Konfiguration af IPSec-indstillinger

Internet Protocol Security (IPSec eller IPsec) er en protokolprogrampakke til kryptering af data, der transporteres via et netværk, herunder internetnetværk. Selvom TLS kun krypterer data, der anvendes i et bestemt program, f.eks. en webbrowser eller et e-mailprogram, krypterer IPSec hele IP-pakker eller data i IP-pakker, hvilket giver et mere alsidigt sikkerhedssystem. Maskinens IPSec fungerer i transportstatus, i hvilken dataene i IP-pakkerne krypteres. Med denne funktion kan maskinen oprette direkte forbindelse til en computer, der er på det samme VPN (virtual private network). Kontroller systemkravene (Administrationsfunktioner), og angiv den nødvendige konfiguration på computeren, før du konfigurerer maskinen.
Brug af IPSec med IP-adressefilter
Indstillinger for IP-adressefiltret anvendes før IPSec-politikkerne. Angivelse af IP-adresser for firewall-indstillinger

Konfiguration af IPSec-indstillinger

Før du bruger IPSec til krypteret kommunikation, skal du registrere sikkerhedspolitikkerne (SP). En sikkerhedspolitik består af grupper de indstillinger, der er beskrevet herunder. Når du har registreret politikkerne, skal du angive den rækkefølge, i hvilken de anvendes.
Vælger
Vælgeren definerer betingelserne for IP-pakker for at anvende IPSec-kommunikation. De indstillinger, der kan vælges, omfatter maskinens IP-adresser og portnumre og de enheder, der skal kommunikeres med.
IKE
IKE konfigurerer den IKEv1, der bruges til nøgleudvekslingsprotokollen. Bemærk, at instruktionerne kan variere, afhængigt af den godkendelsesmetode der er valgt.
[Metoden Forhåndsdelt nøgle]
Denne godkendelsesmetode bruger et fælles nøgleord, der kaldes for Delt Nøgle, til kommunikationen mellem maskine og andre enheder. Aktivér TLS for Brugerinterface til fjernbetjening, før du angiver godkendelsesmetoden (Konfigurering af nøgle og certifikat for TLS).
[Digital signaturmetode]
Maskinen og de andre enheder godkender hinanden ved gensidigt at bekræfte deres digitale signaturer. Generér eller installér nøgle og certifikat på forhånd (Registrering af nøgle og certifikat til netværkskommunikation).
AH/ESP
Angiv indstillingerne for AH/ESP, som føjes til pakkerne under IPSec-kommunikation. AH og ESP bruges samtidigt. Du kan også vælge, hvorvidt du vil aktivere PFS for at stramme sikkerheden eller ej.
 
