IPSec iestatījumu konfigurēšana
Interneta protokolu drošība (Internet Protocol Security) (IPSec vai IPsec) ir protokolu komplekts, kas paredzēts tīklā (arī interneta tīklos) pārsūtīto datu šifrēšanai. TLS šifrē tikai konkrētā lietojumprogrammā, piemēram, tīmekļa pārlūkprogrammā vai e-pasta lietojumprogrammā, izmantotos datus, taču IPSec šifrē vai nu visas IP paketes, vai IP pakešu vērtumus, sniedzot daudzpusīgāku drošības sistēmu. Iekārtas IPSec darbojas transportēšanas režīmā, un tajā tiek šifrēti IP pakešu vērtumi. Izmantojot šo funkciju, iekārta nevar tieši izveidot savienojumu ar datoru, kas atrodas tajā pašā virtuālajā privātajā tīklā (VPN). Pirms iekārtas konfigurēšanas pārbaudiet sistēmas prasības (Pārvaldības funkcijas) un datorā iestatiet nepieciešamo konfigurāciju.
|
|
IPSec izmantošana ar IP adreses filtruIP adreses filtra iestatījumi tiek piemēroti pirms IPSec politikām. IP adrešu norādīšana ugunsmūra iestatījumiem
|
IPSec iestatījumu konfigurēšana
Pirms IPSec lietošanas šifrētiem sakariem, ir jāreģistrē drošības politikas. Drošības politika sastāv no tālāk aprakstīto iestatījumu grupām. Pēc politiku reģistrēšanas norādiet to lietošanas secību.
Atlasītājs
Atlasītājs nosaka nosacījumus, kādos IP pakešdatos tiek lietoti IPSec sakari. Nosacījumi, kurus var izvēlēties, ietver iekārtas IP adreses un portu numurus, kā arī ierīces, ar kurām veidot sakarus.
IKE
IKE konfigurē IKEv1, ko izmanto atslēgu apmaiņas protokolam. Ņemiet vērā, ka norādījumi atšķiras atkarībā no izvēlētās autentifikācijas metodes.
[Pre-Shared Key Method]
Šī autentifikācijas metode saziņai starp iekārtu un citām ierīcēm izmanto bieži lietotu atslēgvārdu jeb koplietojamu atslēgu. Pirms šīs autentifikācijas metodes norādīšanas iespējojiet utilītas Remote UI (Attālais lietotāja interfeiss) TLS (TLS atslēgas un sertifikāta konfigurēšana).
Šī autentifikācijas metode saziņai starp iekārtu un citām ierīcēm izmanto bieži lietotu atslēgvārdu jeb koplietojamu atslēgu. Pirms šīs autentifikācijas metodes norādīšanas iespējojiet utilītas Remote UI (Attālais lietotāja interfeiss) TLS (TLS atslēgas un sertifikāta konfigurēšana).
[Digital Signature Method]
Iekārta un citas ierīces veic savstarpēju autentifikāciju, abpusēji pārbaudot ciparparakstus. Ģenerējiet vai instalējiet atslēgu un sertifikātu jau iepriekš (Tīkla saziņas atslēgas un sertifikāta reģistrēšana).
Iekārta un citas ierīces veic savstarpēju autentifikāciju, abpusēji pārbaudot ciparparakstus. Ģenerējiet vai instalējiet atslēgu un sertifikātu jau iepriekš (Tīkla saziņas atslēgas un sertifikāta reģistrēšana).
AH/ESP
Norādiet AH/ESP iestatījumus, kas tiek pievienoti pakešdatiem IPSec sakaru laikā. AH un ESP var lietot vienlaikus. Varat arī izvēlēties, vai papildus drošībai iespējot PFS.
|
|
|
Plašāku informāciju par pamatdarbībām, ko var veikt, iestatot iekārtu Remote UI (Attālais lietotāja interfeiss) režīmā, skatiet sadaļā Izvēlnes opciju iestatīšana, izmantojot Remote UI (Attālais lietotāja interfeiss).
|
1
Startējiet utilītprogrammu Remote UI (Attālais lietotāja interfeiss) un piesakieties sistēmas pārvaldnieka režīmā. Remote UI (Attālais lietotāja interfeiss) startēšana
2
Portāla lapā noklikšķiniet uz [Settings/Registration]. Remote UI (Attālais lietotāja interfeiss) ekrāns
3
Izvēlieties [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
Noklikšķiniet uz [Edit].
