IPSec-asetusten määrittäminen
Internet Protocol Security (IPSec tai IPsec) on protokolla verkossa siirrettävien tietojen salaamiseen, mukaan lukien Internet-verkot. Siinä missä TLS salaa vain tietyn sovelluksen, kuten web-selaimen tai sähköpostisovelluksen käyttämät tiedot, IPSec salaa kaikki IP-paketit tai IP-pakettivirrat ja tarjoaa näin monipuolisemman suojausjärjestelmän. Laitteen IPSec-toiminto toimii siirtotilassa, jossa IP-pakettien virrat salataan. Tämän ominaisuuden avulla laite voi ottaa yhteyden suoraan tietokoneeseen, joka on samassa VPN (Virtual Private Network) -verkossa. Tarkista järjestelmävaatimukset (
Hallintatoiminnot) ja aseta vaadittu kokoonpano tietokoneeseen ennen laitteen määrittämistä.
|
IPSec-toiminnon käyttäminen IP-osoitesuodattimen kanssa |
IPSec-asetusten määrittäminen
Ennen IPSec-protokollan käyttämistä salattuun tiedonsiirtoon sinun on tallennettava suojauskäytännöt (SP, security policies). Suojauskäytäntö toimintaohje koostuu ryhmästä asetuksia alla kuvatun mukaisesti. Määritä käytäntöjen tallentamisen jälkeen järjestys, jossa niitä käytetään.
Valitsin
Valitsin määrittää IP-pakettien ehdot, kun käytetään IPSec-tiedonsiirtoa. Valittavissa oleviin ehtoihin sisältyvät laitteen IP-osoitteet ja porttinumerot sekä laitteet joiden kanssa kommunikoidaan.
IKE
IKE määrittää IKEv1:n, jota käytetään avaimenvaihtoprotokollana. Huomaa, että ohjeet vaihtelevat valitun todennustavan mukaan.
[Esijaettu avain -menetelmä]
Tämä todennustapa käyttää yhteistä avainsanaa, esijaettua avainta, tiedonsiirtoon laitteen ja muiden laitteiden välillä. Ota TLS käyttöön etäkäyttöliittymää varten ennen tämän todennustavan määrittämistä (
TLS:n avaimen ja varmenteen määrittäminen).
[Digitaalinen allekirjoitus -menetelmä]
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Luo tai asenna avain ja varmenne etukäteen (
Avaimen ja varmenteen tallentaminen verkkotietoliikennettä varten).
AH/ESP
Määritä AH/ESP-asetukset, jotka lisätään paketteihin IPSec-tiedonsiirron aikana. AH:ta ja ESP:tä voidaan käyttää samanaikaisesti. Voit myös valita, otetaanko PFS käyttöön turvallisuuden parantamiseksi.
1
Käynnistä etäkäyttöliittymä ja kirjaudu sisään järjestelmänvalvojan tilassa.
Etäkäyttöliittymän käynnistäminen2
Napsauta [Asetukset/Tallennus] portaalisivulla.
Etäkäyttöliittymän näyttö3
Valitse [Verkkoasetukset]
[IPSec-asetukset].
4
Napsauta [Muokkaa].
5
Valitse [Käytä IPSec-muotoa] --valintaruutu ja napsauta [OK].
Jos haluat, että laite vastaanottaa vain paketteja, jotka vastaavat yhtä alla olevissa vaiheissa määritettyä suojauskäytäntöä, poista valinta valintaruudusta [Epätavallisten pakettien vastaanotto].
6
Napsauta [Tallenna uusi toimintaohje].
7
Määritä käytännön asetukset.
1 | Syötä [Toimintaohjeen nimi] -tekstiruutuun aakkosnumeerisilla merkeillä nimi, jota käytetään käytännön tunnistamiseen. |
2 | Valitse [Ota käyttöön toimintaohje] -valintaruutu. |
8
Määritä valitsimen asetukset.
[Paikallinen osoite]
Valitse valintanapilla, minkätyyppisiin laitteen IP-osoitteisiin toimintaohjetta käytetään.