For mere information om de grundlæggende handlinger, der skal udføres ved indstilling af maskinen fra Brugerinterface til fjernbetjening, henvises til Angivelse af menuindstilling for Brugerinterface til fjernbetjening.
1
Start Brugerinterface til fjernbetjening, og log på i systemadministratortilstand. Brug af Brugerinterface til fjernbetjening
2
Klik på [Indstillinger/registrering] på portalsiden. Skærm for Brugerinterface til fjernbetjening
3
Vælg [Netværksindstillinger]  [IPSec-indstillinger].
4
Klik på [Rediger].
5
Marker afkrydsningsfeltet [Brug IPSec], og klik på [OK].
Hvis du ønsker, at maskinen kun skal modtage pakker, der stemmer overens med en af de sikkerhedspolitikker, du definerer i trinnene herunder, skal du rydde markeringen i afkrydsningsfeltet [Modtag Non-policy-pakker].
6
Klik på [Registrér ny politik].
7
Angiv politikindstillingerne.
1
I tekstfeltet [Politiknavn] skal du angive alfanumeriske tegn for et navn, der bruges til identificering af politikken.
2
Marker afkrydsningsfeltet [Aktivér politik].
8
Angiv indstillingerne for vælgeren.
[Lokal adresse]
Klik på alternativknappen for denne type IP-adresse for maskinen for at anvende politikken.
[Alle IP-adresser]
Vælg indstillingen for at bruge IPSec til alle IP-pakker.
[IPv4-adresse]
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra maskinens IPv4-adresse.
[IPv6-adresse]
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra maskinens IPv6-adresse.
[Fjernadresse]
Klik på alternativknappen for denne type IP-adresse for andre enheder for at anvende politikken.
[Alle IP-adresser]
Vælg indstillingen for at bruge IPSec til alle IP-pakker.
[Alle IPv4-adresse]
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra IPv4-adresser for andre enheder.
[Alle IPv6-adresse]
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra IPv6-adresser for andre enheder.
[Manuelle IPv4-indstillinger]
Vælg indstillingen for at angive en enkelt IPv4-adresse eller et udvalg af IPv4-adresser for at anvende IPSec. Angiv IPv4-adressen (eller området) i tekstfeltet [Adresser til manuel indstilling].
[Manuelle IPv6-indstillinger]
Vælg indstillingen for at angive en enkelt IPv6-adresse eller et udvalg af IPv6-adresser for at anvende IPSec. Angiv IPv6-adressen (eller området) i tekstfeltet [Adresser til manuel indstilling].
[Adresser til manuel indstilling]
Hvis [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger] er valgt for [Fjernadresse], skal du angive IP-adressen for at anvende politikken. Du kan også angive et adresseområde ved at indsætte en bindestreg mellem adresserne.
Angivelse af IP-adresser
Beskrivelse
Eksempel
Indtastning af en enkelt adresse
IPv4:
Adskil tal med punktummer.
192.168.0.10
IPv6:
Adskil alfanumeriske tegn med koloner.
fe80::10
Angivelse af adresseområder
Indsæt en bindestreg mellem adresserne.
192.168.0.10-192.168.0.20
[Indstillinger for undernet]
Når du angiver IPv4-adressen manuelt, kan du udtrykke området ved hjælp af undernetmasken. Angiv undernetmasken, og adskil tallene med punktummer (eksempel:"255.255.255.240").
[Præfikslængde]
Hvis du angiver et IPv6-adresseområde manuelt, kan du også bruge præfikser til at angive området. Angiv et område fra 0 til 128 som præfikslængde.
[Lokal port]/[Fjernport]
Hvis du vil oprette separate politikker for hver protokol, f.eks. HTTP eller WSD, skal du klikke på alternativknappen [Enkelt port] og angive det relevante portnummer for protokollen for at finde ud af, om IPSec skal bruges.
IPSec anvendes ikke på de følgende pakker
Tilbageloop-, multicast- og broadcast-pakker
IKE-pakker (vha. UDP på port 500)
ICMPv6-naboinvitations- og nabomeddelelsespakker
9
Angiv IKE-indstillingerne.
[IKE-tilstand]
Den status, der bruges til nøgleudvekslingsprotokollen vises. Maskinen understøtter hovedstatussen, ikke den aggressive status.
[Autentificeringsmetode]