5
Atzīmējiet izvēles rūtiņu [Use IPSec] un noklikšķiniet uz [OK].
Ja vēlaties, lai iekārta saņemtu tikai tādas paketes, kas atbilst kādai no drošības politikām, kuras esat definējis tālāk aprakstītajās darbībās, notīriet izvēles rūtiņu [Receive Non-Policy Packets].
6
Noklikšķiniet uz [Register New Policy].
7
Norādiet politikas iestatījumus.
|
1
|
Tekstlodziņā [Policy Name] ievadiet burtciparu rakstzīmes nosaukumam, kas tiek izmantots politikas identificēšanai.
|
|
2
|
Atzīmējiet izvēles rūtiņu [Enable Policy].
|
8
Norādiet atlasītāja iestatījumus.
[Local Address]
Lai lietotu politiku, noklikšķiniet uz iekārtas IP adreses tipa radiopogas.
Lai lietotu politiku, noklikšķiniet uz iekārtas IP adreses tipa radiopogas.
|
[All IP Addresses]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem.
|
|
[IPv4 Address]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz iekārtas IPv4 adresi vai no tās.
|
|
[IPv6 Address]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz iekārtas IPv6 adresi vai no tās.
|
[Remote Address]
Lai lietotu politiku, noklikšķiniet uz citu ierīču IP adreses tipa radiopogas.
Lai lietotu politiku, noklikšķiniet uz citu ierīču IP adreses tipa radiopogas.
|
[All IP Addresses]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem.
|
|
[All IPv4 Addresses]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz citu ierīču IPv4 adresēm vai no tām.
|
|
[All IPv6 Addresses]
|
Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz citu ierīču IPv6 adresēm vai no tām.
|
|
[IPv4 Manual Settings]
|
Izvēlieties, lai norādītu vienu IPv4 adresi vai IPv4 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] ievadiet IPv4 adresi (vai diapazonu).
|
|
[IPv6 Manual Settings]
|
Izvēlieties, vai norādīt vienu IPv6 adresi vai IPv6 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] ievadiet IPv6 adresi (vai diapazonu).
|
[Addresses to Set Manually]
Ja sadaļā [Remote Address] ir izvēlēta opcija [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi, lai lietotu politiku. Varat arī ievadīt adrešu diapazonu, atdalot tās ar defisi.
Ja sadaļā [Remote Address] ir izvēlēta opcija [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi, lai lietotu politiku. Varat arī ievadīt adrešu diapazonu, atdalot tās ar defisi.
IP adrešu ievadīšana
|
Apraksts
|
Piemērs
|
|
|
Vienas adreses ievadīšana
|
IPv4:
Atdaliet ciparus ar punktiem. |
192.168.0.10
|
|
IPv6:
Atdaliet burtciparu rakstzīmes ar koliem. |
fe80::10
|
|
|
Adrešu diapazona norādīšana
|
Atdaliet adreses ar defisi.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Ja IPv4 adresi norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot periodus (piemērs: “255.255.255.240”).
Ja IPv4 adresi norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot periodus (piemērs: “255.255.255.240”).
[Prefix Length]
Norādot IPv6 adrešu diapazonu manuāli, šo diapazonu varat arī norādīt, izmantojot prefiksus. Kā prefiksa garumu ievadiet diapazonu 0–128.
Norādot IPv6 adrešu diapazonu manuāli, šo diapazonu varat arī norādīt, izmantojot prefiksus. Kā prefiksa garumu ievadiet diapazonu 0–128.
[Local Port]/[Remote Port]
Ja katram protokolam, piemēram, HTTP vai WSD, vēlaties izveidot atsevišķas politikas, ievadiet attiecīgo protokola porta numuru, lai norādītu, vai jāizmanto IPSec.
Ja katram protokolam, piemēram, HTTP vai WSD, vēlaties izveidot atsevišķas politikas, ievadiet attiecīgo protokola porta numuru, lai norādītu, vai jāizmanto IPSec.
IPSec nav piemērots tālāk minētajām paketēm
Atgriezeniskās cilpas, multiraides un apraides paketes
IKE paketes (kas portā 500 izmanto UDP)
ICMPv6 kaimiņa darbības un kaimiņa paziņojuma paketes
9
Norādiet IKE iestatījumus.
