Configurarea setărilor IPSec
Internet Protocol Security (IPSec sau IPsec) este o suită de protocoale pentru criptarea datelor transmise prin intermediul unei reţele, inclusiv reţele de Internet. În timp ce TLS criptează doar informaţiile folosite de o anumită aplicaţie, precum un browser Web sau o aplicaţie de e-mail, IPSec criptează toate pachetele IP sau încărcăturile de pachete IP, oferind un sistem de securitate mai versatil. Caracteristica IPSec a aparatului funcţionează în modul transport, în care pachetele IP sunt criptate. Cu această caracteristică, aparatul se poate conecta direct la un computer care se află în aceeaşi reţea privată virtuală (VPN). Setaţi configuraţia necesară pe computer înainte de a configura aparatul.
|
Utilizare IPSec cu filtrarea adresei IPSetările IPSec sunt aplicate înainte de setările de filtrare a adreselor IP în cursul recepţiei pachetului, în timp ce setările adresei IP se aplică înainte de setările IPSec în cursul transmiterii pachetului. Specificarea adreselor IP pentru regulile firewall-ului |
Înregistrarea politicilor de securitate
Ca să utilizaţi IPSec pentru o comunicare criptată, trebuie să înregistraţi politicile de securitate (SP) înainte de a activa setările IPSec (Activarea comunicării IPSec). O politică de securitate este formată din grupuri de setări descrise mai jos. Puteţi înregistra mai multe politici pe baza unei combinaţii între adresa IP şi numărul de port. După înregistrarea politicilor, specificaţi ordinea în care să fie aplicate.
Selector
Selector defineşte condiţiile pentru pachetele IP care să se aplice comunicării IPSec. Condiţiile care pot fi alese includ adrese IP şi număr de porturi ale aparatului şi ale dispozitivelor cu care să comunice.
IKE
IKE configurează IKEv1 care este folosit pentru protocolul de schimbare a cheilor. Instrucţiunile pot fi diferite în funcţie de metoda de autentificare aleasă.
[Pre-Shared Key Method]
O cheie din caractere alfanumerice poate fi partajată cu alte dispozitive. Activaţi în avans TLS pentru IU la distanţă (Utilizarea protocolului TLS pentru comunicările criptate).
O cheie din caractere alfanumerice poate fi partajată cu alte dispozitive. Activaţi în avans TLS pentru IU la distanţă (Utilizarea protocolului TLS pentru comunicările criptate).
[Digital Signature Method]
Aparatul şi alte dispozitive se autentifică reciproc verificând semnăturile digitale. Asiguraţi-vă că dispuneţi de o pereche activă de chei (Utilizarea perechilor de chei şi a certificatelor digitale emise de CA).
Aparatul şi alte dispozitive se autentifică reciproc verificând semnăturile digitale. Asiguraţi-vă că dispuneţi de o pereche activă de chei (Utilizarea perechilor de chei şi a certificatelor digitale emise de CA).
Setarea protocoalelor şi a opţiunilor
Specificaţi setările pentru ESP şi AH care sunt adăugate pachetelor în timpul comunicării IPSec. ESP şi AH nu pot fi folosite în acelaşi timp. Puteţi selecta şi dacă să activaţi sau nu PFS pentru o securitate şi mai puternică.
1
Porniţi IU la distanţă şi conectaţi-vă în modul de gestionare. Pornirea caracteristicii IU la distanţă
2
Faceţi clic pe [Settings/Registration].
3
Faceţi clic pe [Security] 
[IPSec Settings].
[IPSec Settings].
4
Faceţi clic pe [IPSec Policy List].
5
Faceţi clic pe [Register IPSec Policy].
6
Introduceţi numele unei politici în [Policy Name] şi bifaţi caseta de selecţie [Enable Policy].
[Policy Name]
Introduceţi caractere alfanumerice pentru un nume care este utilizat pentru identificarea utilizatorului.
Introduceţi caractere alfanumerice pentru un nume care este utilizat pentru identificarea utilizatorului.
[Enable Policy]
Bifaţi caseta de selectare pentru a activa politica. Debifaţi caseta când nu folosiţi politica.
Bifaţi caseta de selectare pentru a activa politica. Debifaţi caseta când nu folosiţi politica.
7
Specificaţi setările pentru selector.
