IPSec-instellingen configureren
Internet Protocol Security (IPSec of IPsec) bestaat uit een verzameling protocollen voor het coderen van gegevens die worden getransporteerd over een netwerk, inclusief internet-netwerken. Terwijl TLS alleen de gegevens versleutelt die in een bepaalde toepassing worden gebruikt, zoals een webbrowser of een e-mailprogramma, worden met IPSec complete IP-pakketten of de nettoladingen daarvan versleuteld, waardoor met IPSec een flexibelere beveiliging kan worden gerealiseerd dan met TLS. De IPSec van de machine werkt in de transportmodus, waarin de nettoladingen van IP-pakketten worden gecodeerd. Met deze functie kan de machine direct worden verbonden met een computer die zich in hetzelfde VPN (Virtual Private Network) bevindt. Controleer de systeemvereisten en stel de juiste configuratie in op de computer voordat u de machine gaat configureren.
Systeemvereisten
IPSec op de machine werkt conform RFC2401, RFC2402, RFC2406 en RFC4305.
|
Besturingssysteem
|
Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
|
|
|
Verbindingsmodus
|
Transportmodus
|
|
|
Protocol voor uitwisselen van sleutels
|
IKEv1 (hoofdmodus)
|
|
|
Verificatiemethode
|
Gedeelde sleutel
Digitale handtekening
|
|
|
Hash-algoritme
(en sleutellengte) |
HMAC-SHA1-96
HMAC-SHA2 (256 bits of 384 bits)
|
|
|
Coderingsalgoritme
(en sleutellengte) |
3DES-CBC
AES-CBC (128 bits, 192 bits of 256 bits)
|
|
|
Algoritme/groep voor uitwisselen van sleutel (en sleutellengte)
|
Diffie-Hellman (DH)
Groep 1 (768 bits)
Groep 2 (1024 bits)
Groep 14 (2048 bits)
|
|
|
ESP
|
Hash-algoritme
|
HMAC-SHA1-96
|
|
Coderingsalgoritme
(en sleutellengte) |
3DES-CBC
AES-CBC (128 bits, 192 bits of 256 bits)
|
|
|
Hash-/coderingsalgoritme (en sleutellengte)
|
AES-GCM (128 bits, 192 bits of 256 bits)
|
|
|
AH
|
Hash-algoritme
|
HMAC-SHA1-96
|
 |
Functionele beperkingen van IPSecIPSec ondersteunt communicatie naar een unicast-adres (of een bepaald apparaat).
IPSec is niet beschikbaar in netwerken waarin NAT of IP-masquerade is geïmplementeerd.
IPSec gebruiken met een IP-adresfilterInstellingen voor IP-adresfilters worden toegepast vóór de beleidsinstellingen van IPSec.
|
IPSec-instellingen configureren
U kunt IPSec pas gebruiken voor gecodeerde communicatie als u beleidsinstellingen voor beveiliging hebt geregistreerd. Een dergelijke beleidsinstelling bestaat uit de hieronder beschreven groepen met instellingen. U kunt maximaal 10 beleidsinstellingen registreren. Als u klaar bent met de instellingen, geeft u de volgorde aan waarin u de beleidsinstellingen wilt toepassen.
Selector
De beleidsinstelling Selector definieert voorwaarden waaraan IP-pakketten moeten voldoen om met IPSec-communicatie te worden uitgewisseld. Voorbeelden van voorwaarden zijn IP-adressen en poortnummers van de machine en van de apparaten waarmee wordt gecommuniceerd.
IKE
De beleidsinstelling IKE configureert de IKEv1 die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. De instructies verschillen naargelang de geselecteerde verificatiemethode.
[Methode gedeelde sleutel]
U kunt een sleutel van maximaal 24 alfanumerieke tekens delen met de andere apparaten. Geef deze verificatiemethode pas op nadat u TLS hebt ingeschakeld voor de UI op afstand (Met TLS gecodeerde communicatie inschakelen voor de UI op afstand).
U kunt een sleutel van maximaal 24 alfanumerieke tekens delen met de andere apparaten. Geef deze verificatiemethode pas op nadat u TLS hebt ingeschakeld voor de UI op afstand (Met TLS gecodeerde communicatie inschakelen voor de UI op afstand).
[Methode digitale handtekening]
Het apparaat en de andere apparaten verifiëren elkaar door elkaars digitale handtekening te controleren. U moet het sleutelpaar vooraf genereren of installeren (Instellingen configureren voor sleutelparen en digitale certificaten).
