Konfiguracija nastavitev IPSec
Internet Protocol Security (IPSec ali IPsec) je zbirka protokolov za šifriranje podatkov, ki se prenašajo po omrežju, vključno z internetnimi omrežji. Medtem ko TLS šifrira samo podatke, uporabljene v določenem programu, na primer spletnem brskalniku ali e-poštnem odjemalcu, IPSec šifrira vse pakete ali vsebino paketov IP, zato je bolj univerzalen varnostni sistem. IPSec v napravi deluje v načinu prenosa, v katerem se vsebina paketov IP šifrira. S to funkcijo se lahko naprava poveže neposredno z računalnikom, ki je v istem navideznem zasebnem omrežju (VPN). Preden stroj konfigurirate, preverite sistemske zahteve in določite zahtevane nastavitve računalnika.
Sistemske zahteve
IPSec, ki ga podpira naprava, je v skladu z RFC2401, RFC2402, RFC2406 in RFC4305.
|
Operacijski sistem
|
Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
|
|
|
Način povezave
|
Način prenosa
|
|
|
Protokol za izmenjavo ključev
|
IKEv1 (glavni način)
|
|
|
Način overjanja
|
Souporabljeni ključ
Digitalni podpis
|
|
|
Razpršilni algoritem
(in dolžina ključa) |
HMAC-SHA1-96
HMAC-SHA2 (256 ali 384 bitov)
|
|
|
Šifrirni algoritem
(in dolžina ključa) |
3DES-CBC
AES-CBC (128, 192 ali 256 bitov)
|
|
|
Algoritem/skupina izmenjave ključev (in dolžina ključa)
|
Diffie-Hellman (DH)
Skupina 1 (768 bitov)
Skupina 2 (1024 bitov)
Skupina 14 (2048 bitov)
|
|
|
ESP
|
Razpršilni algoritem
|
HMAC-SHA1-96
|
|
Šifrirni algoritem
(in dolžina ključa) |
3DES-CBC
AES-CBC (128, 192 ali 256 bitov)
|
|
|
Razpršilni/šifrirni algoritem (in dolžina ključa)
|
AES-GCM (128, 192 ali 256 bitov)
|
|
|
AH
|
Razpršilni algoritem
|
HMAC-SHA1-96
|
 |
Omejitve funkcije IPSecIPSec podpira komunikacijo z enovrstnim naslovom (ali eno napravo).
V omrežjih z NAT ali masko IP funkcija IPSec ni na voljo.
Uporaba funkcije IPSec s filtrom naslovov IPNastavitve filtriranja naslovov IP se uveljavijo pred pravilniki IPSec.
|
Konfiguracija nastavitev IPSec
Preden uporabite IPSec za šifrirano komunikacijo, morate registrirati varnostne pravilnike (SP). Varnostni pravilnik vključuje spodaj opisane skupine nastavitev. Registrirate lahko največ 10 pravilnikov. Po registraciji pravilnikov izberite vrstni red, v katerem bodo uveljavljeni.
Izbirnik
Izbirnik določa pogoje, v katerih bodo paketi IP uporabili komunikacijo IPSec. Pogoji vključujejo naslove IP in številke vrat naprave ter naprave za komunikacijo.
IKE
IKE konfigurira protokol za izmenjavo ključev IKEv1. Upoštevajte, da so navodila lahko drugačna, odvisno od izbranega načina overjanja.
[Metoda pred-souporab. ključa]
Ključ z največ 24 črkovno-številskimi znaki lahko delite z drugimi napravami. Omogočite TLS za vmesnik Remote UI (Oddaljeni uporabniški vmesnik), preden določite ta način preverjanja pristnosti (Vklop šifrirane komunikacije TLS za Remote UI (Oddaljeni uporabniški vmesnik)).
Ključ z največ 24 črkovno-številskimi znaki lahko delite z drugimi napravami. Omogočite TLS za vmesnik Remote UI (Oddaljeni uporabniški vmesnik), preden določite ta način preverjanja pristnosti (Vklop šifrirane komunikacije TLS za Remote UI (Oddaljeni uporabniški vmesnik)).
