Konfigurace nastavení IPSec
Internet Protocol Security (IPSec nebo IPsec) je sada protokolů pro šifrování dat přepravovaných prostřednictvím sítě, včetně internetových sítí. Zatímco protokol TLS šifruje pouze data používaná v konkrétní aplikaci, jako je například webový prohlížeč nebo e-mailová aplikace, protokol IPSec šifruje celé IP pakety nebo jejich datové části a poskytuje tak univerzálnější systém zabezpečení. Sada protokolů IPSec zařízení pracuje v transportním režimu, ve kterém jsou šifrovány datové části IP paketů. Zařízení se může díky této funkci připojit přímo k počítači ve stejné virtuální privátní síti (VPN). Nejprve potřebným způsobem nakonfigurujte počítač a poté také zařízení.
|
Použití protokolu IPSec s filtrem IP adresBěhem příjmu paketů se použije nastavení protokolu IPSec přednostně před natavením filtru IP adres, zatímco při vysílání paketů se použije nastavení IP adres přednostně před nastavením IPSec. Zadání IP adres pro přidání do pravidel brány firewall |
Uložení zásad zabezpečení
Chcete-li použít IPSec pro šifrovanou komunikaci, musíte si před aktivací nastavení IPSec zaregistrovat zásady zabezpečení (SP) (Povolení komunikace IPSec). Zásady zabezpečení sestávají ze skupin následujících nastavení. Můžete registrovat více zásad podle kombinace adresy IP a čísla portu. Jakmile zásady uložíte, zadejte pořadí, v jakém mají být použity.
Přepínač
Přepínač slouží k definování podmínek, za jakých mají IP pakety použít komunikaci IPSec. Volitelné podmínky zahrnují IP adresy a čísla portů zařízení a také zařízení, se kterými je možné komunikovat.
IKE
IKE nakonfiguruje verzi protokolu IKEv1, který slouží pro výměnu klíčů. Pokyny se liší v závislosti na vybrané metodě ověřování.
[Metoda předsdíleného klíče]
Klíč alfanumerických znaků lze sdílet s ostatními zařízeními. Předem povolte TLS pro Vzdálené UR (Používání TLS pro šifrovanou komunikaci).
Klíč alfanumerických znaků lze sdílet s ostatními zařízeními. Předem povolte TLS pro Vzdálené UR (Používání TLS pro šifrovanou komunikaci).
[Metoda digitálního podpisu]
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů. Připravte si pár klíčů k použití (Použití párů klíčů a digitálních certifikátů vydaných certifikační autoritou).
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů. Připravte si pár klíčů k použití (Použití párů klíčů a digitálních certifikátů vydaných certifikační autoritou).
Nastavení protokolů a možností
Zadejte nastavení pro hlavičky ESP a AH, které se přidávají do paketů během komunikace IPSec. Hlavičky AH a ESP nelze používat současně. Můžete také vybrat, zda povolit metodu PFS pro větší bezpečnost.
1
Spusťte Vzdálené uživatelské rozhraní a přihlaste se v Režimu správy. Spuštění Vzdáleného uživatelského rozhraní
2
Klikněte na [Nastavení/Uložení].
3
Klikněte na položku [Zabezpečení] 
[Nastavení IPSec].
[Nastavení IPSec].
4
Klikněte na [Seznam zásad zabezpečení IPSec].
5
Klikněte na [Uložit zásady zabezpečení IPSec].
6
Zadejte název zásad v položce [Název zásad zabezpečení] a zaškrtněte políčko [Umožnit zásady zabezpečení].
[Název zásad zabezpečení]
Zadejte alfanumerické znaky pro název, který se používá k identifikaci zásad.
Zadejte alfanumerické znaky pro název, který se používá k identifikaci zásad.
[Umožnit zásady zabezpečení]
Zaškrtnutím tohoto políčka povolíte zásady. Pokud zásady nepoužíváte, zaškrtnutí políčka zrušte.
Zaškrtnutím tohoto políčka povolíte zásady. Pokud zásady nepoužíváte, zaškrtnutí políčka zrušte.
7
Zadejte nastavení přepínače.
[Lokální adresa]
Vyberte typ IP adresy zařízení, pro které se mají zásady použít, a to z následujícího seznamu.
