Configurarea setărilor IPSec
Internet Protocol Security (IPSec sau IPsec) este o suită de protocol-uri pentru criptarea informaţiilor transmise prin intermediul unei reţele, inclusiv reţele de Internet. În timp ce TLS criptează doar informaţiile folosite de o anumită aplicaţie, precum un browser Web sau o aplicaţie de e-mail, IPSec criptează toate pachetele IP sau încărcăturile de pachete IP, oferind un sistem de securitate mai versatil. IPSec a aparatului funcţionează în modul transport, în care pachetele IP sunt criptate. Cu această funcţie, aparatul se poate conecta direct la un calculator care se află în aceeaşi reţea privată virtuală (VPN). Verificaţi cerinţele de sistem (Funcţii de administrare) şi setaţi configuraţia necesară pe computer înainte de a configura aparatul.
/b_C231_L.gif)
|
|
Utilizare IPSec cu filtrarea adresei IPSetările pentru filtrarea adresei IP sunt aplicate înainte de politicile IPSec. Specificarea adreselor IP pentru setările firewall
|
Configurarea setărilor IPSec
Înainte de utilizarea IPSec pentru metoda de criptare, trebuie să înregistraţi politicile de securitate (SP). O politică de securitate este formată din grupuri de setări descrise mai jos. După înregistrarea politicilor, specificaţi ordinea în care să fie aplicate.
Selector
Selector defineşte condiţiile pentru pachetele IP care să se aplice comunicării IPSec. Condiţiile care pot fi alese includ adrese IP şi număr de porturi ale aparatului şi ale dispozitivelor cu care să comunice.
IKE
IKE configurează IKEv1 care este folosit pentru protocolul de schimbare a parolei. Instrucţiunile pot fi diferite în funcţie de metoda de autentificare aleasă.
[Pre-Shared Key Method]
Această metodă de autentificare utilizează un cuvânt cheie comun, denumit Cheie partajată, pentru comunicarea între aparat şi alte dispozitive. Activaţi TLS pentru Remote UI (IU la distanţă) înainte de a specifica metoda de autentificare (Configurarea cheii şi a certificatului TLS).
Această metodă de autentificare utilizează un cuvânt cheie comun, denumit Cheie partajată, pentru comunicarea între aparat şi alte dispozitive. Activaţi TLS pentru Remote UI (IU la distanţă) înainte de a specifica metoda de autentificare (Configurarea cheii şi a certificatului TLS).
[Digital Signature Method]
Aparatul şi alte dispozitive se autentifică reciproc verificând semnăturile digitale. Generaţi sau instalaţi mai întâi cheia şi certificatul (Înregistrarea cheii şi a certificatului pentru comunicarea în reţea).
Aparatul şi alte dispozitive se autentifică reciproc verificând semnăturile digitale. Generaţi sau instalaţi mai întâi cheia şi certificatul (Înregistrarea cheii şi a certificatului pentru comunicarea în reţea).
AH/ESP
Specificaţi setările pentru AH/ESP, care sunt adăugate pachetelor în timpul comunicării IPSec. AH şi ESP pot fi folosite în acelaşi timp. Puteţi selecta şi dacă să activaţi sau nu PFS pentru o securitate şi mai puternică.
|
|
|
Pentru mai multe informaţii despre operaţiunile de bază care urmează a fi efectuate la setarea aparatului din Remote UI (IU la distanţă), consultaţi Configurarea opţiunilor de meniu din Remote UI (IU la distanţă).
|
1
Porniţi Remote UI (IU la distanţă) şi conectaţi-vă în modul administrator de sistem. Pornirea caracteristicii Remote UI (IU la distanţă)
2
Faceţi clic pe [Settings/Registration] din pagina Portal. Ecranul Remote UI (IU la distanţă)
3
Selectaţi [Network Settings] /b_key_arrow_right.gif)
[IPSec Settings].
[IPSec Settings].4
Faceţi clic pe [Edit].
5
Bifaţi caseta de selectare [Use IPSec] şi faceţi clic pe [OK].
