Konfiguration af IPSec-indstillinger
Internet Protocol Security (IPSec eller IPsec) er en protokolprogrampakke til kryptering af data, der transporteres via et netværk, herunder internetnetværk. Selvom TLS kun krypterer data, der anvendes i et bestemt program, f.eks. en webbrowser eller et e-mailprogram, krypterer IPSec hele IP-pakker eller data i IP-pakker, hvilket giver et mere alsidigt sikkerhedssystem. Maskinens IPSec fungerer i transportstatus, i hvilken dataene i IP-pakkerne krypteres. Med denne funktion kan maskinen oprette direkte forbindelse til en computer, der er på det samme VPN (virtual private network). Kontroller systemkravene, og angiv den nødvendige konfiguration på computeren, før du konfigurerer maskinen.
Systemkrav
IPSec, der understøttes af maskinen, er i overensstemmelse med RFC4301, RFC4302, RFC4303 og RFC4305.
|
Styresystemer, der er understøttet af kommunikationspartnere
|
Windows Vista/7/8/10/Server 2008/Server 2012
|
|
|
Forbindelsesstatus
|
Transportstatus
|
|
|
Nøgleudvekslingsprotokol
|
IKEv1
|
|
|
Printfunktion
|
Modtagestatus
Aggressiv status
|
|
|
Godkendelsesmetode
|
Forhåndsdelt nøgle
Digital signatur
|
|
|
Hashalgoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Krypteringsalgoritme
(og nøglelængde) |
3DES-CBC
AES-CBC (128 bit, 192 bit eller 256 bit)
|
|
|
Nøgleududvekslingsalgoritme/-gruppe (og nøglelængde)
|
Diffie-Hellman (DH)
Gruppe 1 (768 bit)
Gruppe 2 (1024 bit)
Gruppe 14 (2048 bit)
|
|
|
ESP (Encapsulating Security Payload)
|
Hashalgoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Krypteringsalgoritme
(og nøglelængde) |
3DES-CBC
AES-CBC (128 bit, 192 bit eller 256 bit)
|
|
|
AH (Authentication Header)
|
Hashalgoritme
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Før konfiguration af IPSec-kommunikationsindstillingerKontroller IPSec-indstillingerne i det styresystem, som maskinen skal kommunikere med. En forkert kombination af styresystemets indstillinger og maskinens indstillinger vil deaktivere IPSec-kommunikation.
|
 |
IPSec-funktionsbegrænsningerIPSec understøtter kommunikation til en unicast-adresse (eller en enkelt enhed).
Maskinen kan ikke bruge både IPSec og DHCPv6 samtidigt.
IPSec er ikke tilgængelig på netværk, hvor der er implementeret en NAT- eller IP-maske.
Hvis PFS ikke understøttes i IKEv1 fase 1.
Brug af IPSec med IP-adressefilterIPSec-indstillingerne anvendes før indstillingerne for IP-adressefiltrering under pakkemodtagelsen, mens IP-adresseindstillingerne anvendes før IPSec-indstillingerne under pakketransmission. Angivelse af IP-adresser for firewall-regler
|
Registrering af sikkerhedspolitikker
For at bruge IPSec til krypteret kommunikation, skal du registrere sikkerhedspolitikkerne (SP), før du aktiverer IPSec-indstillingerne (Aktivering af IPSec-kommunikation). En sikkerhedspolitik består af de grupper indstillinger, der er beskrevet herunder. Der kan registreres op til 10 politikker. Du kan registrere flere politikker i henhold til kombinationen af IP-adresse og portnummer. Når du har registreret politikkerne, skal du angive den rækkefølge, i hvilken de anvendes.
Vælger
Vælgeren definerer betingelserne for IP-pakker for at anvende IPSec-kommunication. De indstillinger, der kan vælges, omfatter maskinens IP-adresser og portnumre og de enheder, der skal kommunikeres med.
