravila sastoje od grupa postavki koje su opisane u nastavku. Moguće je registrirati najviše 10 pravila. Nakon registriranja pravila definirajte redoslijed kojim se primjenjuju.
Alat za odabir
Alat za odabir definira uvjete za IP pakete koji se primjenjuju na IPSec komunikaciju. Uvjeti koji se mogu odabrati obuhvaćaju IP adrese i brojeve priključaka na uređaju i ostalim uređajima za komunikaciju.
IKE
IKE konfigurira IKEv1 koji se koristi za protokol razmjene ključeva. Imajte na umu da upute ovise o odabranom načinu provjere autentičnosti.
[Pre-Shared Key Method]
S drugim je uređajima može se podijeliti ključ od najviše 24 alfanumerička znaka. Prije nogo što definirate tu metodu provjere autentičnosti za korisničko sučelje za daljinski pristup (Omogućivanje razmjene podataka šifrirane TLS-om za korisničko sučelje za daljinski pristup), omogućite TLS.
S drugim je uređajima može se podijeliti ključ od najviše 24 alfanumerička znaka. Prije nogo što definirate tu metodu provjere autentičnosti za korisničko sučelje za daljinski pristup (Omogućivanje razmjene podataka šifrirane TLS-om za korisničko sučelje za daljinski pristup), omogućite TLS.
[Digital Signature Method]
Uređaj i drugi uređaji međusobno potvrđuju svoje digitalne potpise i tako si potvrđuju autentičnost. Unaprijed generirajte ili instalirajte par ključeva (Konfiguriranje postavki za parove ključeva i digitalne certifikate).
Uređaj i drugi uređaji međusobno potvrđuju svoje digitalne potpise i tako si potvrđuju autentičnost. Unaprijed generirajte ili instalirajte par ključeva (Konfiguriranje postavki za parove ključeva i digitalne certifikate).
AH/ESP
Definirajte postavke za zaglavlje AH/ESP koje se dodaje u pakete tijekom IPSec komunikacije. AH i ESP mogu se koristiti istodobno. Možete odabrati i želite li omogućiti PFS radi veće sigurnosti.
1
Pokrenite Remote UI (Korisničko sučelje za daljinski pristup) i prijavite se u načinu rada za upravitelja sustava. Pokretanje sučelja Remote UI (Korisničko sučelje za daljinski pristup)
2
Kliknite [Settings/Registration].
3
Kliknite [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Kliknite [Edit].
5
Potvrdite okvir [Use IPSec], a zatim kliknite [OK].
Ako želite da uređaj prima samo one pakete koji odgovaraju nekom od sigurnosnih pravilnika koje definirate u koracima u nastavku, poništite potvrdni okvir [Receive Non-Policy Packets].
6
Kliknite [Register New Policy].
7
Definirajte postavke pravila.
|
1
|
U tekstni okvir [Policy Name] unesite najviše 24 znaka za naziv koji se koristi za prepoznavanje pravila.
|
|
2
|
Potvrdite okvir [Enable Policy].
 |
8
Definirajte postavke alata za odabir.
[Local Address]
Kliknite izborni gumb za vrstu IP adrese uređaja da biste primijenili pravila.
Kliknite izborni gumb za vrstu IP adrese uređaja da biste primijenili pravila.
|
[All IP Addresses]
|
Odaberite da biste IPSec koristili za sve IP pakete.
|
|
[IPv4 Address]
|
Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv4 adresu uređaja ili s nje.
|
|
[IPv6 Address]
|
Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv6 adresu uređaja ili s nje.
|
[Remote Address]
Kliknite izborni gumb za vrstu IP adrese drugih uređaja da biste primijenili pravila.
Kliknite izborni gumb za vrstu IP adrese drugih uređaja da biste primijenili pravila.
|
[All IP Addresses]
|
Odaberite da biste IPSec koristili za sve IP pakete.
|
|
[All IPv4 Addresses]
|
Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv4 adresu drugih uređaja ili s nje.
|
|
[All IPv6 Addresses]
|
Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv6 adresu drugih uređaja ili s nje.
|
|
[IPv4 Manual Settings]
|
Odaberite da biste definirali IPv4 adresu ili raspon IPv4 adresa za primjenu protokola IPSec. Unesite IPv4 adresu (ili raspon) u tekstni okvir [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Odaberite da biste definirali IPv6 adresu ili raspon IPv6 adresa za primjenu protokola IPSec. Unesite IPv6 adresu (ili raspon) u tekstni okvir [Addresses to Set Manually].
|
[Addresses to Set Manually]
Ako je za mogućnost [Remote Address] odabrano [IPv4 Manual Settings] ili [IPv6 Manual Settings], unesite IP adresu za primjenu pravila. Raspon adresa možete unijeti i umetanjem crtice između adresa.
Ako je za mogućnost [Remote Address] odabrano [IPv4 Manual Settings] ili [IPv6 Manual Settings], unesite IP adresu za primjenu pravila. Raspon adresa možete unijeti i umetanjem crtice između adresa.
