„IPSec“ parametrų konfigūravimas
Interneto saugos protokolai („IPSec“ arba „IPsec“) – tai protokolų paketas per tinklą, įskaitant interneto tinklus, perduodamiems duomenims šifruoti. TLS šifruoja tiktai konkrečioje programoje, pvz., interneto naršyklėje ar el. pašto programoje, naudojamus duomenis, o „IPSec“ šifruoja visus IP paketus arba IP paketų mokomąją krovą ir teikia lankstesnę saugos sistemą. Aparato „IPSec“ veikia transportavimo režimu, kuriuo šifruojama IP paketų mokomoji apkrova. Naudojant šią funkciją, aparatas gali tiesiogiai jungtis prie kompiuterio, esančio tame pačiame virtualiajame privačiame tinkle (VPN). Prieš konfigūruodami aparatą patikrinkite sistemos reikalavimus ir nustatykite reikiamą kompiuterio konfigūraciją.
Sistemos reikalavimai
Aparato palaikomas „IPSec“ atitinka RFC2401, RFC2402, RFC2406 ir RFC4305.
|
Operacinė sistema
|
„Windows XP“ / „Windows Vista“ / „Windows 7“/ „Windows 8“ / „Windows 8.1“ / „Windows Server 2003“ / „Windows Server 2008“ / „Windows Server 2012“
|
|
|
Ryšio režimas
|
Transportavimo režimas
|
|
|
Raktų mainų protokolas
|
IKEv1 (pagrindinis režimas)
|
|
|
Autentifikavimo metodas
|
Iš anksto bendrinamas raktas
Skaitmeninis parašas
|
|
|
Maišos algoritmas
(ir rakto ilgis) |
HMAC-SHA1-96
HMAC-SHA2 (256 arba 384 bitai)
|
|
|
Šifravimo algoritmas
(ir rakto ilgis) |
3DES-CBC
AES-CBC (128 bitai, 192 bitai arba 256 bitai)
|
|
|
Raktų mainų algoritmas / grupė (ir rakto ilgis)
|
Diffie-Hellman (DH)
1 grupė (768 bitai)
2 grupė (1024 bitai)
14 grupė (2 048 bitai)
|
|
|
ESP
|
Maišos algoritmas
|
HMAC-SHA1-96
|
|
Šifravimo algoritmas
(ir rakto ilgis) |
3DES-CBC
AES-CBC (128 bitai, 192 bitai arba 256 bitai)
|
|
|
Maišos / šifravimo algoritmas (ir rakto ilgis)
|
AES-GCM (128 bitai, 192 bitai arba 256 bitai)
|
|
|
AH
|
Maišos algoritmas
|
HMAC-SHA1-96
|
 |
„IPSec“ funkciniai apribojimai„IPSec“ palaiko vienadresio perdavimo ryšį (arba vieną įrenginį).
„IPSec“ negalimas tinkluose, kuriuose naudojami NAT arba IP šablonai.
„IPSec“ naudojimas su IP adreso filtruIP adresų filtro parametrai taikomi prieš „IPSec“ politiką.
|
„IPSec“ parametrų konfigūravimas
Prieš naudojant „IPSec“ šifruotiems ryšiams, turite užregistruoti saugos politiką (SP). Saugos politika susideda iš toliau aprašytų parametrų grupių. Galima užregistruoti iki 10 politikų. Užregistravę politikas, nurodykite eilės tvarką, kuria jos bus taikomos.
Išrinkiklis
Išrinkiklis apibrėžia IP paketų sąlygas taikyti „IPSec“ ryšį. Pasirenkamos sąlygos apima IP adresus ir aparato bei įrenginių, su kuriais užmezgamas ryšys, prievadų numerius.
IKE
IKE konfigūruoja „IKEv1“, kuris naudojamas raktų mainų protokolui. Įsidėmėkite, kad nurodymai skiriasi, atsižvelgiant į pasirinktą autentifikavimo metodą.
