Konfigurácia nastavení IPSec
Zabezpečenie internetového protokolu (IPSec alebo IPsec) je balíček protokolov na šifrovanie dát prenášaných v sieti vrátane internetových sietí. Zatiaľ čo TLS šifruje iba dáta používané v konkrétnej aplikácii, ako je webový prehliadač alebo e-mailová aplikácia, IPSec šifruje celé pakety IP alebo sady paketov IP, čím ponúka všestrannejší systém zabezpečenia. IPSec stroja funguje v režime prenosu, v ktorom sa šifrujú sady paketov IP. S touto funkciou sa stroj dokáže pripojiť priamo k počítaču, ktorý je v rovnakej virtuálnej privátnej sieti (VPN). Skontrolujte požiadavky na systém a pred konfiguráciou stroja nastavte potrebnú konfiguráciu počítača.
Systémové požiadavky
IPSec podporované strojom spĺňa štandardy RFC2401, RFC2402, RFC2406 a RFC4305.
|
Operačný systém
|
Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
|
|
|
Režim pripojenia
|
Režim prenosu
|
|
|
Protokol výmeny kľúča
|
IKEv1 (hlavný režim)
|
|
|
Spôsob overovania
|
Predzdieľaný kľúč
Digitálny podpis
|
|
|
Transformačný algoritmus
(a dĺžka kľúča) |
HMAC-SHA1-96
HMAC-SHA2 (256 bitov alebo 384 bitov)
|
|
|
Šifrovací algoritmus
(a dĺžka kľúča) |
3DES-CBC
AES-CBC (128 bitov, 192 bitov alebo 256 bitov)
|
|
|
Algoritmus výmeny kľúča/skupina (a dĺžka kľúča)
|
Diffie-Hellman (DH)
Skupina 1 (768 bitov)
Skupina 2 (1024 bitov)
Skupina 14 (2048 bitov)
|
|
|
ESP
|
Transformačný algoritmus
|
HMAC-SHA1-96
|
|
Šifrovací algoritmus
(a dĺžka kľúča) |
3DES-CBC
AES-CBC (128 bitov, 192 bitov alebo 256 bitov)
|
|
|
Transformačný algoritmus/šifrovací algoritmus (a dĺžka kľúča)
|
AES-GCM (128 bitov, 192 bitov alebo 256 bitov)
|
|
|
AH
|
Transformačný algoritmus
|
HMAC-SHA1-96
|
 |
Funkčné obmedzenia IPSecIPSec podporuje komunikáciu na adresu Unicast (alebo jedno zariadenie).
IPSec je dostupné v sieťach, v ktorých je implementované maskovanie NAT alebo IP.
Používanie IPSec s filtrom adries IPNastavenia filtra adries IP sa použijú pred politikami IPSec.
|
Konfigurácia nastavení IPSec
Pred použitím IPSec na šifrovanú komunikáciu musíte uložiť politiky zabezpečenia (SP). Politika zabezpečenia pozostáva zo skupín nastavení opísaných nižšie. Môžete registrovať maximálne 10 politík. Po registrácii politík špecifikujte poradie, v ktorom sa použijú.
Volič
Volič definuje podmienky pre pakety IP na aplikáciu komunikácie IPSec. Medzi podmienky, ktoré sa dajú vybrať, patria adresy IP a čísla portov stroja a zariadení, s ktorými komunikujú.
IKE
IKE konfiguruje IKEv1, ktoré sa používa pre protokol výmeny kľúča. Pamätajte si, že pokyny sa líšia v závislosti od zvolenej metódy overenia.
[Metóda predzdieľaného kľúča]
S ostatnými zariadeniami môžete zdieľať kľúč s maximálne 24 znakmi písmen alebo čísel. Pred špecifikáciou tejto metódy overenia aktivujte TLS pre Remote UI (Vzdialené UR) (Aktivovanie komunikácie šifrovanej pomocou TLS pre Remote UI (Vzdialené UR)).
S ostatnými zariadeniami môžete zdieľať kľúč s maximálne 24 znakmi písmen alebo čísel. Pred špecifikáciou tejto metódy overenia aktivujte TLS pre Remote UI (Vzdialené UR) (Aktivovanie komunikácie šifrovanej pomocou TLS pre Remote UI (Vzdialené UR)).
[Metóda digitálneho podpisu]
Stroj a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Najprv generujte alebo nainštalujte pár kľúčov (Konfigurácia nastavení pre páry kľúčov a digitálne certifikáty).