Vælg [Metoden Forhåndsdelt nøgle] eller [Digital signaturmetode] for den metode, der bruges, når du godkender maskinen. Du skal aktivere TLS for Brugerinterface til fjernbetjening, før du vælger [Metoden Forhåndsdelt nøgle]. Du skal generere eller installere nøgle og certifikat, før du vælger [Digital signaturmetode] Konfigurering af nøgle og certifikat for TLS.
[Gyldig til]
Angiv, i hvor lang tid en session varer for IKE SA (ISAKMP SA). Angiv tiden i minutter.
[Autentificering]/[Kryptering]/[DH-gruppe]
Vælg en algoritme på rullelisten. Hver enkelt algoritme bruges i nøgleudvekslingen.
[Autentificering]
Vælg hashalgoritmen.
[Kryptering]
Vælg krypteringsalgoritmen.
[DH-gruppe]
Vælg Diffie-Hellman-gruppen, der bestemmer længden på nøglen.
 Godkendelse af en maskine ved hjælp af en forhåndsdelt nøgle.
1
Klik på alternativknappen [Metoden Forhåndsdelt nøgle] for [Autentificeringsmetode], og klik derefter på [Indstillinger for delt nøgle].
2
Angiv alfanumeriske tegn for den forhåndsdelte nøgle, og klik på [OK].
3
Angiv indstillingerne [Gyldig til] og [Autentificering]/[Kryptering]/[DH-gruppe].
 Godkendelse af en maskine ved hjælp af digital signaturmetode.
1
Klik på alternativknappen [Digital signaturmetode] for [Autentificeringsmetode], og klik derefter på [Nøgle og certifikat].
2
Klik på [Registrer standardnøgle] til højre for den nøgle og det certifikat, du vil bruge.
Visning af detaljer om et certifikat
Du kan klikke på detaljerne for certifikatet eller kontrollere certifikatet ved at klikke på det tilhørende tekstlink under [Nøglenavn] eller ikonet for certifikatet.
3
Angiv indstillingerne [Gyldig til] og [Autentificering]/[Kryptering]/[DH-gruppe].
10
Angiv netværksindstillingerne for IPSec.
[Brug PFS]
Markér afkrydsningsfeltet for at aktivere PFS (perfect forward secrecy) for IPSec-sessionsnøgler. Hvis du aktiverer PFS, forbedrer det sikkerheden, samtidig med at belastningen af kommunikationen øges. Sørg for, at PFS også er aktiveret for de andre enheder.
[Angiv efter tid]/[Angiv efter størrelse]
Angiv betingelserne for afslutning af en session for IPSec SA. IPSec SA bruges som en kommunikationstunnel. Marker et eller begge felter efter behov. Hvis du markerer begge felter, afsluttes IPSec SA-sessionen, når en af betingelserne er blevet opfyldt.
[Angiv efter tid]
Angiv en tid i minutter for at angive, i hvor lang tid en session varer.
[Angiv efter størrelse]
Angiv en størrelse i MB for at angive, hvor mange data der kan transporteres i en session.
[Vælg algoritme]
Marker afkrydsningsfeltet/-felterne [ESP], [ESP (AES-GCM)] eller [AH (SHA1)], afhængigt af den IPSec-header og –algoritme, der anvendes. AES-GCM er en algoritme til både godkendelse og kryptering. Hvis [ESP] er valgt, skal du også vælge algoritmer til godkendelse og kryptering på rullelisterne [ESP-autentificering] og [ESP-kryptering].
[ESP-autentificering]
Hvis du vil aktivere ESP-godkendelsen, skal du vælge [SHA1] for hashalgoritmen. Vælg [Brug ikke], hvis du vil deaktivere ESP-godkendelsen.
[ESP-kryptering]
Vælg krypteringsalgoritmen for ESP. Du kan vælge [NULL], hvis du ikke vil angive algoritmen, eller vælge [Brug ikke], hvis du vil deaktivere ESP-kryptering.
[Tilslutningsstatus]
Forbindelsesstatussen for IPSec vises. Maskinen understøtter transportstatussen, i hvilken dataene i IP-pakkerne krypteres. Tunnelstatussen, i hvilken hele IP-pakker (headere og data) indkapsles, er ikke tilgængelig.
11
Klik på [OK].
Hvis du skal registrere en ekstra sikkerhedspolitik, skal du gå tilbage til trin 6.
12
Arranger rækkefølgen af de politikker, der vises under [Registrerede IPSec-politikker].
Politikkerne anvendes fra den, som er placeret højest, til den, der er placeret nederst. Klik på [Op] eller [Ned] for at flytte en politik op eller ned i rækkefølgen.
Redigering af en politik
Klik på et tilhørende tekstlink under [Politiknavn] for redigeringsskærmen.
Sletning af en politik
Klik på [Slet] til højre for det politiknavn, du vil slette  klik på [OK].
 
13
Genstart maskinen.
Sluk maskinen, vent mindst 10 sekunder, og tænd den igen.
Brug af kontrolpanelet
Du kan også aktivere eller deaktivere IPSec-kommunikation fra <Menu> på Hjem-skærmen. <Brug IPSec>
24Y5-04H