IPSec-asetusten määrittäminen
Internet Protocol Security (IPSec tai IPsec) on protokolla verkossa siirrettävien tietojen salaamiseen, mukaan lukien Internet-verkot. Siinä missä TLS salaa vain tietyn sovelluksen, kuten verkkoselaimen tai sähköpostisovelluksen, käyttämät tiedot, IPSec salaa kaikki IP-paketit tai IP-pakettivirrat ja tarjoaa näin monipuolisemman suojausjärjestelmän. Laitteen IPSec-toiminto toimii siirtotilassa, jossa IP-pakettien virrat salataan. Tämän ominaisuuden avulla laite voi ottaa yhteyden suoraan tietokoneeseen, joka on samassa VPN (virtual private network) -verkossa. Tarkista järjestelmän vaatimukset ja aseta vaadittu kokoonpano tietokoneeseen ennen laitteen määrittämistä.
Järjestelmävaatimukset
Laitteen tukema IPSec noudattaa seuraavia: RFC2401, RFC2402, RFC2406 ja RFC4305.
|
Käyttöjärjestelmä
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Yhteystila
|
Siirtotila
|
|
|
Avaintenvaihtoprotokolla
|
IKEv1 (päätila)
|
|
|
Todennustapa
|
PSK-avain
Digitaalinen allekirjoitus
|
|
|
Hash-algoritmi
(ja avaimen pituus) |
HMAC-SHA1-96
HMAC-SHA2 (256 bittiä tai 384 bittiä)
|
|
|
Salausalgoritmi
(ja avaimen pituus) |
3DES-CBC
AES-CBC (128 bittiä, 192 bittiä tai 256 bittiä)
|
|
|
Avaimenvaihtoalgoritmi/ryhmä (ja avaimen pituus)
|
Diffie-Hellman (DH)
Ryhmä 1 (768 bittiä)
Ryhmä 2 (1024 bittiä)
Ryhmä 14 (2048 bittiä)
|
|
|
ESP
|
Hash-algoritmi
|
HMAC-SHA1-96
|
|
Salausalgoritmi
(ja avaimen pituus) |
3DES-CBC
AES-CBC (128 bittiä, 192 bittiä tai 256 bittiä)
|
|
|
Hash-algoritmi/salausalgoritmi (ja avaimen pituus)
|
AES-GCM (128 bittiä, 192 bittiä tai 256 bittiä)
|
|
|
AH
|
Hash-algoritmi
|
HMAC-SHA1-96
|
|
HUOMAUTUS
|
IPSec-toiminnon rajoituksetIPSec tukee tiedonsiirtoa yksittäislähetyksen osoitteeseen (tai yksittäiseen laitteeseen).
Laite ei voi käyttää IPSec- ja DHCPv6-toimintoja samaan aikaan.
IPSec ei ole käytettävissä verkoissa, joissa on käytössä NAT tai IP masquerade -toiminto.
IPSec-toiminnon käyttäminen IP-osoitesuodattimen kanssaIP-osoitteen suodatuskäytännöt ohittavat IPSec-käytännöt.
|
IPSec-asetusten määrittäminen
Ennen IPSec-protokollan käyttämistä salattuun tiedonsiirtoon sinun on tallennettava suojauksen toimintaohjeet (SP, security policies). Suojauksen toimintaohje koostuu ryhmästä asetuksia alla kuvatun mukaisesti. Voit rekisteröidä enintään 10 toimintaohjetta. Määritä toimintaohjeiden tallentamisen jälkeen järjestys, jossa niitä käytetään.
Valitsin
Valitsin määrittää IP-pakettien ehdot, kun käytetään IPSec-tiedonsiirtoa. Valittavissa oleviin ehtoihin sisältyvät laitteen IP-osoitteet ja porttinumerot sekä laitteet joiden kanssa kommunikoidaan.
IKE
IKE määrittää IKEv1:n, jota käytetään avaimenvaihtoprotokollana. Huomaa, että ohjeet vaihtelevat valitun todennustavan mukaan.
[Esijaettu avain -menetelmä:]
Avain, jossa on enintään 24 aakkosnumeerista merkkiä, voidaan jakaa muiden laitteiden kanssa. Ota TLS käyttöön etäkäyttöliittymässä ennen tämän todennustavan määrittämistä (TLS-salatun tiedonsiirron ottaminen käyttöön etäkäyttöliittymälle).
Avain, jossa on enintään 24 aakkosnumeerista merkkiä, voidaan jakaa muiden laitteiden kanssa. Ota TLS käyttöön etäkäyttöliittymässä ennen tämän todennustavan määrittämistä (TLS-salatun tiedonsiirron ottaminen käyttöön etäkäyttöliittymälle).
