Configurarea setărilor IPSec
Internet Protocol Security (IPSec sau IPsec) este o suită de protocol-uri pentru criptarea informaţiilor transmise prin intermediul unei reţele, inclusiv reţele de Internet. În timp ce TLS criptează doar informaţiile folosite de o anumită aplicaţie, precum un browser Web sau o aplicaţie de e-mail, IPSec criptează toate pachetele IP sau încărcăturile de pachete IP, oferind un sistem de securitate mai versatil. Caracteristica IPSec a aparatului funcţionează în modul transport, în care pachetele IP sunt criptate. Cu această caracteristică, aparatul se poate conecta direct la un computer care se află în aceeaşi reţea privată virtuală (VPN). Verificaţi cerinţele pentru sistem şi setaţi configuraţia necesară pe calculator înainte de a configura aparatul.
Cerinţele sistemului
IPSec care este compatibil cu aparatul este conform standardelor RFC2401, RFC2402, RFC2406 şi RFC4305.
|
Sistem de operare
|
Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
|
|
|
Mod de conexiune
|
Mod transport
|
|
|
Protocol schimbare parolă
|
IKEv1 (mod principal)
|
|
|
Metoda de autentificare
|
Pre-shared key (Cheie pre-partajată)
Digital signature (Semnătură digitală)
|
|
|
Hash algorithm (algoritm hash)
(şi lungime cheie) |
HMAC-SHA1-96
HMAC-SHA2 (256 biţi sau 384 biţi)
|
|
|
Encryption algorithm (algoritm criptare)
(şi lungime cheie) |
3DES-CBC
AES-CBC (128 biţi, 192 biţi sau 256 biţi)
|
|
|
Algoritm schimbare cheie/grup (şi lungime cheie)
|
Diffie-Hellman (DH)
Grup 1 (768 biţi)
Grup 2 (1.024 biţi)
Grup 14 (2.048 biţi)
|
|
|
ESP
|
Hash algorithm (algoritm hash)
|
HMAC-SHA1-96
|
|
Encryption algorithm (algoritm criptare)
(şi lungime cheie) |
3DES-CBC
AES-CBC (128 biţi, 192 biţi sau 256 biţi)
|
|
|
Algoritm hash/algoritm criptare (şi lungime cheie)
|
AES-GCM (128 biţi, 192 biţi sau 256 biţi)
|
|
|
AH
|
Hash algorithm (algoritm hash)
|
HMAC-SHA1-96
|
 |
Restricţii funcţionare IPSecIPSec este compatibil cu comunicarea către o singură adresă (sau un singur dispozitiv).
IPSec nu este disponibil în reţele în care este implementat NAT sau IP ascuns.
Utilizare IPSec cu filtrarea adresei IPSetările pentru filtrarea adresei IP sunt aplicate înainte de politicile IPSec.
|
Configurarea setărilor IPSec
Înainte de utilizarea IPSec pentru metoda de criptare, trebuie să înregistraţi politicile de securitate (SP). O politică de securitate este formată din grupuri de setări descrise mai jos. Se pot înregistra până la 10 politici. După înregistrarea politicilor, specificaţi ordinea în care să fie aplicate.
Selector
Selector defineşte condiţiile pentru pachetele IP care să se aplice comunicării IPSec. Condiţiile care pot fi alese includ adrese IP şi număr de porturi ale aparatului şi ale dispozitivelor cu care să comunice.
IKE
IKE configurează IKEv1 care este folosit pentru protocolul de schimbare a parolei. Instrucţiunile pot fi diferite în funcţie de metoda de autentificare aleasă.
[Metodă cu cheie pre-partajată]
O cheie de până la 24 de caractere alfanumerice poate fi partajată cu alte dispozitive. Activaţi TLS pentru Remote UI (IU la distanţă) înainte de a specifica metoda de autentificare (Activarea comunicării criptate TLS pentru Remote UI (IU la distanţă)).
O cheie de până la 24 de caractere alfanumerice poate fi partajată cu alte dispozitive. Activaţi TLS pentru Remote UI (IU la distanţă) înainte de a specifica metoda de autentificare (Activarea comunicării criptate TLS pentru Remote UI (IU la distanţă)).
[Metodă cu semnătură digitală]
Aparatul şi alte dispozitive se autentifică reciproc verificând semnătura digitală. Mai întâi, generaţi sau instalaţi parola pereche (Configurarea setărilor pentru parole pereche şi certificate digitale).
Aparatul şi alte dispozitive se autentifică reciproc verificând semnătura digitală. Mai întâi, generaţi sau instalaţi parola pereche (Configurarea setărilor pentru parole pereche şi certificate digitale).