[IKE Mode]
Tiek parādīts atslēgu apmaiņas protokolam izmantotais režīms. Iekārta atbalsta galveno režīmu, nevis aktīvo režīmu.
Tiek parādīts atslēgu apmaiņas protokolam izmantotais režīms. Iekārta atbalsta galveno režīmu, nevis aktīvo režīmu.
[Authentication Method]
Metodei, kas tiek izmantota iekārtas autentifikācijai, izvēlieties [Pre-Shared Key Method] vai [Digital Signature Method]. Lai varētu izvēlēties [Pre-Shared Key Method], ir jāiespējo TLS utilītprogrammai Remote UI (Attālais lietotāja interfeiss). Lai varētu izvēlēties [Digital Signature Method], ir jāģenerē vai jāinstalē atslēga un sertifikāts. TLS atslēgas un sertifikāta konfigurēšana
Metodei, kas tiek izmantota iekārtas autentifikācijai, izvēlieties [Pre-Shared Key Method] vai [Digital Signature Method]. Lai varētu izvēlēties [Pre-Shared Key Method], ir jāiespējo TLS utilītprogrammai Remote UI (Attālais lietotāja interfeiss). Lai varētu izvēlēties [Digital Signature Method], ir jāģenerē vai jāinstalē atslēga un sertifikāts. TLS atslēgas un sertifikāta konfigurēšana
[Valid for]
Norādiet, cik ilga ir IKE SA (ISAKMP SA) sesija. Ievadiet laiku minūtēs.
Norādiet, cik ilga ir IKE SA (ISAKMP SA) sesija. Ievadiet laiku minūtēs.
[Authentication]/[Encryption]/[DH Group]
Nolaižamajā sarakstā izvēlieties algoritmu. Katrs algoritms tiek izmantots atslēgu apmaiņai.
Nolaižamajā sarakstā izvēlieties algoritmu. Katrs algoritms tiek izmantots atslēgu apmaiņai.
|
[Authentication]
|
Izvēlieties jaucējalgoritmu.
|
|
[Encryption]
|
Izvēlieties šifrēšanas algoritmu.
|
|
[DH Group]
|
Izvēlieties grupu Diffie-Hellman, kas nosaka atslēgas stiprumu.
|
Iekārtas autentifikācija, izmantojot iepriekš koplietotu atslēgu
|
1
|
Sadaļā [Authentication Method] noklikšķiniet uz radiopogas [Pre-Shared Key Method] un pēc tam noklikšķiniet uz [Shared Key Settings].
|
|
2
|
Ievadiet iepriekš koplietotās atslēgas burtciparu rakstzīmes un noklikšķiniet uz [OK].
|
|
3
|
Norādiet iestatījumus [Valid for] un [Authentication]/[Encryption]/[DH Group].
|
Iekārtas autentifikācija, izmantojot ciparparaksta metodi
|
1
|
Sadaļā [Authentication Method] noklikšķiniet uz radiopogas [Digital Signature Method] un pēc tam noklikšķiniet uz [Key and Certificate].
|
|
2
|
Noklikšķiniet uz [Register Default Key] pa labi no atslēgas un sertifikāta, ko vēlaties izmantot.
Detalizētas sertifikāta informācijas apskate
Varat skatīt detalizētu informāciju par sertifikātu vai pārbaudīt to, sadaļā [Key Name] noklikšķinot uz atbilstošās teksta saites vai sertifikāta ikonas.
|
|
3
|
Norādiet iestatījumus [Valid for] un [Authentication]/[Encryption]/[DH Group].
|
10
Norādiet IPSec tīkla iestatījumus.
[Use PFS]
Atzīmējiet izvēles rūtiņu, lai iespējotu IPSec sesiju taustiņu standartu “perfekta pārsūtīšanas slepenība” (Perfect Forward Secrecy — PFS). Aktivizējot PFS, tiek uzlabota drošība, bet arī palielināta sakaru slodze. Pārbaudiet, vai PFS ir aktivizēts arī citām ierīcēm.
Atzīmējiet izvēles rūtiņu, lai iespējotu IPSec sesiju taustiņu standartu “perfekta pārsūtīšanas slepenība” (Perfect Forward Secrecy — PFS). Aktivizējot PFS, tiek uzlabota drošība, bet arī palielināta sakaru slodze. Pārbaudiet, vai PFS ir aktivizēts arī citām ierīcēm.