Vyberte typ IP adresy zařízení, pro které se mají zásady použít, a to z následujícího seznamu.
[Všechny IP adresy] | Vyberte, chcete-li pro všechny IP pakety použít IPSec. |
[Adresa IPv4] | Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adresy IPv4 přístroje nebo z ní. |
[Adresa IPv6] | Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adresy IPv6 přístroje nebo z ní. |
[Ruční nastavení IPv4] | Vyberte, chcete-li zadat jednu IPv4 adresu nebo rozsah IPv4 adres, pro které se má použít protokol IPSec. Zadejte adresu IPv4 (nebo rozsah) do textového pole [Ručně nastavované adresy]. |
[Ruční nastavení IPv6] | Vyberte, chcete-li zadat jednu IPv6 adresu nebo rozsah IPv6 adres, pro které se má použít protokol IPSec. Zadejte adresu IPv6 (nebo rozsah) do textového pole [Ručně nastavované adresy]. |
[Ručně nastavované adresy]
Je-li v části [Lokální adresa] vybrána možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6], zadejte IP adresu, pro kterou mají být zásady použity.
Je-li v části [Lokální adresa] vybrána možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6], zadejte IP adresu, pro kterou mají být zásady použity.
[Nastavení podsítě]
Pokud zadáváte adresy IPv4 ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
Pokud zadáváte adresy IPv4 ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
[Vzdálená adresa]
Vyberte typ IP adresy dalších zařízení, pro které se mají zásady použít, a to z následujícího seznamu.
Vyberte typ IP adresy dalších zařízení, pro které se mají zásady použít, a to z následujícího seznamu.
[Všechny IP adresy] | Vyberte, chcete-li pro všechny IP pakety použít IPSec. |
[Všechny IPv4 adresy] | Vyberte, chcete-li použít protokol IPSec pro všechny IP pakety, které se odesílají na určitou adresu nebo z určité adresy IPv4. |
[Všechny IPv6 adresy] | Vyberte, chcete-li použít protokol IPSec pro všechny IP pakety, které se odesílají na určitou adresu nebo z určité adresy IPv6. |
[Ruční nastavení IPv4] | Vyberte, chcete-li zadat jednu IPv4 adresu nebo rozsah IPv4 adres, pro které se má použít protokol IPSec. Zadejte adresu IPv4 (nebo rozsah) do textového pole [Ručně nastavované adresy]. |
[Ruční nastavení IPv6] | Vyberte, chcete-li zadat jednu IPv6 adresu nebo rozsah IPv6 adres, pro které se má použít protokol IPSec. Zadejte adresu IPv6 (nebo rozsah) do textového pole [Ručně nastavované adresy]. |
[Ručně nastavované adresy]
Je-li v části [Vzdálená adresa] vybrána možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6], zadejte IP adresu, pro kterou mají být zásady použity.
Je-li v části [Vzdálená adresa] vybrána možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6], zadejte IP adresu, pro kterou mají být zásady použity.
[Nastavení podsítě]
Pokud zadáváte adresy IPv4 ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
Pokud zadáváte adresy IPv4 ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
[Lokální port]/[Vzdálený port]
Pokud chcete pro jednotlivé protokoly vytvořit samostatné zásady, např. protokol HTTP nebo SMTP, zadejte příslušné číslo portu pro jednotlivé protokoly, aby bylo možné určit, pro který se má použít protokol IPSec.
Pokud chcete pro jednotlivé protokoly vytvořit samostatné zásady, např. protokol HTTP nebo SMTP, zadejte příslušné číslo portu pro jednotlivé protokoly, aby bylo možné určit, pro který se má použít protokol IPSec.
Protokol IPSec se nepoužije u paketů, které mají zadanou adresu vícesměrového nebo všesměrového vysílání.
8
Zadejte nastavení IKE.
[Režim IKE]
Zobrazí se režim, který se používá pro protokol výměny klíčů. Obvykle vyberte hlavní režim.
Pokud není IP adresa pevná, vyberte agresivní režim. Upozorňujeme, že v agresivním režimu je zabezpečení nižší než v hlavním režimu.
[Způsob OVĚŘ.]