Dacă doriţi ca aparatul doar să primească pachete care se potrivesc uneia dintre politicile de securitate pe care le-aţi definit în paşii de mai jos, debifaţi caseta de selectare [Receive Non-Policy Packets].
6
Faceţi clic pe [Register New Policy].
7
Specificaţi setările de politică.
/b_rui081.gif)
|
1
|
În caseta text [Policy Name], introduceţi caractere alfanumerice pentru un nume care este utilizat pentru identificarea politicii.
|
|
2
|
Bifaţi caseta de selectare [Enable Policy].
|
8
Specificaţi setările de Selector.
/b_rui082.gif)
[Local Address]
Faceţi clic pe butonul radio pentru tipul de adresă IP a aparatului pentru a aplica politica.
Faceţi clic pe butonul radio pentru tipul de adresă IP a aparatului pentru a aplica politica.
|
[All IP Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP.
|
|
[IPv4 Address]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv4 a aparatului.
|
|
[IPv6 Address]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv6 a aparatului.
|
[Remote Address]
Faceţi clic pe butonul radio pentru tipul de adresă IP a celorlalte dispozitive pentru a aplica politica.
Faceţi clic pe butonul radio pentru tipul de adresă IP a celorlalte dispozitive pentru a aplica politica.
|
[All IP Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP.
|
|
[All IPv4 Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv4 a celorlalte dispozitive.
|
|
[All IPv6 Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv6 a celorlalte dispozitive.
|
|
[IPv4 Manual Settings]
|
Selectaţi să specificaţi o singură adresă IPv4 sau un interval de adrese IPv4 pentru a aplica IPSec. Introduceţi adresa IPv4 (sau intervalul) în caseta text [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Selectaţi să specificaţi o singură adresă IPv6 sau un interval de adrese IPv6 pentru a aplica IPSec. Introduceţi adresa IPv6 (sau intervalul) în caseta text [Addresses to Set Manually].
|
[Addresses to Set Manually]
Dacă se selectează [IPv4 Manual Settings] sau [IPv6 Manual Settings] pentru [Remote Address], introduceţi adresa IP pentru a aplica politica. Puteţi introduce un interval de adrese introducând o cratimă între adrese.
Dacă se selectează [IPv4 Manual Settings] sau [IPv6 Manual Settings] pentru [Remote Address], introduceţi adresa IP pentru a aplica politica. Puteţi introduce un interval de adrese introducând o cratimă între adrese.
Introducerea adreselor IP
|
Descriere
|
Exemplu
|
|
|
Introducerea unei singure adrese
|
IPv4:
Delimitaţi numerele cu puncte. |
192.168.0.10
|
|
IPv6:
Delimitaţi caracterele alfanumerice cu două puncte. |
fe80::10
|
|
|
Specificare unui interval de adrese
|
Introduceţi o cratimă între adrese.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Când specificaţi adresa IPv4 manual, puteţi exprima intervalul folosind masca de subreţea. Introduceţi subnet mask folosind puncte pentru a delimita numerele (de exemplu: „255.255.255.240”).
Când specificaţi adresa IPv4 manual, puteţi exprima intervalul folosind masca de subreţea. Introduceţi subnet mask folosind puncte pentru a delimita numerele (de exemplu: „255.255.255.240”).
[Prefix Length]
Specificarea manuală a intervalului adreselor IPv6 vă permite, de asemenea, să specificaţi intervalul utilizând prefixele. Introduceţi un interval între 0 şi 128 pentru lungimea prefixului.
Specificarea manuală a intervalului adreselor IPv6 vă permite, de asemenea, să specificaţi intervalul utilizând prefixele. Introduceţi un interval între 0 şi 128 pentru lungimea prefixului.
[Local Port]/[Remote Port]
Dacă doriţi să creaţi politici separate pentru fiecare protocol, cum ar fi HTTP sau WSD, faceţi clic pe butonul radio [Single Port] şi introduceţi numărul de port potrivit pentru protocol pentru a determina dacă să se utilizeze IPSec.
Dacă doriţi să creaţi politici separate pentru fiecare protocol, cum ar fi HTTP sau WSD, faceţi clic pe butonul radio [Single Port] şi introduceţi numărul de port potrivit pentru protocol pentru a determina dacă să se utilizeze IPSec.
