IPSec iestatījumu konfigurēšana

Interneta protokolu drošība (Internet Protocol Security) (IPSec vai IPsec) ir protokolu komplekts, kas paredzēts tīklā (arī interneta tīklos) pārsūtīto datu šifrēšanai. TLS šifrē tikai konkrētā lietojumprogrammā, piemēram, tīmekļa pārlūkprogrammā vai e-pasta lietojumprogrammā, izmantotos datus, taču IPSec šifrē vai nu visas IP paketes, vai IP pakešu vērtumus, sniedzot daudzpusīgāku drošības sistēmu. Iekārtas IPSec darbojas transportēšanas režīmā, un tajā tiek šifrēti IP pakešu vērtumi. Izmantojot šo funkciju, iekārta nevar tieši izveidot savienojumu ar datoru, kas atrodas tajā pašā virtuālajā privātajā tīklā (VPN). Pirms iekārtas konfigurēšanas pārbaudiet sistēmas prasības un datorā iestatiet nepieciešamo konfigurāciju.

Sistēmas prasības

Iekārtas atbalstītais IPSec atbilst RFC2401, RFC2402, RFC2406 un RFC4305.

Operētājsistēma	Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
Savienojuma režīms	Transportēšanas režīms
Atslēgu apmaiņas protokols	IKEv1 (galvenais režīms)
	Autentifikācijas metode	Sākotnēji koplietojama atslēga Ciparparaksts
	Jaucējvērtības algoritms (un atslēgas garums)	HMAC-SHA1-96 HMAC-SHA2 (256 biti vai 384 biti)
	Šifrēšanas algoritms (un atslēgas garums)	3DES-CBC AES-CBC (128 biti, 192 biti vai 256 biti)
	Atslēgu apmaiņas algoritms/grupa (un atslēgas garums)	Diffie-Hellman (DH) 1. grupa (768 biti) 2. grupa (1024 biti) 14. grupa (2048 biti)
ESP	Jaucējvērtības algoritms	HMAC-SHA1-96
	Šifrēšanas algoritms (un atslēgas garums)	3DES-CBC AES-CBC (128 biti, 192 biti vai 256 biti)
	Jaucējvērtības algoritms/šifrēšanas algoritms (un atslēgas garums)	AES-GCM (128 biti, 192 biti vai 256 biti)
AH	Jaucējvērtības algoritms	HMAC-SHA1-96


IPSec funkciju ierobežojumi IPSec atbalsta sakarus ar uniraides adresi (jeb vienu ierīci). IPSec nav pieejams tīklos, kuros ir ieviesta NAT vai IP maskarāde. IPSec izmantošana ar IP adreses filtru IP adreses filtra iestatījumi tiek piemēroti pirms IPSec politikām. Ugunsmūra kārtulu IP adrešu norādīšana

IPSec funkciju ierobežojumi

IPSec atbalsta sakarus ar uniraides adresi (jeb vienu ierīci).

IPSec nav pieejams tīklos, kuros ir ieviesta NAT vai IP maskarāde.

IPSec izmantošana ar IP adreses filtru

IP adreses filtra iestatījumi tiek piemēroti pirms IPSec politikām.

Ugunsmūra kārtulu IP adrešu norādīšana

IPSec iestatījumu konfigurēšana

Pirms IPSec lietošanas šifrētiem sakariem, ir jāreģistrē drošības politikas. Drošības politika sastāv no tālāk aprakstīto iestatījumu grupām. Var reģistrēt līdz 10 politikām. Pēc politiku reģistrēšanas norādiet to lietošanas secību.

Atlasītājs

Atlasītājs nosaka nosacījumus, kādos IP pakešdatos tiek lietoti IPSec sakari. Nosacījumi, kurus var izvēlēties, ietver iekārtas IP adreses un portu numurus, kā arī ierīces, ar kurām veidot sakarus.

IKE

IKE konfigurē IKEv1, ko izmanto atslēgu apmaiņas protokolam. Ņemiet vērā, ka norādījumi atšķiras atkarībā no izvēlētās autentifikācijas metodes.