Het apparaat en de andere apparaten verifiëren elkaar door elkaars digitale handtekening te controleren. U moet het sleutelpaar vooraf genereren of installeren (Instellingen configureren voor sleutelparen en digitale certificaten).
AH/ESP
Geef de instellingen op voor AH/ESP, die tijdens IPSec-communicatie worden toegevoegd aan pakketten. AH en ESP kunnen tegelijkertijd worden gebruikt. U kunt ook aangeven of u PFS wilt inschakelen voor een nog betere beveiliging.
1
Start de UI op afstand en meld u in de systeembeheerdersmodus aan. De UI op afstand starten
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiligingsinstellingen] 
[IPSec-instellingen].
[IPSec-instellingen].
4
Klik op [Bewerken...].
5
Schakel het selectievakje [Gebruik IPSec] in en klik op [OK].
Als het apparaat alleen pakketten mag ontvangen die voldoen aan een van de beleidsinstellingen die u hieronder definieert, schakelt u het selectievakje [Pakketten zonder beleid ontv.] uit.
6
Klik op [Nieuw beleid registreren...].
7
Geef de beleidsinstellingen op.
|
1
|
Typ in het vak [Beleidsnaam] maximaal 24 alfanumerieke tekens als naam voor de set met beleidsinstellingen.
|
|
2
|
Schakel het selectievakje [Beleid inschakelen] in.
 |
8
Geef de instellingen voor het beleid Selector op.
[Lokaal adres]
Selecteer het keuzerondje voor het type IP-adres van het apparaat waarop u het beleid wilt toepassen.
Selecteer het keuzerondje voor het type IP-adres van het apparaat waarop u het beleid wilt toepassen.
|
[Alle IP-adressen]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten.
|
|
[IPv4-adres]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar het IPv4-adres van het apparaat worden verstuurd.
|
|
[IPv6-adres]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar het IPv6-adres van het apparaat worden verstuurd.
|
[Extern adres]
Selecteer het keuzerondje voor het type IP-adres van de andere apparaten waarop u het beleid wilt toepassen.
Selecteer het keuzerondje voor het type IP-adres van de andere apparaten waarop u het beleid wilt toepassen.
|
[Alle IP-adressen]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten.
|
|
[Alle IPv4-adressen]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar IPv4-adressen van de andere apparaten worden verstuurd.
|
|
[Alle IPv6-adressen]
|
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar IPv6-adressen van de andere apparaten worden verstuurd.
|
|
[Handmatige IPv4-instellingen]
|
Selecteer deze optie om een specifiek IPv4-adres of een bereik van IPv4-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv4-adres (of het bereik van adressen) in het vak [Adressen om handmatig in te stellen].
|
|
[Handmatige IPv6-instellingen]
|
Selecteer deze optie om een specifiek IPv6-adres of een bereik van IPv6-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv6-adres (of het bereik van adressen) in het vak [Adressen om handmatig in te stellen].
|
[Adressen om handmatig in te stellen]
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Extern adres], typt u het IP-adres waarop het beleid moet worden toegepast. U kunt ook een bereik van adressen opgeven door een afbreekstreepje te typen tussen de adressen.
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Extern adres], typt u het IP-adres waarop het beleid moet worden toegepast. U kunt ook een bereik van adressen opgeven door een afbreekstreepje te typen tussen de adressen.
IP-adressen invoeren
|
Beschrijving
|
Voorbeeld
|
|
|
Een specifiek adres invoeren
|
IPv4:
Gebruik een punt als scheidingsteken. |
192.168.0.10
|
|
IPv6:
Gebruik een dubbele punt als scheidingsteken tussen alfanumerieke tekens. |
fe80::10
|
|
|
Een bereik van adressen opgeven
|
Plaats een afbreekstreepje tussen de adressen.
|
192.168.0.10-192.168.0.20
|
|
Een bereik van adressen opgeven met een voorvoegsel (alleen IPv6)
|
Typ een getal ter aanduiding van de lengte van het voorvoegsel.
|
64
|
[Subnetinstellingen]
Als u het IPv4-adres handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken. Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld: "255.255.255.240").
Als u het IPv4-adres handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken. Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld: "255.255.255.240").
[Prefixlengte]
Als u een reeks IPv6-adressen handmatig wilt opgeven, kunt u ook Prefixlengte gebruiken. Geef een waarde tussen 0 en 128 op voor de prefixlengte (bijvoorbeeld: "64").
Als u een reeks IPv6-adressen handmatig wilt opgeven, kunt u ook Prefixlengte gebruiken. Geef een waarde tussen 0 en 128 op voor de prefixlengte (bijvoorbeeld: "64").
