Konfigurere IPSec-innstillinger

Internet Protocol Security (IPSec eller IPsec) er en protokollpakke for å kryptere data som transporteres over et nettverk, inkludert Internett-nettverk. Mens TLS bare krypterer data som brukes i et spesifikt program, for eksempel en nettleser eller et e-postprogram, krypterer IPSec hele IP-pakker eller lastinger med IP-pakker, noe som gir et mer allsidig sikkerhetssystem. IPSec i maskinen virker i transportmodus, der lastingene med IP-pakker er kryptert. Med denne funksjonen kan maskinen kobles direkte til en datamaskin som er i det samme virtuelle private nettverket (VPN). Kontroller systemkravene (Administreringsfunksjoner), og angi den nødvendige konfigurasjonen på datamaskinen før du konfigurerer maskinen.
Bruke IPsec med IP-adressefilter
Innstillinger for IP-adressefilter brukes før IPsec-policyene. Angi innstillinger for IP-adresser for brannmur

Konfigurere IPSec-innstillinger

Før du kan bruke IPSec til kryptert informasjon, må du registrere sikkerhetspolicyer. En sikkerhetspolicy består av gruppene med innstillinger beskrevet nedenfor. Når du har registrert policyene, må du angi i hvilken rekkefølge de skal brukes.
Velger
Velgeren definerer betingelser for IP-pakker som skal brukes ved IPSec-kommunikasjon. Betingelsene som kan velges, inkluderer IP-adresser og portnumre for maskinen og hvilke enheter det skal kommuniseres med.
IKE
IKE konfigurerer IKEv1 som brukes til nøkkelutvekslingsprotokollen. Legg merke til at instruksjonene kan variere, alt etter hvilken godkjenningsmetode som er valgt.
[Forhåndsdelt nøkkelmetode]
Denne godkjenningsmetoden bruker et felles nøkkelord, kalt delt nøkkel, til kommunikasjon mellom maskinen og andre enheter. Aktiver TLS for Fjernkontroll før du spesifiserer denne godkjenningsmetoden (Konfigurere nøkkel og sertifikat for TLS).
[Digital signaturmetode]
Maskinen og de andre enhetene godkjenner hverandre ved en felles verifisering av de digitale signaturene. Generer eller installer nøkkelen og sertifikatet på forhånd (Registrere nøkkel og sertifikat for nettverkskommunikasjon).
AH/ESP
Angi innstillingene for AH/ESP, som leges til i pakker under IPSec-kommunikasjon. AH og ESP kan brukes samtidig. Du kan også velge om du vil aktivere PFS for økt sikkerhet.
 