IPSec nu este aplicat următoarelor pachete
Pachete loopback, multicast şi broadcast
Pachete IKE (folosind UDP prin portul 500)
Solicitare ICMPv6 neighbor şi pachete reclame neighbor
9
Specificaţi setările de IKE.
/b_rui083.gif)
[IKE Mode]
Este afişat modul utilizat pentru protocolul de schimbare a cheii. Aparatul este compatibil cu modul principal, nu cu cel agresiv.
Este afişat modul utilizat pentru protocolul de schimbare a cheii. Aparatul este compatibil cu modul principal, nu cu cel agresiv.
[Authentication Method]
Selectaţi [Pre-Shared Key Method] sau [Digital Signature Method] pentru metoda folosită când autentificaţi aparatul. Trebuie să activaţi TLS pentru Remote UI (IU la distanţă) înainte de a selecta [Pre-Shared Key Method]. Trebuie să generaţi sau să instalaţi o cheie şi un certificat înainte de a selecta [Digital Signature Method]. Configurarea cheii şi a certificatului TLS
Selectaţi [Pre-Shared Key Method] sau [Digital Signature Method] pentru metoda folosită când autentificaţi aparatul. Trebuie să activaţi TLS pentru Remote UI (IU la distanţă) înainte de a selecta [Pre-Shared Key Method]. Trebuie să generaţi sau să instalaţi o cheie şi un certificat înainte de a selecta [Digital Signature Method]. Configurarea cheii şi a certificatului TLS
[Valid for]
Specificaţi durata sesiunii pentru IKE SA (ISAKMP SA). Introduceţi intervalul în minute.
Specificaţi durata sesiunii pentru IKE SA (ISAKMP SA). Introduceţi intervalul în minute.
[Authentication]/[Encryption]/[DH Group]
Selectaţi un algoritm din lista verticală. Fiecare algoritm este folosit pentru schimbarea parolei.
Selectaţi un algoritm din lista verticală. Fiecare algoritm este folosit pentru schimbarea parolei.
|
[Authentication]
|
Selectaţi algoritmul hash.
|
|
[Encryption]
|
Selectaţi algoritmul de criptare.
|
|
[DH Group]
|
Selectaţi grupul Diffie-Hellman, care determină cât de puternică este parola.
|
Autentificarea unui aparat cu ajutorul unei chei pre-partajate
|
1
|
Faceţi clic pe butonul radio [Pre-Shared Key Method] pentru [Authentication Method], apoi faceţi clic pe [Shared Key Settings].
|
|
2
|
Introduceţi caractere alfanumerice pentru cheia pre-partajată şi faceţi clic pe [OK].
|
|
3
|
Specificaţi setările [Valid for] şi [Authentication]/[Encryption]/[DH Group].
|
Autentificarea unui aparat cu ajutorul metodei semnăturii digitale
|
1
|
Faceţi clic pe butonul radio [Digital Signature Method] pentru [Authentication Method], apoi faceţi clic pe [Key and Certificate].
|
|
2
|
Faceţi clic pe [Register Default Key] din partea dreaptă a cheii şi a certificatului pe care doriţi să le utilizaţi.
Vizualizarea detaliilor unui certificat
Puteţi verifica detaliile certificatului sau puteţi verifica certificatul dacă faceţi clic pe linkul text corespunzător din [Key Name] sau pe pictograma certificatului.
|
|
3
|
Specificaţi setările [Valid for] şi [Authentication]/[Encryption]/[DH Group].
|
10
Specificaţi setările de reţea IPSec.
/b_rui086.gif)
[Use PFS]
Bifaţi caseta de selectare pentru a activa Perfect Forward Secrecy (PFS) pentru parolele sesiunii IPSec. Dacă activaţi PFS îmbunătăţeşte securitatea în timp ce creşte încărcarea comunicării. Asiguraţi-vă că şi celălalt dispozitiv are activat PFS.
Bifaţi caseta de selectare pentru a activa Perfect Forward Secrecy (PFS) pentru parolele sesiunii IPSec. Dacă activaţi PFS îmbunătăţeşte securitatea în timp ce creşte încărcarea comunicării. Asiguraţi-vă că şi celălalt dispozitiv are activat PFS.