Vyberte [Metoda předsdíleného klíče] nebo [Metoda digitálního podpisu] pro metodu, která se má použít při ověřování zařízení.
Vyberte [Metoda předsdíleného klíče] nebo [Metoda digitálního podpisu] pro metodu, která se má použít při ověřování zařízení.
Když je v položce [Režim IKE] vybrán agresivní režim, nastavení [Metoda předsdíleného klíče] nešifruje sdílený klíč.
[Algoritmus ověření/šifrování]
Chcete-li automaticky nastavit algoritmus, který se používá k výměně klíčů, zaškrtněte políčko [Auto]. Pokud toto políčko zaškrtnete, algoritmus bude nastaven níže uvedeným způsobem.
Chcete-li automaticky nastavit algoritmus, který se používá k výměně klíčů, zaškrtněte políčko [Auto]. Pokud toto políčko zaškrtnete, algoritmus bude nastaven níže uvedeným způsobem.
[Ověření] | [SHA1 a MD5] |
[Šifrování] | [3DES-CBC a AES-CBC] |
[DH Group] | [Group 2 (1024)] |
Chcete-li algoritmus nastavit ručně, zrušte zaškrtnutí políčka a vyberte požadovaný algoritmus.
[Ověření] | Vyberte hashovací algoritmus. |
[Šifrování] | Vyberte algoritmus šifrování. |
[DH Group] | Vyberte skupinu Diffie-Hellman, která určuje sílu klíče. |
Použití možnosti [Metoda předsdíleného klíče] k ověřování
1 | Vyberte možnost [Metoda předsdíleného klíče] pro [Způsob OVĚŘ.] a klikněte na [Nastavení sdíleného klíče]. |
2 | Formou alfanumerických znaků zadejte předsdílený klíč a klikněte na [OK].  |
Použití možnosti [Metoda digitálního podpisu] k ověřování
1 | Vyberte možnost [Metoda digitálního podpisu] pro [Způsob OVĚŘ.] a klikněte na [Klíč a certifikát]. |
2 | Vyberte pár klíčů, který chcete použít, a klikněte na možnost [Výchozí nastavení klíče].  Zobrazení podrobností o páru klíčů nebo certifikátu Máte možnost zkontrolovat podrobné informace o certifikátu nebo můžete certifikát ověřit kliknutím na příslušný textový odkaz pod možností [Název klíče] nebo na ikonu certifikátu. Ověření párů klíčů a digitálních certifikátů |
9
Zadejte nastavení sítě IPSec.
[Použít PFS]
Zaškrtnutím políčka povolíte metodu PFS (Perfect Forward Secrecy) pro klíče relace IPSec. Povolení metody PFS zvyšuje zabezpečení, ale zároveň zvyšuje i zatížení sítě. Ujistěte se, že je metoda PFS povolena také pro ostatní zařízení. Pokud metodu PFS nepoužíváte, zaškrtnutí políčka zrušte.
[Platnost]
Zadejte, jak dlouho se SA používá jako komunikační tunel. Podle potřeby zaškrtněte políčko [Specifikovat dle času] nebo [Specifikovat dle velikosti], případně obě. Pokud zaškrtnete obě pole, relace IPSec SA se ukončí, jakmile bude jedna z podmínek splněna.
Zadejte, jak dlouho se SA používá jako komunikační tunel. Podle potřeby zaškrtněte políčko [Specifikovat dle času] nebo [Specifikovat dle velikosti], případně obě. Pokud zaškrtnete obě pole, relace IPSec SA se ukončí, jakmile bude jedna z podmínek splněna.
[Specifikovat dle času] | Zadejte dobu trvání relace v minutách. Zadaný čas se použije jak pro IPSec SA, tak pro IKE SA. |
[Specifikovat dle velikosti] | Zadejte velikost v megabytech, která určí, jaký objem dat může být během relace přenesen. Zadaná velikost se použije pouze pro IPSec SA. |
Pokud jste zaškrtli pouze pole [Specifikovat dle velikosti]
Platnost IKE SA nelze specifikovat dle velikosti, a proto se použije počáteční hodnota (480 minut) položky [Specifikovat dle času].