[Iepriekš kopīg. atslēgas met.]
Atslēgu, kuras garums ir līdz 24 burtciparu rakstzīmēm, var koplietot ar citām ierīcēm. Pirms šīs autentifikācijas metodes norādīšanas iespējojiet utilītas Remote UI (Attālais lietotāja interfeiss) TLS (TLS šifrēto sakaru aktivizēšana utilītprogrammai Remote UI (Attālais lietotāja interfeiss)).

[Ciparparaksta metode]
Iekārta un citas ierīces veic savstarpēju autentifikāciju, abpusēji pārbaudot ciparparakstus. Ģenerējiet vai instalējiet atslēgu pāri jau iepriekš (Atslēgu pāru un digitālo sertifikātu iestatījumu konfigurēšana).

AH/ESP

Norādiet AH/ESP iestatījumus, kas tiek pievienoti pakešdatiem IPSec sakaru laikā. AH un ESP var lietot vienlaikus. Varat arī izvēlēties, vai papildus drošībai iespējot PFS.

Atveriet utilītprogrammu Remote UI (Attālais lietotāja interfeiss) un piesakieties sistēmas pārvaldnieka režīmā. Remote UI (Attālais lietotāja interfeiss) palaišana

Noklikšķiniet uz [Settings/Registration].

Noklikšķiniet uz [Security Settings]

[IPSec iestatījumi].

Noklikšķiniet uz [Edit...].

Atzīmējiet izvēles rūtiņu [Use IPSec] un noklikšķiniet uz [OK].

Ja vēlaties, lai iekārta saņemtu tikai tādas paketes, kas atbilst kādai no drošības politikām, kuras esat definējis tālāk esošajās darbībās, notīriet izvēles rūtiņu [Saņemt politikai neatb.paketes].

Noklikšķiniet uz [Register New Policy...].

Norādiet politikas iestatījumus.

1	Tekstlodziņā [Politikas nosaukums] kā politikas identificēšanas nosaukumu ievadiet maks. 24 burtciparu rakstzīmes.
2	Atzīmējiet izvēles rūtiņu [Iespējot politiku].

Norādiet atlasītāja iestatījumus.

[Lokālā adrese]
Lai lietotu politiku, noklikšķiniet uz iekārtas IP adreses tipa radiopogas.

[Visas IP adreses]	Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem.
[IPv4 adrese]	Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz iekārtas IPv4 adresi vai no tās.
[IPv6 adrese]	Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz iekārtas IPv6 adresi vai no tās.

[Attālā adrese]
Lai lietotu politiku, noklikšķiniet uz citu ierīču IP adreses tipa radiopogas.

[Visas IP adreses]	Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem.
[All IPv4 Addresses]	Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz citu ierīču IPv4 adresēm vai no tām.
[All IPv6 Addresses]	Izvēlieties, lai IPSec izmantotu visiem IP pakešdatiem, kas tiek sūtīti uz citu ierīču IPv6 adresēm vai no tām.
[IPv4 manuālie iestatījumi]	Izvēlieties, lai norādītu vienu IPv4 adresi vai IPv4 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] (Manuāli iestatāmās adreses) ievadiet IPv4 adresi (vai diapazonu).
[IPv6 manuālie iestatījumi]	Izvēlieties, lai norādītu vienu IPv6 adresi vai IPv6 adrešu diapazonu, lai lietotu IPSec. Tekstlodziņā [Addresses to Set Manually] (Manuāli iestatāmās adreses) ievadiet IPv6 adresi (vai diapazonu).

[Addresses to Set Manually]
Ja sadaļā [Attālā adrese] ir izvēlēts [IPv4 manuālie iestatījumi] vai [IPv6 manuālie iestatījumi], ievadiet IP adresi, lai lietotu politiku. Varat arī ievadīt adrešu diapazonu, atdalot tās ar defisi.