[Lokale poort]/[Externe poort]
Als u voor elk protocol afzonderlijke beleidsinstellingen wilt opgeven, bijvoorbeeld voor HTTP en SMTP, voert u hier het poortnummer van het protocol in als daarvoor IPSec moet worden gebruikt.
Als u voor elk protocol afzonderlijke beleidsinstellingen wilt opgeven, bijvoorbeeld voor HTTP en SMTP, voert u hier het poortnummer van het protocol in als daarvoor IPSec moet worden gebruikt.
IPSec wordt niet toegepast op de volgende pakketten
Loopback-, multicast- en broadcast-pakketten
IKE-pakketten (via UDP op poort 500)
Pakketten voor 'neighbor solicitation' en 'neighbor advertisement' van ICMPv6
9
Geef de IKE-instellingen op.
[IKE-modus]
Hier ziet u de modus die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. Het apparaat ondersteunt de hoofdmodus, niet de agressieve modus.
Hier ziet u de modus die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. Het apparaat ondersteunt de hoofdmodus, niet de agressieve modus.
[Authenticatiemethode]
Selecteer [Methode gedeelde sleutel] of [Methode digitale handtekening] als methode voor het verifiëren van de machine. Selecteer [Methode gedeelde sleutel] (Met TLS gecodeerde communicatie inschakelen voor de UI op afstand) pas nadat u TLS hebt ingeschakeld voor de UI op afstand. Selecteer [Methode digitale handtekening] (Instellingen configureren voor sleutelparen en digitale certificaten) pas nadat u een sleutelpaar hebt gegenereerd of geïnstalleerd.
Selecteer [Methode gedeelde sleutel] of [Methode digitale handtekening] als methode voor het verifiëren van de machine. Selecteer [Methode gedeelde sleutel] (Met TLS gecodeerde communicatie inschakelen voor de UI op afstand) pas nadat u TLS hebt ingeschakeld voor de UI op afstand. Selecteer [Methode digitale handtekening] (Instellingen configureren voor sleutelparen en digitale certificaten) pas nadat u een sleutelpaar hebt gegenereerd of geïnstalleerd.
[Geldig voor]
Geef aan hoe lang een sessie duurt voor IKE SA (ISAKMP SA). Geef de tijd op in minuten.
Geef aan hoe lang een sessie duurt voor IKE SA (ISAKMP SA). Geef de tijd op in minuten.
[Authenticatie]/[Encryptie]/[DH-groep]
Selecteer een algoritme in de vervolgkeuzelijst. Alle algoritmen worden gebruikt bij het uitwisselen van de sleutels.
Selecteer een algoritme in de vervolgkeuzelijst. Alle algoritmen worden gebruikt bij het uitwisselen van de sleutels.
|
[Authenticatie]
|
Selecteer het hash-algoritme.
|
|
[Encryptie]
|
Selecteer het coderingsalgoritme.
|
|
[DH-groep]
|
Selecteer de Diffie-Hellman-groep, die bepalend is voor de sterkte van de sleutel.
|
Een gedeelde sleutel gebruiken voor verificatie
|
1
|
Selecteer het keuzerondje [Methode gedeelde sleutel] bij [Authenticatiemethode] en klik op [Instellingen gedeelde sleutel].
|
|
2
|
Typ maximaal 24 alfanumerieke tekens voor de gedeelde sleutel en klik op [OK].
 |
|
3
|
Geef instellingen op voor [Geldig voor] en [Authenticatie]/[Encryptie]/[DH-groep].
|
Een sleutelpaar en vooraf geïnstalleerde CA-certificaten gebruiken voor verificatie
|
1
|
Selecteer het keuzerondje [Methode digitale handtekening] bij [Authenticatiemethode] en klik op [Sleutel en certificaat...].
|
|
2
|
Klik op [Registreer standaardsleutel] naast het sleutelpaar dat u wilt gebruiken.
 Details weergeven van een sleutelpaar of certificaat U kunt de details van het certificaat controleren of het certificaat verifiëren door op de gewenste tekstkoppeling onder [Sleutelnaam] te klikken of op het pictogram van het certificaat. Sleutelparen, handtekeningsleutels en certificaten verifiëren
|
|
3
|
Geef instellingen op voor [Geldig voor] en [Authenticatie]/[Encryptie]/[DH-groep].
|
10
Geef de IPSec-instellingen op.
