Konfiguriranje postavki za IPSec

Internet Protocol Security (IPSec ili IPsec) paket je protokola za šifriranje podataka koji se prenose putem mreže, uključujući internetske mreže. Dok TLS šifrira samo podatke koji se koriste u određenoj aplikaciji, kao što je web-preglednik ili aplikacija za e-poštu, IPSec šifrira cijele IP pakete ili njihov sadržaj te tako nudi raznolikiji sigurnosni sustav. IPSec uređaja funkcionira u načinu prijenosa, u kojem se sadržaj IP paketa šifrira. Uz tu se značajku uređaj može izravno povezati s računalom u istoj virtualnoj privatnoj mreži (VPN-u). Prije konfiguriranja uređaja provjerite sistemske preduvjete i postavite potrebnu konfiguraciju na računalu.

Sistemski preduvjeti

IPSec koji uređaj podržava usklađen je sa standardima RFC2401, RFC2402, RFC2406 i RFC4305.

Operacijski sustav	Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
Način povezivanja	Način prijenosa
Protokol razmjene ključeva	IKEv1 (glavni način)
	Način provjere autentičnosti	Unaprijed razmijenjeni ključ Digitalni potpis
	Algoritam raspršivanja (i duljina ključa)	HMAC-SHA1-96 HMAC-SHA2 (256-bitni ili 384-bitni)
	Algoritam šifriranja (i duljina ključa)	3DES-CBC AES-CBC (128-bitni, 192-bitni ili 256-bitni)
	Algoritam razmjene ključeva / grupa (i duljina ključa)	Diffie-Hellman (DH) Grupa 1 (768-bitni) Grupa 2 (1024-bitni) Grupa 14 (2048 bitni)
ESP	Algoritam raspršivanja	HMAC-SHA1-96
	Algoritam šifriranja (i duljina ključa)	3DES-CBC AES-CBC (128-bitni, 192-bitni ili 256-bitni)
	Algoritam raspršivanja / algoritam šifriranja (i duljina ključa)	AES-GCM (128-bitni, 192-bitni ili 256-bitni)
AH	Algoritam raspršivanja	HMAC-SHA1-96


Funkcionalna ograničenja protokola IPSec IPSec podržava komunikaciju s jednosmjernom adresom (ili jednim uređajem). IPSec nije dostupan u mrežama s implementiranim NAT ili IP maskiranjem. Korištenje protokola IPSec s filtrom IP adresa Prije IPSec pravilnika primjenjuju se postavke filtra IP adresa. Definiranje IP adresa za pravila vatrozida

Funkcionalna ograničenja protokola IPSec

IPSec podržava komunikaciju s jednosmjernom adresom (ili jednim uređajem).

IPSec nije dostupan u mrežama s implementiranim NAT ili IP maskiranjem.

Korištenje protokola IPSec s filtrom IP adresa

Prije IPSec pravilnika primjenjuju se postavke filtra IP adresa.

Definiranje IP adresa za pravila vatrozida

Konfiguriranje postavki za IPSec

Prije korištenja protokola IPSec za šifriranu komunikaciju potrebno je registrirati sigurnosna pravila. Sigurnosna se pravila sastoje od grupa postavki koje su opisane u nastavku. Moguće je registrirati najviše 10 pravila. Nakon registriranja pravila definirajte redoslijed kojim se primjenjuju.

Alat za odabir

Alat za odabir definira uvjete za IP pakete koji se primjenjuju na IPSec komunikaciju. Uvjeti koji se mogu odabrati obuhvaćaju IP adrese i brojeve priključaka na uređaju i ostalim uređajima za komunikaciju.

IKE

IKE konfigurira IKEv1 koji se koristi za protokol razmjene ključeva. Imajte na umu da upute ovise o odabranom načinu provjere autentičnosti.

[Metoda unaprijed dijelj.ključa]
S drugim je uređajima moguće razmijeniti ključ od najviše 24 alfanumerička znaka. Prije no što definirate tu metodu provjere autentičnosti (Omogućivanje komunikacije šifrirane TLS-om za Remote UI (Korisničko sučelje za daljinski pristup)), za Remote UI (Korisničko sučelje za daljinski pristup) omogućite TLS.

[Metoda digitalnog potpisa]
Uređaj i drugi uređaji međusobno potvrđuju svoje digitalne potpise i tako si potvrđuju autentičnost. Unaprijed generirajte ili instalirajte par ključeva (Konfiguriranje postavki za parove ključeva i digitalne certifikate).

AH/ESP

Definirajte postavke za zaglavlje AH/ESP koje se dodaje u pakete tijekom IPSec komunikacije. AH i ESP mogu se koristiti istodobno. Možete odabrati i želite li omogućiti PFS radi veće sigurnosti.

