Konfigurieren von IPSec-Einstellungen
Internet Protocol Security (IPSec oder IPsec) ist eine Protokollsuite für die Verschlüsselung der über Netzwerke und Internet-Netzwerke übermittelten Daten. Während TLS nur Daten verschlüsselt, die in einer bestimmten Anwendung wie einem Webbrowser oder einer E-Mail-Anwendung verwendet werden, verschlüsselt IPSec ganze IP-Pakete oder die Nutzdaten von IP-Paketen und stellt somit ein flexibleres Sicherheitssystem bereit. Das IPSec-Protokoll des Geräts funktioniert im Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Dank dieser Funktion kann das Gerät direkt mit einem Computer in demselben VPN (Virtuelles Privates Netzwerk) verbunden werden. Prüfen Sie die Systemanforderungen (
Verwaltungsfunktionen), und legen Sie am Computer die erforderlichen Einstellungen fest, bevor Sie das Gerät konfigurieren.
|
Verwenden von IPSec mit IP-Adressfilterung |
Konfigurieren von IPSec-Einstellungen
Bevor Sie IPSec für die verschlüsselte Kommunikation verwenden können, müssen Sie Sicherheitsrichtlinien speichern. Eine Sicherheitsrichtlinie besteht aus Gruppen von Einstellungen (siehe die Erläuterungen unten). Geben Sie nach dem Speichern von Richtlinien an, in welcher Reihenfolge diese angewendet werden sollen.
Selektor
Der Selektor definiert die Bedingungen, unter denen für IP-Pakete die IPSec-Kommunikation verwendet wird. Zu den auswählbaren Bedingungen gehören IP-Adressen und Portnummern dieses Geräts und der Geräte, mit denen es kommunizieren soll.
IKE
IKE konfiguriert das Schlüsselaustauschprotokoll IKEv1. Beachten Sie, dass sich die Anweisungen je nach gewählter Authentisierungsmethode unterscheiden.
[Methode Pre-Shared Key]
Diese Authentisierungsmethode verwendet ein gemeinsames Schlüsselwort (Gemeinsamer Schlüssel) für die Kommunikation zwischen dem Gerät und anderen Geräten. Aktivieren Sie TLS für Remote UI, bevor Sie diese Authentisierungsmethode festlegen (
Konfigurieren des Schlüssels und des Zertifikats für TLS).
[Methode digitale Signatur]
Dieses Gerät und die anderen Geräte authentisieren einander, indem sie ihre digitalen Signaturen gegenseitig verifizieren. Generieren oder installieren Sie vorab den Schlüssel und das Zertifikat (
Registrieren des Schlüssels und des Zertifikats für die Netzwerkkommunikation).
AH/ESP
Legen Sie die Einstellungen für die AH-/ESP-Angaben fest, die während der IPSec-Kommunikation zu den Paketen hinzugefügt werden. AH und ESP können gleichzeitig verwendet werden. Sie können auch angeben, ob für eine größere Sicherheit PFS aktiviert sein soll.
1
Starten Sie Remote UI, und melden Sie sich im Systemmanager-Modus an.
Starten von Remote UI2
Klicken Sie auf der Portalseite auf [Einstellungen/Registrierung].
Remote UI-Bildschirm3
Wählen Sie [Netzwerkeinstellungen]
[IPSec-Einstellungen].
4
Klicken Sie auf [Bearbeiten].
5
Aktivieren Sie das Kontrollkästchen [IPSec verwenden], und klicken Sie auf [OK].
Wenn das Gerät nur Pakete empfangen soll, die einer der in den Schritten unten festgelegten Sicherheitsrichtlinien entsprechen, deaktivieren Sie das Kontrollkästchen [Empf. von Pak. ohne Richtlinie].
6
Klicken Sie auf [Neue Richtlinie speichern].
7
Legen Sie die Einstellungen für die Richtlinie fest.
1 | Geben Sie in das Textfeld [Name Richtlinie] alphanumerische Zeichen für den Richtliniennamen ein. |
2 | Aktivieren Sie das Kontrollkästchen [Richtlinie aktivieren]. |
8
Legen Sie die Einstellungen für den Selektor fest.
[Lokale Adresse]
Klicken Sie auf das Optionsfeld für den IP-Adresstyp dieses Geräts, auf den die Richtlinie angewendet werden soll.
[Alle IP-Adressen] | Wählen Sie diese Einstellung, wenn IPSec für alle IP-Pakete verwendet werden soll. |
[IPv4-Adresse] | Wählen Sie diese Einstellung, wenn IPSec für alle an die und von der IPv4-Adresse des Geräts gesendeten IP-Pakete verwendet werden soll. |
[IPv6-Adresse] | Wählen Sie diese Einstellung, wenn IPSec für alle an die und von der IPv6-Adresse des Geräts gesendeten IP-Pakete verwendet werden soll. |
[Remote-Adresse]
Klicken Sie auf das Optionsfeld für den IP-Adresstyp der anderen Geräte, auf den die Richtlinie angewendet werden soll.