Stroj a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Najprv generujte alebo nainštalujte pár kľúčov (Konfigurácia nastavení pre páry kľúčov a digitálne certifikáty).
AH/ESP
Špecifikujte nastavenia pre AH/ESP, ktoré sa pridá k paketom počas komunikácie IPSec. AH a ESP môžete použiť súčasne. Môžete tiež vybrať, či sa má aktivovať PFS pre väčšie zabezpečenie.
1
Spustite Remote UI (Vzdialené UR) a prihláste sa v režime správcu systému. Spustenie Remote UI (Vzdialené UR)
2
Kliknite na [Settings/Registration].
3
Kliknite na [Security Settings] 
[Nastavenia IPSec].
[Nastavenia IPSec].
4
Kliknite na položku [Edit...].
5
Označte začiarkavacie políčko [Use IPSec] a kliknite na [OK].
Ak chcete, aby stroj prijímal iba pakety, ktoré spĺňajú jednu z politík zabezpečenia, ktorú ste definovali v nižšie uvedených krokoch, zrušte označenie začiarkavacieho políčka [Prijať pakety bez opatrení].
6
Kliknite na položku [Register New Policy...].
7
Špecifikujte nastavenia politiky.
|
1
|
V textovom poli [Názov opatrenia] zadajte maximálne 24 znakov písmen alebo čísel pre názov, ktorý sa použije na identifikáciu politiky.
|
|
2
|
Začiarknite políčko [Aktivovať opatrenie].
 |
8
Špecifikujte nastavenia voliča.
[Lokálna adresa]
Kliknite na prepínač pre typ adresy IP stroja na aplikovanie politiky.
Kliknite na prepínač pre typ adresy IP stroja na aplikovanie politiky.
|
[Všetky adresy IP]
|
Vyberte, či sa má pre všetky pakety IP použiť IPSec.
|
|
[Adresa IPv4]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adresy IPv4 stroja.
|
|
[Adresa IPv6]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adresy IPv6 stroja.
|
[Vzdialená adresa]
Kliknite na prepínač pre typ adresy IP iných zariadení na aplikovanie politiky.
Kliknite na prepínač pre typ adresy IP iných zariadení na aplikovanie politiky.
|
[Všetky adresy IP]
|
Vyberte, či sa má pre všetky pakety IP použiť IPSec.
|
|
[All IPv4 Addresses]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adries IPv4 iných zariadení.
|
|
[All IPv6 Addresses]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adries IPv6 iných zariadení.
|
|
[Manuálne nastavenia IPv4]
|
Vyberte špecifikáciu jednej adresy IPv4 alebo rozsahu adries IPv4 na použitie IPSec. Zadajte adresu IPv4 (alebo rozsah) v textovom poli [Addresses to Set Manually].
|
|
[Manuálne nastavenia IPv6]
|
Vyberte špecifikáciu jednej adresy IPv6 alebo rozsahu adries IPv6 na použitie IPSec. Zadajte adresu IPv6 (alebo rozsah) v textovom poli [Addresses to Set Manually].
|
[Addresses to Set Manually]
Ak je pre voľbu [Manuálne nastavenia IPv4] vybrané [Manuálne nastavenia IPv6] alebo [Vzdialená adresa], zadajte adresu IP na použitie politiky. Vložením spojovníka medzi adresy môžete tiež zadať rozsah adries.
Ak je pre voľbu [Manuálne nastavenia IPv4] vybrané [Manuálne nastavenia IPv6] alebo [Vzdialená adresa], zadajte adresu IP na použitie politiky. Vložením spojovníka medzi adresy môžete tiež zadať rozsah adries.
Zadanie adries IP
|
Opis
|
Príklad
|
|
|
Zadávanie jednej adresy
|
IPv4:
Oddeľte čísla bodkami. |
192.168.0.10
|
|
IPv6:
Oddeľte znaky písmen alebo číslic pomocou dvojbodiek. |
fe80::10
|
|
|
Špecifikácia rozsahu adries
|
Medzi adresy vložte spojovník.
|
192.168.0.10-192.168.0.20
|
|
Špecifikácia rozsahu adries pomocou prefixu (iba IPv6)
|
Zadajte číslo určujúce dĺžku prefixu.
|
64
|
[Nastavenia podsiete]
Pri ručnej špecifikácii adresy IPv4 môžete vyjadriť rozsah pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
Pri ručnej špecifikácii adresy IPv4 môžete vyjadriť rozsah pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
[Prefix Length]
Ak chcete špecifikovať rozsah adries IPv6 ručne, môžete na špecifikáciu rozsahu použiť aj dĺžku prefixu. Pre dĺžku prefixu špecifikujte rozsah od 0 po 128 (príklad: „64“).