[Specify by Time]/[Specify by Size]
Iestatiet IPSec SA sesijas pārtraukšanas nosacījumus. IPSec SA tiek izmantots kā sakaru tunelis. Pēc nepieciešamības atzīmējiet vienu vai abas izvēles rūtiņas. Ja ir atzīmētas abas izvēles rūtiņas, IPSec SA sesija tiek pārtraukta, kad notiek jebkurš no nosacījumiem.
Iestatiet IPSec SA sesijas pārtraukšanas nosacījumus. IPSec SA tiek izmantots kā sakaru tunelis. Pēc nepieciešamības atzīmējiet vienu vai abas izvēles rūtiņas. Ja ir atzīmētas abas izvēles rūtiņas, IPSec SA sesija tiek pārtraukta, kad notiek jebkurš no nosacījumiem.
|
[Specify by Time]
|
Ievadiet laiku minūtēs, lai norādītu sesijas ilgumu.
|
|
[Specify by Size]
|
Ievadiet lielumu megabaitos, lai norādītu, cik datu drīkst transportēt sesijā.
|
[Select Algorithm]
Atkarībā no IPSec galvenes un izmantotā algoritma atzīmējiet izvēles rūtiņu(as) [ESP], [ESP (AES-GCM)] vai [AH (SHA1)]. AES-GCM ir algoritms, kas paredzēts gan autentifikācijai, gan šifrēšanai. Ja ir izvēlēts iestatījums [ESP], izvēlieties autentifikācijas un šifrēšanas algoritmus arī nolaižamajā sarakstā [ESP Authentication] un [ESP Encryption].
Atkarībā no IPSec galvenes un izmantotā algoritma atzīmējiet izvēles rūtiņu(as) [ESP], [ESP (AES-GCM)] vai [AH (SHA1)]. AES-GCM ir algoritms, kas paredzēts gan autentifikācijai, gan šifrēšanai. Ja ir izvēlēts iestatījums [ESP], izvēlieties autentifikācijas un šifrēšanas algoritmus arī nolaižamajā sarakstā [ESP Authentication] un [ESP Encryption].
|
[ESP Authentication]
|
Lai iespējotu ESP autentifikāciju, izvēlieties jaucējvērtības algoritma iestatījumu [SHA1]. Ja vēlaties atspējot ESP autentifikāciju, izvēlieties [Do Not Use].
|
|
[ESP Encryption]
|
Izvēlieties ESP šifrēšanas algoritmu. Izvēlieties iestatījumu [NULL], ja nevēlaties norādīt algoritmu, vai izvēlieties iestatījumu [Do Not Use], ja vēlaties atspējot ESP šifrēšanu.
|
[Connection Mode]
Tiek parādīts IPSec savienojuma režīms. Iekārta atbalsta transportēšanas režīmu, kurā tiek šifrēti IP pakešdatu vērtējumi. Tuneļa režīms, kurā kapsulā tiek ievietoti visi IP pakešdati (galvenes un vērtējumi), nav pieejams.
Tiek parādīts IPSec savienojuma režīms. Iekārta atbalsta transportēšanas režīmu, kurā tiek šifrēti IP pakešdatu vērtējumi. Tuneļa režīms, kurā kapsulā tiek ievietoti visi IP pakešdati (galvenes un vērtējumi), nav pieejams.
11
Noklikšķiniet uz [OK].
Ja jāreģistrē papildu drošības politika, atgriezieties 6. darbībā.
12
Kārtojiet sadaļā [Registered IPSec Policies] uzskaitīto politiku secību.
Politikas tiek lietotas, sākot no tās, kas atrodas visaugstāk, uz leju. Noklikšķiniet uz [Up] vai [Down], lai politiku pārvietotu uz augšu vai uz leju.
Politikas rediģēšana
Noklikšķiniet uz atbilstošās teksta saites sadaļā [Policy Name], lai atvērtu rediģēšanas ekrānu.
Politikas dzēšana
Noklikšķiniet uz [Delete] pa labi no dzēšamās politikas nosaukuma noklikšķiniet uz [OK].
noklikšķiniet uz [OK].13
Restartējiet iekārtu.
Izslēdziet iekārtu, pagaidiet vismaz 10 sekundes un iekārtu atkal ieslēdziet.
|
|
Darbības paneļa izmantošanaIPSec saziņu varat iespējot vai atspējot arī ekrāna Sākums sadaļā <Izvēlne>. <Lietot IPSec>
|