Hvis du vil ha mer informasjon om grunnleggende handlinger som skal utføres ved oppsett av maskinen fra Fjernkontroll, kan du se Konfigurere menyalternativer fra grensesnittet for Fjernkontroll.
1
Start Fjernkontroll, og logg på i systemstyrermodus. Starte grensesnittet for Fjernkontroll
2
Klikk på [Innstillinger/lagring] på Portal-siden. Skjermbildet for Fjernkontroll
3
Velg [Nettverksinnstillinger]  [IPSec-innstillinger].
4
Klikk på [Rediger].
5
Merk av for [Bruk IPSec], og klikk på [OK].
Hvis du vil at maskinen bare skal motta pakker som svarer til en av sikkerhetspolicyene du definerer i trinnene nedenfor, fjerner du merket for [Motta ikke-policypakker].
6
Klikk på [Lagre ny policy].
7
Angi policyinnstillingene.
1
Tast inn alfanumeriske tegn i tekstboksen [Policynavn] for et navn som skal brukes til å identifisere policyen.
2
Merk av for [Aktiver policy].
8
Angi velgerinnstillingene.
[Lokal adresse]
Klikk på alternativknappen for IP-adressetypen for maskinen for å aktivere policyen.
[Alle IP-adresser]
Velg å bruke IPSec for alle IP-pakker.
[IPv4-adresse]
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv4-adressen til maskinen.
[IPv6-adresse]
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra en IPv6-adresse til maskinen.
[Ekstern adresse]
Klikk på alternativknappen for IP-adressetypen for de andre enhetene for å aktivere policyen.
[Alle IP-adresser]
Velg å bruke IPSec for alle IP-pakker.
[Alle IPv4-adresser]
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv4-adressene til de andre enhetene.
[Alle IPv6-adresser]
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv6-adressene til de andre enhetene.
[IPv4 manuelle innstillinger]
Velg å angi én enkelt IPv4-adresse eller et område med IPv4-adresser for å bruke IPSec. Angi IPv4-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt].
[IPv6 manuelle innstillinger]
Velg å angi én enkelt IPv6-adresse eller et område med IPv6-adresser for å bruke IPSec. Angi IPv6-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt].
[Adresser som skal angis manuelt]
Hvis [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger] er valgt for [Ekstern adresse], angir du IP-adressen for å aktivere policyen. Du kan også angi et område med adresser ved å sette inn en bindestrek mellom adressene.
Skrive inn IP-adresser
Beskrivelse
Eksempel
Angi én enkelt adresse
IPv4:
Skill tall med punktum.
192.168.0.10
IPv6:
Skill alfanumeriske tegn med kolon.
fe80::10
Angi et adresseområde
Sett inn en bindestrek mellom adressene.
192.168.0.10-192.168.0.20
[Subnettinnstillinger]
Når du angir IPv4-adresser manuelt, kan du uttrykke området ved hjelp av nettverksmasken. Angi nettverksmasken ved å bruke punktum til å skille tallene (eksempel: "255.255.255.240").
[Prefikslengde]
Ved å spesifisere IPv6-adresser manuelt kan du også bruke prefikslengden til å angi området. Angi et område fra 0 til 128 for prefikslengde.
[Lokal port]/[Ekstern port]
Hvis du vil opprette separate policyer for hver protokoll, for eksempel HTTP eller WSD, kan du klikke på alternativknappen [Enkel port] og skrive inn det aktuelle portnummeret for protokollen for å finne ut om IPSec skal brukes.
IPsec brukes ikke for pakkene nedenfor
Tilbakekoblings-, multikast- og kringkastingspakker
IKE-pakker (bruker UDP på port 500)
ICMPv6-naboanmodningspakker og -naboannonseringspakker
9
Angi IKE-innstillingene.
[IKE-modus]
Modusen som brukes for nøkkelutvekslingsprotokollen, vises. Maskinen støtter hovedmodusen, og ikke den aggressive modusen.
[Autentiseringsmetode]
Velg [Forhåndsdelt nøkkelmetode] eller [Digital signaturmetode] for metoden som skal brukes ved godkjenning av maskinen. Du må aktivere TLS for Fjernkontroll før du velger [Forhåndsdelt nøkkelmetode]. Du må generere eller installere en nøkkel og sertifikat før du velger [Digital signaturmetode]. Konfigurere nøkkel og sertifikat for TLS
