„IPSec“ parametrų konfigūravimas
Interneto saugos protokolai („IPSec“ arba „IPsec“) – tai protokolų paketas per tinklą, įskaitant interneto tinklus, perduodamiems duomenims šifruoti. TLS šifruoja tiktai konkrečioje programoje, pvz., interneto naršyklėje ar el. pašto programoje, naudojamus duomenis, o „IPSec“ šifruoja visus IP paketus arba IP paketų mokomąją krovą ir teikia lankstesnę saugos sistemą. Aparato „IPSec“ veikia transportavimo režimu, kuriuo šifruojama IP paketų mokomoji apkrova. Naudojant šią funkciją, aparatas gali tiesiogiai jungtis prie kompiuterio, esančio tame pačiame virtualiajame privačiame tinkle (VPN). Prieš konfigūruodami aparatą patikrinkite sistemos reikalavimus ir nustatykite reikiamą kompiuterio konfigūraciją.
Sistemos reikalavimai
Aparato palaikomas „IPSec“ atitinka RFC2401, RFC2402, RFC2406 ir RFC4305.
|
Operacinė sistema
|
„Windows XP“ / „Windows Vista“ / „Windows 7“/ „Windows 8“ / „Windows Server 2003“ / „Windows Server 2008“ / „Windows Server 2012“
|
|
|
Ryšio režimas
|
Transportavimo režimas
|
|
|
Raktų mainų protokolas
|
IKEv1 (pagrindinis režimas)
|
|
|
Autentifikavimo metodas
|
Iš anksto bendrinamas raktas
Skaitmeninis parašas
|
|
|
Maišos algoritmas
(ir rakto ilgis) |
HMAC-SHA1-96
HMAC-SHA2 (256 arba 384 bitai)
|
|
|
Šifravimo algoritmas
(ir rakto ilgis) |
3DES-CBC
AES-CBC (128 bitai, 192 bitai arba 256 bitai)
|
|
|
Raktų mainų algoritmas / grupė (ir rakto ilgis)
|
Diffie-Hellman (DH)
1 grupė (768 bitai)
2 grupė (1024 bitai)
14 grupė (2048 bitai)
|
|
|
ESP
|
Maišos algoritmas
|
HMAC-SHA1-96
|
|
Šifravimo algoritmas
(ir rakto ilgis) |
3DES-CBC
AES-CBC (128 bitai, 192 bitai arba 256 bitai)
|
|
|
Maišos / šifravimo algoritmas (ir rakto ilgis)
|
AES-GCM (128 bitai, 192 bitai arba 256 bitai)
|
|
|
AH
|
Maišos algoritmas
|
HMAC-SHA1-96
|
|
PASTABA
|
„IPSec“ funkciniai apribojimai„IPSec“ palaiko vienadresio perdavimo ryšį (arba vieną įrenginį).
Vienu metu aparatas negali naudoti ir „IPSec“, ir „DHCPv6“.
„IPSec“ negalimas tinkluose, kuriuose naudojami NAT arba IP šablonai.
„IPSec“ naudojimas su IP adreso filtruIP adresų filtro parametrai taikomi prieš „IPSec“ politiką.
|
„IPSec“ parametrų konfigūravimas
Prieš naudojant „IPSec“ šifruotiems ryšiams, turite užregistruoti saugos politiką (SP). Saugos politika susideda iš toliau aprašytų parametrų grupių. Galima užregistruoti iki 10 politikų. Užregistravę politikas, nurodykite eilės tvarką, kuria jos bus taikomos.
Išrinkiklis
Išrinkiklis apibrėžia IP paketų sąlygas taikyti „IPSec“ ryšį. Pasirenkamos sąlygos apima IP adresus ir aparato bei įrenginių, su kuriais užmezgamas ryšys, prievadų numerius.
IKE
IKE konfigūruoja „IKEv1“, kuris naudojamas raktų mainų protokolui. Įsidėmėkite, kad nurodymai skiriasi, atsižvelgiant į pasirinktą autentifikavimo metodą.