[Nustatyto bendr. rakto metodas]
Su kitais įrenginiais galima bendrai naudoti ne daugiau kaip 24 raidinių ir skaitinių simbolių raktą. Prieš nurodydami autentifikavimo metodą, „Remote UI“ (Nuotolinio vartotojo sąsaja) įgalinkite TLS (Priemonės „Remote UI“ (Nuotolinio vartotojo sąsaja) TLS šifruoto ryšio įgalinimas).
Su kitais įrenginiais galima bendrai naudoti ne daugiau kaip 24 raidinių ir skaitinių simbolių raktą. Prieš nurodydami autentifikavimo metodą, „Remote UI“ (Nuotolinio vartotojo sąsaja) įgalinkite TLS (Priemonės „Remote UI“ (Nuotolinio vartotojo sąsaja) TLS šifruoto ryšio įgalinimas).
[Skaitmeninio parašo metodas]
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus. Iš anksto sugeneruokite arba įdiekite raktų porą (Raktų porų ir skaitmeninių sertifikatų parametrų konfigūravimas).
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus. Iš anksto sugeneruokite arba įdiekite raktų porą (Raktų porų ir skaitmeninių sertifikatų parametrų konfigūravimas).
AH/ESP
Nurodykite AH/ESP, kuris įtraukiamas į paketus „IPSec“ ryšio metu, parametrus. AH ir ESP galima naudoti tuo pačiu metu. Be to, galite pasirinkti, ar norite įjungti PFS, kad būtų užtikrinta didesnė sauga.
1
Paleiskite priemonę „Remote UI“ (Nuotolinio vartotojo sąsaja) ir prisijunkite sistemos administratoriaus režimu. Priemonės „Remote UI“ (Nuotolinio vartotojo sąsaja) paleidimas
2
Spustelėkite [Settings/Registration].
3
Spustelėkite [Security Settings] 
[IPSec parametrai].
[IPSec parametrai].
4
Spustelėkite [Edit...].
5
Pažymėkite žymės langelį [Use IPSec] ir spustelėkite [OK].
Jei norite, kad aparatas priimtų tik paketus, atitinkančius vieną iš saugos politikų, kurias apibrėžiate atlikdami toliau nurodytus veiksmus, panaikinkite žymę žymės langelyje [Priimti politikos neat. paket.].
6
Spustelėkite [Register New Policy...].
7
Nurodykite politikos parametrus.
|
1
|
Teksto lauke [Politikos pavadinimas] įveskite iki 24 politikos identifikavimo pavadinimo raidinių ir skaitinių simbolių.
|
|
2
|
Pažymėkite žymės langelį [Įjungti politiką].
 |
8
Nurodykite išrinkiklio parametrus.
[Vietinis adresas]
Spustelėkite aparato IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
Spustelėkite aparato IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
|
[Visi IP adresai]
|
Pasirinkite „IPSec“ naudoti visiems IP paketams.
|
|
[IPv4 adresas]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į aparato IPv4 adresą arba iš jo.
|
|
[IPv6 adresas]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į aparato IPv6 adresą arba iš jo.
|
[Nuotolinis adresas]
Spustelėkite kitų įrenginių IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
Spustelėkite kitų įrenginių IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
|
[Visi IP adresai]
|
Pasirinkite „IPSec“ naudoti visiems IP paketams.
|
|
[All IPv4 Addresses]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į kitų įrenginių IPv4 adresus arba iš jų.
|
|
[All IPv6 Addresses]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į kitų įrenginių IPv6 adresus arba iš jų.
|
|
[IPv4 rankiniai parametrai]
|
Pasirinkite, kad nurodytumėte vieną IPv4 adresą arba IPv4 adresų diapazoną „IPSec“ taikyti. Įveskite IPv4 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually].
|
|
[IPv6 rankiniai parametrai]
|
Pasirinkite, kad nurodytumėte vieną IPv6 adresą arba IPv6 adresų diapazoną „IPSec“ taikyti. Įveskite IPv6 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually].
|
[Addresses to Set Manually]
Jei dalyje [Nuotolinis adresas] pasirinkta [IPv4 rankiniai parametrai] arba [IPv6 rankiniai parametrai], įveskite IP adresą politikai taikyti. Taip pat galite įvesti adresų diapazoną tarp adresų įterpę brūkšnį.