[Metoda digitalnega podpisa]
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Prej ustvarite ali namestite par ključev (Konfiguriranje nastavitev za pare ključev in digitalna potrdila).
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Prej ustvarite ali namestite par ključev (Konfiguriranje nastavitev za pare ključev in digitalna potrdila).
AH/ESP
Določite nastavitve za AH/ESP, ki se paketom doda med komunikacijo IPSec. AH in ESP lahko uporabljate hkrati. Izberete lahko tudi, ali želite za večjo varnost omogočiti PFS.
1
Zaženite Remote UI (Oddaljeni uporabniški vmesnik) in se prijavite v načinu upravitelja sistema. Zagon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)
2
Kliknite [Settings/Registration].
3
Kliknite [Security Settings] 
[Nastavitev IPSec].
[Nastavitev IPSec].
4
Kliknite [Edit ...].
5
Potrdite polje [Use IPSec] in kliknite [OK].
Če želite, da naprava sprejema samo tiste pakete, ki ustrezajo kateremu od varnostnih pravilnikov, ki jih določite po spodnjem postopku, počistite polje [Sprejem paketov brez politike].
6
Kliknite [Register New Policy ...].
7
Določite nastavitve pravilnika.
|
1
|
V besedilno polje [Ime politike] vnesite največ 24 alfanumeričnih znakov za ime, ki se bo uporabljalo za identifikacijo pravilnika.
|
|
2
|
Potrdite polje [Omogoči politiko].
 |
8
Določite nastavitve izbirnika.
[Lokalni naslov]
Kliknite izbirni gumb pred vrsto naslova IP naprave, za katero bo veljal pravilnik.
Kliknite izbirni gumb pred vrsto naslova IP naprave, za katero bo veljal pravilnik.
|
[Vsi IP naslovi]
|
Izberite, če želite IPSec uporabiti za vse pakete IP.
|
|
[Naslov IPv4]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo z naslova IPv4 naprave ali prejmejo nanj.
|
|
[Naslov IPv6]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo z naslova IPv6 naprave ali prejmejo nanj.
|
[Oddaljeni naslov]
Kliknite izbirni gumb pred vrsto naslova IP drugih naprav, za katere bo veljal pravilnik.
Kliknite izbirni gumb pred vrsto naslova IP drugih naprav, za katere bo veljal pravilnik.
|
[Vsi IP naslovi]
|
Izberite, če želite IPSec uporabiti za vse pakete IP.
|
|
[All IPv4 Addresses]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo iz naslova IPv4 drugih naprav ali prejmejo nanj.
|
|
[All IPv6 Addresses]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo iz naslova IPv6 drugih naprav ali prejmejo nanj.
|
|
[Ročne nastavitve IPv4]
|
Izberite, če želite določiti posamezne naslove IPv4 ali razpon naslovov IPv4, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv4 v besedilno polje [Addresses to Set Manually].
|
|
[Ročne nastavitve IPv6]
|
Izberite, če želite določiti posamezne naslove IPv6 ali razpon naslovov IPv6, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv6 v besedilno polje [Addresses to Set Manually].
|
[Addresses to Set Manually]
Če je za [Oddaljeni naslov] izbrano [Ročne nastavitve IPv4] ali [Ročne nastavitve IPv6], vnesite naslov IP, da pravilnik uveljavite. Vnesete lahko tudi razpon naslovov, tako da jih ločite z vezaji.
Če je za [Oddaljeni naslov] izbrano [Ročne nastavitve IPv4] ali [Ročne nastavitve IPv6], vnesite naslov IP, da pravilnik uveljavite. Vnesete lahko tudi razpon naslovov, tako da jih ločite z vezaji.