[Digitaalinen allekirjoitus -menetelmä:]
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Luo tai asenna avainpari etukäteen (Avainparien ja digitaalisten varmenteiden asetusten määrittäminen).
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Luo tai asenna avainpari etukäteen (Avainparien ja digitaalisten varmenteiden asetusten määrittäminen).
AH/ESP
Määritä AH/ESP-asetukset, jotka lisätään paketteihin IPSec-tiedonsiirron aikana. AH:ta ja ESP:tä voidaan käyttää samanaikaisesti. Voit myös valita, otatko PFS:n käyttöön turvallisuuden parantamiseksi.
1
Käynnistä Etäkäyttöliittymä ja kirjaudu sisään järjestelmänvalvojan tilassa. Etäkäyttöliittymän käynnistäminen
2
Valitse [Asetukset/Tallennus].
3
Valitse [Suojausasetukset] 
[IPSec-asetukset].
[IPSec-asetukset].
4
Valitse [Muokkaa...].
5
Valitse [Käytä IPSec-muotoa] -valintaruutu ja valitse [OK].
Jos haluat, että laite vastaanottaa vain paketteja, jotka vastaavat yhtä alla olevissa vaiheissa määritettyä suojauskäytäntöä, poista valinta valintaruudusta [Epätavallisten pakettien vastaanotto].
6
Valitse [Tallenna uusi toimintaohje...].
7
Määritä toimintaohjeen asetukset.
|
1
|
Syötä [Toimintaohjeen nimi] -kenttään enintään 24 aakkosnumeerisen merkin mittainen nimi, jota käytetään toimintaohjeen tunnistamiseen.
|
|
2
|
Valitse [Ota käyttöön toimintaohje] -valintaruutu.
 |
8
Määritä valitsimen asetukset.
[Paikallinen osoite:]
Valitse valintanapilla, minkätyyppisiin laitteen IP-osoitteisiin toimintaohjetta käytetään.
Valitse valintanapilla, minkätyyppisiin laitteen IP-osoitteisiin toimintaohjetta käytetään.
|
[Kaikki IP-osoitteet]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin.
|
|
[IPv4-osoite]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv4-osoitteesta.
|
|
[IPv6-osoite]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv6-osoitteesta.
|
[Etäosoite:]
Valitse valintanapilla, minkätyyppisiin muiden laitteiden IP-osoitteisiin toimintaohjetta käytetään.
Valitse valintanapilla, minkätyyppisiin muiden laitteiden IP-osoitteisiin toimintaohjetta käytetään.
|
[Kaikki IP-osoitteet]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin.
|
|
[Kaikki IPv4-osoitteet]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan muiden laitteiden IPv4-osoitteista.
|
|
[Kaikki IPv6-osoitteet]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan muiden laitteiden IPv6-osoitteista.
|
|
[IPv4:n manuaaliset asetukset]
|
Valitse tämä, kun haluat määrittää yksittäisen IPv4-osoitteen tai IPv4-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv4-osoite (tai osoitealue) kenttään [Manuaalisesti asetettavat osoitteet:].
|
|
[IPv6:n manuaaliset asetukset]
|
Valitse tämä, kun haluat määrittää yksittäisen IPv6-osoitteen tai IPv6-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv6-osoite (tai osoitealue) kenttään [Manuaalisesti asetettavat osoitteet:].
|
[Manuaalisesti asetettavat osoitteet:]
Jos [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] on valittu kohdassa [Etäosoite:], syötä IP-osoite, johon toimintaohjetta käytetään. Voit myös syöttää osoitealueen lisäämällä tavuviivan osoitteiden väliin.
Jos [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset] on valittu kohdassa [Etäosoite:], syötä IP-osoite, johon toimintaohjetta käytetään. Voit myös syöttää osoitealueen lisäämällä tavuviivan osoitteiden väliin.
HUOMAUTUS:
IP-osoitteiden syöttäminen
IP-osoitteiden syöttäminen
|
Selitys
|
Esimerkki
|
|
|
Yksittäisen osoitteen syöttäminen
|
IPv4:
Erota numerot pisteillä. |
192.168.0.10
|
|
IPv6:
Erota aakkosnumeeriset merkit kaksoispisteellä. |
fe80::10
|
|
|
Osoitealueen määrittäminen
|
Lisää tavuviiva osoitteiden väliin.
|
192.168.0.10-192.168.0.20
|
|
Osoitealueen määrittäminen etuliitteen avulla (vain IPv6)
|
Syötä osoite ja sitten vinoviiva ja etuliitteen pituuden ilmoittava numero.
|
fe80::1234/64
|
[Aliverkon asetukset:]
Kun määrität IPv4-osoitteen manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (Esimerkki: "255.255.255.240").