[Kaikki IP-osoitteet] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin. |
[IPv4-osoite] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv4-osoitteesta. |
[IPv6-osoite] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv6-osoitteesta. |
[Etäosoite]
Valitse valintanapilla, minkätyyppisiin muiden laitteiden IP-osoitteisiin käytäntöä käytetään.
[Kaikki IP-osoitteet] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin. |
[Kaikki IPv4-osoitteet] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan muiden laitteiden IPv4-osoitteista. |
[Kaikki IPv6-osoitteet] | Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan muiden laitteiden IPv6-osoitteista. |
[IPv4:n manuaaliset asetukset] | Valitse tämä, kun haluat määrittää yksittäisen IPv4-osoitteen tai IPv4-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv4-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun. |
[IPv6:n manuaaliset asetukset] | Valitse tämä, kun haluat määrittää yksittäisen IPv6-osoitteen tai IPv6-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv6-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet] -tekstiruutuun. |
[Manuaalisesti asetettavat osoitteet]
Jos [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] on valittu kohdassa [Etäosoite], syötä IP-osoite, johon toimintaohjetta käytetään. Voit myös syöttää osoitealueen lisäämällä tavuviivan osoitteiden väliin.
IP-osoitteiden syöttäminen
| Kuvaus | Esimerkki |
Yksittäisen osoitteen syöttäminen | IPv4: Erota numerot pisteillä. | 192.168.0.10 |
IPv6: Erota aakkosnumeeriset merkit kaksoispisteellä. | fe80::10 |
Osoitealueen määrittäminen | Lisää tavuviiva osoitteiden väliin. | 192.168.0.10–192.168.0.20 |
[Aliverkon asetukset]
Kun määrität IPv4-osoitteen manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkiksi: "255.255.255.240").
[Etuliitteen pituus]
Jos haluat määrittää IPv6-osoitealueen manuaalisesti, voit myös käyttää etuliitteen pituutta alueen määrittämiseen. Määritä etuliitteen pituus väliltä 0–128.
[Paikallinen portti]/[Etäportti]
Jos haluat luoda erilliset käytännöt kullekin protokollalle, kuten HTTP tai WSD, napsauta [Yksittäisportti] ‑valintanappia ja syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
IPSec-protokollaa ei käytetä seuraaviin paketteihin
Sisäinen, monilähetys ja sarjalähetys
IKE-paketit (käyttämällä UDP:tä portissa 500)
ICMPv6 Neighbor Solicitation- ja Neighbor Advertisement -paketit
9
Määritä IKE-asetukset.
[IKE-tila]
Avaintenvaihtoprotokollalle käytetty tila näytetään. Laite tukee päätilaa, ei aggressiivista tilaa.
[Autentikointitapa]
Valitse laitteen todennustavaksi [Esijaettu avain -menetelmä] tai [Digitaalinen allekirjoitus -menetelmä]. TLS täytyy ottaa käyttöön etäkäyttöliittymää varten, ennen kuin valitaan [Esijaettu avain -menetelmä]. Avain ja varmenne täytyy luoda tai asentaa, ennen kuin valitaan [Digitaalinen allekirjoitus -menetelmä].
TLS:n avaimen ja varmenteen määrittäminen [Voimassa]
Määritä, kuinka pitkään IKE SA (ISAKMP SA) -istunto kestää. Syötä aika minuutteina.
[Autentikointi]/[Salaus]/[DH-ryhmä]
Valitse algoritmi avattavasta luettelosta. Kutakin algoritmia käytetään avainten vaihdossa.
