Konfigurieren von IPSec-Einstellungen
Internet Protocol Security (IPSec oder IPsec) ist eine Protokollsuite für die Verschlüsselung der über Netzwerke und Internet-Netzwerke übermittelten Daten. Während TLS nur Daten verschlüsselt, die in einer bestimmten Anwendung wie einem Webbrowser oder einer E-Mail-Anwendung verwendet werden, verschlüsselt IPSec ganze IP-Pakete oder die Nutzdaten von IP-Paketen und stellt somit ein flexibleres Sicherheitssystem als TLS bereit. Das IPSec-Protokoll des Geräts arbeitet im Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Dank dieser Funktion kann das Gerät direkt mit einem Computer in demselben VPN (Virtuelles Privates Netzwerk) verbunden werden. Prüfen Sie die Systemanforderungen, und konfigurieren Sie am Computer die nötigen Einstellungen, bevor Sie das Gerät konfigurieren.
Systemanforderungen
Das von dem Gerät unterstützte IPSec-Protokoll entspricht RFC4301, RFC4302, RFC4303 und RFC4305.
|
Von den Kommunikationspartnern unterstützte Betriebssysteme
|
Windows Vista/7/8/10/Server 2008/Server 2012
|
|
|
Verbindungsmodus
|
Transportmodus
|
|
|
Schlüsselaustauschprotokoll
|
IKEv1
|
|
|
Druckmodus
|
Hauptmodus
Aggressiver Modus
|
|
|
Authentisierungsmethode
|
Pre-Shared-Key
Digitale Signatur
|
|
|
Hash-Algorithmus
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Verschlüsselungsalgorithmus
(und Schlüssellänge) |
3DES-CBC
AES-CBC (128 Bit, 192 Bit oder 256 Bit)
|
|
|
Schlüsselaustauschalgorithmus/Gruppe (und Schlüssellänge)
|
Diffie-Hellman (DH)
Gruppe 1 (768 Bit)
Gruppe 2 (1.024 Bit)
Gruppe 14 (2.048 Bit)
|
|
|
ESP (Encapsulating Security Payload)
|
Hash-Algorithmus
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Verschlüsselungsalgorithmus
(und Schlüssellänge) |
3DES-CBC
AES-CBC (128 Bit, 192 Bit oder 256 Bit)
|
|
|
AH (Authentication Header)
|
Hash-Algorithmus
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Bevor Sie IPSec-Kommunikationseinstellungen konfigurierenÜberprüfen Sie die IPSec-Einstellungen im Betriebssystem, mit denen das Gerät kommunizieren wird. Eine falsche Kombination der Betriebssystemeinstellungen und der Geräteeinstellungen wird die IPSec-Kommunikation deaktivieren.
|
 |
Funktionseinschränkungen bei IPSecIPSec unterstützt die Kommunikation mit einer Unicast-Adresse bzw. einem einzigen Gerät.
Das Gerät kann nicht gleichzeitig IPSec und DHCPv6 verwenden.
IPSec steht in Netzwerken, in denen NAT oder IP-Masquerading implementiert ist, nicht zur Verfügung.
Bei IKEv1 Phase1 wird PFS nicht unterstützt.
Verwenden von IPSec mit IP-AdressfilterungDie IPSec-Einstellungen sind vor den IP-Adressfiltereinstellungen während des Paketempfangs gültig, während die IP-Adresseinstellungen vor den IPSec-Einstellungen während der Paketübertragung gültig sind. Angeben von IP-Adressen für Firewallregeln
|
Speichern der Sicherheitsrichtlinien
Um IPSec für die verschlüsselte Kommunikation zu verwenden, müssen Sie die Sicherheitsrichtlinien (SP) speichern, bevor Sie die IPSec-Einstellungen (Aktivieren der IPSec-Kommunikation) aktivieren. Eine Sicherheitsrichtlinie besteht aus Gruppen von Einstellungen (siehe die Erläuterungen unten). Bis zu 10 Richtlinien können gespeichert werden. Sie können mehrere Richtlinien gemäß einer Kombination von IP-Adresse und Portnummer speichern. Geben Sie nach dem Speichern von Richtlinien an, in welcher Reihenfolge diese angewendet werden sollen.
