Konfiguriranje postavki za IPSec
Internet Protocol Security (IPSec ili IPsec) paket je protokola za šifriranje podataka koji se prenose putem mreže, uključujući internetske mreže. Dok TLS šifrira samo podatke koji se koriste u određenoj aplikaciji, kao što je web-preglednik ili aplikacija za e-poštu, IPSec šifrira cijele IP pakete ili njihov sadržaj te tako nudi raznolikiji sigurnosni sustav. IPSec uređaja funkcionira u načinu prijenosa, u kojem se sadržaj IP paketa šifrira. Uz tu se značajku uređaj može izravno povezati s računalom u istoj virtualnoj privatnoj mreži (VPN-u). Prije konfiguriranja uređaja provjerite sistemske preduvjete (Funkcije upravljanja) i postavite potrebnu konfiguraciju na računalu.
/b_C231_L.gif)
|
|
Korištenje protokola IPSec s filtrom IP adresaPrije IPSec pravilnika primjenjuju se postavke filtra IP adresa. Definiranje IP adresa za postavke vatrozida
|
Konfiguriranje postavki za IPSec
Prije korištenja protokola IPSec za šifriranu razmjenu podataka potrebno je registrirati sigurnosna pravila. Sigurnosna se pravila sastoje od grupa postavki koje su opisane u nastavku. Nakon registriranja pravila definirajte redoslijed kojim se primjenjuju.
Alat za odabir
Alat za odabir definira uvjete za IP pakete koji se primjenjuju na IPSec razmjenu podataka. Uvjeti koji se mogu odabrati obuhvaćaju IP adrese i brojeve priključaka na uređaju i ostalim uređajima za razmjenu podataka.
IKE
IKE konfigurira IKEv1 koji se koristi za protokol razmjene ključeva. Imajte na umu da upute ovise o odabranom načinu provjere autentičnosti.
[Pre-Shared Key Method]
Metoda provjere autentičnosti koja koristi čestu ključnu riječ (zajednički ključ) za razmjenu podataka između uređaja i drugih uređaja. Prije no što definirate tu metodu provjere autentičnosti (Konfiguracija ključa i certifikata za TLS), za Remote UI (Korisničko sučelje za daljinski pristup) omogućite TLS.
Metoda provjere autentičnosti koja koristi čestu ključnu riječ (zajednički ključ) za razmjenu podataka između uređaja i drugih uređaja. Prije no što definirate tu metodu provjere autentičnosti (Konfiguracija ključa i certifikata za TLS), za Remote UI (Korisničko sučelje za daljinski pristup) omogućite TLS.
[Digital Signature Method]
Uređaj i drugi uređaji međusobno potvrđuju svoje digitalne potpise i tako si potvrđuju autentičnost. Unaprijed generirajte i instalirajte ključ i certifikat (Registriranje ključa i certifikata za mrežnu razmjenu podataka).
Uređaj i drugi uređaji međusobno potvrđuju svoje digitalne potpise i tako si potvrđuju autentičnost. Unaprijed generirajte i instalirajte ključ i certifikat (Registriranje ključa i certifikata za mrežnu razmjenu podataka).
AH/ESP
Definirajte postavke za zaglavlje AH/ESP koje se dodaje u pakete tijekom IPSec razmjene podataka. AH i ESP mogu se koristiti istodobno. Možete odabrati i želite li omogućiti PFS radi veće sigurnosti.
|
|
|
Dodatne informacije o osnovnim postupcima prilikom postavljanja uređaja putem sučelja Remote UI (Korisničko sučelje za daljinski pristup) potražite u odjeljku Postavljanje mogućnosti izbornika iz sučelja Remote UI (Korisničko sučelje za daljinski pristup).
|
1
Pokrenite Remote UI (Korisničko sučelje za daljinski pristup), a zatim se prijavite u načinu rada za upravitelja sustava. Pokretanje sučelja Remote UI (Korisničko sučelje za daljinski pristup)
2
Na stranici portala kliknite [Settings/Registration]. Zaslon sučelja Remote UI (Korisničko sučelje za daljinski pristup)
3
Odaberite [Network Settings] /b_key_arrow_right.gif)
[IPSec Settings].
