Configurarea setărilor IPSec
Internet Protocol Security (IPSec sau IPsec) este o suită de protocoale pentru criptarea datelor transportate printr-o reţea, inclusiv prin reţele de Internet. În timp ce TLS criptează doar informaţiile folosite de o anumită aplicaţie, precum un browser Web sau o aplicaţie de e-mail, IPSec criptează toate pachetele IP sau încărcăturile de pachete IP, oferind un sistem de securitate mai versatil. Funcţia IPSec a aparatului funcţionează în modul de transport, în care sunt criptate încărcăturile de pachete IP. Cu această caracteristică, aparatul se poate conecta direct la un computer care se află în aceeaşi reţea privată virtuală (VPN). Verificaţi cerinţele de sistem şi setaţi configuraţia necesară pe computer înainte de a configura aparatul.
Cerinţele sistemului
IPSec care este compatibil cu aparatul este conform standardelor RFC2401, RFC2402, RFC2406 şi RFC4305.
|
Sistem de operare
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Mod de conexiune
|
Mod transport
|
|
|
Protocol schimbare parolă
|
IKEv1 (mod principal)
|
|
|
Metoda de autentificare
|
Pre-shared key (Cheie pre-partajată)
Digital signature (Semnătură digitală)
|
|
|
Hash algorithm (algoritm hash)
(şi lungime cheie) |
HMAC-SHA1-96
HMAC-SHA2 (256 biţi sau 384 biţi)
|
|
|
Encryption algorithm (algoritm criptare)
(şi lungime cheie) |
3DES-CBC
AES-CBC (128 biţi, 192 biţi sau 256 biţi)
|
|
|
Algoritm schimbare cheie/grup (şi lungime cheie)
|
Diffie-Hellman (DH)
Grup 1 (768 biţi)
Grup 2 (1024 biţi)
Grup 14 (2048 biţi)
|
|
|
ESP
|
Hash algorithm (algoritm hash)
|
HMAC-SHA1-96
|
|
Encryption algorithm (algoritm criptare)
(şi lungime cheie) |
3DES-CBC
AES-CBC (128 biţi, 192 biţi sau 256 biţi)
|
|
|
Algoritm hash/algoritm criptare (şi lungime cheie)
|
AES-GCM (128 biţi, 192 biţi sau 256 biţi)
|
|
|
AH
|
Hash algorithm (algoritm hash)
|
HMAC-SHA1-96
|
|
NOTĂ
|
Restricţii funcţionare IPSecIPSec este compatibil cu comunicarea către o singură adresă (sau un singur dispozitiv).
Aparatul nu poate folosi simultan IPSec şi DHCPv6.
IPSec nu este disponibil în reţele în care este implementat NAT sau IP ascuns.
Utilizare IPSec cu filtrarea adresei IPSetările pentru filtrarea adresei IP sunt aplicate înainte de politicile IPSec.
|
Configurarea setărilor IPSec
Înainte de utilizarea IPSec pentru metoda de criptare, trebuie să înregistraţi politicile de securitate (SP). O politică de securitate este formată din grupuri de setări descrise mai jos. Se pot înregistra până la 10 politici. După înregistrarea politicilor, specificaţi ordinea în care să fie aplicate.
Selector
Selector defineşte condiţiile pentru pachetele IP care să se aplice comunicării IPSec. Condiţiile care pot fi alese includ adrese IP şi număr de porturi ale aparatului şi ale dispozitivelor cu care să comunice.
IKE
IKE configurează IKEv1 care este folosit pentru protocolul de schimbare a parolei. Instrucţiunile pot fi diferite în funcţie de metoda de autentificare aleasă.
[Pre-Shared Key Method:] (Metoda cheii pre-partajate)
O cheie de până la 24 de caractere alfanumerice poate fi partajată cu alte dispozitive. Activaţi TLS pentru IU la distanţă înainte de a specifica metoda de autentificare (Activarea comunicării criptate TLS pentru IU la distanţă).
O cheie de până la 24 de caractere alfanumerice poate fi partajată cu alte dispozitive. Activaţi TLS pentru IU la distanţă înainte de a specifica metoda de autentificare (Activarea comunicării criptate TLS pentru IU la distanţă).
[Digital Signature Method:]
Aparatul şi alte dispozitive se autentifică reciproc verificând semnătura digitală. Generaţi sau instalaţi parola pereche înainte (Configurarea setărilor pentru Key Pairs (parole pereche) şi Digital Certificates (Certificate digitale)).
