IPSec-instellingen configureren

Internet Protocol Security (IPSec of IPsec) bestaat uit een verzameling protocollen voor het coderen van gegevens die worden getransporteerd over een netwerk, inclusief internet-netwerken. Terwijl TLS alleen de gegevens codeert die in een bepaald programma worden gebruikt, zoals een webbrowser of een e-mailprogramma, worden met IPSec complete IP-pakketten of de payloads daarvan gecodeerd, waardoor met IPSec een flexibelere beveiliging kan worden gerealiseerd. De IPSec van het apparaat werkt in de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. Met deze functie kan het apparaat direct worden verbonden met een computer die zich in hetzelfde VPN (Virtual Private Network) bevindt. Controleer de systeemvereisten (Beheerfuncties) en stel de juiste configuratie in op de computer voordat u het apparaat gaat configureren.
IPSec gebruiken met een IP-adresfilter
Instellingen voor IP-adresfilters worden toegepast vóór de beleidsinstellingen van IPSec. IP-adressen opgeven voor firewallinstellingen

IPSec-instellingen configureren

U kunt IPSec pas gebruiken voor gecodeerde communicatie als u beleidsinstellingen voor beveiliging hebt geregistreerd. Een dergelijke beleidsinstelling bestaat uit de hieronder beschreven groepen met instellingen. Als u klaar bent met de instellingen, geeft u de volgorde aan waarin u de beleidsinstellingen wilt toepassen.
Selector
De beleidsinstelling Selector definieert voorwaarden waaraan IP-pakketten moeten voldoen om met IPSec-communicatie te worden uitgewisseld. Voorbeelden van voorwaarden zijn IP-adressen en poortnummers van de machine en van de apparaten waarmee wordt gecommuniceerd.
IKE
De beleidsinstelling IKE configureert de IKEv1 die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. De instructies verschillen naargelang de geselecteerde verificatiemethode.
[Methode gedeelde sleutel]
Deze authenticatiemethode gebruikt een gemeenschappelijk sleutelwoord, genaamd Gedeelde sleutel, voor communicatie tussen het apparaat en andere apparaten. Geef deze verificatiemethode pas op nadat u TLS hebt ingeschakeld voor de externe UI (De sleutel en certificaat voor TLS configureren).
[Methode digitale handtekening]
Het apparaat en de andere apparaten verifiëren elkaar door elkaars digitale handtekening te controleren. U moet sleutel en certificaat vooraf genereren of installeren (De sleutel en certificaat voor netwerkcommunicatie registreren).
AH/ESP
Geef de instellingen op voor AH/ESP, die tijdens IPSec-communicatie worden toegevoegd aan pakketten. AH en ESP kunnen tegelijkertijd worden gebruikt. U kunt ook aangeven of u PFS wilt inschakelen voor een nog betere beveiliging.
 