[Pre-Shared Key Method:]
Su kitais įrenginiais galima bendrai naudoti ne daugiau kaip 24 raidinių ir skaitinių simbolių raktą. Prieš nurodydami autentifikavimo metodą, Nuotolinio vartotojo sąsajoje įgalinkite TLS („Nuotolinio vartotojo sąsajos TLS šifruoto ryšio įgalinimas“ (Nuotolinio vartotojo sąsajos TLS šifruoto ryšio įgalinimas).
Su kitais įrenginiais galima bendrai naudoti ne daugiau kaip 24 raidinių ir skaitinių simbolių raktą. Prieš nurodydami autentifikavimo metodą, Nuotolinio vartotojo sąsajoje įgalinkite TLS („Nuotolinio vartotojo sąsajos TLS šifruoto ryšio įgalinimas“ (Nuotolinio vartotojo sąsajos TLS šifruoto ryšio įgalinimas).
[Digital Signature Method:]
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus. Iš anksto sugeneruokite arba įdiekite raktų porą (Raktų porų ir skaitmeninių sertifikatų parametrų konfigūravimas).
Šis aparatas ir kiti įrenginiai vienas kitą autentifikuoja tikrindami vienas kito skaitmeninius parašus. Iš anksto sugeneruokite arba įdiekite raktų porą (Raktų porų ir skaitmeninių sertifikatų parametrų konfigūravimas).
AH/ESP
Nurodykite AH/ESP, kuris įtraukiamas į paketus „IPSec“ ryšio metu, parametrus. AH ir ESP galima naudoti tuo pačiu metu. Be to, galite pasirinkti, ar norite įjungti PFS, kad būtų užtikrinta didesnė sauga.
1
Paleiskite priemonę „Remote UI“ (Nuotolinio vartotojo sąsaja) ir prisijunkite sistemos administratoriaus režimu. „Remote UI“ (Nuotolinio naudotojo sąsaja) paleidimas
2
Spustelėkite [Settings/Registration].
3
Spustelėkite [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Spustelėkite [Edit...].
5
Pažymėkite žymės langelį [Use IPSec] ir spustelėkite [OK].
Jei norite, kad aparatas priimtų tik paketus, atitinkančius vieną iš saugos politikų, kurias apibrėžiate atlikdami toliau nurodytus veiksmus, panaikinkite žymę žymės langelyje [Receive Non-Policy Packets].
6
Spustelėkite [Register New Policy...].
7
Nurodykite politikos parametrus.
|
1
|
Teksto lauke [Policy Name] įveskite iki 24 politikos identifikavimo pavadinimo raidinių ir skaitinių simbolių.
|
|
2
|
Pažymėkite žymės langelį [Enable Policy].
 |
8
Nurodykite išrinkiklio parametrus.
[Local Address:]
Spustelėkite aparato IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
Spustelėkite aparato IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
|
[All IP Addresses]
|
Pasirinkite „IPSec“ naudoti visiems IP paketams.
|
|
[IPv4 Address]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į aparato IPv4 adresą arba iš jo.
|
|
[IPv6 Address]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į aparato IPv6 adresą arba iš jo.
|
[Remote Address:]
Spustelėkite kitų įrenginių IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
Spustelėkite kitų įrenginių IP adreso tipo parinkties mygtuką, kad taikytumėte politiką.
|
[All IP Addresses]
|
Pasirinkite „IPSec“ naudoti visiems IP paketams.
|
|
[All IPv4 Addresses]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į kitų įrenginių IPv4 adresus arba iš jų.
|
|
[All IPv6 Addresses]
|
Pasirinkite, norėdami „IPSec“ naudoti visiems IP paketams, kurie siunčiami į kitų įrenginių IPv6 adresus arba iš jų.
