Nastavení IPSec
IPSec je protokol zajišťující zabezpečení IP paketů odeslaných a přijatých přes IP síť a jejich ochranu před riziky, jako je jejich odcizení, změna či neoprávněné zneužití. IPSec se aplikuje pro TCP pakety, UDP (User Datagram Protocol) pakety a ICMP (Internet Control Message Protocol) pakety. Důvod, proč je IPSec nadřazený jiným zabezpečovacím protokolům, je to, že díky tomu, že přidává zabezpečovací funkce IP, základnímu protokolu internetu, není závislý na aplikačním softwaru a konfiguraci sítě.
Tato část popisuje postup pro vytvoření zásady zabezpečení pro nastavení IPSec komunikace s pomocí ovládacího panelu stroje. Zásada zabezpečení si ukládá nastavení pro IPSec, jako jsou např. pakety pro zpracování s IPSec a algoritmus používaný pro autentizaci a šifrování. Logický kanál vytvořený pro přenosy na základě dohody podle zásady zabezpečení IPSec se nazývá IPSec SA (Security Association).
Funkce protokolu IPSec používané strojem jsou následující.
Režim komunikace
Jelikož IPSec stroje podporuje pouze transportní režim, autentizace a šifrování se používá pouze na datovou část IP paketů.
Metoda autentizace a šifrování
Pro stroj je nutné nastavit alespoň jednu z následujících metod. Obě metody nelze používat současně.
AH (Authentication Header)
Protokol, který zajišťuje autentizaci s pomocí detekce modifikací komunikovaných dat včetně IP hlavičky. Komunikovaná data nejsou šifrována.
ESP (Encapsulating Security Payload)
Protokol, který poskytuje zabezpečení důvěrnosti prostřednictvím šifrování a zajišťuje integritu a autentizaci pouze datové části komunikovaných dat.
Protokol výměny klíčů
Podporuje IKEv1 (Internet Key Exchange version 1) pro výměnu klíčů na základě ISAKMP (Internet Security Association and Key Management Protocol). IKE zahrnuje dvě fáze: ve fázi 1 se vytvoří SA používaný pro IKE (IKE SA) a ve fázi 2 se vytvoří SA používaný pro IPSec (IPSec SA).
Pro nastavení autentizace metodou předsdíleného klíče je nezbytné předem se dohodnout na předsdíleném klíči, což je klíčové slovo používané pro oba stroje pro odesílání a příjem dat. S pomocí ovládacího panelu stroje nastavte stejný předsdílený klíč jako místo určení, s nímž se budou provádět IPSec komunikace, a proveďte autentizaci metodou předsdíleného klíče.
Chcete-li vybrat autentizaci s pomocí digitálního podpisu, musí být uložen certifikát CA (certifikát X.509) pro bilaterální autentizaci místa určení IPSec. Informace týkající se instalace souboru certifikátu CA s pomocí vzdáleného UR viz v
„Instalace souboru certifikátu CA.“ Instrukce k uložení nainstalovaného souboru certifikátu CA viz v
„Uložení/úprava souboru certifikátu CA.“Typy páru klíčů a certifikátu, které lze použít pro autentizaci s pomocí digitálního podpisu, jsou uvedeny níže.
Algoritmus RSA (Rivest Shamir Adleman)
Pár klíčů formátu PKCS#12
Podrobné informace k ukládání nebo úpravě zásady zabezpečení najdete v příručce dodané s Server imagePRESS.
|
DŮLEŽITÉ
|
|
V případě, že chcete uložit více zásad zabezpečení, když nastavujete hlavní režim a metodu autentizace s pomocí předsdíleného klíče na obrazovce Nastavení IKE, platí následující omezení.
Klíč metody předsdíleného klíče: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, jsou všechny sdílené klíče pro tuto zásadu zabezpečení identické (to neplatí, když je zadána jediná adresa).
Priorita: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, je priorita této zásady zabezpečení nižší než u zásad zabezpečení, pro něž je zadána jediná adresa.
|