Pokrenite Remote UI (Korisničko sučelje za daljinski pristup), a zatim se prijavite u načinu rada za upravitelja sustava. Pokretanje sučelja Remote UI (Korisničko sučelje za daljinski pristup)

Kliknite [Settings/Registration].

Kliknite [Security Settings]

[Postavke IPSec].

Kliknite [Edit...].

Potvrdite okvir [Use IPSec], a zatim kliknite [OK].

Ako želite da uređaj prima samo one pakete koji odgovaraju nekom od sigurnosnih pravilnika koje definirate u koracima u nastavku, poništite potvrdni okvir [Primanje paketa bez pravila].

Kliknite [Register New Policy...].

Definirajte postavke pravila.

1	U tekstni okvir [Naziv pravila] unesite najviše 24 znaka za naziv koji se koristi za prepoznavanje pravila.
2	Potvrdite okvir [Omogući pravilo].

Definirajte postavke alata za odabir.

[Lokalna adresa]
Kliknite izborni gumb za vrstu IP adrese uređaja da biste primijenili pravila.

[Sve IP adrese]	Odaberite da biste IPSec koristili za sve IP pakete.
[IPv4 adresa]	Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv4 adresu uređaja ili s nje.
[IPv6 adresa]	Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv6 adresu uređaja ili s nje.

[Udaljena adresa]
Kliknite izborni gumb za vrstu IP adrese drugih uređaja da biste primijenili pravila.

[Sve IP adrese]	Odaberite da biste IPSec koristili za sve IP pakete.
[All IPv4 Addresses]	Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv4 adresu drugih uređaja ili s nje.
[All IPv6 Addresses]	Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv6 adresu drugih uređaja ili s nje.
[Ručne IPv4 postavke]	Odaberite da biste definirali IPv4 adresu ili raspon IPv4 adresa za primjenu protokola IPSec. Unesite IPv4 adresu (ili raspon) u tekstni okvir [Addresses to Set Manually].
[Ručne IPv6 postavke]	Odaberite da biste definirali IPv6 adresu ili raspon IPv6 adresa za primjenu protokola IPSec. Unesite IPv6 adresu (ili raspon) u tekstni okvir [Addresses to Set Manually].

[Addresses to Set Manually]
Ako je za mogućnost [Udaljena adresa] odabrano [Ručne IPv4 postavke] ili [Ručne IPv6 postavke], unesite IP adresu za primjenu pravila. Raspon adresa možete unijeti i umetanjem crtice između adresa.

Unos IP adresa

	Opis	Primjer
Unos jedne adrese	IPv4: Brojeve odvojite točkama.	192.168.0.10
Unos jedne adrese	IPv6: Alfanumeričke znakove odvojite dvotočkama.	fe80::10
Definiranje raspona adresa	Između adresa umetnite crticu.	192.168.0.10-192.168.0.20
Definiranje raspona adresa s prefiksom (samo IPv6)	Unesite broj koji označava duljinu prefiksa.	64

[Postavke podmreže]
Prilikom ručnog unosa IPv4 adresa raspon se može izraziti pomoću maske podmreže. Unesite masku podmreže i koristite točke da biste odijelili brojeve (primjer: "255.255.255.240").

[Prefix Length]
Da biste ručno naveli raspon IPv6 adresa, možete koristiti i duljinu prefiksa. Navedite raspon od 0 do 128 za duljinu prefiksa (primjer: "64").

[Lokalni priključak]/[Udaljeni priključak]
Ako želite stvoriti zasebna pravila za svaki protokol, npr. HTTP ili SMTP, unesite odgovarajući broj priključka za svaki protokol da biste definirali treba li koristiti IPSec.

IPSec se ne primjenjuje na sljedeće pakete

povratne, višesmjerne i emitirane pakete

IKE pakete (koriste UDP na priključku 500)

ICMPv6 pakete susjednog poticanja i oglašavanja

Definirajte postavke protokola IKE.

[Način IKE]
Prikazuje se način rada koji se koristi za protokol razmjene ključeva. Uređaj podržava glavni način rada, ali ne i agresivan način.

[Authentication Method]
Odaberite [Metoda unaprijed dijelj.ključa] ili [Metoda digitalnog potpisa] za metodu potvrde autentičnosti uređaja. Morate aktivirati TLS za Remote UI (Korisničko sučelje za daljinski pristup) prije nego odaberete [Metoda unaprijed dijelj.ključa] (Omogućivanje komunikacije šifrirane TLS-om za Remote UI (Korisničko sučelje za daljinski pristup)). Prije nego odaberete [Metoda digitalnog potpisa] morate generirati ili instalirati par ključeva (Konfiguriranje postavki za parove ključeva i digitalne certifikate).

[Valid for]
Definirajte koliko dugo traje sesija za IKE SA (ISAKMP SA). Unesite vrijeme u minutama.