IKE
IKE konfigurerer den IKEv1, der bruges til nøgleudvekslingsprotokollen. Bemærk, at instruktionerne kan variere, afhængigt af den godkendelsesmetode der er valgt.
[Metoden Forhåndsdelt nøgle]
En nøgle på 24 alfanumeriske tegn kan deles med de andre enheder. Aktiver TLS for Brugerinterface til fjernbetjening på forhånd (Anvendelse af TLS-krypteret kommunikation).
En nøgle på 24 alfanumeriske tegn kan deles med de andre enheder. Aktiver TLS for Brugerinterface til fjernbetjening på forhånd (Anvendelse af TLS-krypteret kommunikation).
[Digital signaturmetode]
Maskinen og de andre enheder godkender hinanden ved gensidigt at bekræfte deres digitale signaturer. Hav et nøglepar parat til brug (Brug af nøglepar og digitale certifikater, der er udstedt af CA).
Maskinen og de andre enheder godkender hinanden ved gensidigt at bekræfte deres digitale signaturer. Hav et nøglepar parat til brug (Brug af nøglepar og digitale certifikater, der er udstedt af CA).
Indstilling af protokoller og funktioner
Angiv indstillingerne for ESP og AH, som føjes til pakkerne under IPSec-kommunikation. ESP og AH kan ikke bruges samtidigt. Du kan også vælge, hvorvidt du vil aktivere PFS for at stramme sikkerheden eller ej.
1
Start Brugerinterface til fjernbetjening, og log på i administratortilstand. Brug af Brugerinterface til fjernbetjening
2
Klik på [Indstillinger/Registrering].
3
Klik på [Sikkerhed] 
[IPSec-indstillinger].
[IPSec-indstillinger].
4
Klik på [IPSec-policy-liste].
5
Klik på [Registrér IPSec-politik].
6
Indtast et politiknavn i [Policy-navn], og vælg afkrydsningsfeltet [Aktivér politik].
[Policy-navn]
Angiv op til 24 alfanumeriske tegn for et navn, der bruges til at identificere politikken.
Angiv op til 24 alfanumeriske tegn for et navn, der bruges til at identificere politikken.
[Aktivér politik]
Marker afkrydsningsfeltet for at aktivere politikken. Fjern markeringen i afkrydsningsfeltet, når politikken ikke anvendes.
Marker afkrydsningsfeltet for at aktivere politikken. Fjern markeringen i afkrydsningsfeltet, når politikken ikke anvendes.
7
Angiv indstillingerne for vælgeren.
[Lokal adresse]
Vælg typen af IP-adresse for maskinen for at anvende politikken fra følgende liste.
Vælg typen af IP-adresse for maskinen for at anvende politikken fra følgende liste.
|
[Alle IP-adresser]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker.
|
|
[IPv4-adresse]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra maskinens IPv4-adresse.
|
|
[IPv6-adresse]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra maskinens IPv6-adresse.
|
|
[Manuelle IPv4-indstillinger]
|
Vælg indstillingen for at angive en enkelt IPv4-adresse eller et udvalg af IPv4-adresser for at anvende IPSec. Angiv IPv4-adressen (eller området) i tekstfeltet [Adresser til manuel indstilling] .
|
|
[Manuelle IPv6-indstillinger]
|
Vælg indstillingen for at angive en enkelt IPv6-adresse eller et udvalg af IPv6-adresser for at anvende IPSec. Angiv IPv6-adressen (eller området) i tekstfeltet [Adresser til manuel indstilling] .
|
[Adresser til manuel indstilling]
Hvis [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger] vælges for [Lokal adresse], skal du indtaste den IP-adresse, der gælder for politikken.
Hvis [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger] vælges for [Lokal adresse], skal du indtaste den IP-adresse, der gælder for politikken.
[Indstillinger for undernet]
Når du angiver IPv4-adresserne manuelt, kan du udtrykke området ved hjælp af undernetmasken. Angiv undernetmasken, og adskil tallene med punktummer (eksempel:"255.255.255.240").