[Autentikointi] | Valitse hash-algoritmi. |
[Salaus] | Valitse salausalgoritmi. |
[DH-ryhmä] | Valitse Diffie-Hellman-ryhmä, joka määrittää avaimen vahvuuden. |
Laitteen todentaminen käyttämällä esijaettua avainta
1 | Napsauta [Esijaettu avain -menetelmä] -valintanappia kohdassa [Autentikointitapa] ja napsauta sitten [Jaetun avaimen asetukset]. |
2 | Syötä esijaettu avain aakkosnumeerisilla merkeillä ja napsauta [OK]. |
3 | Määritä asetukset [Voimassa] ja [Autentikointi]/[Salaus]/[DH-ryhmä]. |
Laitteen todentaminen käyttämällä digitaalista allekirjoitustapaa
1 | Napsauta [Digitaalinen allekirjoitus -menetelmä] -valintanappia kohdassa [Autentikointitapa] ja napsauta sitten [Avain ja varmenne]. |
2 | Napsauta [Tallenna oletusavain] käytettävän avaimen ja varmenteen oikealla puolella. Varmenteen tietojen näyttäminen Voit tarkistaa varmenteen tiedot tai varmistaa varmenteen napsauttamalla kohdan [Avaimen nimi] alla olevaa vastaavaa tekstilinkkiä tai varmenteen kuvaketta. |
3 | Määritä asetukset [Voimassa] ja [Autentikointi]/[Salaus]/[DH-ryhmä]. |
10
Määritä IPSec-verkkoasetukset.
[Käytä PFS:ää]
Valitse tämä valintaruutu, kun haluat ottaa käyttöön PFS (Perfect Forward Secrecy) -toiminnon IPSec-istuntoavaimille. PFS:n käyttöön ottaminen parantaa turvallisuutta, mutta lisää tietoliikenteen kuormitusta. Varmista, että PFS on käytössä myös muissa laitteissa.
[Määritä ajan mukaan]/[Määritä koon mukaan]
Aseta IPSec SA:lle istunnon lopettamisen ehdot. IPSec SA:ta käytetään tiedonsiirtotunnelina. Valitse toinen tai molemmat valintaruudut tarpeen mukaan. Jos molemmat valintaruudut on valittu, IPSec SA -istunto lopetetaan, kuin toinen ehdoista täyttyy.
[Määritä ajan mukaan] | Syötä istunnon keston aika minuutteina. |
[Määritä koon mukaan] | Syötä megatavuina tietomäärä, joka voidaan siirtää istunnon aikana. |
[Valitse algoritmi]
Valitse [ESP]-, [ESP (AES-GCM)]- tai [AH (SHA1)] -valintaruutu/-ruudut IPSec-otsikon ja käytetyn algoritmin mukaan. AES-GCM on algoritmi, jota käytetään sekä todennukseen että salaukseen. Jos [ESP] on valittu, valitse myös algoritmit todennusta ja salausta varten avattavista luetteloista [ESP-autentikointi] ja [ESP-salaus].
[ESP-autentikointi] | Ota ESP-todennus käyttöön valitsemalla hash-algoritmiksi [SHA1]. Valitse [Älä käytä], jos haluat poistaa ESP-todennuksen käytöstä. |
[ESP-salaus] | Valitse ESP:n salausalgoritmi. Voit valita [TYHJÄARVO], jos et halua määrittää algoritmia, tai [Älä käytä], jos haluat poistaa ESP-salauksen käytöstä. |
[Kytkentätapa]
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
11
Napsauta [OK].
Jos haluat tallentaa lisää suojauskäytäntöjä, palaa vaiheeseen 6.
12
Järjestä kohdassa [Tallenna IPSec-toimintaohjeet] luetellut käytännöt.
Käytäntöjä käytetään ylhäältä alaspäin. Siirrä käytäntöä ylös tai alas järjestyksessä valitsemalla [Ylös] tai [Alas].
Käytännön muokkaaminen
Avaa muokkausnäyttö napsauttamalla kohdan [Toimintaohjeen nimi] alla olevaa vastaavaa tekstilinkkiä.
Käytännön poistaminen
Valitse [Poista] poistettavan käytännön nimen oikealla puolella
napsauta [OK].
13
|
Käyttöpaneelin käyttäminenVoit ottaa IPSec-tiedonsiirron käyttöön tai poistaa sen käytöstä myös Koti-näytön kohdassa <Valikko>. <Käytä IPSec-muotoa> |
LINKIT