Jei dalyje [Nuotolinis adresas] pasirinkta [IPv4 rankiniai parametrai] arba [IPv6 rankiniai parametrai], įveskite IP adresą politikai taikyti. Taip pat galite įvesti adresų diapazoną tarp adresų įterpę brūkšnį.
IP adresų įvedimas
|
Aprašymas
|
Pavyzdys
|
|
|
Vieno adreso įvedimas
|
IPv4:
Skaičius atskirti taškais. |
192.168.0.10
|
|
IPv6:
Raidinius ir skaitinius simbolius atskirti dvitaškiais. |
fe80::10
|
|
|
Adresų diapazono nurodymas
|
Tarp adresų įterpkite brūkšnį.
|
192.168.0.10-192.168.0.20
|
|
Adresų diapazono nurodymas su prefiksu (tik IPv6)
|
Įveskite prefikso ilgį nurodantį skaičių.
|
64
|
[Potinklio parametrai]
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, „255.255.255.240“).
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, „255.255.255.240“).
[Prefix Length]
Norėdami patys nurodyti IPv6 adresų diapazoną, taip pat galite naudoti prefikso ilgio parametrą. Nurodykite prefikso ilgio diapazoną nuo 0 iki 128 (pvz.: „64“).
Norėdami patys nurodyti IPv6 adresų diapazoną, taip pat galite naudoti prefikso ilgio parametrą. Nurodykite prefikso ilgio diapazoną nuo 0 iki 128 (pvz.: „64“).
[Vietinis prievadas]/[Nuotolinis prievadas]
Jei kiekvienam protokolui, pvz., HTTP arba SMTP, norite sukurti skirtingą politiką, įveskite atitinkamą protokolo prievado numerį, kad nustatytumėte, ar naudoti „IPSec“.
Jei kiekvienam protokolui, pvz., HTTP arba SMTP, norite sukurti skirtingą politiką, įveskite atitinkamą protokolo prievado numerį, kad nustatytumėte, ar naudoti „IPSec“.
„IPSec“ netaikoma šiems paketams
Kilpinės jungties, sudėtiniams ir platinimo paketams
IKE paketams (naudojant UDP prievade 500)
ICMPv6 kaimyno prašymo ir kaimyno reklamos paketams
9
Nurodykite IKE parametrus.
[IKE režimas]
Rodomas raktų mainų protokolui naudojamas režimas. Aparatas palaiko pagrindinį, o ne agresyvųjį režimą.
Rodomas raktų mainų protokolui naudojamas režimas. Aparatas palaiko pagrindinį, o ne agresyvųjį režimą.
[Authentication Method]
Pasirinkite autentifikuojant aparatą naudojamą metodą – [Nustatyto bendr. rakto metodas] arba [Skaitmeninio parašo metodas]. „Remote UI“ (Nuotolinio vartotojo sąsaja) turite įgalinti TLS prieš pasirinkdami [Nustatyto bendr. rakto metodas] (Priemonės „Remote UI“ (Nuotolinio vartotojo sąsaja) TLS šifruoto ryšio įgalinimas). Turite įgalinti TLS prieš pasirinkdami parinktį [Skaitmeninio parašo metodas] (Raktų porų ir skaitmeninių sertifikatų parametrų konfigūravimas).