Når du angiver IPv4-adresserne manuelt, kan du udtrykke området ved hjælp af undernetmasken. Angiv undernetmasken, og adskil tallene med punktummer (eksempel:"255.255.255.240").
[Fjernadresse]
Vælg typen af IP-adresse for andre enheder for at anvende politikken fra nedenstående liste.
Vælg typen af IP-adresse for andre enheder for at anvende politikken fra nedenstående liste.
|
[Alle IP-adresser]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker.
|
|
[Alle IPv4-adresser]
|
Vælg indstillingen for at bruge IPSec til alle pakker, der blev sendt til eller fra en IPv4-adresse.
|
|
[Alle IPv6-adresser]
|
Vælg indstillingen for at bruge IPSec til alle pakker, der blev sendt til eller fra en IPv6-adresse.
|
|
[Manuelle IPv4-indstillinger]
|
Vælg indstillingen for at angive en enkelt IPv4-adresse eller et udvalg af IPv4-adresser for at anvende IPSec. Angiv IPv4-adressen (eller området) i tekstfeltet [Adresser til manuel indstilling] .
|
|
[Manuelle IPv6-indstillinger]
|
Vælg indstillingen for at angive en enkelt IPv6-adresse eller et udvalg af IPv6-adresser for at anvende IPSec. Angiv IPv6-adressen (eller området) i tekstfeltet [Adresser til manuel indstilling] .
|
[Adresser til manuel indstilling]
Hvis [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger] vælges for [Fjernadresse], skal du indtaste den IP-adresse, der gælder for politikken.
Hvis [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger] vælges for [Fjernadresse], skal du indtaste den IP-adresse, der gælder for politikken.
[Indstillinger for undernet]
Når du angiver IPv4-adresserne manuelt, kan du udtrykke området ved hjælp af undernetmasken. Angiv undernetmasken, og adskil tallene med punktummer (eksempel:"255.255.255.240").
Når du angiver IPv4-adresserne manuelt, kan du udtrykke området ved hjælp af undernetmasken. Angiv undernetmasken, og adskil tallene med punktummer (eksempel:"255.255.255.240").
[Lokal port]/[Fjernport]
Hvis du vil oprette separate politikker for hver protokol, f.eks. HTTP eller SMTP, skal du angive det relevante portnummer for protokollen for at finde ud af, om IPSec skal bruges.
Hvis du vil oprette separate politikker for hver protokol, f.eks. HTTP eller SMTP, skal du angive det relevante portnummer for protokollen for at finde ud af, om IPSec skal bruges.
Der anvendes ikke IPSec for pakker, der har en specificeret multicast- eller broadcast-adresse.
8
Angiv IKE-indstillingerne.
[IKE-tilstand]
Den status, der bruges til nøgleudvekslingsprotokollen vises. Normalt skal du vælge hovedstatussen.
Vælg den aggressive status, hvis IP-adressen ikke er fast. Bemærk, at sikkerheden er lavere i aggressiv status end i hovedstatus.
[AUT-metode]
Vælg [Metoden Forhåndsdelt nøgle] eller [Digital signaturmetode] for den metode, der skal bruges til godkendelse af maskinen.
Vælg [Metoden Forhåndsdelt nøgle] eller [Digital signaturmetode] for den metode, der skal bruges til godkendelse af maskinen.
Hvis den aggressive status vælges i [IKE-tilstand], vil indstillingen [Metoden Forhåndsdelt nøgle] ikke kryptere den delte nøgle.
[Autentificerings/krypteringsalgoritme]
For automatisk at indstille den algoritme, der skal bruges til nøgleudvekslingen, skal du vælge afkrydsningsfeltet [Auto]. Hvis du markerer afkrydsningsfeltet, indstilles algoritmen som vist nedenfor.
