Konfigurácia nastavení IPSec
Zabezpečenie internetového protokolu (IPSec alebo IPsec) je balíček protokolov na šifrovanie dát prenášaných v sieti vrátane internetových sietí. Zatiaľ čo TLS šifruje iba dáta používané v konkrétnej aplikácii, ako je webový prehliadač alebo e-mailová aplikácia, IPSec šifruje celé pakety IP alebo sady paketov IP, čím ponúka všestrannejší systém zabezpečenia. IPSec stroja funguje v režime prenosu, v ktorom sa šifrujú sady paketov IP. S touto funkciou sa stroj dokáže pripojiť priamo k počítaču, ktorý je v rovnakej virtuálnej privátnej sieti (VPN). Skontrolujte systémové požiadavky (Funkcie spravovania) a pred konfiguráciou zariadenia nastavte potrebnú konfiguráciu počítača.
|
|
Používanie IPSec s filtrom adries IPNastavenia filtra adries IP sa použijú pred politikami IPSec. Špecifikácia adries IP pre nastavenia brány firewall
|
Konfigurácia nastavení IPSec
Pred použitím IPSec na šifrovanú komunikáciu musíte uložiť politiky zabezpečenia (SP). Politika zabezpečenia pozostáva zo skupín nastavení opísaných nižšie. Po registrácii politík špecifikujte poradie, v ktorom sa použijú.
Volič
Volič definuje podmienky pre pakety IP na aplikáciu komunikácie IPSec. Medzi podmienky, ktoré sa dajú vybrať, patria adresy IP a čísla portov stroja a zariadení, s ktorými komunikujú.
IKE
IKE konfiguruje IKEv1, ktoré sa používa pre protokol výmeny kľúča. Pamätajte si, že pokyny sa líšia v závislosti od zvolenej metódy overenia.
[Pre-Shared Key Method]
Tento spôsob overovania používa bežné kľúčové slovo s názvom Zdieľaný kľúč na komunikáciu medzi zariadením a ďalšími zariadeniami. Pred špecifikáciou tejto metódy overenia aktivujte TLS pre Remote UI (Vzdialené UR) (Konfigurácia kľúča a certifikátu pre TLS).
Tento spôsob overovania používa bežné kľúčové slovo s názvom Zdieľaný kľúč na komunikáciu medzi zariadením a ďalšími zariadeniami. Pred špecifikáciou tejto metódy overenia aktivujte TLS pre Remote UI (Vzdialené UR) (Konfigurácia kľúča a certifikátu pre TLS).
[Digital Signature Method]
Zariadenie a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Najprv vygenerujte alebo nainštalujte kľúč a certifikát (Uloženie kľúča a certifikátu pre sieťovú komunikáciu).
Zariadenie a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Najprv vygenerujte alebo nainštalujte kľúč a certifikát (Uloženie kľúča a certifikátu pre sieťovú komunikáciu).
AH/ESP
Špecifikujte nastavenia pre AH/ESP, ktoré sa pridá k paketom počas komunikácie IPSec. AH a ESP môžete použiť súčasne. Môžete tiež vybrať, či sa má aktivovať PFS pre väčšie zabezpečenie.
|
|
|
Ďalšie informácie o základných operáciách, ktoré treba vykonať pri nastavení zariadenia z Remote UI (Vzdialené UR), nájdete v časti Nastavenie možností menu z Remote UI (Vzdialeného UR).
|
1
Spustite Remote UI (Vzdialené UR) a prihláste sa v režime správcu systému. Spustenie Remote UI (Vzdialeného UR)
2
Kliknite na položku [Settings/Registration] na stránke portálu. Obrazovka Remote UI (Vzdialené UR)
3
Vyberte položky [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
Kliknite na [Edit].
5
Označte začiarkavacie políčko [Use IPSec] a kliknite na [OK].