Pasirinkite autentifikuojant aparatą naudojamą metodą – [Nustatyto bendr. rakto metodas] arba [Skaitmeninio parašo metodas]. „Remote UI“ (Nuotolinio vartotojo sąsaja) turite įgalinti TLS prieš pasirinkdami [Nustatyto bendr. rakto metodas] (Priemonės „Remote UI“ (Nuotolinio vartotojo sąsaja) TLS šifruoto ryšio įgalinimas). Turite įgalinti TLS prieš pasirinkdami parinktį [Skaitmeninio parašo metodas] (Raktų porų ir skaitmeninių sertifikatų parametrų konfigūravimas).
[Valid for]
Nurodykite, kiek ilgai truks IKE SA seansas (ISAKMP SA). Įveskite laiką minutėmis.
Nurodykite, kiek ilgai truks IKE SA seansas (ISAKMP SA). Įveskite laiką minutėmis.
[Autentifikavimas]/[Šifravimas]/[DH grupė]
Iš išplečiamojo sąrašo pasirinkite algoritmą. Kiekvienas algoritmas naudojamas raktų mainams.
Iš išplečiamojo sąrašo pasirinkite algoritmą. Kiekvienas algoritmas naudojamas raktų mainams.
|
[Autentifikavimas]
|
Pasirinkite maišos algoritmą.
|
|
[Šifravimas]
|
Pasirinkite šifravimo algoritmą.
|
|
[DH grupė]
|
Pasirinkite „Diffie-Hellman“ grupę, kuri lemia rakto sudėtingumą.
|
Iš anksto bendrinamo rakto naudojimas autentifikacijai
|
1
|
Spustelėkite [Nustatyto bendr. rakto metodas] parinkties mygtuką [Authentication Method], tada spustelėkite [Shared Key Settings...].
|
|
2
|
Įveskite iki 24 iš anksto bendrinamo rakto raidinių ir skaitinių simbolių ir spustelėkite [OK].
 |
|
3
|
Nurodykite parametrus [Valid for] ir [Autentifikavimas]/[Šifravimas]/[DH grupė].
|
Raktų poros ir iš anksto įdiegtų CA sertifikatų naudojimas autentifikacijai
|
1
|
Spustelėkite [Skaitmeninio parašo metodas] parinkties mygtuką [Authentication Method], tada spustelėkite [Key and Certificate...].
|
|
2
|
Spustelėkite [Register Default Key] į dešinę nuo norimos naudoti raktų poros.
 Raktų poros ar sertifikato informacijos peržiūra Galite peržiūrėti sertifikato informaciją arba patikrinti sertifikatą spustelėdami atitinkamą teksto nuorodą [Key Name] arba sertifikato piktogramą. Raktų porų, įrenginio parašo raktų ir sertifikatų tikrinimas
|
|
3
|
Nurodykite parametrus [Valid for] ir [Autentifikavimas]/[Šifravimas]/[DH grupė].
|
10
Nurodykite „IPSec“ tinklo parametrus.
[Naudoti PFS]
Pažymėkite šį žymės langelį, kad įjungtumėte „IPSec“ seansų raktų „Perfect Forward Secrecy“ (PFS). Įgalinus PFS pagerėja sauga ir padidėja ryšių apkrova. Įsitikinkite, kad PFS įjungta naudoti ir kituose įrenginiuose.
Pažymėkite šį žymės langelį, kad įjungtumėte „IPSec“ seansų raktų „Perfect Forward Secrecy“ (PFS). Įgalinus PFS pagerėja sauga ir padidėja ryšių apkrova. Įsitikinkite, kad PFS įjungta naudoti ir kituose įrenginiuose.
[Specify by Time]/[Specify by Size]
Nustatykite „IPSec“ SA seanso nutraukimo sąlygas. „IPSec“ SA naudojamas kaip ryšių tunelis. Pažymėkite vieną arba abu žymės langelius, kaip pageidaujate. Jei pažymėti abu žymės langeliai, „IPSec“ SA seansas nutraukiamas patenkinus kurią nors iš šių sąlygų.