|
|
[IPv4 Manual Settings]
|
Pasirinkite, kad nurodytumėte vieną IPv4 adresą arba IPv4 adresų diapazoną „IPSec“ taikyti. Įveskite IPv4 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually:].
|
|
[IPv6 Manual Settings]
|
Pasirinkite, kad nurodytumėte vieną IPv6 adresą arba IPv6 adresų diapazoną „IPSec“ taikyti. Įveskite IPv6 adresą (arba diapazoną) teksto lauke [Addresses to Set Manually:].
|
[Addresses to Set Manually:]
Jei dalyje Remote Address:] pasirinkta [IPv4 Manual Settings] arba [IPv6 Manual Settings], įveskite IP adresą politikai taikyti. Taip pat galite įvesti adresų diapazoną tarp adresų įterpę brūkšnį.
Jei dalyje Remote Address:] pasirinkta [IPv4 Manual Settings] arba [IPv6 Manual Settings], įveskite IP adresą politikai taikyti. Taip pat galite įvesti adresų diapazoną tarp adresų įterpę brūkšnį.
PASTABA
IP adresų įvedimas
IP adresų įvedimas
|
Aprašymas
|
Pavyzdys
|
|
|
Vieno adreso įvedimas
|
IPv4:
Skaičius atskirti taškais. |
192.168.0.10
|
|
IPv6:
Raidinius ir skaitinius simbolius atskirti dvitaškiais. |
fe80::10
|
|
|
Adresų diapazono nurodymas
|
Tarp adresų įterpkite brūkšnį.
|
192.168.0.10-192.168.0.20
|
|
Adresų diapazono nurodymas su prefiksu (tik IPv6)
|
Įveskite adresą, po jo įveskite įžambųjį brūkšnį ir skaičių, nurodantį prefikso ilgį.
|
fe80::1234/64
|
[Subnet Settings:]
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, "255.255.255.240").
Kai rankiniu būdu nustatote IPv4 adresus, diapazoną galite išreikšti naudodami potinklio šabloną. Įveskite potinklio šabloną skaičius atskirdami taškais (pavyzdžiui, "255.255.255.240").
[Prefix Length:]
Jei IPv6 nurodomas rankiniu būdu, galite nustatyti prefikso ilgį.
Jei IPv6 nurodomas rankiniu būdu, galite nustatyti prefikso ilgį.
[Local Port:]/[Remote Port:]
Jei kiekvienam protokolui, pvz., HTTP arba SNMP, norite sukurti skirtingą politiką, įveskite atitinkamą protokolo prievado numerį, kad nustatytumėte, ar naudoti „IPSec“.
Jei kiekvienam protokolui, pvz., HTTP arba SNMP, norite sukurti skirtingą politiką, įveskite atitinkamą protokolo prievado numerį, kad nustatytumėte, ar naudoti „IPSec“.
SVARBU:
„IPSec“ netaikoma toliau nurodytiems paketams
„IPSec“ netaikoma toliau nurodytiems paketams
Kilpinės jungties, sudėtiniams ir platinimo paketams
IKE paketams (naudojant UDP prievade 500)
ICMPv6 kaimyno prašymo ir kaimyno reklamos paketams
9
Nurodykite IKE parametrus.
[IKE Mode:]
Rodomas raktų mainų protokolui naudojamas režimas. Aparatas palaiko pagrindinį, o ne agresyvųjį režimą.
Rodomas raktų mainų protokolui naudojamas režimas. Aparatas palaiko pagrindinį, o ne agresyvųjį režimą.
[Authentication Method:]
Pasirinkite autentifikuojant aparatą naudojamą metodą – [Pre-Shared Key Method:] arba [Digital Signature Method:]. Nuotolinio vartotojo sąsajoje turite įgalinti TLS prieš pasirinkdami [Pre-Shared Key Method:] (Nuotolinio vartotojo sąsajos TLS šifruoto ryšio įgalinimas). Turite įgalinti SSL prieš pasirinkdami parinktį [Digital Signature Method:] (Raktų porų ir skaitmeninių sertifikatų parametrų konfigūravimas).