[Provjera autentičnosti]/[Šifriranje]/[DH skupina]
S padajućeg popisa odaberite algoritam. Svaki se algoritam koristi u razmjeni ključeva.

[Provjera autentičnosti]	Odaberite algoritam raspršivanja.
[Šifriranje]	Odaberite algoritam šifriranja.
[DH skupina]	Odaberite Diffie-Hellmanovu grupu kojom se definira jačina ključa.

Korištenje unaprijed razmijenjenog ključa za provjeru autentičnosti

1	Kliknite [Metoda unaprijed dijelj.ključa] izborni gumb za mogućnost [Authentication Method], a potom kliknite [Shared Key Settings...].
2	Unesite najviše 24 alfanumerička znaka za unaprijed razmijenjeni ključ, a zatim kliknite [OK].
3	Definirajte postavke za [Valid for] i [Provjera autentičnosti]/[Šifriranje]/[DH skupina].

Korištenje para ključeva i unaprijed instaliranih certifikata CA za provjeru autentičnosti

1	Kliknite [Metoda digitalnog potpisa] izborni gumb za mogućnost [Authentication Method], a potom kliknite [Key and Certificate...].
2	Desno od para ključeva koji želite koristiti kliknite [Register Default Key]. Prikaz detalja o paru ključeva ili certifikatu Klikom na odgovarajuću tekstnu vezu u odjeljku [Key Name] ili ikonu certifikata možete pogledati detalje certifikata ili provjeriti certifikat. Potvrda parova ključeva, ključeva za potpis uređaja i certifikata
3	Definirajte postavke za [Valid for] i [Provjera autentičnosti]/[Šifriranje]/[DH skupina].

Definirajte mrežne postavke za IPSec.

[Koristi PFS]
Potvrdite okvir da biste omogućili savršenu tajnost prosljeđivanja (Perfect Forward Secrecy, PFS) za ključeve IPSec sesije. Omogućivanjem PFS-a poboljšava se sigurnost, ali i povećava opterećenje komunikacije. Provjerite je li PFS omogućen i na ostalim uređajima.

[Specify by Time]/[Specify by Size]
Postavite uvjete za prekid sesije za IPSec dodjelu sigurnosti (SA). IPSec SA koristi se kao komunikacijski tunel. Po potrebi potvrdite jedan ili oba okvira. Ako su potvrđena oba okvira, IPSec SA sesija prekida se kada se ispuni jedan od uvjeta.

[Specify by Time]	Da biste definirali trajanje sesije, unesite vrijeme u minutama.
[Specify by Size]	Da biste definirali koliko se podataka može prenijeti u jednoj sesiji, unesite veličinu u megabajtima.

[Odabir algoritma]
Potvrdite okvir [ESP], [ESP (AES-GCM)] ili [AH (SHA1)] u skladu s IPSec zaglavljem i algoritmom koje koristite. AES-GCM je algoritam za provjeru autentičnosti i šifriranje. Ako je odabrano [ESP], s padajućih popisa odaberite i algoritme za provjeru autentičnosti i šifriranje [ESP provjera autentičnosti] i [Šifriranje ESP].

[ESP provjera autentičnosti]	Da biste omogućili ESP provjeru autentičnosti, za algoritam raspršivanja odaberite [SHA1]. Ako želite onemogućiti ESP provjeru autentičnosti, odaberite [Ne koristi].
[Šifriranje ESP]	Odaberite algoritam šifriranja za ESP. Odaberite [NULL] ako ne želite definirati algoritam ili odaberite [Ne koristi] ako želite onemogućiti ESP šifriranje.

[Način povezivanja]
Prikazuje se način povezivanja protokola IPSec. Uređaj podržava način prijenosa, u kojem se sadržaj IP paketa šifrira. Način rada u tunelu, u kojem se inkapsuliraju cijeli IP paketi (zaglavlja i sadržaj), nije dostupan.

Kliknite [OK].

Ako želite registrirati dodatna sigurnosna pravila, vratite se na 6. korak.

Uredite redoslijed pravila u odjeljku [Registered IPSec Policies].

Pravila se primjenjuju od najvišeg položaja prema najnižem. Da biste pravila premjestili prema gore ili prema dolje, kliknite [Up] ili [Down].

Uređivanje pravila
Da bi se prikazao zaslon za uređivanje, kliknite odgovarajuću tekstnu vezu u odjeljku [Naziv pravila].

Brisanje pravila

Kliknite [Delete] s desne strane naziva pravila koje želite izbrisati

kliknite [OK].

Ponovno pokrenite uređaj.

Isključite uređaj pa pričekajte barem deset sekundi prije nego ga ponovno uključite.


Komunikaciju šifriranu protokolom IPSec možete omogućiti ili onemogućiti pomoću gumba <Izbornik>. Koristi IPSec

Konfiguriranje postavki za parove ključeva i digitalne certifikate

Popis pravila za IPSec