[IPSec Settings].4
Kliknite [Edit].
5
Potvrdite okvir [Use IPSec], a zatim kliknite [OK].
Ako želite da uređaj prima samo one pakete koji odgovaraju nekom od sigurnosnih pravilnika koje definirate u koracima u nastavku, poništite potvrdni okvir [Receive Non-Policy Packets].
6
Kliknite [Register New Policy].
7
Definirajte postavke pravila.
/b_rui081.gif)
|
1
|
U tekstni okvir [Policy Name] unesite najviše alfanumeričke znakove za naziv koji se koristi za prepoznavanje pravila.
|
|
2
|
Potvrdite okvir [Enable Policy].
|
8
Definirajte postavke alata za odabir.
/b_rui082.gif)
[Local Address]
Kliknite izborni gumb za vrstu IP adrese uređaja da biste primijenili pravila.
Kliknite izborni gumb za vrstu IP adrese uređaja da biste primijenili pravila.
|
[All IP Addresses]
|
Odaberite da biste IPSec koristili za sve IP pakete.
|
|
[IPv4 Address]
|
Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv4 adresu uređaja ili s nje.
|
|
[IPv6 Address]
|
Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv6 adresu uređaja ili s nje.
|
[Remote Address]
Kliknite izborni gumb za vrstu IP adrese drugih uređaja da biste primijenili pravila.
Kliknite izborni gumb za vrstu IP adrese drugih uređaja da biste primijenili pravila.
|
[All IP Addresses]
|
Odaberite da biste IPSec koristili za sve IP pakete.
|
|
[All IPv4 Addresses]
|
Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv4 adresu drugih uređaja ili s nje.
|
|
[All IPv6 Addresses]
|
Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv6 adresu drugih uređaja ili s nje.
|
|
[IPv4 Manual Settings]
|
Odaberite da biste definirali IPv4 adresu ili raspon IPv4 adresa za primjenu protokola IPSec. Unesite IPv4 adresu (ili raspon) u tekstni okvir [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Odaberite da biste definirali IPv6 adresu ili raspon IPv6 adresa za primjenu protokola IPSec. Unesite IPv6 adresu (ili raspon) u tekstni okvir [Addresses to Set Manually].
|
[Addresses to Set Manually]
Ako je za mogućnost [Remote Address] odabrano [IPv4 Manual Settings] ili [IPv6 Manual Settings], unesite IP adresu za primjenu pravila. Raspon adresa možete unijeti i umetanjem crtice između adresa.
Ako je za mogućnost [Remote Address] odabrano [IPv4 Manual Settings] ili [IPv6 Manual Settings], unesite IP adresu za primjenu pravila. Raspon adresa možete unijeti i umetanjem crtice između adresa.
Unos IP adresa
|
Opis
|
Primjer
|
|
|
Unos jedne adrese
|
IPv4:
Brojeve odvojite točkama. |
192.168.0.10
|
|
IPv6:
Alfanumeričke znakove odvojite dvotočkama. |
fe80::10
|
|
|
Definiranje raspona adresa
|
Između adresa umetnite crticu.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Prilikom ručnog unosa IPv4 adresa raspon se može izraziti pomoću maske podmreže. Unesite masku podmreže i koristite točke da biste odijelili brojeve (primjer: "255.255.255.240").
Prilikom ručnog unosa IPv4 adresa raspon se može izraziti pomoću maske podmreže. Unesite masku podmreže i koristite točke da biste odijelili brojeve (primjer: "255.255.255.240").
[Prefix Length]
Ručni unos IPv6 adresa omogućuje i navođenje raspona pomoću prefiksa. Kao duljinu prefiksa unesite raspon od 0 do 128.
Ručni unos IPv6 adresa omogućuje i navođenje raspona pomoću prefiksa. Kao duljinu prefiksa unesite raspon od 0 do 128.
[Local Port]/[Remote Port]
Ako želite stvoriti zasebna pravila za svaki protokol, npr. HTTP ili WSD, kliknite izborni gumb [Single Port] i unesite odgovarajući broj priključka za svaki protokol da biste definirali treba li koristiti IPSec.