Voor meer informatie over de basishandelingen die moeten worden verricht wanneer u het apparaat instelt via de externe UI, raadpleegt u Menuopties instellen via de UI op afstand.
1
Start de externe UI en meld u in de systeembeheerdersmodus aan. De UI op afstand starten
2
Klik op [Instellingen/registratie] op de portaalpagina. Scherm van externe UI
3
Selecteer [Netwerkinstellingen]  [IPSec-instellingen].
4
Klik op [Bewerken].
5
Schakel het selectievakje [Gebruik IPSec] in en klik op [OK].
Als het apparaat alleen pakketten mag ontvangen die voldoen aan een van de beleidsinstellingen die u hieronder definieert, schakelt u het selectievakje [Pakketten zonder beleid ontvangen] uit.
6
Klik op [Nieuw beleid registreren].
7
Geef de beleidsinstellingen op.
1
Typ in het vak [Beleidsnaam] alfanumerieke tekens als naam voor de set met beleidsinstellingen.
2
Schakel het selectievakje [Beleid inschakelen] in.
8
Geef de instellingen voor Selector op.
[Lokaal adres]
Selecteer het keuzerondje voor het type IP-adres van het apparaat waarop u het beleid wilt toepassen.
[Alle IP-adressen]
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten.
[IPv4-adres]
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar het IPv4-adres van het apparaat worden verstuurd.
[IPv6-adres]
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar het IPv6-adres van het apparaat worden verstuurd.
[Extern adres]
Selecteer het keuzerondje voor het type IP-adres van de andere apparaten waarop u het beleid wilt toepassen.
[Alle IP-adressen]
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten.
[Alle IPv4-adressen]
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar IPv4-adressen van de andere apparaten worden verstuurd.
[Alle IPv6-adressen]
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar IPv6-adressen van de andere apparaten worden verstuurd.
[Handmatige IPv4-instellingen]
Selecteer deze optie om een specifiek IPv4-adres of een bereik van IPv4-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv4-adres (of het bereik van adressen) in het tekstvak [Adressen om handmatig in te stellen].
[Handmatige IPv6-instellingen]
Selecteer deze optie om een specifiek IPv6-adres of een bereik van IPv6-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv6-adres (of het bereik van adressen) in het tekstvak [Adressen om handmatig in te stellen].
[Adressen om handmatig in te stellen]
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Extern adres], typt u het IP-adres waarop het beleid moet worden toegepast. U kunt ook een bereik van adressen opgeven door een afbreekstreepje te typen tussen de adressen.
IP-adressen invoeren
Beschrijving
Voorbeeld
Een specifiek adres invoeren
IPv4:
Gebruik een punt als scheidingsteken.
192.168.0.10
IPv6:
Gebruik een dubbele punt als scheidingsteken tussen alfanumerieke tekens.
fe80::10
Een bereik van adressen opgeven
Plaats een afbreekstreepje tussen de adressen.
192.168.0.10-192.168.0.20
[Subnetinstellingen]
Als u het IPv4-adres handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken. Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld:"255.255.255.240").
[Prefixlengte]
Door het bereik van IPv6-adressen handmatig op te geven, kunt u ook het bereik opgeven met behulp van prefixes. Voer een bereik in tussen 0 en 128 als de prefix-lengte.
[Lokale poort]/[Externe poort]
Als u voor elk protocol afzonderlijke beleidsinstellingen wilt opgeven, bijvoorbeeld voor HTTP en WSD, klikt u op het keuzerondje [Eén poort], en voert u het poortnummer van het protocol in als daarvoor IPSec moet worden gebruikt.
IPSec wordt niet toegepast op de volgende pakketten
Loopback-, multicast- en broadcast-pakketten
IKE-pakketten (via UDP op poort 500)
Pakketten voor 'neighbor solicitation' en 'neighbor advertisement' van ICMPv6
9
Geef de IKE-instellingen op.
[IKE-modus]
Hier ziet u de modus die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. Het apparaat ondersteunt de hoofdmodus, niet de agressieve modus.
[Authenticatiemethode]
Selecteer [Methode gedeelde sleutel] of [Methode digitale handtekening] als methode voor het verifiëren van het apparaat. U moet eerst TLS inschakelen voor de externe UI. Pas daarna selecteert u [Methode gedeelde sleutel]. Genereer of installeer sleutel en certificaat voordat [Methode digitale handtekening] selecteert. De sleutel en certificaat voor TLS configureren