[Specify by Time]/[Specify by Size]
Setaţi condiţiile pentru terminarea unei sesiuni pentru IPSec SA. IPSec SA este folosit ca un tunel de comunicare. Selectaţi una sau ambele căsuţe, dacă este nevoie. Dacă ambele căsuţe sunt selectate, sesiunea IPSec SA este terminată când oricare dintre condiţii sunt îndeplinite.
Setaţi condiţiile pentru terminarea unei sesiuni pentru IPSec SA. IPSec SA este folosit ca un tunel de comunicare. Selectaţi una sau ambele căsuţe, dacă este nevoie. Dacă ambele căsuţe sunt selectate, sesiunea IPSec SA este terminată când oricare dintre condiţii sunt îndeplinite.
|
[Specify by Time]
|
Introduceţi un interval în minute pentru a specifica cât durează o sesiune.
|
|
[Specify by Size]
|
Introduceţi o dimensiunea în megabytes pentru a specifica câte informaţii pot fi transportate într-o sesiune.
|
[Select Algorithm]
Bifaţi casetele de selectare [ESP], [ESP (AES-GCM)] sau [AH (SHA1)] în funcţie de antetul IPSec şi algoritmul utilizat. AES-GCM este un algoritm atât pentru autentificare, cât şi pentru criptare. Dacă se selectează [ESP], selectaţi şi algoritmii pentru autentificare şi criptare din listele verticale [ESP Authentication] şi [ESP Encryption].
Bifaţi casetele de selectare [ESP], [ESP (AES-GCM)] sau [AH (SHA1)] în funcţie de antetul IPSec şi algoritmul utilizat. AES-GCM este un algoritm atât pentru autentificare, cât şi pentru criptare. Dacă se selectează [ESP], selectaţi şi algoritmii pentru autentificare şi criptare din listele verticale [ESP Authentication] şi [ESP Encryption].
|
[ESP Authentication]
|
Pentru a activa autentificarea ESP, selectaţi [SHA1] pentru algoritmul hash. Selectaţi [Do Not Use] dacă doriţi să dezactivaţi autentificarea ESP.
|
|
[ESP Encryption]
|
Selectaţi algoritmul de criptare pentru ESP. Puteţi selecta [NULL] dacă nu doriţi să specificaţi algoritmul sau selectaţi [Do Not Use] dacă doriţi să dezactivaţi criptarea ESP.
|
[Connection Mode]
Se afişează modul de conectare pentru IPSec. Aparatul este compatibil cu modul transport, în care pachetele IP sunt criptate. Modul tunel, în care toate pachetele IP (header şi încărcare) sunt încapsulate nu este disponibil.
Se afişează modul de conectare pentru IPSec. Aparatul este compatibil cu modul transport, în care pachetele IP sunt criptate. Modul tunel, în care toate pachetele IP (header şi încărcare) sunt încapsulate nu este disponibil.
11
Faceţi clic pe [OK].
Dacă aveţi nevoie să înregistraţi o politică de securitate în plus, reveniţi la pasul 6.
12
Aranjaţi ordinea politicilor listate în [Registered IPSec Policies].
Politicile sunt aplicate de la cea aflată cel mai sus la cea aflată cel mai jos. Faceţi clic pe [Up] sau pe [Down] pentru a muta o politică în sus sau în jos în ordine.
/b_rui087.gif)
Editarea unei politici
Faceţi clic pe linkul text corespunzător din [Policy Name] pentru ecranul de editare.
Ştergerea unei politici
Faceţi clic pe [Delete] din partea dreaptă a numelui politicii pe care doriţi să o ştergeţi faceţi clic pe [OK].
faceţi clic pe [OK].13
Reporniţi aparatul.
Opriţi aparatul şi aşteptaţi cel puţin 10 secunde, apoi porniţi-l din nou.
|
|
Utilizarea panoului de operareDe asemenea, puteţi activa sau dezactiva comunicarea IPSec din <Meniu> în ecranul Pornire. <Utilizare IPSec>
|