[Alle IP-Adressen] | Wählen Sie diese Einstellung, wenn IPSec für alle IP-Pakete verwendet werden soll. |
[Alle IPv4-Adressen] | Wählen Sie diese Einstellung, wenn IPSec für alle an die und von den IPv4-Adressen der anderen Geräte gesendeten IP-Pakete verwendet werden soll. |
[Alle IPv6-Adressen] | Wählen Sie diese Einstellung, wenn IPSec für alle an die und von den IPv6-Adressen der anderen Geräte gesendeten IP-Pakete verwendet werden soll. |
[Manuelle Einstellungen IPv4] | Wählen Sie diese Einstellung, wenn Sie eine IPv4-Adresse oder einen Bereich von IPv4-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv4-Adresse (oder den Bereich) in das Textfeld [Adressen, die manuell eingestellt werden] ein. |
[Manuelle Einstellungen IPv6] | Wählen Sie diese Einstellung, wenn Sie eine IPv6-Adresse oder einen Bereich von IPv6-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv6-Adresse (oder den Bereich) in das Textfeld [Adressen, die manuell eingestellt werden] ein. |
[Adressen, die manuell eingestellt werden]
Wenn Sie für [Remote-Adresse] die Einstellung [Manuelle Einstellungen IPv4] oder [Manuelle Einstellungen IPv6] gewählt haben, geben Sie die IP-Adresse ein, auf die die Richtlinie angewendet werden soll. Sie können auch einen Adressbereich eingeben, indem Sie zwischen den Adressen einen Bindestrich einfügen.
Eingeben von IP-Adressen
| Beschreibung | Beispiel |
Eingeben einer Adresse | IPv4: Verwenden Sie Punkte als Trennzeichen für die Zahlen. | 192.168.0.10 |
IPv6: Verwenden Sie Doppelpunkte als Trennzeichen für die alphanumerischen Zeichen. | fe80::10 |
Angeben eines Adressbereichs | Fügen Sie zwischen den Adressen einen Bindestrich ein. | 192.168.0.10-192.168.0.20 |
[Einstellungen Subnetz]
Wenn Sie manuell IPv4-Adressen festlegen, können Sie den Bereich über die Subnetmaske ausdrücken. Geben Sie die Subnetmaske mit Punkten zur Trennung der Zahlen ein (Beispiel: "255.255.255.240").
[Präfixlänge]
Bei der manuellen Angabe eines IPv6-Adressbereichs können Sie den Bereich auch mithilfe von Präfixen angeben. Geben Sie einen Bereich von 0 bis 128 als Präfixlänge ein.
[Lokaler Port]/[Remote-Port]
Wenn Sie für jedes Protokoll wie HTTP oder WSD eine eigene Richtlinie erstellen wollen, klicken Sie auf das Optionsfeld [Einzelner Port] und geben Sie die entsprechende Portnummer für das jeweilige Protokoll ein, um festzulegen, ob IPSec verwendet werden soll.
IPSec wird bei folgenden Paketen nicht angewendet
Loopback-, Multicast- und Rundsendungspakete
IKE-Pakete (mit UDP an Port 500)
Neighbor Solicitation- und Neighbor Advertisement-Pakete bei ICMPv6
9
Legen Sie die IKE-Einstellungen fest.
[IKE-Modus]
Der für das Schlüsselaustauschprotokoll verwendete Modus wird angezeigt. Das Gerät unterstützt den Hauptmodus, nicht den aggressiven Modus.
[Authentisierungsmethode]
Wählen Sie [Methode Pre-Shared Key] oder [Methode digitale Signatur] als Methode für die Authentisierung des Geräts. Sie müssen TLS für Remote UI aktivieren, bevor Sie [Methode Pre-Shared Key] auswählen. Sie müssen den Schlüssel und das Zertifikat generieren oder installieren, bevor Sie [Methode digitale Signatur] auswählen (
Konfigurieren des Schlüssels und des Zertifikats für TLS).
[Gültig für]
Legen Sie fest, wie lange eine IKE-SA-Sitzung (ISAKMP-SA) dauert. Geben Sie die Dauer in Minuten ein.
[Authentisierung]/[Verschlüss.]/[DH-Gruppe]
Wählen Sie aus der Dropdown-Liste einen Algorithmus aus. Die einzelnen Algorithmen werden beim Schlüsselaustausch verwendet.