For automatisk at indstille den algoritme, der skal bruges til nøgleudvekslingen, skal du vælge afkrydsningsfeltet [Auto]. Hvis du markerer afkrydsningsfeltet, indstilles algoritmen som vist nedenfor.
|
[Autentificering]
|
[SHA1 og MD5]
|
|
[Kryptering]
|
[3DES-CBC og AES-CBC]
|
|
[DH-gruppe]
|
[Gruppe 2 (1024)]
|
For manuelt at indstille algoritmen skal du fjerne markeringen og vælge algoritmen.
|
[Autentificering]
|
Vælg hashalgoritmen.
|
|
[Kryptering]
|
Vælg krypteringsalgoritmen.
|
|
[DH-gruppe]
|
Vælg Diffie-Hellman-gruppen, der bestemmer længden på nøglen.
|
Brug af [Metoden Forhåndsdelt nøgle] til godkendelse
|
1
|
Vælg [Metoden Forhåndsdelt nøgle] for [AUT-metode] og klik på [Indstillinger for delt nøgle].
|
|
2
|
Angiv op til 24 alfanumeriske tegn for den forhåndsdelte nøgle, og klik på [OK].
 |
Brug af [Digital signaturmetode] til godkendelse
|
1
|
Vælg [Digital signaturmetode] for [AUT-metode] og klik på [Nøgle og certifikat].
|
|
2
|
Vælg det nøglepar, du vil bruge, og klik på [Standardnøgleindstillinger].
 Visning af detaljer om et nøglepar eller et certifikat
Du kan klikke på detaljerne for certifikatet eller kontrollere certifikatet ved at klikke på det tilhørende tekstlink under [Nøglenavn] eller ikonet for certifikatet. Bekræftelse af nøglepar og digitale certifikater
|
9
Angiv netværksindstillingerne for IPSec.
[Brug PFS]
Markér afkrydsningsfeltet for at aktivere PFS (Perfect Forward Secrecy) for IPSec-sessionsnøgler. Hvis du aktiverer PFS, forbedrer det sikkerheden, samtidig med at belastningen af kommunikationen øges. Sørg for, at PFS også er aktiveret for de andre enheder. Hvis du ikke bruger PFS, skal du fjerne markeringen i afkrydsningsfeltet.
[Gyldighed]
Angiv, hvor længe SA skal bruges som en kommunikationstunnel. Vælg afkrydsningsfeltet [Angiv efter tid] eller [Angiv efter størrelse] eller begge felter efter behov. Hvis du markerer begge felter, afsluttes SA-sessionen, når en af betingelserne er blevet opfyldt.
Angiv, hvor længe SA skal bruges som en kommunikationstunnel. Vælg afkrydsningsfeltet [Angiv efter tid] eller [Angiv efter størrelse] eller begge felter efter behov. Hvis du markerer begge felter, afsluttes SA-sessionen, når en af betingelserne er blevet opfyldt.
|
[Angiv efter tid]
|
Angiv en tid i minutter for at angive, i hvor lang tid en session varer. Den indtastede tid gælder både for IPSec SA og IKE SA.
|
|
[Angiv efter størrelse]
|
Angiv en størrelse i MB for at angive, hvor mange data der kan transporteres i en session. Den indtastede størrelse anvendes kun på IPSec SA.
|
Hvis du har valgt kun afkrydsningsfeltet [Angiv efter størrelse]
IKE SA-gyldigheden kan ikke angives efter størrelse, så startværdien (480 minutter) er [Angiv efter tid] anvendes.
[Autentificerings/krypteringsalgoritme]
Vælg den protokol og algoritme, der skal bruges til IPSec-kommunikation.
Vælg den protokol og algoritme, der skal bruges til IPSec-kommunikation.