IP adrešu ievadīšana

	Apraksts	Piemērs
Vienas adreses ievadīšana	IPv4: Atdaliet ciparus ar punktiem.	192.168.0.10
Vienas adreses ievadīšana	IPv6: Atdaliet burtciparu rakstzīmes ar koliem.	fe80::10
Adrešu diapazona norādīšana	Atdaliet adreses ar defisi.	192.168.0.10-192.168.0.20
Adrešu diapazona ar prefiksu norādīšana (tikai IPv6)	Ievadiet ciparu, kas norāda prefiksa garumu.	64

[Apakštīkla iestatījumi]
Ja IPv4 adresi norādāt manuāli, varat precīzi ievadīt diapazonu, izmantojot apakštīkla masku. Ievadiet apakštīkla masku, numuru atdalīšanai izmantojot periodus (piemērs: “255.255.255.240”).

[Prefix Length]
Lai IPv6 adrešu diapazonu norādītu manuāli, varat arī izmantot prefiksa garumu un norādīt diapazonu. Prefiksa garuma laukā norādiet diapazonu no 0 līdz 128 (piemērs: “64”).

[Lokālais ports]/[Attālais ports]
Ja katram protokolam, piemēram, HTTP vai SMTP, vēlaties izveidot atsevišķas politikas, ievadiet attiecīgo protokola porta numuru, lai norādītu, vai jāizmanto IPSec.

IPSec nav piemērots tālāk minētajām paketēm

Atgriezeniskās cilpas, multiraides un apraides paketes

IKE paketes (kas portā 500 izmanto UDP)

ICMPv6 kaimiņa darbības un kaimiņa paziņojuma paketes

Norādiet IKE iestatījumus.

[IKE režīms]
Tiek parādīts atslēgu apmaiņas protokolam izmantotais režīms. Iekārta atbalsta galveno režīmu, nevis aktīvo režīmu.

[Authentication Method]
Metodei, kas tiek izmantota iekārtas autentifikācijai, izvēlieties [Iepriekš kopīg. atslēgas met.] vai [Ciparparaksta metode]. Pirms izvēlēties iestatījumu [Iepriekš kopīg. atslēgas met.], iespējojiet Remote UI (Attālais lietotāja interfeiss) TLS (TLS šifrēto sakaru aktivizēšana utilītprogrammai Remote UI (Attālais lietotāja interfeiss)). Pirms [Ciparparaksta metode] (Atslēgu pāru un digitālo sertifikātu iestatījumu konfigurēšana) izvēles ir jāģenerē vai jāinstalē atslēgu pāris.

[Valid for]
Norādiet, cik ilga ir IKE SA (ISAKMP SA) sesija. Ievadiet laiku minūtēs.

[Autentifikācija]/[Šifrēšana]/[DH grupa]
Nolaižamajā sarakstā izvēlieties algoritmu. Katrs algoritms tiek izmantots atslēgu apmaiņai.

[Autentifikācija]	Izvēlieties jaucējalgoritmu.
[Šifrēšana]	Izvēlieties šifrēšanas algoritmu.
[DH grupa]	Izvēlieties grupu Diffie-Hellman, kas nosaka atslēgas stiprumu.

Sākotnēji kopīgotas atslēgas izmantošana autentifikācijai

1	Noklikšķiniet uz radiopogas [Iepriekš kopīg. atslēgas met.], kas paredzēta [Authentication Method], un pēc tam noklikšķiniet uz [Shared Key Settings...].
2	Kā sākotnēji kopīgotu atslēgu ievadiet maks. 24 burtciparus un noklikšķiniet uz [OK].
3	Norādiet iestatījumus [Valid for] un [Autentifikācija]/[Šifrēšana]/[DH grupa].

Atslēgu pāra un iepriekš instalētu CA sertifikātu izmantošana autentifikācijai

1	Noklikšķiniet uz radiopogas [Ciparparaksta metode], kas paredzēta [Authentication Method], un pēc tam noklikšķiniet uz [Key and Certificate...].
2	Noklikšķiniet uz [Register Default Key], kas atrodas pa labi no atslēgu pāra, ko vēlaties izmantot. Atslēgu pāra vai sertifikāta detalizētas informācijas skatīšana Varat skatīt detalizētu informāciju par sertifikātu vai pārbaudīt to, sadaļā [Key Name] noklikšķinot uz atbilstošās teksta saites vai sertifikāta ikonas. Atslēgu pāru, ierīces paraksta atslēgu un sertifikātu pārbaudīšana
3	Norādiet iestatījumus [Valid for] un [Autentifikācija]/[Šifrēšana]/[DH grupa].