AH/ESP
Specificaţi setările pentru AH/ESP, care sunt adăugate pachetelor în timpul comunicării IPSec. AH şi ESP pot fi folosite în acelaşi timp. Puteţi selecta şi dacă să activaţi sau nu PFS pentru o securitate şi mai puternică.
1
Porniţi Remote UI (IU la distanţă) şi conectaţi-vă în modul administrator de sistem. Pornirea Remote UI (IU la distanţă)
2
Faceţi clic pe [Settings/Registration].
3
Faceţi clic pe [Security Settings] 
[Setări IPSec].
[Setări IPSec].
4
Faceţi clic pe [Edit...].
5
Bifaţi căsuţa [Use IPSec] şi faceţi clic pe [OK].
Dacă doriţi ca aparatul să primească doar pachete care se potrivesc uneia dintre politicile de securitate pe care le-aţi definit în paşii de mai jos, debifaţi căsuţa [Primire pachete non-politică].
6
Faceţi clic pe [Register New Policy...].
7
Specificaţi setările de politică.
|
1
|
În caseta text [Nume politică], introduceţi până la 24 de caractere alfanumerice pentru un nume care este folosit pentru identificarea politicii.
|
|
2
|
Bifaţi căsuţa [Activare politică].
 |
8
Specificaţi setările de Selector.
[Adresă locală]
Faceţi clic pe butonul radio pentru tipul de adresă IP a aparatului pentru a aplica politica.
Faceţi clic pe butonul radio pentru tipul de adresă IP a aparatului pentru a aplica politica.
|
[Toate adresele IP]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP.
|
|
[Adresă IPv4]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv4 a aparatului.
|
|
[Adresă IPv6]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv6 a aparatului.
|
[Adresă la distanţă]
Faceţi clic pe butonul radio pentru tipul de adresă IP a celorlalte dispozitive pentru a aplica politica.
Faceţi clic pe butonul radio pentru tipul de adresă IP a celorlalte dispozitive pentru a aplica politica.
|
[Toate adresele IP]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP.
|
|
[All IPv4 Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv4 a celorlalte dispozitive.
|
|
[All IPv6 Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv6 a celorlalte dispozitive.
|
|
[Setări manuale IPv4]
|
Selectaţi să specificaţi o singură adresă IPv4 sau un interval de adrese IPv4 pentru a aplica IPSec. Introduceţi adresa IPv4 (sau intervalul) în căsuţa [Addresses to Set Manually].
|
|
[Setări manuale IPv6]
|
Selectaţi să specificaţi o singură adresă IPv6 sau un interval de adrese IPv6 pentru a aplica IPSec. Introduceţi adresa IPv6 (sau intervalul) în căsuţa [Addresses to Set Manually].
|
[Addresses to Set Manually]
Dacă se selectează [Setări manuale IPv4] sau [Setări manuale IPv6] pentru [Adresă la distanţă], introduceţi adresa IP pentru a aplica politica. Puteţi introduce un interval de adrese introducând o cratimă între adrese.
Dacă se selectează [Setări manuale IPv4] sau [Setări manuale IPv6] pentru [Adresă la distanţă], introduceţi adresa IP pentru a aplica politica. Puteţi introduce un interval de adrese introducând o cratimă între adrese.
Introducerea adreselor IP
|
Descriere
|
Exemplu
|
|
|
Introducerea unei singure adrese
|
IPv4:
Delimitaţi numerele cu puncte. |
192.168.0.10
|
|
IPv6:
Delimitaţi caracterele alfanumerice cu două puncte. |
fe80::10
|
|
|
Specificare unui interval de adrese
|
Introduceţi o cratimă între adrese.
|
192.168.0.10-192.168.0.20
|
|
Specificarea unui interval de adrese cu un prefix (doar IPv6)
|
Introduceţi un număr ce indică lungimea prefixului.
|
64
|
[Setări subreţea]
Când specificaţi manual adresa IPv4, puteţi exprima intervalul folosind subnet mask. Introduceţi subnet mask folosind puncte pentru a delimita numerele (de exemplu: "255.255.255.240").
Când specificaţi manual adresa IPv4, puteţi exprima intervalul folosind subnet mask. Introduceţi subnet mask folosind puncte pentru a delimita numerele (de exemplu: "255.255.255.240").
[Prefix Length]
Pentru a specifica manual un interval de adrese IPv6, puteţi folosi, de asemenea, lungimea prefixului pentru a specifica intervalul. Specificaţi un interval de la 0 la 128 pentru lungimea prefixului (exemplu: "64").
