Kezelési funkciók
Hitelesítési funkciók
A készülék által támogatott LDAP-kiszolgáló a Windows Server 2008 és a Server 2012 Active Directory szolgáltatása.
A készülék az LDAPv3 protokollal kommunikál az LDAP-kiszolgálókkal.
A szöveges adatok készülék és LDAP-kiszolgáló közötti átvitelében az UTF-8 a támogatott karakterkódolás.
Tűzfalbeállítások
Az IPv4 és az IPv6 protokoll használata esetén is 16 IP-címet (vagy IP-címtartományt) adhat meg.
Az itt bemutatott csomagszűrők a TCP, UDP és ICMP protokollal folytatott kommunikációt szabályozzák.
Legfeljebb 32 MAC-címet adhat meg.
IPSec
A készülék által támogatott IPSec protokoll az RFC2401, RFC2402, RFC2406 és RFC4305 előírásnak megfelelő.
|
Operációs rendszer
|
Windows Vista/7/8/Server 2008/Server 2012
|
|
|
Csatlakozás módja
|
Szállítási mód
|
|
|
Kulcscsere-protokoll
|
IKEv1 (fő mód)
|
|
|
Hitelesítés módja
|
Előre megosztott kulcs
Digitális aláírás
|
|
|
Tördelő algoritmus
(és kulcshossz) |
HMAC-SHA1-96
HMAC-SHA2 (256 vagy 384 bites)
|
|
|
Titkosító algoritmus
(és kulcshossz) |
3DES-CBC
AES-CBC (128, 192 vagy 256 bites)
|
|
|
Kulcscsere-algoritmus/csoport (és kulcshossz)
|
Diffie-Hellman (DH)
1. csoport (768 bites)
2. csoport (1024 bites)
14. csoport (2048 bites)
|
|
|
ESP
|
Tördelő algoritmus
|
HMAC-SHA1-96
|
|
Titkosító algoritmus
(és kulcshossz) |
3DES-CBC
AES-CBC (128, 192 vagy 256 bites)
|
|
|
Tördelő algoritmus/titkosító algoritmus (és kulcshossz)
|
AES-GCM (128, 192 vagy 256 bites)
|
|
|
AH
|
Tördelő algoritmus
|
HMAC-SHA1-96
|
 |
|
Az IPSec az unicast címekkel (vagyis egyetlen eszközzel) folytatott kommunikációt támogatja.
A készülék DHCPv6-hálózaton keresztül nem tud IPSec protokollal kommunikálni.
Az IPSec nem érhető el olyan hálózatokon, amelyeken NAT fordítást vagy IP-maszkolást alkalmaznak.
|
Kulcsok és tanúsítványok bejegyzése
Tanúsítvány és kulcs generálható a készülék által az X.509v3-nak való megfelelés érdekében. Ha számítógépről telepít kulcsot vagy hitelesítésszolgáltatói tanúsítványt, akkor győződjön meg róla, hogy az teljesíti az alábbi követelményeket:
|
Formátum
|
Gomb: PKCS#12*1
CA tanúsítvány: X.509v1 vagy X.509v3, DER (kódolt bináris állomány), PEM
|
|
Fájlkiterjesztés
|
Gomb: „.p12” vagy „.pfx”
CA tanúsítvány: „.cer” vagy „.pem”
|
|
Nyilvános kulcsú algoritmus
(és kulcshossz) |
RSA (512 bites, 1024 bites, 2048 bites vagy 4096 bites), ECDSA (P256, P384, P521)
|
|
Tanúsítvány-aláírási algoritmus
|
SHA1-RSA, SHA256-RSA, SHA384-RSA*2, SHA512-RSA*2, MD5-RSA, MD2-RSA, SHA1-ECDSA, SHA256-ECDSA, SHA384-ECDSA, vagy SHA512-ECDSA
|
|
Tanúsítvány-ujjlenyomat algoritmus
|
SHA1
|
|
*1A kulcsban lévő tanúsítványra vonatkozó követelmények megegyeznek a CA tanúsítványokra vonatkozó követelményekkel.
*2Az SHA384-RSA és az SHA512-RSA kódolás csak akkor érhető el, ha az RSA kulcs hossza legalább 1024 bit.
|
|
|
|
A készülék nem támogatja a tanúsítvány-visszavonási listákat (CRL).
|
A „gyenge titkosítás” meghatározása
Amikor a <Gyenge titkosítás tiltása> beállítása <Be>, akkor a következő algoritmusok használata tilos.
|
Hash:
|
MD4, MD5, SHA-1
|
|
HMAC:
|
HMAC-MD5
|
|
Közös kulcsos titkosítási rendszer:
|
RC2, RC4, DES
|
|
Nyilvános kulcsos titkosítási rendszer:
|
RSA-titkosítás (512 bites/1024 bites), RSA-aláírás (512 bites/1024 bites), DSA (512 bites/1024 bites), DH (512 bites/1024 bites)
|
|
|
|
Még ha a <Gyenge titk. kulcs/tan. tilt.> beállítás <Be> értékre is van állítva, a gyökértanúsítvány aláírásához használt SHA-1 hash-algoritmus használható.
|