Ak chcete, aby zariadenie prijímalo iba pakety, ktoré spĺňajú jednu zo zásad zabezpečenia vami definovanú v nižšie uvedených krokoch, zrušte začiarknutie začiarkavacieho políčka [Receive Non-Policy Packets].
6
Kliknite na [Register New Policy].
7
Špecifikujte nastavenia politiky.
|
1
|
V textovom poli [Policy Name] zadajte alfanumerické znaky pre názov, ktorý sa použije na identifikáciu zásady.
|
|
2
|
Začiarknite políčko [Enable Policy].
|
8
Špecifikujte nastavenia voliča.
[Local Address]
Kliknite na prepínač pre typ adresy IP zariadenia, aby sa použila zásada.
Kliknite na prepínač pre typ adresy IP zariadenia, aby sa použila zásada.
|
[All IP Addresses]
|
Vyberte, či sa má pre všetky pakety IP použiť IPSec.
|
|
[IPv4 Address]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adresy IPv4 stroja.
|
|
[IPv6 Address]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adresy IPv6 stroja.
|
[Remote Address]
Kliknite na prepínač pre typ adresy IP iných zariadení na aplikovanie politiky.
Kliknite na prepínač pre typ adresy IP iných zariadení na aplikovanie politiky.
|
[All IP Addresses]
|
Vyberte, či sa má pre všetky pakety IP použiť IPSec.
|
|
[All IPv4 Addresses]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adries IPv4 iných zariadení.
|
|
[All IPv6 Addresses]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adries IPv6 iných zariadení.
|
|
[IPv4 Manual Settings]
|
Vyberte špecifikáciu jednej adresy IPv4 alebo rozsahu adries IPv4 na použitie IPSec. Zadajte v textovom poli [Addresses to Set Manually] adresu IPv4 (alebo rozsah).
|
|
[IPv6 Manual Settings]
|
Vyberte špecifikáciu jednej adresy IPv6 alebo rozsahu adries IPv6 na použitie IPSec. Zadajte adresu IPv6 (alebo rozsah) v textovom poli [Addresses to Set Manually].
|
[Addresses to Set Manually]
Ak je pre voľbu [Remote Address] vybrané [IPv4 Manual Settings] alebo [IPv6 Manual Settings], zadajte adresu IP na použitie politiky. Vložením spojovníka medzi adresy môžete tiež zadať rozsah adries.
Ak je pre voľbu [Remote Address] vybrané [IPv4 Manual Settings] alebo [IPv6 Manual Settings], zadajte adresu IP na použitie politiky. Vložením spojovníka medzi adresy môžete tiež zadať rozsah adries.
Zadanie adries IP
|
Opis
|
Príklad
|
|
|
Zadávanie jednej adresy
|
IPv4:
Oddeľte čísla bodkami. |
192.168.0.10
|
|
IPv6:
Oddeľte znaky písmen alebo číslic pomocou dvojbodiek. |
fe80::10
|
|
|
Špecifikácia rozsahu adries
|
Medzi adresy vložte spojovník.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Pri manuálnej špecifikácii adresy IPv4 môžete vyjadriť rozsah pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
Pri manuálnej špecifikácii adresy IPv4 môžete vyjadriť rozsah pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
[Prefix Length]
Manuálna špecifikácia rozsahu adries IPv6 umožňuje tiež špecifikovať rozsah použitím prefixov. Zadajte rozsah od 0 do 128 ako dĺžku prefixu.
Manuálna špecifikácia rozsahu adries IPv6 umožňuje tiež špecifikovať rozsah použitím prefixov. Zadajte rozsah od 0 do 128 ako dĺžku prefixu.
[Local Port]/[Remote Port]
Ak chcete vytvoriť samostatné zásady pre každý protokol, napríklad HTTP alebo WSD, zadajte pre protokol vhodné číslo portu na určenie toho, či sa má použiť IPSec.
Ak chcete vytvoriť samostatné zásady pre každý protokol, napríklad HTTP alebo WSD, zadajte pre protokol vhodné číslo portu na určenie toho, či sa má použiť IPSec.