Pentru a specifica manual un interval de adrese IPv6, puteţi folosi, de asemenea, lungimea prefixului pentru a specifica intervalul. Specificaţi un interval de la 0 la 128 pentru lungimea prefixului (exemplu: "64").
[Port local]/[Port la distanţă]
Dacă doriţi să creaţi politici separate pentru fiecare protocol, precum HTTP sau SMTP, introduceţi numărul de port potrivit pentru protocol pentru a determina dacă să folosiţi sau nu IPSec.
Dacă doriţi să creaţi politici separate pentru fiecare protocol, precum HTTP sau SMTP, introduceţi numărul de port potrivit pentru protocol pentru a determina dacă să folosiţi sau nu IPSec.
IPSec nu este aplicat următoarelor pachete
Pachete loopback, multicast şi broadcast
Pachete IKE (folosind UDP prin portul 500)
Solicitare ICMPv6 neighbor şi pachete reclame neighbor
9
Specificaţi setările de IKE.
[Mod IKE]
Se afişează modul folosit pentru protocolul de schimbare a parolei. Aparatul este compatibil cu modul principal, nu cu cel agresiv.
Se afişează modul folosit pentru protocolul de schimbare a parolei. Aparatul este compatibil cu modul principal, nu cu cel agresiv.
[Authentication Method]
Selectaţi [Metodă cu cheie pre-partajată] sau [Metodă cu semnătură digitală] pentru metoda folosită când autentificaţi aparatul. Trebuie să activaţi TLS pentru Remote UI (IU la distanţă) înainte de a selecta [Metodă cu cheie pre-partajată] (Activarea comunicării criptate TLS pentru Remote UI (IU la distanţă)). Trebuie să generaţi sau să instalaţi o pereche de chei înainte de a selecta [Metodă cu semnătură digitală] (Configurarea setărilor pentru parole pereche şi certificate digitale).
Selectaţi [Metodă cu cheie pre-partajată] sau [Metodă cu semnătură digitală] pentru metoda folosită când autentificaţi aparatul. Trebuie să activaţi TLS pentru Remote UI (IU la distanţă) înainte de a selecta [Metodă cu cheie pre-partajată] (Activarea comunicării criptate TLS pentru Remote UI (IU la distanţă)). Trebuie să generaţi sau să instalaţi o pereche de chei înainte de a selecta [Metodă cu semnătură digitală] (Configurarea setărilor pentru parole pereche şi certificate digitale).
[Valid for]
Specificare duratei unei sesiuni pentru IKE SA (ISAKMP SA). Introduceţi intervalul în minute.
Specificare duratei unei sesiuni pentru IKE SA (ISAKMP SA). Introduceţi intervalul în minute.
[Autentificare]/[Criptare]/[Grup DH]
Selectaţi un algoritm din listă. Fiecare algoritm este folosit pentru schimbarea parolei.
Selectaţi un algoritm din listă. Fiecare algoritm este folosit pentru schimbarea parolei.
|
[Autentificare]
|
Selectaţi algoritmul hash.
|
|
[Criptare]
|
Selectaţi algoritmul de criptare.
|
|
[Grup DH]
|
Selectaţi grupul Diffie-Hellman, care determină cât de puternică este parola.
|
Utilizarea unei chei pre-partajată pentru autentificare
|
1
|
Faceţi clic pe butonul radio [Metodă cu cheie pre-partajată] pentru [Authentication Method], apoi faceţi clic pe [Shared Key Settings...].
|
|
2
|
Introduceţi până la 24 de caractere alfanumerice pentru cheia pre-partajată şi faceţi clic pe [OK].
 |
|
3
|
Specificaţi setările [Valid for] şi [Autentificare]/[Criptare]/[Grup DH].
|
Utilizarea unei parole pereche şi a certificatelor CA preinstalate pentru autentificare
|
1
|
Faceţi clic pe butonul radio [Metodă cu semnătură digitală] pentru [Authentication Method], apoi faceţi clic pe [Key and Certificate...].
|
|
2
|
Faceţi clic pe [Register Default Key] din dreapta parolei pereche pe care doriţi să o folosiţi.
 Vizualizarea detaliilor unei parole pereche sau a unui certificat Puteţi verifica detaliile certificatului sau puteţi verifica certificatul dacă faceţi clic pe legătura text corespunzătoare din [Key Name] sau simbolul certificatului. Verificarea parolelor pereche, a cheilor semnăturii aparatului şi a certificatelor
|
|
3
|
Specificaţi setările [Valid for] şi [Autentificare]/[Criptare]/[Grup DH].
|
10
Specificaţi setările de reţea IPSec.