Kun määrität IPv4-osoitteen manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (Esimerkki: "255.255.255.240").
[Etuliitteen pituus:]
Kun määrität IPv6:n manuaalisesti, voit asettaa etuliitteen pituuden.
Kun määrität IPv6:n manuaalisesti, voit asettaa etuliitteen pituuden.
[Paikallinen portti:]/[Etäportti:]
Jos haluat luoda erilliset toimintaohjeet kullekin protokollalle, kuten HTTP tai SNTP, syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
Jos haluat luoda erilliset toimintaohjeet kullekin protokollalle, kuten HTTP tai SNTP, syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
TÄRKEÄÄ:
IPSec-protokollaa ei käytetä seuraaviin paketteihin
IPSec-protokollaa ei käytetä seuraaviin paketteihin
Sisäinen, monilähetys ja sarjalähetys
IKE-paketit (käyttämällä UDP-porttia 500)
ICMPv6 Neighbor Solicitation- ja Neighbor Advertisement -paketit
9
Määritä IKE-asetukset.
[IKE-tila:]
Avaintenvaihtoprotokollalle käytetty tila näytetään. Laite tukee päätilaa, ei aggressiivista tilaa.
Avaintenvaihtoprotokollalle käytetty tila näytetään. Laite tukee päätilaa, ei aggressiivista tilaa.
[Autentikointitapa:]
Valitse [Esijaettu avain -menetelmä:] tai [Digitaalinen allekirjoitus -menetelmä:] tavaksi, jota käytetään laitetta todennettaessa. Sinun on otettava TLS käyttöön etäkäyttöliittymässä ennen kuin valitset [Esijaettu avain -menetelmä:] (TLS-salatun tiedonsiirron ottaminen käyttöön etäkäyttöliittymälle). Sinun on luotava tai asennettava avainpari ennen kuin valitset [Digitaalinen allekirjoitus -menetelmä:] (Avainparien ja digitaalisten varmenteiden asetusten määrittäminen).
Valitse [Esijaettu avain -menetelmä:] tai [Digitaalinen allekirjoitus -menetelmä:] tavaksi, jota käytetään laitetta todennettaessa. Sinun on otettava TLS käyttöön etäkäyttöliittymässä ennen kuin valitset [Esijaettu avain -menetelmä:] (TLS-salatun tiedonsiirron ottaminen käyttöön etäkäyttöliittymälle). Sinun on luotava tai asennettava avainpari ennen kuin valitset [Digitaalinen allekirjoitus -menetelmä:] (Avainparien ja digitaalisten varmenteiden asetusten määrittäminen).
[Voimassa:]
Määritä, kuin pitkään IKE SA (ISAKMP SA) -istunto kestää. Syötä aika minuutteina.
Määritä, kuin pitkään IKE SA (ISAKMP SA) -istunto kestää. Syötä aika minuutteina.
[Autentikointi:]/[Salaus:]/[DH-ryhmä:]
Valitse algoritmi avattavasta luettelosta. Kutakin algoritmia käytetään avainten vaihdossa.
Valitse algoritmi avattavasta luettelosta. Kutakin algoritmia käytetään avainten vaihdossa.
|
[Autentikointi:]
|
Valitse hash-algoritmi.
|
|
[Salaus:]
|
Valitse salausalgoritmi.
|
|
[DH-ryhmä:]
|
Valitse Diffie-Hellman-ryhmä, joka määrittää avaimen vahvuuden.
|
Esijaetun avaimen käyttäminen autentikointiin
|
1
|
Valitse [Esijaettu avain -menetelmä:] -valintanappi kohdassa [Autentikointitapa:] ja valitse sitten [Jaetun avaimen asetukset...].
|
|
2
|
Syötä enintään 24 aakkosnumeerista merkkiä esijaetuksi avaimeksi ja valitse [OK].
 |
|
3
|
Määritä asetukset [Voimassa:] ja [Autentikointi:]/[Salaus:]/[DH-ryhmä:].
|
Avainparin ja valmiiksi asennettujen CA-varmenteiden käyttäminen autentikointiin
|
1
|
Valitse [Digitaalinen allekirjoitus -menetelmä:] -valintanappi kohdassa [Autentikointitapa:] ja valitse sitten [Avain ja varmenne...].
|
|
2
|
Valitse [Tallenna oletusavain] käytettävän avainparin oikealla puolella.