Selektor
Der Selektor definiert die Bedingungen, unter denen für IP-Pakete die IPSec-Kommunikation verwendet wird. Zu den auswählbaren Bedingungen gehören IP-Adressen und Portnummern dieses Geräts und der Geräte, mit denen es kommunizieren soll.
IKE
IKE konfiguriert das Schlüsselaustauschprotokoll IKEv1. Beachten Sie, dass sich die Anweisungen je nach gewählter Authentisierungsmethode unterscheiden.
[Methode gemeinsamer Schlüssel]
Ein Schlüssel aus bis zu 24 alphanumerischen Zeichen kann gemeinsam mit den anderen Geräten genutzt werden. Aktivieren Sie TLS für Remote UI im Voraus (Verwenden von TLS für verschlüsselte Kommunikationen).
Ein Schlüssel aus bis zu 24 alphanumerischen Zeichen kann gemeinsam mit den anderen Geräten genutzt werden. Aktivieren Sie TLS für Remote UI im Voraus (Verwenden von TLS für verschlüsselte Kommunikationen).
[Methode digitale Signatur]
Dieses Gerät und die anderen Geräte authentisieren einander, indem sie ihre digitalen Signaturen gegenseitig verifizieren. Halten Sie ein Schlüsselpaar bereit (Verwenden von Schlüsselpaaren und digitalen Zertifikaten, die von einer Zertifizierungsstelle ausgegeben wurden).
Dieses Gerät und die anderen Geräte authentisieren einander, indem sie ihre digitalen Signaturen gegenseitig verifizieren. Halten Sie ein Schlüsselpaar bereit (Verwenden von Schlüsselpaaren und digitalen Zertifikaten, die von einer Zertifizierungsstelle ausgegeben wurden).
Einstellung von Protokollen und Optionen
Legen Sie die Einstellungen für ESP und AH fest, die während der IPSec-Kommunikation zu den Paketen hinzugefügt werden. ESP und AH können nicht gleichzeitig verwendet werden. Sie können auch angeben, ob für eine größere Sicherheit PFS aktiviert sein soll.
1
Starten Sie Remote UI, und melden Sie sich im Verwaltungsmodus an. Starten von Remote UI
2
Klicken Sie auf [Einstellungen/Speicherung].
3
Klicken Sie auf [Sicherheit] 
[IPSec-Einstellungen].
[IPSec-Einstellungen].
4
Klicken Sie auf [Liste IPSec-Richtlinie].
5
Klicken Sie auf [Speichere IPSec-Richtlinie].
6
Geben Sie einen Richtliniennamen unter [Name Richtlinie] ein und aktivieren Sie das Kontrollkästchen [Richtlinie aktivieren].
[Name Richtlinie]
Geben Sie bis zu 24 alphanumerische Zeichen für einen Namen ein, der für die Identifizierung der Richtlinie verwendet wird.
Geben Sie bis zu 24 alphanumerische Zeichen für einen Namen ein, der für die Identifizierung der Richtlinie verwendet wird.
[Richtlinie aktivieren]
Aktivieren Sie das Kontrollkästchen, um die Richtlinie zu aktivieren. Wenn Sie die Richtlinie nicht verwenden, deaktivieren Sie das Kontrollkästchen.
Aktivieren Sie das Kontrollkästchen, um die Richtlinie zu aktivieren. Wenn Sie die Richtlinie nicht verwenden, deaktivieren Sie das Kontrollkästchen.
7
Legen Sie die Einstellungen für den Selektor fest.
[Lokale Adresse]
Wählen Sie den IP-Adresstyp dieses Geräts, auf den die Richtlinie von der folgenden Liste angewendet werden soll.