IPSec sa nepoužije na nasledujúce pakety
Slučka, Multicast a pakety vysielania
Pakety IKE (pomocou UDP na porte 500)
Pakety žiadosti suseda ICMPv6 a oznámenia suseda
9
Špecifikujte nastavenia IKE.
[IKE Mode]
Zobrazí sa režim použitý pre protokol výmeny kľúča. Stroj podporuje hlavný režim, nie agresívny režim.
Zobrazí sa režim použitý pre protokol výmeny kľúča. Stroj podporuje hlavný režim, nie agresívny režim.
[Authentication Method]
Pre spôsob použitý pri overení stroja vyberte [Pre-Shared Key Method] alebo [Digital Signature Method]. Pred výberom položky [Pre-Shared Key Method] musíte aktivovať TLS pre Remote UI (Vzdialené UR). Pred výberom položky [Digital Signature Method] musíte vygenerovať alebo nainštalovať kľúč a certifikát. Konfigurácia kľúča a certifikátu pre TLS
Pre spôsob použitý pri overení stroja vyberte [Pre-Shared Key Method] alebo [Digital Signature Method]. Pred výberom položky [Pre-Shared Key Method] musíte aktivovať TLS pre Remote UI (Vzdialené UR). Pred výberom položky [Digital Signature Method] musíte vygenerovať alebo nainštalovať kľúč a certifikát. Konfigurácia kľúča a certifikátu pre TLS
[Valid for]
Špecifikujete dĺžku trvania relácie pre IKE SA (ISAKMP SA). Zadajte čas v minútach.
Špecifikujete dĺžku trvania relácie pre IKE SA (ISAKMP SA). Zadajte čas v minútach.
[Authentication]/[Encryption]/[DH Group]
Vyberte algoritmus z rozbaľovacieho zoznamu. Každý algoritmus sa používa pri výmene kľúča.
Vyberte algoritmus z rozbaľovacieho zoznamu. Každý algoritmus sa používa pri výmene kľúča.
|
[Authentication]
|
Vyberte transformačný algoritmus.
|
|
[Encryption]
|
Vyberte algoritmus šifrovania.
|
|
[DH Group]
|
Vyberte skupinu Diffie-Hellman, ktorá určuje silu kľúča.
|
Overenie zariadenia použitím vopred zdieľaného kľúča
|
1
|
Kliknite na prepínač [Pre-Shared Key Method] pre položku [Authentication Method] a potom kliknite na tlačidlo [Shared Key Settings].
|
|
2
|
Zadajte alfanumerické znaky pre vopred zdieľaný kľúč a kliknite na tlačidlo [OK].
|
|
3
|
Špecifikujte nastavenia [Valid for] a [Authentication]/[Encryption]/[DH Group].
|
Overenie zariadenia použitím metódy digitálneho podpisu
|
1
|
Kliknite na prepínač [Digital Signature Method] pre položku [Authentication Method] a potom kliknite na tlačidlo [Key and Certificate].
|
|
2
|
Kliknite na položku [Register Default Key] napravo od kľúča a certifikátu, ktoré chcete použiť.
Zobrazenie detailov certifikátu
Kliknutím na príslušný textový odkaz pod položkou [Key Name] alebo na ikonu certifikátu môžete skontrolovať podrobnosti certifikátu alebo overiť certifikát.
|
|
3
|
Špecifikujte nastavenia [Valid for] a [Authentication]/[Encryption]/[DH Group].
|
10
Špecifikujte sieťové nastavenia IPSec.
[Use PFS]
Začiarknite začiarkavacie políčko na aktiváciu PFS (Perfect Forward Secrecy) pre kľúče relácie IPSec. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia.
Začiarknite začiarkavacie políčko na aktiváciu PFS (Perfect Forward Secrecy) pre kľúče relácie IPSec. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia.