Norādiet IPSec tīkla iestatījumus.

[Lietot PFS]
Atzīmējiet izvēles rūtiņu, lai aktivizētu IPSec sesiju taustiņu standartu Perfect Forward Secrecy (PFS). Aktivizējot PFS, tiek uzlabota drošība, bet arī palielināta sakaru slodze. Pārbaudiet, vai PFS ir aktivizēts arī citām ierīcēm.

[Specify by Time]/[Specify by Size]
Iestatiet IPSec SA sesijas pārtraukšanas nosacījumus. IPSec SA tiek izmantots kā sakaru tunelis. Pēc nepieciešamības atzīmējiet vienu vai abas izvēles rūtiņas. Ja ir atzīmētas abas izvēles rūtiņas, IPSec SA sesija tiek pārtraukta, kad notiek jebkurš no nosacījumiem.

[Specify by Time]	Ievadiet laiku minūtēs, lai norādītu sesijas ilgumu.
[Specify by Size]	Ievadiet lielumu megabaitos, lai norādītu, cik datu drīkst transportēt sesijā.

[Atlasīt algoritmu]
Atzīmējiet izvēles rūtiņu(as) [ESP], [ESP (AES-GCM)] vai [AH (SHA1)] atkarībā no IPSec galvenes un izmantotā algoritma. AES-GCM ir algoritms, kas paredzēts gan autentifikācijai, gan šifrēšanai. Ja ir izvēlēts [ESP], arī nolaižamajā sarakstā [ESP autentifikācija] un [ESP šifrēšana] izvēlieties autentifikācijas un šifrēšanas algoritmus.

[ESP autentifikācija]	Lai aktivizētu ESP autentifikāciju, izvēlieties jaucējvērtības algoritma iestatījumu [SHA1]. Izvēlieties [Nelietot], ja vēlaties deaktivizēt ESP autentifikāciju.
[ESP šifrēšana]	Izvēlieties ESP šifrēšanas algoritmu. Varat izvēlēties [NULL], ja nevēlaties norādīt algoritmu, vai izvēlieties [Nelietot], ja vēlaties atspējot ESP šifrēšanu.

[Savienojuma režīms]
Tiek parādīts IPSec savienojuma režīms. Iekārta atbalsta transportēšanas režīmu, kurā tiek šifrēti IP pakešdatu vērtējumi. Tuneļa režīms, kurā kapsulā tiek ievietoti visi IP pakešdati (galvenes un vērtējumi), nav pieejams.

Noklikšķiniet uz [OK].

Ja jāreģistrē papildu drošības politika, atgriezieties 6. darbībā.

Sadaļā [Registered IPSec Policies] kārtojiet politiku secību.

Politikas tiek lietotas, sākot no tās, kas atrodas visaugstāk, uz leju. Noklikšķiniet uz [Up] vai [Down], lai politiku pārvietotu uz augšu vai uz leju.

Politikas rediģēšana
Sadaļā [Politikas nosaukums] noklikšķiniet uz atbilstošās teksta saites, lai atvērtu rediģēšanas ekrānu.

Politikas dzēšana

Noklikšķiniet uz [Delete], kas atrodas pa labi no dzēšamā politikas nosaukuma

noklikšķiniet uz [OK].

Restartējiet iekārtu.

Izslēdziet iekārtu, pagaidiet vismaz 10 sekundes un iekārtu atkal ieslēdziet.


IPSec sakarus varat iespējot vai atspējot, izmantojot <Izvēlne>. Lietot IPSec

Atslēgu pāru un digitālo sertifikātu iestatījumu konfigurēšana

IPSec politiku saraksts