[Algoritmus ověření/šifrování]
Vyberte protokol a algoritmus, které se použijí pro komunikaci IPSec.
Vyberte protokol a algoritmus, které se použijí pro komunikaci IPSec.
Automatické nastavení připojeníVyberte [Auto].
[Ověření ESP] | Protokol ESP je povolen a algoritmus ověření je nastaven na možnost [SHA1 a MD5]. |
[Šifrování ESP] | Protokol ESP je povolen a algoritmus šifrování je nastaven na možnost [3DES-CBC a AES-CBC]. |
Použití protokolu ESPZvolte možnost [ESP] a vyberte algoritmus ověření a algoritmus šifrování.
[Ověření ESP] | Vyberte hashovací algoritmus, který chcete použít pro ověření ESP. |
[Šifrování ESP] | Vyberte algoritmus šifrování pro ESP. |
Použití protokolu AHZvolte možnost [AH] a v položce [Ověření AH] vyberte hashovací algoritmus, který se použije k ověření AH.
[Režim připojení]
Zobrazí se režim připojení protokolu IPSec. Zařízení podporuje transportní režim, ve kterém jsou šifrovány datové části IP paketů. Tunelový režim, ve kterém jsou celé IP pakety (hlavičky i datové části) zapouzdřeny, není dostupný.
Zobrazí se režim připojení protokolu IPSec. Zařízení podporuje transportní režim, ve kterém jsou šifrovány datové části IP paketů. Tunelový režim, ve kterém jsou celé IP pakety (hlavičky i datové části) zapouzdřeny, není dostupný.
10
Klikněte na [OK].
Pokud potřebujete uložit další zásady zabezpečení, vraťte se ke kroku 5.
11
Uspořádejte pořadí zásad v seznamu [Seznam zásad zabezpečení IPSec].
Zásady jsou používány v pořadí od nejvyšší pozice k nejnižší. Kliknutím na [Zvýšit prioritu] nebo [Snížit prioritu] změníte pořadí zásady směrem nahoru nebo dolů.
Úprava zásad
Chcete-li upravit nastavení, klikněte na textový odkaz pod položkou [Název zásad zabezpečení].
Odstranění zásad
Klikněte na tlačítko [Smazat] nacházející se vpravo od zásad, které chcete odstranit.
12
Proveďte tvrdý reset.
Klikněte na [Ovládání zařízení], vyberte [Tvrdý reset] a potom klikněte na [Provést].
Po provedení tvrdého resetu je nastavení aktivní.
Povolení komunikace IPSec
Po dokončení uložení zásad zabezpečení povolte komunikaci IPSec.
1
Spusťte Vzdálené uživatelské rozhraní a přihlaste se v Režimu správy. Spuštění Vzdáleného uživatelského rozhraní
2
Klikněte na [Nastavení/Uložení].
3
Klikněte na položku [Zabezpečení] [Nastavení IPSec].
[Nastavení IPSec].4
Klikněte na [Editovat].
5
Zaškrtněte políčko [Použít IPSec] a klikněte na [OK].
[Použít IPSec]
Používáte-li v zařízení protokol IPSec, zaškrtněte toto políčko. Pokud jej nepoužíváte, zaškrtnutí políčka zrušte.
[Povolit přijmout pakety bez zásad zabezpečení]
Jestliže používáte protokol IPSec a toto políčko zaškrtnete, budou odesílány/přijímány také pakety, které nejsou pro uložené zásady dostupné. Chcete-li zakázat odesílání/přijímání paketů, které nejsou pro zásady dostupné, zaškrtnutí políčka zrušte.
Jestliže používáte protokol IPSec a toto políčko zaškrtnete, budou odesílány/přijímány také pakety, které nejsou pro uložené zásady dostupné. Chcete-li zakázat odesílání/přijímání paketů, které nejsou pro zásady dostupné, zaškrtnutí políčka zrušte.
6
Proveďte tvrdý reset.
Klikněte na [Ovládání zařízení], vyberte [Tvrdý reset] a potom klikněte na [Provést].
Po provedení tvrdého resetu je nastavení aktivní.
|
Použití ovládacího paneluKomunikaci IPSec lze také povolit či zakázat z nabídky nastavení na ovládacím panelu. IPSec |