Pasirinkite autentifikuojant aparatą naudojamą metodą – [Pre-Shared Key Method:] arba [Digital Signature Method:]. Nuotolinio vartotojo sąsajoje turite įgalinti TLS prieš pasirinkdami [Pre-Shared Key Method:] (Nuotolinio vartotojo sąsajos TLS šifruoto ryšio įgalinimas). Turite įgalinti SSL prieš pasirinkdami parinktį [Digital Signature Method:] (Raktų porų ir skaitmeninių sertifikatų parametrų konfigūravimas).
[Valid for:]
Nurodykite, kiek ilgai truks IKE SA seansas (ISAKMP SA). Įveskite laiką minutėmis.
Nurodykite, kiek ilgai truks IKE SA seansas (ISAKMP SA). Įveskite laiką minutėmis.
[Authentication:]/[Encryption:]/[DH Group:]
Iš išplečiamojo sąrašo pasirinkite algoritmą. Kiekvienas algoritmas naudojamas raktų mainams.
Iš išplečiamojo sąrašo pasirinkite algoritmą. Kiekvienas algoritmas naudojamas raktų mainams.
|
[Authentication:]
|
Pasirinkite maišos algoritmą.
|
|
[Encryption:]
|
Pasirinkite šifravimo algoritmą.
|
|
[DH Group:]
|
Pasirinkite „Diffie-Hellman“ grupę, kuri lemia rakto sudėtingumą.
|
Iš anksto bendrinamo rakto naudojimas autentifikacijai
|
1
|
Spustelėkite [Pre-Shared Key Method:] parinkties mygtuką [Authentication Method:], tada spustelėkite [Shared Key Settings...].
|
|
2
|
Įveskite iki 24 iš anksto bendrinamo rakto raidinių ir skaitinių simbolių ir spustelėkite [OK].
 |
|
3
|
Nurodykite parametrus [Valid for:] ir [Authentication:]/[Encryption:]/[DH Group:]
|
Raktų poros ir iš anksto įdiegtų CA sertifikatų naudojimas autentifikacijai
|
1
|
Spustelėkite [Digital Signature Method:] parinkties mygtuką [Authentication Method:], tada spustelėkite [Key and Certificate...].
|
|
2
|
Spustelėkite [Register Default Key] į dešinę nuo norimos naudoti raktų poros.
 PASTABA
Raktų poros ar sertifikato informacijos peržiūra Galite peržiūrėti sertifikato informaciją arba patikrinti sertifikatą spustelėdami atitinkamą teksto nuorodą [Key Name] arba sertifikato piktogramą. Raktų porų ir skaitmeninių sertifikatų tikrinimas
|
|
3
|
Nurodykite parametrus [Valid for:] ir [Authentication:]/[Encryption:]/[DH Group:]
|
10
Nurodykite „IPSec“ tinklo parametrus.
[Use PFS]
Pažymėkite šį žymės langelį, kad įjungtumėte „IPSec“ seansų raktų „Perfect Forward Secrecy“ (PFS). Įgalinus PFS pagerėja sauga ir padidėja ryšių apkrova. Įsitikinkite, kad PFS įjungta naudoti ir kituose įrenginiuose.
Pažymėkite šį žymės langelį, kad įjungtumėte „IPSec“ seansų raktų „Perfect Forward Secrecy“ (PFS). Įgalinus PFS pagerėja sauga ir padidėja ryšių apkrova. Įsitikinkite, kad PFS įjungta naudoti ir kituose įrenginiuose.
[Specify by Time]/[Specify by Size]
Nustatykite „IPSec“ SA seanso nutraukimo sąlygas. „IPSec“ SA naudojamas kaip ryšių tunelis. Pažymėkite vieną arba abu žymės langelius, kaip pageidaujate. Jei pažymėti abu žymės langeliai, „IPSec“ SA seansas nutraukiamas patenkinus kurią nors iš šių sąlygų.