Unos IP adresa
|
Opis
|
Primjer
|
|
|
Unos jedne adrese
|
IPv4:
Brojeve odvojite točkama. |
192.168.0.10
|
|
IPv6:
Alfanumeričke znakove odvojite dvotočkama. |
fe80::10
|
|
|
Definiranje raspona adresa
|
Između adresa umetnite crticu.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Prilikom ručnog unosa IPv4 adresa raspon se može izraziti pomoću maske podmreže. Unesite masku podmreže i koristite točke da biste odijelili brojeve (primjer: "255.255.255.240").
Prilikom ručnog unosa IPv4 adresa raspon se može izraziti pomoću maske podmreže. Unesite masku podmreže i koristite točke da biste odijelili brojeve (primjer: "255.255.255.240").
[Prefix Length]
Ručno definiranje raspona IPv6 adresa omogućuje vam definiranje raspona uz pomoć prefiksa. Unesite raspon između 0 i 128 za duljinu prefiksa.
Ručno definiranje raspona IPv6 adresa omogućuje vam definiranje raspona uz pomoć prefiksa. Unesite raspon između 0 i 128 za duljinu prefiksa.
[Local Port]/[Remote Port]
Ako želite stvoriti zasebna pravila za svaki protokol, npr. HTTP ili SMTP, unesite odgovarajući broj priključka za svaki protokol da biste definirali treba li koristiti IPSec.
Ako želite stvoriti zasebna pravila za svaki protokol, npr. HTTP ili SMTP, unesite odgovarajući broj priključka za svaki protokol da biste definirali treba li koristiti IPSec.
IPSec se ne primjenjuje na sljedeće pakete
povratne, višesmjerne i emitirane pakete
IKE pakete (koriste UDP na priključku 500)
ICMPv6 pakete susjednog poticanja i oglašavanja
9
Definirajte postavke protokola IKE.
[IKE Mode]
Prikazuje se način rada koji se koristi za protokol razmjene ključeva. Uređaj podržava glavni način rada, ali ne i agresivan način.
Prikazuje se način rada koji se koristi za protokol razmjene ključeva. Uređaj podržava glavni način rada, ali ne i agresivan način.
[Authentication Method]
Odaberite [Pre-Shared Key Method] ili [Digital Signature Method] kao način provjere autentičnosti uređaja. Morate omogućiti TLS za korisničko sučelje za daljinski pristup prije nego što odaberete [Pre-Shared Key Method] (Omogućivanje razmjene podataka šifrirane TLS-om za korisničko sučelje za daljinski pristup). Morate generirati ili instalirati par ključeva prije nego što odaberete [Digital Signature Method] (Konfiguriranje postavki za parove ključeva i digitalne certifikate).
Odaberite [Pre-Shared Key Method] ili [Digital Signature Method] kao način provjere autentičnosti uređaja. Morate omogućiti TLS za korisničko sučelje za daljinski pristup prije nego što odaberete [Pre-Shared Key Method] (Omogućivanje razmjene podataka šifrirane TLS-om za korisničko sučelje za daljinski pristup). Morate generirati ili instalirati par ključeva prije nego što odaberete [Digital Signature Method] (Konfiguriranje postavki za parove ključeva i digitalne certifikate).
[Valid for]
Definirajte koliko dugo traje sesija za IKE SA (ISAKMP SA). Unesite vrijeme u minutama.
Definirajte koliko dugo traje sesija za IKE SA (ISAKMP SA). Unesite vrijeme u minutama.
[Authentication]/[Encryption]/[DH Group]
S padajućeg popisa odaberite algoritam. Svaki se algoritam koristi u razmjeni ključeva.
S padajućeg popisa odaberite algoritam. Svaki se algoritam koristi u razmjeni ključeva.
|
[Authentication]
|
Odaberite algoritam raspršivanja.
|
|
[Encryption]
|
Odaberite algoritam šifriranja.
|
|
[DH Group]
|
Odaberite Diffie-Hellmanovu grupu kojom se definira jačina ključa.
|
Korištenje unaprijed razmijenjenog ključa za provjeru autentičnosti
|
1
|
Za mogućnost [Authentication Method] kliknite izborni gumb [Pre-Shared Key Method], a zatim [Shared Key Settings].
|
|
2
|
Unesite najviše 24 alfanumerička znaka za unaprijed razmijenjeni ključ, a zatim kliknite na [OK].
 |
|
3
|
Definirajte postavke za [Valid for] i [Authentication]/[Encryption]/[DH Group].
|
Korištenje para ključeva i unaprijed instaliranih certifikata CA za provjeru autentičnosti
|
1
|
Za mogućnost [Authentication Method] kliknite izborni gumb [Digital Signature Method], a zatim [Key and Certificate].
|
|
2
|
Desno od para ključeva koji želite koristiti kliknite [Register Default Key].