[Gebruik PFS]
Schakel dit selectievakje in om PFS (Perfect Forward Secrecy) in te schakelen voor sleutels van IPSec-sessies. Als u PFS inschakelt, wordt de beveiliging verbeterd maar wordt de communicatie ook extra belast. Zorg ervoor dat PFS ook is ingeschakeld voor de andere apparaten.
Schakel dit selectievakje in om PFS (Perfect Forward Secrecy) in te schakelen voor sleutels van IPSec-sessies. Als u PFS inschakelt, wordt de beveiliging verbeterd maar wordt de communicatie ook extra belast. Zorg ervoor dat PFS ook is ingeschakeld voor de andere apparaten.
[Geef tijd op]/[Geef formaat op]
Geef hier de voorwaarden op voor het beëindigen van een sessie voor IPSec SA. IPSec SA wordt gebruikt als een communicatietunnel. Schakel beide selectievakjes in of één van de twee, naargelang de voorwaarden die u wilt instellen. Als u beide selectievakjes inschakelt, wordt de IPSec SA-sessie beëindigd als aan één van de beide voorwaarden wordt voldaan.
Geef hier de voorwaarden op voor het beëindigen van een sessie voor IPSec SA. IPSec SA wordt gebruikt als een communicatietunnel. Schakel beide selectievakjes in of één van de twee, naargelang de voorwaarden die u wilt instellen. Als u beide selectievakjes inschakelt, wordt de IPSec SA-sessie beëindigd als aan één van de beide voorwaarden wordt voldaan.
|
[Geef tijd op]
|
Typ het aantal minuten voor de tijdsduur van een sessie.
|
|
[Geef formaat op]
|
Typ een grootte in MB om aan te geven hoeveel gegevens er in een sessie kunnen worden getransporteerd.
|
[Selecteer algoritme]
Schakel het selectievakje [ESP], [ESP (AES-GCM)] en/of [AH (SHA1)] in, afhankelijk van de gebruikte IPSec-header en algoritme. AES-GCM is een algoritme voor zowel verificatie als codering. Als [ESP] is geselecteerd, moet u ook algoritmen voor verificatie en codering selecteren in de vervolgkeuzelijsten [ESP-authenticatie] en [ESP-encryptie].
Schakel het selectievakje [ESP], [ESP (AES-GCM)] en/of [AH (SHA1)] in, afhankelijk van de gebruikte IPSec-header en algoritme. AES-GCM is een algoritme voor zowel verificatie als codering. Als [ESP] is geselecteerd, moet u ook algoritmen voor verificatie en codering selecteren in de vervolgkeuzelijsten [ESP-authenticatie] en [ESP-encryptie].
|
[ESP-authenticatie]
|
Als u ESP-verificatie wilt inschakelen, selecteert u [SHA1] als het hash-algoritme. Selecteer [Niet gebruiken] als u ESP-verificatie wilt uitschakelen.
|
|
[ESP-encryptie]
|
Selecteer het coderingsalgoritme voor ESP. U kunt [NULL] selecteren als u het algoritme niet wilt opgeven of selecteer [Niet gebruiken] als u ESP-codering wilt uitschakelen.
|
[Verbindingsmodus]
Hier wordt de verbindingsmodus van IPSec weergegeven. Het apparaat biedt ondersteuning voor de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. De tunnelmodus is niet beschikbaar. In deze modus worden complete IP-pakketten (headers en payloads) ingekapseld.
Hier wordt de verbindingsmodus van IPSec weergegeven. Het apparaat biedt ondersteuning voor de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. De tunnelmodus is niet beschikbaar. In deze modus worden complete IP-pakketten (headers en payloads) ingekapseld.
11
Klik op [OK].
Als u nog een beveiligingsbeleid wilt registreren, gaat u terug naar stap 6.
12
Bepaal de volgorde van de beleidsinstellingen onder [Geregistreerd IPSec-beleid].
De bovenste set met beleidsinstellingen (ook wel beleidslijnen genoemd) wordt als eerst toegepast, dan de volgende in de lijst, enzovoort. Klik op [Omhoog] of [Omlaag] om een instelling één positie omhoog of omlaag te verplaatsen.
Een instelling bewerken
Klik op de overeenkomstige tekstkoppeling onder [Beleidsnaam] voor het bewerkingsscherm.
Een beleid verwijderen
Klik op [Verwijderen] bij de beleidsnaam die u wilt verwijderen klik op [OK].
klik op [OK].13
Start de machine opnieuw op.
Zet de machine uit, wacht minimaal 10 seconden en zet de machine weer aan.
|
|
|
U kunt de IPSec-communicatie in- of uitschakelen vanaf <Menu>. Gebruik IPSec
|