Wählen Sie den IP-Adresstyp dieses Geräts, auf den die Richtlinie von der folgenden Liste angewendet werden soll.
|
[Alle IP-Adressen]
|
Wählen Sie diese Einstellung, wenn IPSec für alle IP-Pakete verwendet werden soll.
|
|
[IPv4-Adresse]
|
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von der IPv4-Adresse des Geräts gesendeten IP-Pakete verwendet werden soll.
|
|
[IPv6-Adresse]
|
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von der IPv6-Adresse des Geräts gesendeten IP-Pakete verwendet werden soll.
|
|
[Manuelle IPv4-Einstellungen]
|
Wählen Sie diese Einstellung, wenn Sie eine IPv4-Adresse oder einen Bereich von IPv4-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv4-Adresse (oder den Bereich) in das Textfeld [Manuell zu setzende Adressen] ein.
|
|
[Manuelle IPv6-Einstellungen]
|
Wählen Sie diese Einstellung, wenn Sie eine IPv6-Adresse oder einen Bereich von IPv6-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv6-Adresse (oder den Bereich) in das Textfeld [Manuell zu setzende Adressen] ein.
|
[Manuell zu setzende Adressen]
Wenn Sie [Manuelle IPv4-Einstellungen] oder [Manuelle IPv6-Einstellungen] für [Lokale Adresse] ausgewählt haben, geben Sie die IP-Adresse ein, um die Richtlinie anzuwenden.
Wenn Sie [Manuelle IPv4-Einstellungen] oder [Manuelle IPv6-Einstellungen] für [Lokale Adresse] ausgewählt haben, geben Sie die IP-Adresse ein, um die Richtlinie anzuwenden.
[Subnetz-Einstellungen]
Wenn Sie manuell IPv4-Adressen festlegen, können Sie den Bereich über die Subnetzmaske ausdrücken. Geben Sie die Subnetzmaske mit Punkten zur Trennung der Zahlen ein (Beispiel: "255.255.255.240").
Wenn Sie manuell IPv4-Adressen festlegen, können Sie den Bereich über die Subnetzmaske ausdrücken. Geben Sie die Subnetzmaske mit Punkten zur Trennung der Zahlen ein (Beispiel: "255.255.255.240").
[Remote Adresse]
Wählen Sie den IP-Adresstyp der anderen Geräte, um die Richtlinie von der nachfolgenden Liste anzuwenden.
Wählen Sie den IP-Adresstyp der anderen Geräte, um die Richtlinie von der nachfolgenden Liste anzuwenden.
|
[Alle IP-Adressen]
|
Wählen Sie diese Einstellung, wenn IPSec für alle IP-Pakete verwendet werden soll.
|
|
[Alle IPv4-Adressen]
|
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von einer IPv4-Adresse gesendeten IP-Pakete verwendet werden soll.
|
|
[Alle IPv6-Adressen]
|
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von einer IPv6-Adresse gesendeten IP-Pakete verwendet werden soll.
|
|
[Manuelle IPv4-Einstellungen]
|
Wählen Sie diese Einstellung, wenn Sie eine IPv4-Adresse oder einen Bereich von IPv4-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv4-Adresse (oder den Bereich) in das Textfeld [Manuell zu setzende Adressen] ein.
|
|
[Manuelle IPv6-Einstellungen]
|
Wählen Sie diese Einstellung, wenn Sie eine IPv6-Adresse oder einen Bereich von IPv6-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv6-Adresse (oder den Bereich) in das Textfeld [Manuell zu setzende Adressen] ein.
|
[Manuell zu setzende Adressen]
Wenn Sie [Manuelle IPv4-Einstellungen] oder [Manuelle IPv6-Einstellungen] für [Remote Adresse] ausgewählt haben, geben Sie die IP-Adresse ein, um die Richtlinie anzuwenden.
Wenn Sie [Manuelle IPv4-Einstellungen] oder [Manuelle IPv6-Einstellungen] für [Remote Adresse] ausgewählt haben, geben Sie die IP-Adresse ein, um die Richtlinie anzuwenden.