 Prikaz detalja o paru ključeva ili certifikatu
Klikom na odgovarajuću tekstnu vezu u odjeljku [Key Name] ili ikonu certifikata možete pogledati detalje certifikata ili provjeriti certifikat. Potvrda parova ključeva i digitalnih certifikata
|
|
3
|
Definirajte postavke za [Valid for] i [Authentication]/[Encryption]/[DH Group].
|
10
Definirajte mrežne postavke za IPSec.
[Use PFS]
Potvrdite okvir da biste omogućili savršenu tajnost prosljeđivanja (Perfect Forward Secrecy, PFS) za ključeve IPSec sesije. Omogućivanjem PFS-a poboljšava se sigurnost, ali i povećava opterećenje komunikacije. Provjerite je li PFS omogućen i na ostalim uređajima.
Potvrdite okvir da biste omogućili savršenu tajnost prosljeđivanja (Perfect Forward Secrecy, PFS) za ključeve IPSec sesije. Omogućivanjem PFS-a poboljšava se sigurnost, ali i povećava opterećenje komunikacije. Provjerite je li PFS omogućen i na ostalim uređajima.
[Specify by Time]/[Specify by Size]
Postavite uvjete za prekid sesije za IPSec dodjelu sigurnosti (SA). IPSec SA koristi se kao komunikacijski tunel. Po potrebi potvrdite jedan ili oba okvira. Ako su potvrđena oba okvira, IPSec SA sesija prekida se kada se ispuni jedan od uvjeta.
Postavite uvjete za prekid sesije za IPSec dodjelu sigurnosti (SA). IPSec SA koristi se kao komunikacijski tunel. Po potrebi potvrdite jedan ili oba okvira. Ako su potvrđena oba okvira, IPSec SA sesija prekida se kada se ispuni jedan od uvjeta.
|
[Specify by Time]
|
Da biste definirali trajanje sesije, unesite vrijeme u minutama.
|
|
[Specify by Size]
|
Da biste definirali koliko se podataka može prenijeti u jednoj sesiji, unesite veličinu u megabajtima.
|
[Select Algorithm]
Potvrdite okvir [ESP], [ESP (AES-GCM)] ili [AH (SHA1)] u skladu s IPSec zaglavljem i algoritmom koje koristite. AES-GCM je algoritam za provjeru autentičnosti i šifriranje. Ako je odabrano [ESP], s padajućih popisa odaberite i algoritme za provjeru autentičnosti i šifriranje [ESP Authentication] i [ESP Encryption].
Potvrdite okvir [ESP], [ESP (AES-GCM)] ili [AH (SHA1)] u skladu s IPSec zaglavljem i algoritmom koje koristite. AES-GCM je algoritam za provjeru autentičnosti i šifriranje. Ako je odabrano [ESP], s padajućih popisa odaberite i algoritme za provjeru autentičnosti i šifriranje [ESP Authentication] i [ESP Encryption].
|
[ESP Authentication]
|
Da biste omogućili ESP provjeru autentičnosti, za algoritam raspršivanja odaberite [SHA1]. Ako želite onemogućiti ESP provjeru autentičnosti, odaberite [Do Not Use].
|
|
[ESP Encryption]
|
Odaberite algoritam šifriranja za ESP. Odaberite [NULL] ako ne želite definirati algoritam ili odaberite [Do Not Use] ako želite onemogućiti ESP šifriranje.
|
[Connection Mode]
Prikazuje se način povezivanja protokola IPSec. Uređaj podržava način prijenosa, u kojem se sadržaj IP paketa šifrira. Način rada u tunelu, u kojem se inkapsuliraju cijeli IP paketi (zaglavlja i sadržaj), nije dostupan.
Prikazuje se način povezivanja protokola IPSec. Uređaj podržava način prijenosa, u kojem se sadržaj IP paketa šifrira. Način rada u tunelu, u kojem se inkapsuliraju cijeli IP paketi (zaglavlja i sadržaj), nije dostupan.
11
Kliknite [OK].
Ako želite registrirati dodatna sigurnosna pravila, vratite se na 6. korak.
12
Uredite redoslijed pravila u odjeljku [Registered IPSec Policies].
Pravila se primjenjuju od najvišeg položaja prema najnižem. Da biste pravila premjestili prema gore ili prema dolje, kliknite [Up] ili [Down].
Uređivanje pravila
Da bi se prikazao zaslon za uređivanje, kliknite na odgovarajuću tekstnu vezu pod odjeljkom [Policy Name].
Brisanje pravila
Kliknite na [Delete] s desne strane naziva pravila koje želite izbrisati kliknite na [OK].
kliknite na [OK].13
Ponovno pokrenite uređaj.
Isključite uređaj pa pričekajte barem 10 sekundi prije nego ga ponovno uključite.
|
|
Korištenje upravljačke pločeKomunikaciju putem protokola IPSec možete omogućiti ili onemogućiti i u izborniku <Izbornik> na zaslonu Početni zaslon. Koristi IPSec
|