Ako želite stvoriti zasebna pravila za svaki protokol, npr. HTTP ili WSD, kliknite izborni gumb [Single Port] i unesite odgovarajući broj priključka za svaki protokol da biste definirali treba li koristiti IPSec.
IPSec se ne primjenjuje na sljedeće pakete
povratne, višesmjerne i emitirane pakete
IKE pakete (koriste UDP na priključku 500)
ICMPv6 pakete susjednog poticanja i oglašavanja
9
Definirajte postavke protokola IKE.
/b_rui083.gif)
[IKE Mode]
Prikazuje se način rada koji se koristi za protokol razmjene ključeva. Uređaj podržava glavni način rada, ali ne i agresivan način.
Prikazuje se način rada koji se koristi za protokol razmjene ključeva. Uređaj podržava glavni način rada, ali ne i agresivan način.
[Authentication Method]
Odaberite [Pre-Shared Key Method] ili [Digital Signature Method] za metodu potvrde autentičnosti uređaja. Prije odabira mogućnosti [Pre-Shared Key Method]. morate omogućiti TLS za Remote UI (Korisničko sučelje za daljinski pristup). Prije odabira mogućnosti [Digital Signature Method] morate generirati ili instalirati ključ i certifikat. Konfiguracija ključa i certifikata za TLS
Odaberite [Pre-Shared Key Method] ili [Digital Signature Method] za metodu potvrde autentičnosti uređaja. Prije odabira mogućnosti [Pre-Shared Key Method]. morate omogućiti TLS za Remote UI (Korisničko sučelje za daljinski pristup). Prije odabira mogućnosti [Digital Signature Method] morate generirati ili instalirati ključ i certifikat. Konfiguracija ključa i certifikata za TLS
[Valid for]
Definirajte koliko dugo traje sesija za IKE SA (ISAKMP SA). Unesite vrijeme u minutama.
Definirajte koliko dugo traje sesija za IKE SA (ISAKMP SA). Unesite vrijeme u minutama.
[Authentication]/[Encryption]/[DH Group]
S padajućeg popisa odaberite algoritam. Svaki se algoritam koristi u razmjeni ključeva.
S padajućeg popisa odaberite algoritam. Svaki se algoritam koristi u razmjeni ključeva.
|
[Authentication]
|
Odaberite algoritam raspršivanja.
|
|
[Encryption]
|
Odaberite algoritam šifriranja.
|
|
[DH Group]
|
Odaberite Diffie-Hellmanovu grupu kojom se definira jačina ključa.
|
Provjera autentičnosti uređaja pomoću unaprijed razmijenjenog ključa
|
1
|
Kliknite izborni gumb [Pre-Shared Key Method] za mogućnost [Authentication Method], a zatim [Shared Key Settings].
|
|
2
|
Unesite alfanumeričke znakove za unaprijed razmijenjeni ključ, a zatim kliknite [OK].
|
|
3
|
Definirajte postavke za [Valid for] i [Authentication]/[Encryption]/[DH Group].
|
Provjera autentičnosti uređaja metodom digitalnog potpisa
|
1
|
Kliknite izborni gumb [Digital Signature Method] za mogućnost [Authentication Method], a zatim [Key and Certificate].
|
|
2
|
Kliknite mogućnost [Register Default Key] koja se nalazi desno od ključa i certifikata koje želite koristiti.
Prikaz detalja o certifikatu
Klikom na odgovarajuću tekstnu vezu u odjeljku [Key Name] ili ikonu certifikata možete pogledati pojedinosti o certifikatu ili ga provjeriti.
|
|
3
|
Definirajte postavke za [Valid for] i [Authentication]/[Encryption]/[DH Group].
|
10
Definirajte mrežne postavke za IPSec.
/b_rui086.gif)
[Use PFS]
Potvrdite okvir da biste omogućili savršenu tajnost prosljeđivanja (Perfect Forward Secrecy – PFS) za ključeve IPSec sesije. Omogućivanjem PFS-a poboljšava se sigurnost, ali i povećava opterećenje razmjene podataka. Provjerite je li PFS omogućen i na ostalim uređajima.