Nustatykite „IPSec“ SA seanso nutraukimo sąlygas. „IPSec“ SA naudojamas kaip ryšių tunelis. Pažymėkite vieną arba abu žymės langelius, kaip pageidaujate. Jei pažymėti abu žymės langeliai, „IPSec“ SA seansas nutraukiamas patenkinus kurią nors iš šių sąlygų.
|
[Specify by Time]
|
Įveskite laiką minutėmis, kad nurodytumėte, kiek trunka seansas.
|
|
[Specify by Size]
|
Įveskite dydį megabaitais, kad nurodytumėte, kiek duomenų galima transportuoti seanse.
|
[Pasirinkti algoritmą]
Pažymėkite žymės langelį (-ius) [ESP], [ESP (AES-GCM)] arba [AH (SHA1)] atsižvelgdami į „IPSec“ antraštę ir naudojamą algoritmą. AES-GCM – tai ir autentifikavimo, ir šifravimo algoritmas. Jei pasirinkta [ESP], iš [ESP autentifikavimas] ir [ESP šifravimas] išplečiamųjų sąrašų taip pat pasirinkite autentifikavimo ir šifravimo algoritmus.
Pažymėkite žymės langelį (-ius) [ESP], [ESP (AES-GCM)] arba [AH (SHA1)] atsižvelgdami į „IPSec“ antraštę ir naudojamą algoritmą. AES-GCM – tai ir autentifikavimo, ir šifravimo algoritmas. Jei pasirinkta [ESP], iš [ESP autentifikavimas] ir [ESP šifravimas] išplečiamųjų sąrašų taip pat pasirinkite autentifikavimo ir šifravimo algoritmus.
|
[ESP autentifikavimas]
|
Jei norite įjungti ESP autentifikavimą, pasirinkite maišos algoritmo parametrą [SHA1]. Pasirinkite [Nenaudoti], jei norite išjungti ESP autentifikavimą.
|
|
[ESP šifravimas]
|
Pasirinkite ESP šifravimo algoritmą. Jei nenorite nurodyti algoritmo, galite pasirinkti [Tuščia] arba pasirinkite [Nenaudoti], jei norite išjungti ESP šifravimą.
|
[Prisijungimo režimas]
Rodomas „IPSec“ ryšio režimas. Aparatas palaiko transportavimo režimą, kuriuo šifruojama IP paketų mokomoji apkrova. Tunelio režimas, kuriuo apimami visi IP paketai (antraštės ir mokomoji apkrova), negalimas.
Rodomas „IPSec“ ryšio režimas. Aparatas palaiko transportavimo režimą, kuriuo šifruojama IP paketų mokomoji apkrova. Tunelio režimas, kuriuo apimami visi IP paketai (antraštės ir mokomoji apkrova), negalimas.
11
Spustelėkite [OK].
Jei norite užregistruoti papildomą saugos politiką, grįžkite į 6 veiksmą.
12
Išdėstykite dalyje [Registered IPSec Policies] pateiktos politikos eilės tvarką.
Politika taikoma nuo esančios aukščiausioje padėtyje iki žemiausioje. Spustelėkite [Up] arba [Down], kad perkeltumėte politiką aukštyn arba žemyn.
Politikos redagavimas
Spustelėkite atitinkamą teksto nuorodą [Politikos pavadinimas], kad pamatytumėte redagavimo ekraną.
Politikos naikinimas
Spustelėkite [Delete] į dešinę nuo norimo panaikinti politikos pavadinimo spustelėkite [OK].
spustelėkite [OK].13
Paleiskite aparatą iš naujo.
Išjunkite aparatą, palaukite bent 10 sekundžių ir vėl jį įjunkite.
|
|
|
„IPSec“ ryšį galite įjungti arba išjungti <Meniu>. Naudoti IPSec
|