[Subnetz-Einstellungen]
Wenn Sie manuell IPv4-Adressen festlegen, können Sie den Bereich über die Subnetzmaske ausdrücken. Geben Sie die Subnetzmaske mit Punkten zur Trennung der Zahlen ein (Beispiel: "255.255.255.240").
Wenn Sie manuell IPv4-Adressen festlegen, können Sie den Bereich über die Subnetzmaske ausdrücken. Geben Sie die Subnetzmaske mit Punkten zur Trennung der Zahlen ein (Beispiel: "255.255.255.240").
[Lokaler Port]/[Remote Port]
Wenn Sie für jedes Protokoll wie HTTP oder SMTP eine eigene Richtlinie erstellen wollen, geben Sie die Portnummer für das jeweilige Protokoll ein, um festzulegen, ob IPSec verwendet wird.
Wenn Sie für jedes Protokoll wie HTTP oder SMTP eine eigene Richtlinie erstellen wollen, geben Sie die Portnummer für das jeweilige Protokoll ein, um festzulegen, ob IPSec verwendet wird.
IPSec wird nicht bei Paketen angewandt, die über eine bestimmte Multicast- oder Rundsendungsadresse verfügen.
8
Legen Sie die IKE-Einstellungen fest.
[IKE Modus]
Der für das Schlüsselaustauschprotokoll verwendete Modus wird angezeigt. Wählen Sie in der Regel den Hauptmodus.
Wählen Sie den aggressiven Modus, wenn die IP-Adresse nicht fest ist. Beachten Sie, dass die Sicherheit im aggressiven Modus niedriger ist als im Hauptmodus.
[AUTH Methode]
Wählen Sie [Methode gemeinsamer Schlüssel] oder [Methode digitale Signatur] für die Methode, wenn Sie das Gerät authentisieren.
Wählen Sie [Methode gemeinsamer Schlüssel] oder [Methode digitale Signatur] für die Methode, wenn Sie das Gerät authentisieren.
Wenn der aggressive Modus unter [IKE Modus] ausgewählt wird, führt die [Methode gemeinsamer Schlüssel] Einstellung keine Verschlüsselung beim gemeinsamen Schlüssel durch.
[Authentifizierungs-/Verschlüsselungsalgorithmus]
Für die automatische Festlegung des Algorithmus, der für den Schlüsselaustausch verwendet wird, aktivieren Sie das Kontrollkästchen [Auto]. Wenn Sie das Kontrollkästchen aktivieren, wird der Algorithmus festgelegt, wie nachfolgend dargestellt.
Für die automatische Festlegung des Algorithmus, der für den Schlüsselaustausch verwendet wird, aktivieren Sie das Kontrollkästchen [Auto]. Wenn Sie das Kontrollkästchen aktivieren, wird der Algorithmus festgelegt, wie nachfolgend dargestellt.
|
[Authentifizierung]
|
[SHA1 und MD5]
|
|
[Verschlüsselung]
|
[3DES-CBC und AES-CBC]
|
|
[DH Gruppe]
|
[Gruppe 2 (1024)]
|
Um den Algorithmus manuell festzulegen, deaktivieren Sie das Kontrollkästchen und wählen Sie den Algorithmus aus.
|
[Authentifizierung]
|
Wählen Sie den Hash-Algorithmus.
|
|
[Verschlüsselung]
|
Wählen Sie den Verschlüsselungsalgorithmus.
|
|
[DH Gruppe]
|
Wählen Sie die Diffie-Hellman-Gruppe, und legen Sie damit die Schlüsselstärke fest.
|
Verwenden von [Methode gemeinsamer Schlüssel] für die Authentisierung
|
1
|
Wählen Sie [Methode gemeinsamer Schlüssel] für [AUTH Methode], und klicken Sie auf [Einstellungen Gemeinsamer Schlüssel].
|
|
2
|
Geben Sie bis zu 24 alphanumerische Zeichen für den Pre-Shared-Key ein, und klicken Sie auf [OK].
 |
Verwenden von [Methode digitale Signatur] für die Authentisierung
|
1
|
Wählen Sie [Methode digitale Signatur] für [AUTH Methode], und klicken Sie auf [Schlüssel und Zertifikat].
|
|
2
|
Wählen Sie das Schlüsselpaar aus, das Sie verwenden möchten und klicken Sie auf [Einstellungen Standardschlüssel].