Automatisk konfiguration af forbindelseVælg [Auto].
|
[ESP-autentificering]
|
ESP er aktiveret, og godkendelsesalgoritmen er indstillet til [SHA1 og MD5].
|
|
[ESP-kryptering]
|
ESP er aktiveret, og krypteringsalgoritmen er indstillet til [3DES-CBC og AES-CBC].
|
Brug af ESPVælg [ESP] og vælg godkendelses- og krypteringsalgoritmen.
|
[ESP-autentificering]
|
Vælg den hashalgoritme, der skal bruges til ESP-godkendelse.
|
|
[ESP-kryptering]
|
Vælg krypteringsalgoritmen for ESP.
|
Brug af AHVælg [AH], og vælg den hashalgoritme, der skal bruges til AH-godkendelse fra [AH-autentificering].
[Tilslutningsstatus]
Forbindelsesstatussen for IPSec vises. Maskinen understøtter transportstatussen, i hvilken dataene i IP-pakkerne krypteres. Tunnelstatussen, i hvilken hele IP-pakker (headere og data) indkapsles, er ikke tilgængelig.
Forbindelsesstatussen for IPSec vises. Maskinen understøtter transportstatussen, i hvilken dataene i IP-pakkerne krypteres. Tunnelstatussen, i hvilken hele IP-pakker (headere og data) indkapsles, er ikke tilgængelig.
10
Klik på [OK].
Hvis du skal registrere en ekstra sikkerhedspolitik, skal du gå tilbage til trin 5.
11
Arranger rækkefølgen af de politikker, der vises under [IPSec-policy-liste].
Politikkerne anvendes fra den, som er placeret højest, til den, der er placeret nederst. Klik på [Hæv prioritet] eller [Sænk prioritet] for at flytte en politik op eller ned i rækkefølgen.
Redigering af en politik
Du kan klikke på tekstlinket under [Policy-navn] for at redigere indstillingerne.
Sletning af en politik
Klik på [Slet] til højre for den politik, du vil slette.
12
Udfør en fuldstændig nulstilling.
Klik på [Enhedskontrol] vælg [Hård nulstilling], og klik derefter på [Udfør].
Indstillingerne aktiveres, når en fuldstændig nulstilling er blevet udført.
Aktivering af IPSec-kommunikation
Når registreringen af sikkerhedspolitikkerne er færdig, skal du aktivere IPSec-kommunikationen.
1
Start Brugerinterface til fjernbetjening, og log på i administratortilstand. Brug af Brugerinterface til fjernbetjening
2
Klik på [Indstillinger/Registrering].
3
Klik på [Sikkerhed] [IPSec-indstillinger].
[IPSec-indstillinger].4
Klik på [Redigér].
5
Marker afkrydsningsfeltet [Brug IPSec], og klik på [OK].
[Brug IPSec]
Marker afkrydsningsfeltet for at bruge IPSec i maskinen. Hvis du ikke bruger dette, skal du fjerne markeringen i afkrydsningsfeltet.
[Tillad Non-policy-pakker]
Hvis du vælger afkrydsningsfeltet ved brug af IPSec, sendes/modtages der også pakker, der ikke er tilgængelige for de registrerede politikker. For at deaktivere afsendelse/modtagelse af pakker, der ikke er tilgængelige for politikkerne, skal du rydde afkrydsningsfeltet.
Hvis du vælger afkrydsningsfeltet ved brug af IPSec, sendes/modtages der også pakker, der ikke er tilgængelige for de registrerede politikker. For at deaktivere afsendelse/modtagelse af pakker, der ikke er tilgængelige for politikkerne, skal du rydde afkrydsningsfeltet.
6
Udfør en fuldstændig nulstilling.
Klik på [Enhedskontrol] vælg [Hård nulstilling], og klik derefter på [Udfør].
Indstillingerne aktiveres, når fuldstændig nulstilling er blevet udført.
|
|
Brug af kontrolpaneletDu kan også aktivere eller deaktivere IPSec-kommunikation fra indstillingsmenuen på kontrolpanelet. IPSec
|