Konfigurace nastavení IPSec

Internet Protocol Security (IPSec nebo IPsec) je sada protokolů pro šifrování dat přepravovaných prostřednictvím sítě, včetně internetových sítí. Zatímco protokol TLS šifruje pouze data používaná v konkrétní aplikaci, jako je například webový prohlížeč nebo e-mailová aplikace, protokol IPSec šifruje celé IP pakety nebo jejich datové části a poskytuje tak univerzálnější systém zabezpečení. Sada protokolů IPSec zařízení pracuje v transportním režimu, ve kterém jsou šifrovány datové části IP paketů. Zařízení se může díky této funkci připojit přímo k počítači ve stejné virtuální privátní síti (VPN). Zkontrolujte požadavky na systém a potřebným způsobem nakonfigurujte nejprve počítač a až poté také zařízení.

Požadavky na systém

Protokol IPSec, který je podporován zařízením, vyhovuje standardům RFC2401, RFC2402, RFC2406 a RFC4305.

Operační systém	Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
Režim připojení	Transportní režim
Protokol výměny klíčů	IKEv1 (hlavní režim)
	Metoda ověřování	Předsdílený klíč Digitální podpis
	Algoritmus hash (a délka klíče)	HMAC-SHA1-96 HMAC-SHA2 (256 bitů nebo 384 bitů)
	Algoritmus šifrování (a délka klíče)	3DES-CBC AES-CBC (128 bitů, 192 bitů nebo 256 bitů)
	Algoritmus výměny klíčů / skupina (a délka klíče)	Diffie-Hellman (DH) Skupina 1 (768 bitů) Skupina 2 (1024 bitů) Skupina 14 (2048 bitů)
ESP	Algoritmus hash	HMAC-SHA1-96
	Algoritmus šifrování (a délka klíče)	3DES-CBC AES-CBC (128 bitů, 192 bitů nebo 256 bitů)
	Algoritmus hash / algoritmus šifrování (a délka klíče)	AES-GCM (128 bitů, 192 bitů nebo 256 bitů)
AH	Algoritmus hash	HMAC-SHA1-96


Omezení funkcí IPSec IPSec podporuje komunikaci na jednosměrovou adresu (nebo jedno zařízení). Protokol IPSec není k dispozici v sítích, kde je implementován překlad adres NAT nebo maskování IP adres. Použití protokolu IPSec s filtrem IP adres Před zásadami protokolu IPSec se použijí nastavení filtru IP adres. Zadání IP adres pro přidání do pravidel brány firewall

Omezení funkcí IPSec

IPSec podporuje komunikaci na jednosměrovou adresu (nebo jedno zařízení).

Protokol IPSec není k dispozici v sítích, kde je implementován překlad adres NAT nebo maskování IP adres.

Použití protokolu IPSec s filtrem IP adres

Před zásadami protokolu IPSec se použijí nastavení filtru IP adres.

Zadání IP adres pro přidání do pravidel brány firewall

Konfigurace nastavení IPSec

Než začnete používat protokol IPSec pro šifrování komunikace, je třeba nejprve uložit zásady zabezpečení (SP). Zásady zabezpečení sestávají ze skupin následujících nastavení. Uložit lze až 10 zásad. Jakmile zásady uložíte, zadejte pořadí, v jakém mají být použity.

Přepínač

Přepínač slouží k definování podmínek, za jakých mají IP pakety použít komunikaci IPSec. Volitelné podmínky zahrnují IP adresy a čísla portů zařízení a také zařízení, se kterými je možné komunikovat.

IKE

IKE nakonfiguruje verzi protokolu IKEv1, který slouží pro výměnu klíčů. Pokyny se liší v závislosti na vybrané metodě ověřování.

[Metoda předsdíleného klíče]
S dalšími zařízeními lze sdílet klíč o délce až 24 alfanumerických znaků. Před zadáním této metody ověřování povolte funkci TLS pro Vzdálené uživatelské rozhraní (Povolení šifrované komunikace TLS pro Vzdálené uživatelské rozhraní).

[Metoda digitálního podpisu]
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů. Nejprve vygenerujte nebo nainstalujte pár klíčů (Konfigurace nastavení pro páry klíčů a digitální certifikáty).

AH/ESP

Zadejte nastavení pro hlavičky AH/ESP, které jsou přidány do paketů během komunikace IPSec. Současně lze zadat jak hlavičku AH, tak hlavičku ESP. Můžete také vybrat, zda povolit metodu PFS pro větší bezpečnost.

Spusťte Vzdálené uživatelské rozhraní a přihlaste se v Režimu správce systému. Spuštění Vzdáleného uživatelského rozhraní

Klikněte na položku [Nastavení/Uložení].

Klikněte na položku [Nastavení zabezpečení]

[Nastavení IPSec].