Aparatul şi alte dispozitive se autentifică reciproc verificând semnătura digitală. Generaţi sau instalaţi parola pereche înainte (Configurarea setărilor pentru Key Pairs (parole pereche) şi Digital Certificates (Certificate digitale)).
AH/ESP
Specificaţi setările pentru AH/ESP, care sunt adăugate pachetelor în timpul comunicării IPSec. AH şi ESP pot fi folosite în acelaşi timp. Puteţi selecta şi dacă să activaţi sau nu PFS pentru o securitate şi mai puternică.
1
Porniţi IU la distanţă şi conectaţi-vă în modul administrator de sistem. Pornirea IU la Distanţă
2
Clic pe [Settings/Registration].
3
Clic pe [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Clic pe [Edit...].
5
Bifaţi căsuţa de selectare [Use IPSec] şi faceţi clic pe [OK].
Dacă doriţi ca aparatul doar să primească pachete care se potrivesc uneia dintre politicile de securitate pe care le-aţi definit în paşii de mai jos, debifaţi [Receive Non-Policy Packets].
6
Clic pe [Register New Policy...].
7
Specificaţi setările de politică.
|
1
|
În căsuţa [Policy Name], introduceţi până la 24 de caractere alfanumerice pentru un nume care este folosit pentru identificarea politicii.
|
|
2
|
Selectaţi căsuţa [Enable Policy].
 |
8
Specificaţi setările de Selector.
[Local Address:]
Faceţi clic pe butonul radio pentru tipul de adresă IP a aparatului pentru a aplica politica.
Faceţi clic pe butonul radio pentru tipul de adresă IP a aparatului pentru a aplica politica.
|
[All IP Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP.
|
|
[IPv4 Address]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv4 a aparatului.
|
|
[IPv6 Address]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv6 a aparatului.
|
[Remote Address:]
Faceţi clic pe butonul radio pentru tipul de adresă IP a celorlalte dispozitive pentru a aplica politica.
Faceţi clic pe butonul radio pentru tipul de adresă IP a celorlalte dispozitive pentru a aplica politica.
|
[All IP Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP.
|
|
[All IPv4 Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv4 a celorlalte dispozitive.
|
|
[All IPv6 Addresses]
|
Selectaţi să folosiţi IPSec pentru toate pachetele IP care sunt trimise către sau de la adresa IPv6 a celorlalte dispozitive.
|
|
[IPv4 Manual Settings]
|
Selectaţi să specificaţi o singură adresă IPv4 sau un interval de adrese IPv4 pentru a aplica IPSec. Introduceţi adresa IPv4 (sau intervalul) în căsuţa [Addresses to Set Manually:].
|
|
[IPv6 Manual Settings]
|
Selectaţi să specificaţi o singură adresă IPv6 sau un interval de adrese IPv6 pentru a aplica IPSec. Introduceţi adresa IPv6 (sau intervalul) în căsuţa [Addresses to Set Manually:].
|
[Addresses to Set Manually:]
Dacă [IPv4 Manual Settings] sau [IPv6 Manual Settings] este selectat pentru [Remote Address:], introduceţi adresa IP pentru a aplica politica. Puteţi introduce un interval de adrese introducând o cratimă între adrese.
Dacă [IPv4 Manual Settings] sau [IPv6 Manual Settings] este selectat pentru [Remote Address:], introduceţi adresa IP pentru a aplica politica. Puteţi introduce un interval de adrese introducând o cratimă între adrese.
NOTĂ:
Introducerea adreselor IP
Introducerea adreselor IP
|
Descriere
|
Exemplu
|
|
|
Introducerea unei singure adrese
|
IPv4:
Delimitaţi numerele cu puncte. |
192.168.0.10
|
|
IPv6:
Delimitaţi caracterele alfanumerice cu două puncte. |
fe80::10
|
|
|
Specificare unui interval de adrese
|
Introduceţi o cratimă între adrese.
|
192.168.0.10-192.168.0.20
|
|
Specificarea unui interval de adrese cu un prefix (doar IPv6)
|
Introduceţi adresa, urmată de o bară şi un număr care indică lungimea prefixului.
|
fe80::1234/64
|
[Subnet Settings:]
Când specificaţi adresa IPv4 manual, puteţi exprima intervalul folosind subnet mask. Introduceţi subnet mask folosind puncte pentru a delimita numerele (exemplu: „255.255.255.240”).
Când specificaţi adresa IPv4 manual, puteţi exprima intervalul folosind subnet mask. Introduceţi subnet mask folosind puncte pentru a delimita numerele (exemplu: „255.255.255.240”).