 Anzeigen von Details zu einem Schlüsselpaar oder Zertifikat
Sie können die Details zu dem Zertifikat anzeigen oder das Zertifikat verifizieren, indem Sie unter [Schlüsselname] auf den entsprechenden Textlink oder auf das Zertifikatsymbol klicken. Verifizieren von Schlüsselpaaren und digitalen Zertifikaten
|
9
Legen Sie die IPSec-Netzwerkeinstellungen fest.
[PFS verwenden]
Aktivieren Sie das Kontrollkästchen, um PFS (Perfect Forward Secrecy) für IPSec-Sitzungsschlüssel zu aktivieren. Die Aktivierung von PFS verbessert die Sicherheit, erhöht jedoch auch den Kommunikationsaufwand. Vergewissern Sie sich, dass PFS auch für die anderen Geräte aktiviert ist. Wenn Sie PFS nicht verwenden, deaktivieren Sie das Kontrollkästchen.
[Gültigkeit]
Legen Sie fest, wie lange SA als ein Kommunikationstunnel verwendet wird. Aktivieren Sie das Kontrollkästchen [Definiert durch Zeit] oder [Definiert durch Größe] oder bei Bedarf beide Kontrollkästchen. Wenn beide Kontrollkästchen aktiviert sind, wird die IPSec SA Sitzung beendet, wenn eine der beiden Bedingungen erfüllt wurde.
Legen Sie fest, wie lange SA als ein Kommunikationstunnel verwendet wird. Aktivieren Sie das Kontrollkästchen [Definiert durch Zeit] oder [Definiert durch Größe] oder bei Bedarf beide Kontrollkästchen. Wenn beide Kontrollkästchen aktiviert sind, wird die IPSec SA Sitzung beendet, wenn eine der beiden Bedingungen erfüllt wurde.
|
[Definiert durch Zeit]
|
Geben Sie in Minuten ein, wie lange eine Sitzung dauert. Die eingegebene Zeit gilt für IPSec-SA und IKE-SA.
|
|
[Definiert durch Größe]
|
Geben Sie in MB ein, wie viele Daten während einer Sitzung übertragen werden können. Die eingegebene Größe gilt nur für IPSec-SA.
|
Wenn Sie nur das Kontrollkästchen [Definiert durch Größe] aktiviert haben
Die IKE SA-Gültigkeit kann nicht anhand der Größe angegeben werden, sodass der Anfangswert (480 Minuten) von [Definiert durch Zeit] angewandt wird.
[Authentifizierungs-/Verschlüsselungsalgorithmus]
Wählen Sie das Protokoll und den Algorithmus für die IPSec-Kommunikation aus.
Wählen Sie das Protokoll und den Algorithmus für die IPSec-Kommunikation aus.
Automatisches Konfigurieren der VerbindungWählen Sie [Auto].
|
[ESP-Authentifizierung]
|
ESP ist aktiviert und der Authentisierungsalgorithmus ist auf [SHA1 und MD5] festgelegt.
|
|
[ESP-Verschlüsselung]
|
ESP ist aktiviert und der Verschlüsselungsalgorithmus ist auf [3DES-CBC und AES-CBC] festgelegt.
|
Verwenden von ESPWählen Sie [ESP] und den Authentisierungsalgorithmus sowie den Verschlüsselungsalgorithmus.
|
[ESP-Authentifizierung]
|
Wählen Sie den Hash-Algorithmus für die ESP-Authentisierung.
|
|
[ESP-Verschlüsselung]
|
Wählen Sie den Verschlüsselungsalgorithmus für ESP.
|
Verwenden von AHWählen Sie [AH] und den Hash-Algorithmus für die AH-Authentisierung unter [AH-Authentisierung].