[Gyldig for]
Angi hvor lenge en økt varer for IKE SA (ISAKMP SA). Angi tiden i minutter.
[Autentisering]/[Kryptering]/[DH-gruppe]
Velg en algoritme fra rullegardinlisten. Hver algoritme brukes i nøkkelutvekslingen.
[Autentisering]
Velg hash-algoritmen.
[Kryptering]
Velg krypteringsalgoritmen.
[DH-gruppe]
Velg Diffie-Hellman-gruppen, som fastslår nøkkelstyrken.
 Godkjenne en maskin ved bruk av en forhåndsdelt nøkkel
1
Klikk på alternativknappen [Forhåndsdelt nøkkelmetode] for [Autentiseringsmetode], og klikk deretter på [Delte tasteinnstillinger].
2
Tast inn alfanumeriske tegn for den forhåndsdelte nøkkelen, og klikk på [OK].
3
Angi innstillingene [Gyldig for] og [Autentisering]/[Kryptering]/[DH-gruppe].
 Godkjenne en maskin ved bruk av digital signaturmetode
1
Klikk på alternativknappen [Digital signaturmetode] for [Autentiseringsmetode], og klikk deretter på [Nøkkel og sertifikat].
2
Klikk på [Lagre standardnøkkel] til høyre for nøkkelen og sertifikatet du vil bruke.
Vise detaljer for et sertifikat
Du kan kontrollere detaljene for sertifikatet eller verifisere sertifikatet ved å klikke på den tilhørende tekstkoblingen under [Nøkkelnavn] eller på sertifikatikonet.
3
Angi innstillingene [Gyldig for] og [Autentisering]/[Kryptering]/[DH-gruppe].
10
Angi IPSec-nettverksinnstillingene.
[Bruk PFS]
Merk av i boksen for å aktivere PFS (Perfect Forward Secrecy) for IPSec-øktnøkler. Ved å aktivere PFS forbedres sikkerheten, men belastningen på kommunikasjonen øker. Sørg for at PFS også er aktivert for de andre enhetene.
[Angi etter tid]/[Angi etter størrelse]
Angi betingelsene for å avslutte en økt for IPSec SA. IPSec SA brukes som en kommunikasjonstunnel. Merk av i én av eller begge boksene etter behov. Hvis det er merket av i begge boksene, avsluttes IPSec SA-økten når én av betingelsene er oppfylt.
[Angi etter tid]
Angi en tid i minutter for å angi hvor lenge en økt skal vare.
[Angi etter størrelse]
Angi en størrelse i megabyte for å angi hvor mye data som kan transporteres i en økt.
[Velg algoritme]
Merk av for [ESP], [ESP (AES-GCM)] eller [AH (SHA1)], alt etter IPSec-hodet og algoritmen som brukes. AES-GCM er en algoritme både for godkjenning og kryptering. Hvis [ESP] er valgt, kan du også velge algoritmer for godkjenning og kryptering fra rullegardinlistene [ESP-autentisering] og [ESP-kryptering].
[ESP-autentisering]
Hvis du vil aktivere ESP-godkjenning, velger du [SHA1] for hash-algoritmen. Velg [Ikke bruk] hvis du vil deaktivere ESP-godkjenning.
[ESP-kryptering]
Velg krypteringsalgoritmen for ESP. Du kan velge [NULL] hvis du ikke vil angi algoritmen, eller du kan velge [Ikke bruk] hvis du vil deaktivere ESP-krypteringen.
[Tilkoblingsmodus]
Tilkoblingsmodusen for IPSec vises. Maskinen støtter transportmodus, der lastingene med IP-pakker er kryptert. Tunnelmodus, der hele IP-pakker (hoder og lastinger) er innkapslet, er ikke tilgjengelig.
11
Klikk på [OK].
Hvis du må registrere en ny sikkerhetspolicy, går du tilbake til trinn 6.
12
Arranger rekkefølgen for policyene som er oppført under [Lagrede IPSec-policyer].
Policyer brukes fra den øverste policyen til den nederste. Klikk på [Opp] eller [Ned] for å flytte en policy opp eller ned i rekkefølgen.
Redigere en policy
Klikk på den tilsvarende tekstkoblingen under [Policynavn] for å redigere skjermbildet.
Slette en policy
Klikk på [Slett] til høyre for navnet på policyen du vil slette  klikk på [OK].
 
13
Start maskinen på nytt.
Slå av maskinen og vent i minst 10 sekunder før du slår den på igjen.
Bruke betjeningspanelet
Du kan også aktivere eller deaktivere IPSec-kommunikasjon fra <Meny> på Hjem-skjermen. <Bruk IPSec>
2585-04H