[Prefix Length:]
Când specificaţi manual IPv6, puteţi seta lungimea prefixului.
Când specificaţi manual IPv6, puteţi seta lungimea prefixului.
[Local Port:]/[Remote Port:]
Dacă doriţi să creaţi politici separate pentru fiecare protocol, precum HTTP sau SMTP, introduceţi numărul de port potrivit pentru protocol pentru a determina dacă să folosiţi sau nu IPSec.
Dacă doriţi să creaţi politici separate pentru fiecare protocol, precum HTTP sau SMTP, introduceţi numărul de port potrivit pentru protocol pentru a determina dacă să folosiţi sau nu IPSec.
IMPORTANT:
IPSec nu este aplicat următoarelor pachete
IPSec nu este aplicat următoarelor pachete
Pachete loopback, multicast şi broadcast
Pachete IKE (folosind UDP prin portul 500)
Solicitare ICMPv6 neighbor şi pachete reclame neighbor
9
Specificaţi setările de IKE.
[IKE Mode:]
Modul folosit pentru protocolul de schimbare a parolei este afişat. Aparatul este compatibil cu modul principal, nu cu cel agresiv.
Modul folosit pentru protocolul de schimbare a parolei este afişat. Aparatul este compatibil cu modul principal, nu cu cel agresiv.
[Authentication Method:] (Metodă de autentificare)
Selectaţi [Pre-Shared Key Method:] (Metoda cheii pre-partajate) sau [Digital Signature Method:] (Metoda semnăturii digitale) pentru metoda folosită când autentificaţi aparatul. Trebuie să activaţi TLS pentru IU la distanţă înainte de a selecta [Pre-Shared Key Method:] (Metoda cheii pre-partajate) (Activarea comunicării criptate TLS pentru IU la distanţă). Trebuie să generaţi sau să instalaţi o pereche de chei înainte de a selecta [Digital Signature Method:] (Metoda semnăturii digitale) (Configurarea setărilor pentru Key Pairs (parole pereche) şi Digital Certificates (Certificate digitale)).
Selectaţi [Pre-Shared Key Method:] (Metoda cheii pre-partajate) sau [Digital Signature Method:] (Metoda semnăturii digitale) pentru metoda folosită când autentificaţi aparatul. Trebuie să activaţi TLS pentru IU la distanţă înainte de a selecta [Pre-Shared Key Method:] (Metoda cheii pre-partajate) (Activarea comunicării criptate TLS pentru IU la distanţă). Trebuie să generaţi sau să instalaţi o pereche de chei înainte de a selecta [Digital Signature Method:] (Metoda semnăturii digitale) (Configurarea setărilor pentru Key Pairs (parole pereche) şi Digital Certificates (Certificate digitale)).
[Valid for:]
Specificare duratei unei sesiuni pentru IKE SA (ISAKMP SA). Introduceţi intervalul în minute.
Specificare duratei unei sesiuni pentru IKE SA (ISAKMP SA). Introduceţi intervalul în minute.
[Authentication:]/[Encryption:]/[DH Group:]
Selectaţi un algoritm din listă. Fiecare algoritm este folosit pentru schimbarea parolei.
Selectaţi un algoritm din listă. Fiecare algoritm este folosit pentru schimbarea parolei.
|
[Authentication:]
|
Selectaţi algoritmul hash.
|
|
[Encryption:]
|
Selectaţi algoritmul de criptare.
|
|
[DH Group:]
|
Selectaţi grupul Diffie-Hellman, care determină cât de puternică este parola.
|
Utilizarea unei chei pre-partajată pentru autentificare
|
1
|
Faceţi clic pe butonul radio [Pre-Shared Key Method:] pentru [Authentication Method:] şi apoi faceţi clic pe [Shared Key Settings...].
|
|
2
|
Introduceţi până la 24 de caractere alfanumerice pentru cheia pre-partajată şi faceţi clic pe [OK].
 |
|
3
|
Specificaţi setările [Valid for:] şi [Authentication:]/[Encryption:]/[DH Group:].
|
Utilizarea unei parole pereche şi a certificatelor CA preinstalate pentru autentificare
|
1
|
Faceţi clic pe butonul radio [Digital Signature Method:] pentru [Authentication Method:] şi apoi faceţi clic pe [Key and Certificate...].
|
|
2
|
Faceţi clic pe [Register Default Key] din dreapta unei parole pereche pe care doriţi să o folosiţi.