[Specify by Time]/[Specify by Size]
Nastavte podmienky na ukončenie relácie pre IPSec SA. IPSec SA sa používa ako komunikačný tunel. Podľa potreby označte jedno alebo obidve začiarkavacie políčka. Ak označíte obidve začiarkavacie políčka, relácia IPSec SA sa ukončí pri splnení jednej z podmienok.
Nastavte podmienky na ukončenie relácie pre IPSec SA. IPSec SA sa používa ako komunikačný tunel. Podľa potreby označte jedno alebo obidve začiarkavacie políčka. Ak označíte obidve začiarkavacie políčka, relácia IPSec SA sa ukončí pri splnení jednej z podmienok.
|
[Specify by Time]
|
Zadajte čas v minútach na špecifikáciu dĺžky trvania relácie.
|
|
[Specify by Size]
|
Zadajte veľkosť v megabajtoch na špecifikáciu, koľko dát sa dá preniesť v relácii.
|
[Select Algorithm]
Začiarknite začiarkavacie políčko [ESP], [ESP (AES-GCM)] alebo [AH (SHA1)] v závislosti od hlavičky IPSec a použitého algoritmu. AES-GCM je algoritmus pre overenie aj šifrovanie. Pri výbere položky [ESP] vyberte z rozbaľovacích zoznamov [ESP Authentication] a [ESP Encryption] aj algoritmy na overenie a šifrovanie.
Začiarknite začiarkavacie políčko [ESP], [ESP (AES-GCM)] alebo [AH (SHA1)] v závislosti od hlavičky IPSec a použitého algoritmu. AES-GCM je algoritmus pre overenie aj šifrovanie. Pri výbere položky [ESP] vyberte z rozbaľovacích zoznamov [ESP Authentication] a [ESP Encryption] aj algoritmy na overenie a šifrovanie.
|
[ESP Authentication]
|
Na aktiváciu overenia ESP vyberte pre transformačný algoritmus položku [SHA1]. Ak chcete deaktivovať overenie ESP, vyberte položku [Do Not Use].
|
|
[ESP Encryption]
|
Vyberte algoritmus šifrovania pre ESP. Môžete vybrať položku [NULL], ak nechcete špecifikovať algoritmus alebo vyberte položku [Do Not Use], ak chcete deaktivovať šifrovanie ESP.
|
[Connection Mode]
Zobrazí sa režim pripojenia IPSec. Stroj podporuje režim prenosu, v ktorom sa šifrujú sady paketov IP. Režim tunelu, v ktorom sa zapuzdrujú celé pakety IP (hlavičky a sady), nie je k dispozícii.
Zobrazí sa režim pripojenia IPSec. Stroj podporuje režim prenosu, v ktorom sa šifrujú sady paketov IP. Režim tunelu, v ktorom sa zapuzdrujú celé pakety IP (hlavičky a sady), nie je k dispozícii.
11
Kliknite na [OK].
Ak potrebujete uložiť ďalšiu politiku zabezpečenia, vráťte sa na krok 6.
12
Zoraďte poradie zásad uvedených v ponuke [Registered IPSec Policies].
Politiky sa aplikujú od najvyššej pozície po najnižšiu. Klikaním na tlačidlo [Up] alebo [Down] presúvajte zásady smerom nahor alebo nadol.
Úprava zásady
Kliknite na príslušný textový odkaz pod položkou [Policy Name], aby sa zobrazila obrazovka úprav.
Odstránenie zásady
Kliknite na tlačidlo [Delete] na pravej strane názvu zásady, ktorú chcete zmazať kliknite na [OK].
kliknite na [OK].13
Reštartujte zariadenie.
Vypnite zariadenie a pred jeho opätovným zapnutím počkajte aspoň 10 sekúnd.
|
|
Používanie ovládacieho panelaKomunikáciu môžete aktivovať alebo deaktivovať aj z ponuky <Ponuka> na obrazovke Domov. <Použiť IPSec>
|