 HUOMAUTUS:
Avainparin tai varmenteen tietojen näyttäminen Voit tarkistaa varmenteen tiedot tai varmistaa varmenteen napsauttamalla kohdan [Avaimen nimi] alla olevaa vastaavaa tekstilinkkiä tai varmenteen kuvaketta. Avainparien ja digitaalisten varmenteiden varmistaminen
|
|
3
|
Määritä asetukset [Voimassa:] ja [Autentikointi:]/[Salaus:]/[DH-ryhmä:].
|
10
Määritä IPSec-verkkoasetukset.
[Käytä PFS:ää]
Valitse tämä valintaruutu, kun haluat ottaa käyttöön PFS (perfect forward secrecy) -toiminnon IPSec-istuntoavaimille. PFS:n käyttöön ottaminen parantaa turvallisuutta, mutta lisää tietoliikenteen kuormitusta. Varmista, että PFS on käytössä myös muissa laitteissa.
Valitse tämä valintaruutu, kun haluat ottaa käyttöön PFS (perfect forward secrecy) -toiminnon IPSec-istuntoavaimille. PFS:n käyttöön ottaminen parantaa turvallisuutta, mutta lisää tietoliikenteen kuormitusta. Varmista, että PFS on käytössä myös muissa laitteissa.
[Määritä ajan mukaan]/[Määritä koon mukaan]
Aseta IPSec SA:lle istunnon lopettamisen ehdot. IPSec SA:ta käytetään tiedonsiirtotunnelina. Valitse toinen tai molemmat valintaruudut tarpeen mukaan. Jos molemmat valintaruudut on valittu, IPSec SA-istunto lopetetaan, kuin toinen ehdoista täyttyy.
Aseta IPSec SA:lle istunnon lopettamisen ehdot. IPSec SA:ta käytetään tiedonsiirtotunnelina. Valitse toinen tai molemmat valintaruudut tarpeen mukaan. Jos molemmat valintaruudut on valittu, IPSec SA-istunto lopetetaan, kuin toinen ehdoista täyttyy.
|
[Määritä ajan mukaan]
|
Syötä istunnon keston aika minuutteina.
|
|
[Määritä koon mukaan]
|
Syötä megatavuina tietomäärä, joka voidaan siirtää istunnon aikana.
|
[Valitse algoritmi:]
Valitse [ESP]-, [ESP (AES-GCM)]- tai [AH (SHA1)] -valintaruutu/-ruudut IPSec-otsikon ja käytetyn algoritmin mukaan. AES-GCM on algoritmi, jota käytetään sekä todennukseen että salaukseen. Jos [ESP] on valittu, valitse myös algoritmit todennusta ja salausta varten avattavista luetteloista [ESP-autentikointi:] ja [ESP-salaus:].
Valitse [ESP]-, [ESP (AES-GCM)]- tai [AH (SHA1)] -valintaruutu/-ruudut IPSec-otsikon ja käytetyn algoritmin mukaan. AES-GCM on algoritmi, jota käytetään sekä todennukseen että salaukseen. Jos [ESP] on valittu, valitse myös algoritmit todennusta ja salausta varten avattavista luetteloista [ESP-autentikointi:] ja [ESP-salaus:].
|
[ESP-autentikointi:]
|
Ota ESP-todennus käyttöön valitsemalla hash-algoritmiksi [SHA1]. Valitse [Älä käytä], jos haluat poistaa ESP-todennuksen käytöstä.
|
|
[ESP-salaus:]
|
Valitse ESP:n salausalgoritmi. Voit valita [TYHJÄARVO], jos et halua määrittää algoritmia, tai [Älä käytä], jos haluat poistaa ESP-salauksen käytöstä.
|
[Kytkentätapa]
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
11
Valitse [OK].
Jos haluat tallentaa lisää suojauksen toimintaohjeita, palaa vaiheeseen 6.
12
Järjestä kohdassa [Tallenna IPSec-toimintaohjeet] luetellut toimintaohjeet.
Toimintaohjeita käytetään ylhäältä alaspäin. Siirrä toimintaohjetta ylös tai alas järjestyksessä valitsemalla [Ylös] tai [Alas].
HUOMAUTUS:
Toimintaohjeen muokkaaminen
Avaa muokkausnäyttö napsauttamalla kohdan [Toimintaohjeen nimi] alla olevaa vastaavaa tekstilinkkiä.
Toimintaohjeen muokkaaminen
Avaa muokkausnäyttö napsauttamalla kohdan [Toimintaohjeen nimi] alla olevaa vastaavaa tekstilinkkiä.
Toimintaohjeen poistaminen
Valitse [Poista] poistettavan toimintaohjeen nimen oikealla puolella valitse [OK].
valitse [OK].13
Käynnistä laite uudelleen.
Katkaise laitteen virta, odota vähintään 10 sekuntia ja kytke virta uudelleen.