[Geldig voor]
Geef aan hoe lang een sessie duurt voor IKE SA (ISAKMP SA). Geef de tijd op in minuten.
[Authenticatie]/[Encryptie]/[DH-groep]
Selecteer een algoritme in de vervolgkeuzelijst. Alle algoritmen worden gebruikt bij het uitwisselen van de sleutels.
[Authenticatie]
Selecteer het hash-algoritme.
[Encryptie]
Selecteer het coderingsalgoritme.
[DH-groep]
Selecteer de Diffie-Hellman-groep, die bepalend is voor de sterkte van de sleutel.
 Een apparaat verifiëren met behulp van een vooraf gedeelde sleutel
1
Selecteer het keuzerondje [Methode gedeelde sleutel] bij [Authenticatiemethode] en klik op [Instellingen gedeelde sleutel].
2
Typ alfanumerieke tekens voor de gedeelde sleutel en klik op [OK].
3
Geef instellingen op voor [Geldig voor] en [Authenticatie]/[Encryptie]/[DH-groep].
 Een apparaat verifiëren met behulp van digitale ondertekening
1
Selecteer het keuzerondje [Methode digitale handtekening] bij [Authenticatiemethode] en klik op [Sleutel en certificaat].
2
Klik rechts naast sleutel en certificaat die u wilt gebruiken, op [Registreer standaardsleutel].
Details bekijken van een certificaat
U kunt de details van het certificaat controleren of het certificaat verifiëren door op de gewenste tekstkoppeling onder [Sleutelnaam] te klikken of op het pictogram van het certificaat.
3
Geef instellingen op voor [Geldig voor] en [Authenticatie]/[Encryptie]/[DH-groep].
10
Geef de IPSec-instellingen op.
[Gebruik PFS]
Schakel dit selectievakje in om PFS (Perfect Forward Secrecy) in te schakelen voor sleutels van IPSec-sessies. Als u PFS inschakelt, wordt de beveiliging verbeterd maar wordt de communicatie ook extra belast. Zorg ervoor dat PFS ook is ingeschakeld voor de andere apparaten.
[Geef tijd op]/[Geef formaat op]
Geef hier de voorwaarden op voor het beëindigen van een sessie voor IPSec SA. IPSec SA wordt gebruikt als een communicatietunnel. Schakel beide selectievakjes in of één van de twee, naargelang de voorwaarden die u wilt instellen. Als u beide selectievakjes inschakelt, wordt de IPSec SA-sessie beëindigd als aan één van de beide voorwaarden wordt voldaan.
[Geef tijd op]
Typ het aantal minuten voor de tijdsduur van een sessie.
[Geef formaat op]
Typ een grootte in MB om aan te geven hoeveel gegevens er in een sessie kunnen worden getransporteerd.
[Selecteer algoritme]
Schakel het selectievakje [ESP], [ESP (AES-GCM)] en/of [AH (SHA1)] in, afhankelijk van de gebruikte IPSec-header en algoritme. AES-GCM is een algoritme voor zowel verificatie als codering. Als [ESP] is geselecteerd, moet u ook algoritmen voor verificatie en codering selecteren in de vervolgkeuzelijsten [ESP-authenticatie] en [ESP-encryptie].
[ESP-authenticatie]
Als u ESP-verificatie wilt inschakelen, selecteert u [SHA1] als het hash-algoritme. Selecteer [Niet gebruiken] als u ESP-verificatie wilt uitschakelen.
[ESP-encryptie]
Selecteer het coderingsalgoritme voor ESP. U kunt [NULL] selecteren als u het algoritme niet wilt opgeven of selecteer [Niet gebruiken] als u ESP-codering wilt uitschakelen.
[Verbindingsmodus]
Hier wordt de verbindingsmodus van IPSec weergegeven. Het apparaat biedt ondersteuning voor de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. De tunnelmodus is niet beschikbaar. In deze modus worden complete IP-pakketten (headers en payloads) ingekapseld.
11
Klik op [OK].
Als u nog een beveiligingsbeleid wilt registreren, gaat u terug naar stap 6.
12
Bepaal de volgorde van de beleidsinstellingen onder [Geregistreerd IPSec-beleid].
De bovenste set met beleidsinstellingen (ook wel beleidslijnen genoemd) wordt als eerst toegepast, dan de volgende in de lijst, enzovoort. Klik op [Omhoog] of [Omlaag] om een instelling één positie omhoog of omlaag te verplaatsen.
Een beleid bewerken
Klik op de bijbehorende tekstkoppeling onder [Beleidsnaam] voor het bewerkingsscherm.
Een beleid verwijderen
Klik op [Verwijderen] bij de beleidsnaam die u wilt verwijderen  klik op [OK].
 
13
Start de machine opnieuw op.
Zet de machine uit, wacht minimaal 10 seconden en zet de machine weer aan.
Het bedieningspaneel gebruiken
U kunt ook IPSec-communicatie inschakelen of uitschakelen vanuit <Menu> in het scherm Start. <Gebruik IPSec>
257W-07C