Ak chcete špecifikovať rozsah adries IPv6 ručne, môžete na špecifikáciu rozsahu použiť aj dĺžku prefixu. Pre dĺžku prefixu špecifikujte rozsah od 0 po 128 (príklad: „64“).
[Lokálny port]/[Vzdialený port]
Ak chcete vytvoriť samostatné politiky pre každý protokol, ako napríklad HTTP alebo SMTP, zadajte pre protokol vhodné číslo portu na určenie toho, či sa má použiť IPSec.
Ak chcete vytvoriť samostatné politiky pre každý protokol, ako napríklad HTTP alebo SMTP, zadajte pre protokol vhodné číslo portu na určenie toho, či sa má použiť IPSec.
IPSec sa nepoužije na nasledujúce pakety
Smyčka, Multicast a pakety vysielania
Pakety IKE (pomocou UDP na porte 500)
Pakety žiadosti suseda ICMPv6 a oznámenia suseda
9
Špecifikujte nastavenia IKE.
[Režim IKE]
Zobrazí sa režim použitý pre protokol výmeny kľúča. Stroj podporuje hlavný režim, nie agresívny režim.
Zobrazí sa režim použitý pre protokol výmeny kľúča. Stroj podporuje hlavný režim, nie agresívny režim.
[Authentication Method]
Pre spôsob použitý pri overení stroja vyberte [Metóda predzdieľaného kľúča] alebo [Metóda digitálneho podpisu]. Pred výberom [Metóda predzdieľaného kľúča] (Aktivovanie komunikácie šifrovanej pomocou TLS pre Remote UI (Vzdialené UR)) musíte aktivovať TLS pre Remote UI (Vzdialené UR). Pred výberom [Metóda digitálneho podpisu] (Konfigurácia nastavení pre páry kľúčov a digitálne certifikáty) musíte generovať alebo nainštalovať pár kľúčov.
Pre spôsob použitý pri overení stroja vyberte [Metóda predzdieľaného kľúča] alebo [Metóda digitálneho podpisu]. Pred výberom [Metóda predzdieľaného kľúča] (Aktivovanie komunikácie šifrovanej pomocou TLS pre Remote UI (Vzdialené UR)) musíte aktivovať TLS pre Remote UI (Vzdialené UR). Pred výberom [Metóda digitálneho podpisu] (Konfigurácia nastavení pre páry kľúčov a digitálne certifikáty) musíte generovať alebo nainštalovať pár kľúčov.
[Valid for]
Špecifikujte, ako dlho trvá relácia pre IKE SA (ISAKMP SA). Zadajte čas v minútach.
Špecifikujte, ako dlho trvá relácia pre IKE SA (ISAKMP SA). Zadajte čas v minútach.
[Overovanie]/[Šifrovanie]/[Skupina DH]
Vyberte z rozbaľovacieho zoznamu algoritmus. Každý algoritmus sa používa pri výmene kľúča.
Vyberte z rozbaľovacieho zoznamu algoritmus. Každý algoritmus sa používa pri výmene kľúča.
|
[Overovanie]
|
Vyberte transformačný algoritmus.
|
|
[Šifrovanie]
|
Vyberte algoritmus šifrovania.
|
|
[Skupina DH]
|
Vyberte skupinu Diffie-Hellman, ktorá určuje silu kľúča.
|
Používanie predzdieľaného kľúča na overenie
|
1
|
Kliknite na prepínač [Metóda predzdieľaného kľúča] pre položku [Authentication Method] a potom kliknite na položku [Shared Key Settings...].
|
|
2
|
Zadajte pre predzdieľaný kľúč maximálne 24 znakov písmen alebo čísel a kliknite na [OK].
 |
|
3
|
Špecifikujte nastavenia [Valid for] a [Overovanie]/[Šifrovanie]/[Skupina DH].
|
Používanie páru kľúčov a predinštalovaných certifikátov CA na overenie
|
1
|
Kliknite na prepínač [Metóda digitálneho podpisu] pre položku [Authentication Method] a potom kliknite na položku [Key and Certificate...].
|
|
2
|
Kliknite na [Register Default Key] napravo od páru kľúčov, ktorý chcete použiť.