Vnašanje naslovov IP
|
Opis
|
Primer
|
|
|
Vnos posameznega naslova
|
IPv4:
Med številke vnesite pike. |
192.168.0.10
|
|
IPv6:
Med alfanumerične znake vnesite dvopičja. |
fe80::10
|
|
|
Določanje razpona naslovov
|
Med naslove vnesite vezaje.
|
192.168.0.10-192.168.0.20
|
|
Določanje razponov naslovov s predpono (samo za IPv6)
|
Vnesite število, ki predstavlja dolžino predpone.
|
64
|
[Nastavitve maske podomrežja]
Če naslov IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
Če naslov IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
[Prefix Length]
Če želite ročno določiti obseg naslovov IPv6, lahko za določanje obsega uporabite tudi dolžino predpone. Določite obseg od 0 do 128 za dolžino predpone (npr.: »64«).
Če želite ročno določiti obseg naslovov IPv6, lahko za določanje obsega uporabite tudi dolžino predpone. Določite obseg od 0 do 128 za dolžino predpone (npr.: »64«).
[Lokalni vhod]/[Oddaljeni vhod]
Če želite ustvariti ločene pravilnike za vsak protokol, na primer HTTP ali SMTP, vnesite ustrezno številko vrat za protokol, da določite, ali se bo IPSec uporabljal.
Če želite ustvariti ločene pravilnike za vsak protokol, na primer HTTP ali SMTP, vnesite ustrezno številko vrat za protokol, da določite, ali se bo IPSec uporabljal.
IPSec ne velja za naslednje pakete
Pakete s povratno zanko, večvrstno oddajanje in oddajanje
Pakete IKE (ki uporabljajo UDP na vratih 500)
Pakete ICMPv6 za spodbujanje sosednjih odjemalcev in oglaševanje
9
Določite nastavitve za IKE.
[Način IKE]
Prikaže se uporabljeni način za protokol izmenjave ključev. Naprava podpira glavni način, agresivnega načina pa ne.
Prikaže se uporabljeni način za protokol izmenjave ključev. Naprava podpira glavni način, agresivnega načina pa ne.
[Authentication Method]
Izberite [Metoda pred-souporab. ključa] ali [Metoda digitalnega podpisa] za način, ki ga uporabljate za preverjanje pristnosti naprave. Preden izberete [Metoda pred-souporab. ključa] (Vklop šifrirane komunikacije TLS za Remote UI (Oddaljeni uporabniški vmesnik)), morate omogočiti TLS za vmesnik Remote UI (Oddaljeni uporabniški vmesnik). Preden izberete [Metoda digitalnega podpisa] (Konfiguriranje nastavitev za pare ključev in digitalna potrdila), morate ustvariti ali namestiti par ključev.
Izberite [Metoda pred-souporab. ključa] ali [Metoda digitalnega podpisa] za način, ki ga uporabljate za preverjanje pristnosti naprave. Preden izberete [Metoda pred-souporab. ključa] (Vklop šifrirane komunikacije TLS za Remote UI (Oddaljeni uporabniški vmesnik)), morate omogočiti TLS za vmesnik Remote UI (Oddaljeni uporabniški vmesnik). Preden izberete [Metoda digitalnega podpisa] (Konfiguriranje nastavitev za pare ključev in digitalna potrdila), morate ustvariti ali namestiti par ključev.
[Valid for]
Določite, kako dolga bo seja za IKE SA (ISAKMP SA). Čas vnesite v minutah.
Določite, kako dolga bo seja za IKE SA (ISAKMP SA). Čas vnesite v minutah.
[Overovitev]/[Kodiranje]/[Skupina DH]
Na spustnem seznamu izberite algoritem. Vsak algoritem se uporablja pri izmenjavi ključev.
Na spustnem seznamu izberite algoritem. Vsak algoritem se uporablja pri izmenjavi ključev.
|
[Overovitev]
|
Izberite razpršilni algoritem.
|
|
[Kodiranje]
|
Izberite algoritem kodiranja.
|
|
[Skupina DH]
|
Izberite skupino Diffie-Hellman, ki določa moč ključa.
|
Uporaba ključa v vnaprejšnji skupni rabi za overjanje
|
1
|
Kliknite izbirni gumb [Metoda pred-souporab. ključa] za [Authentication Method] in nato [Shared Key Settings ...].
|
|
2
|
Vnesite največ 24 alfanumeričnih znakov za ključ v vnaprejšnji skupni rabi in kliknite [OK].
 |
|
3
|
Določite nastavitvi [Valid for] in [Overovitev]/[Kodiranje]/[Skupina DH].
|
S parom ključev in vnaprej nameščenimi potrdili CA za overjanje
|
1
|
Kliknite izbirni gumb [Metoda digitalnega podpisa] za [Authentication Method] in nato [Key and Certificate ...].
|
|
2
|
Kliknite [Register Default Key] desno od para ključev, ki ga želite uporabiti.