[Local Address]
Selectaţi tipul de adresă IP a aparatului pentru a aplica politica din lista de mai jos.
Selectaţi tipul de adresă IP a aparatului pentru a aplica politica din lista de mai jos.
[All IP Addresses] | Selectaţi pentru a se utiliza IPSec pentru toate pachetele IP. |
[IPv4 Address] | Selectaţi pentru a se utiliza IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv4 a aparatului. |
[IPv6 Address] | Selectaţi pentru a se utiliza IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv6 a aparatului. |
[IPv4 Manual Settings] | Selectaţi pentru a se specifica o singură adresă IPv4 sau un interval de adrese IPv4 pentru a se aplica IPSec. Introduceţi adresa (sau intervalul) IPv4 în caseta text [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Selectaţi să specificaţi o singură adresă IPv6 sau un interval de adrese IPv6 pentru a aplica IPSec. Introduceţi adresa (sau intervalul) IPv6 în caseta text [Addresses to Set Manually]. |
[Addresses to Set Manually]
Dacă se selectează [IPv4 Manual Settings] sau [IPv6 Manual Settings] pentru [Local Address], introduceţi adresa IP pentru a aplica politica.
Dacă se selectează [IPv4 Manual Settings] sau [IPv6 Manual Settings] pentru [Local Address], introduceţi adresa IP pentru a aplica politica.
[Subnet Settings]
Când specificaţi adresa IPv4 manual, puteţi exprima intervalul folosind masca de subreţea. Introduceţi subnet mask folosind puncte pentru a delimita numerele (de exemplu: „255.255.255.240”).
Când specificaţi adresa IPv4 manual, puteţi exprima intervalul folosind masca de subreţea. Introduceţi subnet mask folosind puncte pentru a delimita numerele (de exemplu: „255.255.255.240”).
[Remote Address]
Selectaţi tipul de adresă IP a celorlalte dispozitive pentru a aplica politica din lista de mai jos.
Selectaţi tipul de adresă IP a celorlalte dispozitive pentru a aplica politica din lista de mai jos.
[All IP Addresses] | Selectaţi pentru a se utiliza IPSec pentru toate pachetele IP. |
[All IPv4 Address] | Selectaţi pentru a se utiliza IPSec pentru toate pachetele IP care sunt trimise către sau de la o adresă IPv4. |
[All IPv6 Address] | Selectaţi pentru a se utiliza IPSec pentru toate pachetele IP care sunt trimise către sau de la o adresă IPv6. |
[IPv4 Manual Settings] | Selectaţi pentru a se specifica o singură adresă IPv4 sau un interval de adrese IPv4 pentru a se aplica IPSec. Introduceţi adresa (sau intervalul) IPv4 în caseta text [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Selectaţi să specificaţi o singură adresă IPv6 sau un interval de adrese IPv6 pentru a aplica IPSec. Introduceţi adresa (sau intervalul) IPv6 în caseta text [Addresses to Set Manually]. |
[Addresses to Set Manually]
Dacă se selectează [IPv4 Manual Settings] sau [IPv6 Manual Settings] pentru [Remote Address], introduceţi adresa IP pentru a aplica politica.
Dacă se selectează [IPv4 Manual Settings] sau [IPv6 Manual Settings] pentru [Remote Address], introduceţi adresa IP pentru a aplica politica.
[Subnet Settings]
Când specificaţi adresa IPv4 manual, puteţi exprima intervalul folosind masca de subreţea. Introduceţi subnet mask folosind puncte pentru a delimita numerele (de exemplu: „255.255.255.240”).
Când specificaţi adresa IPv4 manual, puteţi exprima intervalul folosind masca de subreţea. Introduceţi subnet mask folosind puncte pentru a delimita numerele (de exemplu: „255.255.255.240”).
[Local Port]/[Remote Port]
Dacă doriţi să creaţi politici separate pentru fiecare protocol, precum HTTP sau SMTP, introduceţi numărul de port potrivit pentru protocol pentru a determina dacă să folosiţi sau nu IPSec.
Dacă doriţi să creaţi politici separate pentru fiecare protocol, precum HTTP sau SMTP, introduceţi numărul de port potrivit pentru protocol pentru a determina dacă să folosiţi sau nu IPSec.
IPSec nu se aplică pachetelor care au o adresă de transmisie specifică sau cu difuzare multiplă.
8
Specificaţi setările de IKE.