Nustatykite „IPSec“ SA seanso nutraukimo sąlygas. „IPSec“ SA naudojamas kaip ryšių tunelis. Pažymėkite vieną arba abu žymės langelius, kaip pageidaujate. Jei pažymėti abu žymės langeliai, „IPSec“ SA seansas nutraukiamas patenkinus kurią nors iš šių sąlygų.
|
[Specify by Time]
|
Įveskite laiką minutėmis, kad nurodytumėte, kiek trunka seansas.
|
|
[Specify by Size]
|
Įveskite dydį megabaitais, kad nurodytumėte, kiek duomenų galima transportuoti seanse.
|
[Select Algorithm:]
Pažymėkite žymės langelį (-ius) [ESP], [ESP (AES-GCM)] arba [AH (SHA1)] atsižvelgdami į „IPSec“ antraštę ir naudojamą algoritmą. AES-GCM – tai ir autentifikavimo, ir šifravimo algoritmas. Jei pasirinkta [ESP], iš [ESP Authentication:] ir [ESP Encryption:] išplečiamųjų sąrašų taip pat pasirinkite autentifikavimo ir šifravimo algoritmus.
Pažymėkite žymės langelį (-ius) [ESP], [ESP (AES-GCM)] arba [AH (SHA1)] atsižvelgdami į „IPSec“ antraštę ir naudojamą algoritmą. AES-GCM – tai ir autentifikavimo, ir šifravimo algoritmas. Jei pasirinkta [ESP], iš [ESP Authentication:] ir [ESP Encryption:] išplečiamųjų sąrašų taip pat pasirinkite autentifikavimo ir šifravimo algoritmus.
|
[ESP Authentication:]
|
Jei norite įjungti ESP autentifikavimą, pasirinkite maišos algoritmo parametrą [SHA1]. Pasirinkite [Do Not Use], jei norite išjungti ESP autentifikavimą.
|
|
[ESP Encryption:]
|
Pasirinkite ESP šifravimo algoritmą. Jei nenorite nurodyti algoritmo, galite pasirinkti [NULL] arba pasirinkite [Do Not Use], jei norite išjungti ESP šifravimą.
|
[Connection Mode]
Rodomas „IPSec“ ryšio režimas. Aparatas palaiko transportavimo režimą, kuriuo šifruojama IP paketų mokomoji apkrova. Tunelio režimas, kuriuo apimami visi IP paketai (antraštės ir mokomoji apkrova), negalimas.
Rodomas „IPSec“ ryšio režimas. Aparatas palaiko transportavimo režimą, kuriuo šifruojama IP paketų mokomoji apkrova. Tunelio režimas, kuriuo apimami visi IP paketai (antraštės ir mokomoji apkrova), negalimas.
11
Spustelėkite [OK].
Jei norite užregistruoti papildomą saugos politiką, grįžkite į 6 veiksmą.
12
Išdėstykite dalyje [Registered IPSec Policies] pateiktos politikos eilės tvarką.
Politika taikoma nuo esančios aukščiausioje padėtyje iki žemiausioje. Spustelėkite [Up] arba [Down], kad perkeltumėte politiką aukštyn arba žemyn.
PASTABA:
Politikos redagavimas
Spustelėkite atitinkamą teksto nuorodą [Policy Name], kad pamatytumėte redagavimo ekraną.
Politikos redagavimas
Spustelėkite atitinkamą teksto nuorodą [Policy Name], kad pamatytumėte redagavimo ekraną.
Politikos naikinimas
Spustelėkite [Delete] į dešinę nuo norimo panaikinti politikos pavadinimo spustelėkite [OK].
spustelėkite [OK].13
Iš naujo įjunkite aparatą.
Išjunkite aparatą, palaukite bent 10 sekundžių ir vėl jį įjunkite.