[Anschlussmodus]
Der IPSec-Verbindungsmodus wird angezeigt. Das Gerät unterstützt den Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Der Tunnelmodus, bei dem ganze IP-Pakete (Header und Nutzdaten) verschlüsselt werden, steht nicht zur Verfügung.
Der IPSec-Verbindungsmodus wird angezeigt. Das Gerät unterstützt den Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Der Tunnelmodus, bei dem ganze IP-Pakete (Header und Nutzdaten) verschlüsselt werden, steht nicht zur Verfügung.
10
Klicken Sie auf [OK].
Wenn Sie eine weitere Sicherheitsrichtlinie speichern müssen, fangen Sie wieder mit Schritt 5 an.
11
Legen Sie die Reihenfolge der unter [Liste IPSec-Richtlinie] aufgelisteten Richtlinien fest.
Die Richtlinien werden angefangen mit der ganz oben aufgeführten Richtlinie angewendet. Klicken Sie auf [Priorität erhöhen] oder [Niedrigere Priorität], um eine Richtlinie in der Reihenfolge nach oben oder unten zu verschieben.
Bearbeiten einer Richtlinie
Sie können auf den Textlink unter [Name Richtlinie] klicken, um die Einstellungen zu bearbeiten.
Löschen von Richtlinien
Klicken Sie auf [Löschen] rechts der Richtlinie, die Sie löschen möchten.
12
Führen Sie ein Hard Reset durch.
Klicken Sie auf [Gerätesteuerung], wählen Sie [Kaltstart], und klicken Sie dann auf [Ausführen].
Die Einstellungen werden aktiviert, nachdem ein Hard Reset durchgeführt wird.
Aktivieren der IPSec-Kommunikation
Aktivieren Sie die IPSec-Kommunikation nach Abschluss der Sicherheitsrichtlinienspeicherung.
1
Starten Sie Remote UI, und melden Sie sich im Verwaltungsmodus an. Starten von Remote UI
2
Klicken Sie auf [Einstellungen/Speicherung].
3
Klicken Sie auf [Sicherheit] [IPSec-Einstellungen].
[IPSec-Einstellungen].4
Klicken Sie auf [Bearbeiten].
5
Aktivieren Sie das Kontrollkästchen [IPSec verwenden], und klicken Sie auf [OK].
[IPSec verwenden]
Wenn IPSec im Gerät verwendet wird, aktivieren Sie das Kontrollkästchen. Wenn nicht, deaktivieren Sie das Kontrollkästchen.
[Empfang von Paketen ohne Richtlinie erlauben]
Wenn Sie das Kontrollkästchen bei der Verwendung von IPSec aktivieren, werden Pakete, die für die gespeicherten Richtlinien nicht verfügbar sind, ebenfalls gesendet oder empfangen. Deaktivieren Sie das Kontrollkästchen, um das Senden/Empfangen der Pakete zu deaktivieren, die für die Richtlinien nicht verfügbar sind.
Wenn Sie das Kontrollkästchen bei der Verwendung von IPSec aktivieren, werden Pakete, die für die gespeicherten Richtlinien nicht verfügbar sind, ebenfalls gesendet oder empfangen. Deaktivieren Sie das Kontrollkästchen, um das Senden/Empfangen der Pakete zu deaktivieren, die für die Richtlinien nicht verfügbar sind.
6
Führen Sie ein Hard Reset durch.
Klicken Sie auf [Gerätesteuerung], wählen Sie [Kaltstart], und klicken Sie dann auf [Ausführen].
Die Einstellungen werden nach der Durchführung von Hard Reset aktiviert.
|
|
Verwenden des BedienfeldsSie können ebenfalls die IPSec-Kommunikation im Einstellungsmenü des Bedienfelds aktivieren oder deaktivieren. IPSec
|