[IKE Mode]
Este afişat modul folosit pentru protocolul de schimbare a cheii. Selectaţi în mod curent modul principal.
Selectaţi modul agresiv atunci când adresa IP nu este fixă. Reţineţi că securitatea este mai mică în modul agresiv decât în modul principal.
[AUTH Method]
Selectaţi [Pre-Shared Key Method] sau [Digital Signature Method] pentru metoda folosită când autentificaţi aparatul.
Selectaţi [Pre-Shared Key Method] sau [Digital Signature Method] pentru metoda folosită când autentificaţi aparatul.
Când este selectat modul agresiv în [IKE Mode], setarea [Pre-Shared Key Method] nu criptează cheia partajată.
[Authentication/Encryption Algorithm]
Pentru a seta automat algoritmul folosit pentru schimbul de chei, bifaţi caseta de selecţie [Auto]. Dacă bifaţi caseta de selecţie, algoritmul este setat după cum se arată mai jos.
Pentru a seta automat algoritmul folosit pentru schimbul de chei, bifaţi caseta de selecţie [Auto]. Dacă bifaţi caseta de selecţie, algoritmul este setat după cum se arată mai jos.
[Authentication] | [SHA1 and MD5] |
[Encryption] | [3DES-CBC and AES-CBC] |
[DH Group] | [Group 2 (1024)] |
Pentru a seta manual algoritmul, debifaţi caseta de selecţie şi selectaţi algoritmul.
[Authentication] | Selectaţi algoritmul hash. |
[Encryption] | Selectaţi algoritmul de criptare. |
[DH Group] | Selectaţi grupul Diffie-Hellman, care determină cât de puternică este cheia. |
Cum se utilizează [Pre-Shared Key Method] pentru autentificare
1 | Selectaţi [Pre-Shared Key Method] pentru [AUTH Method] şi faceţi clic pe [Shared Key Settings]. |
2 | Introduceţi caractere alfanumerice pentru cheia pre-partajată şi faceţi clic pe [OK].  |
Cum se utilizează [Digital Signature Method] pentru autentificare
1 | Selectaţi [Digital Signature Method] pentru [AUTH Method] şi faceţi clic pe [Key and Certificate]. |
2 | Selectaţi perechea de chei pe care doriţi să o utilizaţi şi faceţi clic pe [Default Key Settings].  Vizualizarea detaliilor unei perechi de chei sau a unui certificat Puteţi verifica detaliile certificatului sau puteţi verifica certificatul dacă faceţi clic pe linkul text corespunzător din [Key Name] sau pe pictograma certificatului. Verificarea perechilor de chei şi a certificatelor digitale |
9
Specificaţi setările de reţea IPSec.
[Use PFS]
Bifaţi caseta de selecţie pentru a activa Perfect Forward Secrecy (PFS) pentru cheile de sesiune IPSec. Dacă activaţi PFS îmbunătăţeşte securitatea în timp ce creşte încărcarea comunicării. Asiguraţi-vă că şi celălalt dispozitiv are activat PFS. Debifaţi când nu folosiţi PFS.
[Validity]
Specificaţi intervalul de timp pentru care SA este folosit ca un tunel de comunicare. Bifaţi caseta de selecţie [Specify by Time] sau [Specify by Size] sau pe ambele, dacă este necesar. Dacă ambele căsuţe sunt selectate, sesiunea IPSec SA este terminată când oricare dintre condiţii sunt îndeplinite.
Specificaţi intervalul de timp pentru care SA este folosit ca un tunel de comunicare. Bifaţi caseta de selecţie [Specify by Time] sau [Specify by Size] sau pe ambele, dacă este necesar. Dacă ambele căsuţe sunt selectate, sesiunea IPSec SA este terminată când oricare dintre condiţii sunt îndeplinite.
[Specify by Time] | Introduceţi un interval în minute pentru a specifica cât durează o sesiune. Ora introdusă se aplică atât pentru IPSec SA, cât şi pentru IKE SA. |
[Specify by Size] | Introduceţi o dimensiune în megaocteţi pentru a specifica câte date pot fi transportate într-o sesiune. Dimensiunea introdusă se aplică doar pentru IPSec SA. |
Dacă aţi bifat doar caseta de selecţie [Specify by Size]
Valabilitatea IKE SA nu poate fi specificată după dimensiune, astfel încât se aplică valoarea iniţială (de 480 minute) a [Specify by Time].