Potvrdite okvir da biste omogućili savršenu tajnost prosljeđivanja (Perfect Forward Secrecy – PFS) za ključeve IPSec sesije. Omogućivanjem PFS-a poboljšava se sigurnost, ali i povećava opterećenje razmjene podataka. Provjerite je li PFS omogućen i na ostalim uređajima.
[Specify by Time]/[Specify by Size]
Postavite uvjete za prekid sesije za IPSec dodjelu sigurnosti (SA). IPSec SA koristi se kao tunel za razmjenu podataka. Po potrebi potvrdite jedan ili oba okvira. Ako su potvrđena oba okvira, IPSec SA sesija prekida se kada se ispuni jedan od uvjeta.
Postavite uvjete za prekid sesije za IPSec dodjelu sigurnosti (SA). IPSec SA koristi se kao tunel za razmjenu podataka. Po potrebi potvrdite jedan ili oba okvira. Ako su potvrđena oba okvira, IPSec SA sesija prekida se kada se ispuni jedan od uvjeta.
|
[Specify by Time]
|
Da biste definirali trajanje sesije, unesite vrijeme u minutama.
|
|
[Specify by Size]
|
Da biste definirali koliko se podataka može prenijeti u jednoj sesiji, unesite veličinu u megabajtima.
|
[Select Algorithm]
Potvrdite okvire [ESP], [ESP (AES-GCM)] ili [AH (SHA1)] ovisno o IPSec zaglavlju i algoritmu koji koristite. AES-GCM je algoritam za provjeru autentičnosti i šifriranje. Ako je odabrano [ESP], na padajućim popisima odaberite i algoritme za provjeru autentičnosti i šifriranje [ESP Authentication] i [ESP Encryption].
Potvrdite okvire [ESP], [ESP (AES-GCM)] ili [AH (SHA1)] ovisno o IPSec zaglavlju i algoritmu koji koristite. AES-GCM je algoritam za provjeru autentičnosti i šifriranje. Ako je odabrano [ESP], na padajućim popisima odaberite i algoritme za provjeru autentičnosti i šifriranje [ESP Authentication] i [ESP Encryption].
|
[ESP Authentication]
|
Da biste omogućili ESP provjeru autentičnosti, za algoritam raspršivanja odaberite stavku [SHA1]. Ako želite onemogućiti ESP provjeru autentičnosti, odaberite stavku [Do Not Use].
|
|
[ESP Encryption]
|
Odaberite algoritam šifriranja za ESP. Odaberite [NULL] ako ne želite definirati algoritam ili odaberite stavku [Do Not Use] ako želite onemogućiti ESP šifriranje.
|
[Connection Mode]
Prikazuje se način povezivanja protokola IPSec. Uređaj podržava način prijenosa, u kojem se šifrira sadržaj IP paketa. Način rada u tunelu, u kojem se inkapsuliraju cijeli IP paketi (zaglavlja i sadržaj), nije dostupan.
Prikazuje se način povezivanja protokola IPSec. Uređaj podržava način prijenosa, u kojem se šifrira sadržaj IP paketa. Način rada u tunelu, u kojem se inkapsuliraju cijeli IP paketi (zaglavlja i sadržaj), nije dostupan.
11
Kliknite [OK].
Ako želite registrirati dodatna sigurnosna pravila, vratite se na 6. korak.
12
Uredite redoslijed pravila u odjeljku [Registered IPSec Policies].
Pravila se primjenjuju od najvišeg položaja prema najnižem. Da biste pravila premjestili prema gore ili prema dolje, kliknite [Up] ili [Down].
/b_rui087.gif)
Uređivanje pravila
Da bi se prikazao zaslon za uređivanje, kliknite odgovarajuću tekstnu vezu u odjeljku [Policy Name].
Brisanje pravila
Kliknite [Delete] desno od naziva pravila koje želite izbrisati Kliknite [OK].
Kliknite [OK].13
Ponovo pokrenite uređaj.
Isključite uređaj pa pričekajte barem 10 sekundi prije nego ga ponovno uključite.
|
|
Korištenje upravljačke pločeRazmjenu podataka putem protokola IPSec možete omogućiti ili onemogućiti i na izborniku <Izbornik> na zaslonu Početni zaslon. <Koristi IPSec>
|