 Zobrazenie podrobností páru kľúčov alebo certifikátu Kliknutím na príslušný textový odkaz pod [Key Name] alebo na ikonu certifikátu môžete skontrolovať podrobnosti certifikátu alebo overiť certifikát. Overovanie párov kľúčov, kľúčov podpisu zariadenia a certifikátov
|
|
3
|
Špecifikujte nastavenia [Valid for] a [Overovanie]/[Šifrovanie]/[Skupina DH].
|
10
Špecifikujte sieťové nastavenia IPSec.
[Použiť PFS]
Označte začiarkavacie políčko na aktiváciu PFS (Perfect Forward Secrecy) pre kľúče relácie IPSec. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia.
Označte začiarkavacie políčko na aktiváciu PFS (Perfect Forward Secrecy) pre kľúče relácie IPSec. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia.
[Specify by Time]/[Specify by Size]
Nastavte podmienky na ukončenie relácie pre IPSec SA. IPSec SA sa používa ako komunikačný tunel. Podľa potreby označte jedno alebo obidve začiarkavacie políčka. Ak označíte obidve začiarkavacie políčka, relácia IPSec SA sa ukončí pri splnení jednej z podmienok.
Nastavte podmienky na ukončenie relácie pre IPSec SA. IPSec SA sa používa ako komunikačný tunel. Podľa potreby označte jedno alebo obidve začiarkavacie políčka. Ak označíte obidve začiarkavacie políčka, relácia IPSec SA sa ukončí pri splnení jednej z podmienok.
|
[Specify by Time]
|
Zadajte čas v minútach na špecifikáciu dĺžky trvania relácie.
|
|
[Specify by Size]
|
Zadajte veľkosť v megabajtoch na špecifikáciu, koľko dát sa dá preniesť v relácii.
|
[Vybrať algoritmus]
Označte začiarkavacie políčko [ESP], [ESP (AES-GCM)] alebo [AH (SHA1)] v závislosti od hlavičky IPSec a použitého algoritmu. AES-GCM je algoritmus pre overenie aj šifrovanie. Ak sa vyberie [ESP], vyberte z rozbaľovacích zoznamov [Overovanie ESP] a [Šifrovanie ESP] aj algoritmy na overenie a šifrovanie.
Označte začiarkavacie políčko [ESP], [ESP (AES-GCM)] alebo [AH (SHA1)] v závislosti od hlavičky IPSec a použitého algoritmu. AES-GCM je algoritmus pre overenie aj šifrovanie. Ak sa vyberie [ESP], vyberte z rozbaľovacích zoznamov [Overovanie ESP] a [Šifrovanie ESP] aj algoritmy na overenie a šifrovanie.
|
[Overovanie ESP]
|
Na aktiváciu overenia ESP vyberte pre transformačný algoritmus voľbu [SHA1]. Vyberte [Nepoužiť], ak chcete deaktivovať overenie ESP.
|
|
[Šifrovanie ESP]
|
Vyberte algoritmus šifrovania pre ESP. Môžete vybrať [NULL], ak nechcete špecifikovať algoritmus alebo vyberte [Nepoužiť], ak chcete deaktivovať šifrovanie ESP.
|
[Režim pripojenia]
Zobrazí sa režim pripojenia IPSec. Stroj podporuje režim prenosu, v ktorom sa šifrujú sady paketov IP. Režim tunelu, v ktorom sa zapuzdrujú celé pakety IP (hlavičky a sady), nie je k dispozícii.
Zobrazí sa režim pripojenia IPSec. Stroj podporuje režim prenosu, v ktorom sa šifrujú sady paketov IP. Režim tunelu, v ktorom sa zapuzdrujú celé pakety IP (hlavičky a sady), nie je k dispozícii.
11
Kliknite na [OK].
Ak potrebujete uložiť ďalšiu politiku zabezpečenia, vráťte sa na krok 6.
12
Zoraďte poradie politík uvedených pod [Registered IPSec Policies].
Politiky sa aplikujú od najvyššej pozície po najnižšiu. Kliknite na [Up] alebo [Down] na presun politiky smerom hore alebo dole.
Úprava politiky
Kliknite na príslušný textový odkaz pod položkou [Názov opatrenia] pre obrazovku úprav.
Zmazanie politiky
Kliknite na [Delete] na pravej strane názvu politiky, ktorú chcete zmazať kliknite na [OK].
kliknite na [OK].13
Reštartujte zariadenie.
Vypnite stroj a pred jeho opätovným zapnutím počkajte aspoň 10 sekúnd.
|
|
|
Z <Ponuka> môžete aktivovať alebo deaktivovať komunikáciu IPSec. Použiť IPSec
|