[Authentication/Encryption Algorithm]
Selectaţi protocolul şi algoritmul care trebuie utilizate pentru comunicarea IPSec.
Selectaţi protocolul şi algoritmul care trebuie utilizate pentru comunicarea IPSec.
Configurarea automată a conexiuniiSelectaţi [Auto].
[ESP Authentication] | ESP este activat şi algoritmul de autentificare este setat la [SHA1 and MD5]. |
[ESP Encryption] | ESP este activat şi algoritmul de criptare este setat la [3DES-CBC and AES-CBC]. |
Cum se utilizează ESPAlegeţi [ESP] şi selectaţi algoritmul de autentificare şi algoritmul de criptare.
[ESP Authentication] | Selectaţi algoritmul Hash pe care urmează să-l utilizaţi pentru autentificarea ESP. |
[ESP Encryption] | Selectaţi algoritmul de criptare pentru ESP. |
Cum se utilizează AHAlegeţi [AH] şi selectaţi algoritmul Hash pe care urmează să-l utilizaţi pentru autentificarea AH din [AH Authentication].
[Connection Mode]
Se afişează modul de conectare pentru IPSec. Aparatul este compatibil cu modul transport, în care pachetele IP sunt criptate. Modul tunel, în care toate pachetele IP (header şi încărcare) sunt încapsulate nu este disponibil.
Se afişează modul de conectare pentru IPSec. Aparatul este compatibil cu modul transport, în care pachetele IP sunt criptate. Modul tunel, în care toate pachetele IP (header şi încărcare) sunt încapsulate nu este disponibil.
10
Faceţi clic pe [OK].
Dacă aveţi nevoie să înregistraţi o politică de securitate în plus, reveniţi la pasul 5.
11
Aranjaţi ordinea politicilor listate în [IPSec Policy List].
Politicile sunt aplicate de la cea aflată cel mai sus la cea aflată cel mai jos. Faceţi clic pe [Raise Priority] sau pe [Lower Priority] pentru a muta o politică în sus sau în jos în ordine.
Editarea unei politici
Puteţi face clic pe linkul de text de sub [Policy Name] pentru a edita setările.
Ştergerea unei politici
Faceţi clic pe [Delete] din partea dreaptă a numelui politicii pe care doriţi să o ştergeţi.
12
Efectuaţi o resetare a hardului.
Faceţi clic pe [Device Control], selectaţi [Hard Reset] şi apoi faceţi clic pe [Execute].
Setările se activează după ce se efectuează o resetare a hardului.
Activarea comunicării IPSec
După finalizarea înregistrării politicilor de securitate, activaţi comunicarea IPSec.
1
Porniţi IU la distanţă şi conectaţi-vă în modul de gestionare. Pornirea caracteristicii IU la distanţă
2
Faceţi clic pe [Settings/Registration].
3
Faceţi clic pe [Security] [IPSec Settings].
[IPSec Settings].4
Faceţi clic pe [Edit].
5
Bifaţi caseta de selectare [Use IPSec] şi faceţi clic pe [OK].
[Use IPSec]
Bifaţi caseta de selecţie când folosiţi IPSec pe aparat. Debifaţi caseta când nu o folosiţi.
[Allow Receive Non-Policy Packets]
Dacă bifaţi caseta de selecţie atunci când utilizaţi IPSec, sunt trimise/primite şi pachete care nu sunt disponibile pentru politicile înregistrate. Pentru a dezactiva trimiterea/primirea pachetelor care nu sunt disponibile pentru politici, debifaţi caseta de selecţie.
Dacă bifaţi caseta de selecţie atunci când utilizaţi IPSec, sunt trimise/primite şi pachete care nu sunt disponibile pentru politicile înregistrate. Pentru a dezactiva trimiterea/primirea pachetelor care nu sunt disponibile pentru politici, debifaţi caseta de selecţie.
6
Efectuaţi o resetare a hardului.
Faceţi clic pe [Device Control], selectaţi [Hard Reset] şi apoi faceţi clic pe [Execute].
Setările se activează după ce se efectuează resetarea hardului.
|
Utilizarea panoului de operareDe asemenea, puteţi activa sau dezactiva comunicarea IPSec din meniul de setare al panoului de operare. IPSec |