[Authentisierung] | Wählen Sie den Hash-Algorithmus. |
[Verschlüss.] | Wählen Sie den Verschlüsselungsalgorithmus. |
[DH-Gruppe] | Wählen Sie die Diffie-Hellman-Gruppe, und legen Sie damit die Schlüsselstärke fest. |
Authentisieren eines Geräts mithilfe eines Pre-Shared-Key
1 | Klicken Sie für [Authentisierungsmethode] auf das Optionsfeld [Methode Pre-Shared Key], und klicken Sie dann auf [Einstellungen Gemeinsamer Schlüssel]. |
2 | Geben Sie alphanumerische Zeichen für den Pre-Shared-Key ein, und klicken Sie auf [OK]. |
3 | Legen Sie die Einstellungen für [Gültig für] und [Authentisierung]/[Verschlüss.]/[DH-Gruppe] fest. |
Authentisieren eines Geräts mithilfe der digitalen Signaturmethode
1 | Klicken Sie für [Authentisierungsmethode] auf das Optionsfeld [Methode digitale Signatur], und klicken Sie dann auf [Schlüssel und Zertifikat]. |
2 | Klicken Sie rechts neben dem zu verwendenden Schlüssel und Zertifikat auf [Standardschlüssel registrieren]. Anzeigen von Details zu Zertifikaten Sie können die Details zu dem Zertifikat anzeigen oder das Zertifikat verifizieren, indem Sie unter [Schlüsselname] auf den entsprechenden Textlink oder auf das Zertifikatsymbol klicken. |
3 | Legen Sie die Einstellungen für [Gültig für] und [Authentisierung]/[Verschlüss.]/[DH-Gruppe] fest. |
10
Legen Sie die IPSec-Netzwerkeinstellungen fest.
[PFS verwenden]
Aktivieren Sie das Kontrollkästchen, um PFS (Perfect Forward Secrecy) für IPSec-Sitzungsschlüssel zu aktivieren. Die Aktivierung von PFS verbessert die Sicherheit, erhöht jedoch auch den Kommunikationsaufwand. Vergewissern Sie sich, dass PFS auch für die anderen Geräte aktiviert ist.
[Durch Zeit definieren]/[Durch Format definieren]
Legen Sie die Bedingungen für die Beendigung einer IPSec-SA-Sitzung fest. IPSec-SA wird als Kommunikationstunnel verwendet. Aktivieren Sie nach Bedarf eines oder beide Kontrollkästchen. Wenn Sie beide Kontrollkästchen aktivieren, wird die IPSec-SA-Sitzung beendet, sobald eine der beiden Bedingungen erfüllt ist.
[Durch Zeit definieren] | Geben Sie in Minuten ein, wie lange eine Sitzung dauert. |
[Durch Format definieren] | Geben Sie in MB ein, wie viele Daten während einer Sitzung übertragen werden können. |
[Algorithmus wählen]
Aktivieren Sie je nach dem verwendeten IPSec-Header und Algorithmus die Kontrollkästchen [ESP], [ESP (AES-GCM)] und [AH (SHA1)]. AES-GCM ist ein Algorithmus für Authentisierung und Verschlüsselung. Wenn Sie [ESP] wählen, wählen Sie zusätzlich die Algorithmen für Authentisierung und Verschlüsselung aus den Dropdown-Listen [ESP-Authentisierung] und [ESP-Verschlüss.] aus.
[ESP-Authentisierung] | Wenn Sie die ESP-Authentisierung aktivieren wollen, wählen Sie [SHA1] als Hash-Algorithmus. Wählen Sie [Nicht verwenden], um die ESP-Authentisierung zu deaktivieren. |
[ESP-Verschlüss.] | Wählen Sie den Verschlüsselungsalgorithmus für ESP. Sie können [NULL] wählen, wenn Sie den Algorithmus nicht festlegen möchten, oder [Nicht verwenden], wenn Sie die ESP-Verschlüsselung deaktivieren möchten. |
[Anschlussmodus]
Der IPSec-Verbindungsmodus wird angezeigt. Das Gerät unterstützt den Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Der Tunnelmodus, bei dem ganze IP-Pakete (Header und Nutzdaten) verschlüsselt werden, steht nicht zur Verfügung.
11
Klicken Sie auf [OK].
Wenn Sie eine weitere Sicherheitsrichtlinie speichern müssen, fangen Sie wieder mit Schritt 6 an.
12
Legen Sie die Reihenfolge der unter [Gespeicherte IPSec-Richtlinien] aufgelisteten Richtlinien fest.
Die Richtlinien werden angefangen mit der ganz oben aufgeführten Richtlinie angewendet. Klicken Sie auf [Nach oben] oder [Nach unten], um eine Richtlinie in der Reihenfolge nach oben oder unten zu verschieben.
Bearbeiten einer Richtlinie
Klicken Sie auf den entsprechenden Textlink unter [Name Richtlinie], um den Bearbeitungsbildschirm anzuzeigen.
Löschen von Richtlinien
Klicken Sie rechts neben dem Namen der zu löschenden Richtlinie auf [Löschen]
klicken Sie auf [OK].
13
Starten Sie das Gerät neu.
Neustart des Geräts |
Verwenden des BedienfeldsSie können die IPSec-Kommunikation auch über <Menü> auf dem Bildschirm Startseite aktivieren oder deaktivieren. <IPSec verwenden> |
LINKS