 Ogled podrobnosti para ključev ali potrdila Če kliknete ustrezno besedilno povezavo pod [Key Name] ali ikono potrdila, si lahko ogledate podrobnosti potrdila ali ga preverite. Preverjanje parov ključev, ključev za podpis naprave in potrdil
|
|
3
|
Določite nastavitvi [Valid for] in [Overovitev]/[Kodiranje]/[Skupina DH].
|
10
Določite omrežne nastavitve IPSec.
[Uporabi PFS]
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave.
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave.
[Specify by Time]/[Specify by Size]
Nastavite pogoje za prekinitev seje za IPSec SA. IPSec SA se uporablja kot tunel za komunikacijo. Po želji potrdite eno ali obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
Nastavite pogoje za prekinitev seje za IPSec SA. IPSec SA se uporablja kot tunel za komunikacijo. Po želji potrdite eno ali obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
|
[Specify by Time]
|
Vnesite čas v minutah, da določite trajanje seje.
|
|
[Specify by Size]
|
Vnesite velikost v megabajtih, da določite, koliko podatkov se lahko prenese v seji.
|
[Izberite algoritem]
Potrdite polje(a) [ESP], [ESP (AES-GCM)] ali [AH (SHA1)], odvisno od glave IPSec in uporabljenega algoritma. AES-GCM je algoritem za overjanje in šifriranje. Če izberete [ESP], na spustnih seznamih [Overovitev ESP] in [Kodiranje ESP] izberite še algoritma za overjanje in šifriranje.
Potrdite polje(a) [ESP], [ESP (AES-GCM)] ali [AH (SHA1)], odvisno od glave IPSec in uporabljenega algoritma. AES-GCM je algoritem za overjanje in šifriranje. Če izberete [ESP], na spustnih seznamih [Overovitev ESP] in [Kodiranje ESP] izberite še algoritma za overjanje in šifriranje.
|
[Overovitev ESP]
|
Za vklop overjanja ESP izberite razpršilni algoritem [SHA1]. Izberite [Ne uporabi], če želite onemogočiti overjanje ESP.
|
|
[Kodiranje ESP]
|
Izberite algoritem kodiranja za ESP. Izberite [NULL], če ne želite določiti algoritma, ali pa izberite [Ne uporabi], če želite onemogočiti kodiranje ESP.
|
[Način povezave]
Prikaže se način povezave za IPSec. Naprava podpira način prenosa, v katerem se vsebina paketov IP šifrira. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
Prikaže se način povezave za IPSec. Naprava podpira način prenosa, v katerem se vsebina paketov IP šifrira. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
11
Kliknite [OK].
Če želite registrirati dodaten varnostni pravilnik, se vrnite na 6. korak.
12
Razvrstite pravilnike, navedene v [Registered IPSec Policies].
Pravilniki se uveljavijo od tistega na najvišjem položaju do najnižjega. Kliknite [Up] ali [Down], da pravilnik pomaknete višje ali nižje.
Urejanje pravilnika
Kliknite ustrezno besedilno povezavo pod [Ime politike], da odprete zaslon za urejanje.
Brisanje pravilnika
Kliknite [Delete] desno od imena pravilnika, ki ga želite izbrisati kliknite [OK].
kliknite [OK].13
Vnovič zaženite napravo.
Izklopite napravo in počakajte vsaj 10 sekund, nato jo znova vklopite.
|
|
|
Komunikacijo prek IPSec lahko omogočite ali onemogočite v razdelku <Meni>. Uporabi IPSec
|