Klikněte na tlačítko [Editovat...].

Zaškrtněte políčko [Použít IPSec] a klikněte na tlačítko [OK].

Pokud chcete, aby zařízení přijímalo pouze pakety odpovídající jedné ze zásad zabezpečení definovaných v následujících krocích, zrušte zaškrtnutí políčka [Přijmout pakety bez zásad].

Klikněte na tlačítko [Uložit nové zásady...].

Zadejte nastavení zásad.

1	V textovém poli [Název zásad zabezpečení] zadejte jméno o délce maximálně 24 alfanumerických znaků, pomocí kterého bude možné zásadu identifikovat.
2	Zaškrtněte políčko [Umožnit zásady zabezpečení].

Zadejte nastavení přepínače.

[Lokální adresa]
Klikněte na přepínač a nastavte typ IP adresy zařízení, pro které se má zásada použít.

[Všechny adresy IP]	Vyberte, chcete-li použít IPSec pro všechny IP pakety.
[Adresa IPv4]	Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adresy IPv4 přístroje nebo z ní.
[Adresa IPv6]	Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adresy IPv6 přístroje nebo z ní.

[Vzdálená adresa]
Klikněte na přepínač a nastavte typ IP adresy dalších zařízení, pro které se má zásada použít.

[Všechny adresy IP]	Vyberte, chcete-li použít IPSec pro všechny IP pakety.
[Všechny adresy IPv4]	Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adres IPv4 ostatních zařízení nebo z nich.
[Všechny adresy IPv6]	Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adres IPv6 ostatních zařízení nebo z nich.
[Ruční nastavení IPv4]	Vyberte, chcete-li zadat jednu IPv4 adresu nebo rozsah IPv4 adres, pro které se má použít protokol IPSec. Do textového pole [Adresy k ručnímu nastavení] zadejte adresu IPv4 (nebo rozsah).
[Ruční nastavení IPv6]	Vyberte, chcete-li zadat jednu IPv6 adresu nebo rozsah IPv6 adres, pro které se má použít protokol IPSec. Do textového pole [Adresy k ručnímu nastavení] zadejte adresu IPv6 (nebo rozsah).

[Adresy k ručnímu nastavení]
Pokud je pro položku [Vzdálená adresa] vybrána možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6], zadejte IP adresu, pro kterou mají být zásady použity. Můžete také zadat rozsah adres. Jednotlivé adresy oddělujte pomlčkou.

Zadávání IP adres

	Popis	Příklad
Zadání jedné adresy	IPv4: Čísla oddělujte tečkami.	192.168.0.10
Zadání jedné adresy	IPv6: Alfanumerické znaky oddělujte dvojtečkami.	fe80::10
Zadání rozsahu adres	Mezi jednotlivé adresy vkládejte pomlčku.	192.168.0.10-192.168.0.20
Zadání rozsahu adres s předponou (pouze IPv6)	Zadejte číslo označující délku předpony.	64

[Nastavení podsítě]
Pokud zadáváte IPv4 adresu ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).

[Délka prefixu]
Chcete-li zadat rozsah adres IPv6 ručně, můžete k určení rozsahu použít také délku předpony. Pro délku předpony zadejte rozsah od 0 do 128 (příklad: „64“).

[Lokální port]/[Vzdálený port]
Pokud chcete pro jednotlivé protokoly vytvořit samostatné zásady, např. protokol HTTP nebo SMTP, zadejte příslušné číslo portu pro jednotlivé protokoly, aby bylo možné určit, pro který se má použít protokol IPSec.

Protokol IPSec se nepoužije u následujících paketů

Pakety zpětné smyčky, vícesměrového a všesměrového vysílání

Pakety IKE (využívající protokol UDP na portu 500)

Pakety oslovení souseda a inzerování souseda ICMPv6

Zadejte nastavení IKE.

[Režim IKE]
Zobrazí se režim, který je používán pro protokol výměny klíčů. Zařízení podporuje hlavní režim, nikoli agresivní režim.

[Způsob ověření]
Vyberte [Metoda předsdíleného klíče] nebo [Metoda digitálního podpisu] pro metodu, která se má použít při ověřování zařízení. Před výběrem volby [Metoda předsdíleného klíče] (Povolení šifrované komunikace TLS pro Vzdálené uživatelské rozhraní) musíte nejprve povolit TLS pro Vzdálené uživatelské rozhraní. Před výběrem volby [Metoda digitálního podpisu] (Konfigurace nastavení pro páry klíčů a digitální certifikáty) musíte vygenerovat nebo nainstalovat pár klíčů.

[Platí pro]
Zadejte délku relace pro IKE SA (ISAKMP SA). Zadejte čas v minutách.

[Ověření]/[Šifrování]/[DH Group]
V rozevíracím seznamu vyberte algoritmus. Každý z algoritmů se používá při výměně klíčů.