[Utilizare PFS]
Selectaţi căsuţa pentru a activa Perfect Forward Secrecy (PFS) pentru parolele sesiunii IPSec. Dacă activaţi PFS îmbunătăţeşte securitatea în timp ce creşte încărcarea comunicării. Asiguraţi-vă că şi celălalt dispozitiv are activat PFS.
Selectaţi căsuţa pentru a activa Perfect Forward Secrecy (PFS) pentru parolele sesiunii IPSec. Dacă activaţi PFS îmbunătăţeşte securitatea în timp ce creşte încărcarea comunicării. Asiguraţi-vă că şi celălalt dispozitiv are activat PFS.
[Specify by Time]/[Specify by Size]
Setaţi condiţiile pentru terminarea unei sesiuni pentru IPSec SA. IPSec SA este folosit ca un tunel de comunicare. Selectaţi una sau ambele căsuţe, dacă este nevoie. Dacă ambele căsuţe sunt selectate, sesiunea IPSec SA este terminată când oricare dintre condiţii sunt îndeplinite.
Setaţi condiţiile pentru terminarea unei sesiuni pentru IPSec SA. IPSec SA este folosit ca un tunel de comunicare. Selectaţi una sau ambele căsuţe, dacă este nevoie. Dacă ambele căsuţe sunt selectate, sesiunea IPSec SA este terminată când oricare dintre condiţii sunt îndeplinite.
|
[Specify by Time]
|
Introduceţi un interval în minute pentru a specifica cât durează o sesiune.
|
|
[Specify by Size]
|
Introduceţi o dimensiunea în megabytes pentru a specifica câte informaţii pot fi transportate într-o sesiune.
|
[Selectare algoritm]
Bifaţi căsuţele [ESP], [ESP (AES-GCM)] sau [AH (SHA1)] în funcţie de headerul IPSec şi algoritmul folosit. AES-GCM este un algoritm atât pentru autentificare, cât şi pentru criptare. Dacă se selectează [ESP], selectaţi şi algoritmii pentru autentificare şi criptare din listele [Autentificare ESP] şi [Criptare ESP].
Bifaţi căsuţele [ESP], [ESP (AES-GCM)] sau [AH (SHA1)] în funcţie de headerul IPSec şi algoritmul folosit. AES-GCM este un algoritm atât pentru autentificare, cât şi pentru criptare. Dacă se selectează [ESP], selectaţi şi algoritmii pentru autentificare şi criptare din listele [Autentificare ESP] şi [Criptare ESP].
|
[Autentificare ESP]
|
Pentru a activa autentificarea ESP, selectaţi [SHA1] pentru algoritmul hash. Selectaţi [Nu utilizaţi] dacă doriţi să dezactivaţi autentificarea ESP.
|
|
[Criptare ESP]
|
Selectaţi algoritmul de criptare pentru ESP. Puteţi selecta [NUL] dacă nu doriţi să specificaţi algoritmul sau selectaţi [Nu utilizaţi] dacă doriţi să dezactivaţi criptarea ESP.
|
[Mod conectare]
Se afişează modul de conectare pentru IPSec. Aparatul este compatibil cu modul transport, în care pachetele IP sunt criptate. Modul tunel, în care toate pachetele IP (header şi încărcare) sunt încapsulate nu este disponibil.
Se afişează modul de conectare pentru IPSec. Aparatul este compatibil cu modul transport, în care pachetele IP sunt criptate. Modul tunel, în care toate pachetele IP (header şi încărcare) sunt încapsulate nu este disponibil.
11
Faceţi clic pe [OK].
Dacă aveţi nevoie să înregistraţi o politică de securitate în plus, reveniţi la pasul 6.
12
Aranjaţi ordinea politicilor listate în [Registered IPSec Policies].
Politicile sunt aplicate de la cea aflată cel mai sus la cea aflată cel mai jos. Faceţi clic pe [Up] sau pe [Down] pentru a muta o politică sus sau jos în ordine.
Editarea unei politici
Faceţi clic pe legătura text corespunzătoare din [Nume politică] pentru ecranul de editare.
Ştergerea unei politici
Faceţi clic pe [Delete] din partea dreaptă a numelui politicii pe care doriţi să îl ştergeţi faceţi clic pe [OK].
faceţi clic pe [OK].13
Reporniţi aparatul.
Opriţi aparatul şi aşteptaţi cel puţin 10 secunde, apoi porniţi-l din nou.
|
|
|
Puteţi activa sau dezactiva comunicarea IPSec din <Meniu>. Utilizare IPSec
|