[Ověření]	Vyberte algoritmus hash.
[Šifrování]	Vyberte algoritmus šifrování.
[DH Group]	Vyberte skupinu Diffie-Hellman, která určuje sílu klíče.

Použití předsdíleného klíče pro ověřování

1	Kliknutím na přepínač vyberte pro položku [Metoda předsdíleného klíče] možnost [Způsob ověření] a poté klikněte na možnost [Nastavení sdíleného klíče...].
2	Zadejte předsdílený klíč o délce maximálně 24 alfanumerických znaků a klikněte na tlačítko [OK].
3	Zadejte nastavení pro [Platí pro] a [Ověření]/[Šifrování]/[DH Group].

Použití páru klíčů a předinstalovaných certifikátů CA pro ověřování

1	Kliknutím na přepínač vyberte pro položku [Metoda digitálního podpisu] možnost [Způsob ověření] a poté klikněte na možnost [Klíč a certifikát...].
2	Klikněte na tlačítko [Uložit výchozí klíč] nacházející se vpravo od páru klíčů, který chcete použít. Zobrazení podrobností o páru klíčů nebo certifikátu Máte možnost zkontrolovat podrobné informace o certifikátu nebo můžete certifikát ověřit kliknutím na příslušný textový odkaz pod položkou [Název klíče] nebo na ikonu certifikátu. Ověřování párů klíčů, klíčů podpisu zařízení a certifikátů
3	Zadejte nastavení pro [Platí pro] a [Ověření]/[Šifrování]/[DH Group].

Zadejte nastavení sítě IPSec.

[Použít PFS]
Zaškrtnutím pole povolte metodu PFS (Perfect Forward Secrecy) pro klíče relace IPSec. Povolení metody PFS zvyšuje zabezpečení, ale zároveň zvyšuje i zatížení sítě. Ujistěte se, že je metoda PFS povolena také pro ostatní zařízení.

[Zadat dle času]/[Zadat dle velikosti]
Zadejte podmínky pro ukončení relace programu IPSec SA. IPSec SA se používá jako komunikační tunel. Podle potřeby zaškrtněte jedno nebo obě tato políčka. Pokud zaškrtnete obě pole, relace IPSec SA se ukončí, jakmile bude jedna z podmínek splněna.

[Zadat dle času]	Zadejte dobu trvání relace v minutách.
[Zadat dle velikosti]	Zadejte velikost v megabytech, která určí, jaký objem dat může být během relace přenesen.

[Vybrat algoritmus]
V závislosti na hlavičce IPSec a použití algoritmu zaškrtněte políčko [ESP], [ESP (AES-GCM)] nebo [AH (SHA1)]. AES-GCM je algoritmus pro ověřování i pro šifrování. Pokud zaškrtnete políčko [ESP], vyberte ještě z rozevíracích seznamů [Ověření ESP] a [Šifrování ESP] algoritmy pro ověřování a šifrování.

[Ověření ESP]	Chcete-li povolit ověřování ESP, vyberte jako algoritmus hash možnost [SHA1]. Pokud chcete ověřování ESP zakázat, vyberte možnost [Nepoužít].
[Šifrování ESP]	Vyberte algoritmus šifrování pro ESP. Pokud algoritmus nechcete zadávat, můžete vybrat možnost [NULL], případně pokud chcete zakázat šifrování ESP, můžete vybrat možnost [Nepoužít].

[Režim připojení]
Zobrazí se režim připojení protokolu IPSec. Zařízení podporuje transportní režim, ve kterém jsou šifrovány datové části IP paketů. Tunelový režim, ve kterém jsou celé IP pakety (hlavičky i datové části) zapouzdřeny, není dostupný.

Klikněte na tlačítko [OK].

Pokud potřebujete uložit další zásady zabezpečení, vraťte se ke kroku 6.

Uspořádejte pořadí zásad v seznamu [Uložené zásady IPSec]

Zásady jsou používány v pořadí od nejvyšší pozice k nejnižší. Pomocí tlačítek [Nahoru] nebo [Dolů] měňte pořadí zásady směrem nahoru nebo dolů.

Úprava zásady
Kliknutím na příslušný textový odkaz pod položkou [Název zásad zabezpečení] zobrazíte obrazovku pro úpravy.

Smazání zásady

Klikněte na tlačítko [Smazat] nacházející se vpravo od názvu zásady, kterou chcete smazat

klikněte na tlačítko [OK].

Restartujte zařízení.

Vypněte zařízení, počkejte nejméně 10 sekund a opět jej zapněte.


Komunikaci protokolu IPSec lze povolit či zakázat z nabídky <Nabídka>. Použít IPSec

Konfigurace nastavení pro páry klíčů a digitální certifikáty

Seznam zásad zabezpečení IPSec