 NOTĂ:
Vizualizarea detaliilor unei parole pereche sau a unui certificat Puteţi verifica detaliile certificatului sau puteţi verifica certificatul dacă faceţi clic pe legătura text de sub [Key Name] sau pe simbolul certificatului. Verificarea perechilor de chei şi a certificatelor digitale
|
|
3
|
Specificaţi setările [Valid for:] şi [Authentication:]/[Encryption:]/[DH Group:].
|
10
Specificaţi setările de reţea IPSec.
[Use PFS]
Selectaţi căsuţa pentru a activa Perfect Forward Secrecy (PFS) pentru parolele sesiunii IPSec. Dacă activaţi PFS îmbunătăţeşte securitatea în timp ce creşte încărcarea comunicării. Asiguraţi-vă că şi celălalt dispozitiv are activat PFS.
Selectaţi căsuţa pentru a activa Perfect Forward Secrecy (PFS) pentru parolele sesiunii IPSec. Dacă activaţi PFS îmbunătăţeşte securitatea în timp ce creşte încărcarea comunicării. Asiguraţi-vă că şi celălalt dispozitiv are activat PFS.
[Specify by Time]/[Specify by Size]
Setaţi condiţiile pentru terminarea unei sesiuni pentru IPSec SA. IPSec SA este folosit ca un tunel de comunicare. Selectaţi una sau ambele căsuţe, dacă este nevoie. Dacă ambele căsuţe sunt selectate, sesiunea IPSec SA este terminată când oricare dintre condiţii sunt îndeplinite.
Setaţi condiţiile pentru terminarea unei sesiuni pentru IPSec SA. IPSec SA este folosit ca un tunel de comunicare. Selectaţi una sau ambele căsuţe, dacă este nevoie. Dacă ambele căsuţe sunt selectate, sesiunea IPSec SA este terminată când oricare dintre condiţii sunt îndeplinite.
|
[Specify by Time]
|
Introduceţi un interval în minute pentru a specifica cât durează o sesiune.
|
|
[Specify by Size]
|
Introduceţi o dimensiunea în megabytes pentru a specifica câte informaţii pot fi transportate într-o sesiune.
|
[Select Algorithm:]
Bifaţi căsuţele de selectare [ESP], [ESP (AES-GCM)] sau [AH (SHA1)] în funcţie de header-ul IPSec şi algoritmul folosit. AES-GCM este un algoritm atât pentru autentificare, cât şi pentru criptare. Dacă este selectat [ESP], selectează şi algoritmii pentru autentificare şi criptare din listele [ESP Authentication:] şi [ESP Encryption:].
Bifaţi căsuţele de selectare [ESP], [ESP (AES-GCM)] sau [AH (SHA1)] în funcţie de header-ul IPSec şi algoritmul folosit. AES-GCM este un algoritm atât pentru autentificare, cât şi pentru criptare. Dacă este selectat [ESP], selectează şi algoritmii pentru autentificare şi criptare din listele [ESP Authentication:] şi [ESP Encryption:].
|
[ESP Authentication:]
|
Pentru a activa autentificarea ESP, selectaţi [SHA1] pentru algoritmul hash. Selectaţi [Do Not Use] dacă doriţi să dezactivaţi autentificarea ESP.
|
|
[ESP Encryption:]
|
Selectaţi algoritmul de criptare pentru ESP. Puteţi selecta [NULL] dacă nu doriţi să specificaţi algoritmul sau selectaţi [Do Not Use] dacă doriţi să dezactivaţi criptarea ESP.
|
[Connection Mode]
Modul de conectarea pentru IPSec este afişat. Aparatul este compatibil cu modul transport, în care pachetele IP sunt criptate. Modul tunel, în care toate pachetele IP (header şi încărcare) sunt încapsulate nu este disponibil.
Modul de conectarea pentru IPSec este afişat. Aparatul este compatibil cu modul transport, în care pachetele IP sunt criptate. Modul tunel, în care toate pachetele IP (header şi încărcare) sunt încapsulate nu este disponibil.
11
Clic pe [OK].
Dacă aveţi nevoie să înregistraţi o politică de securitate în plus, reveniţi la pasul 6.
12
Aranjaţi ordinea politicilor listate sub [Registered IPSec Policies].
Politicile sunt aplicate de la cea aflată cel mai sus la cea aflată cel mai jos. Faceţi clic pe [Up] sua [Down] pentru a muta o politică sus sau jos în ordine.
NOTĂ:
Editarea unei politici
Faceţi clic pe legătura corespunzătoare de sub [Policy Name] pentru ecranul de editare.
Editarea unei politici
Faceţi clic pe legătura corespunzătoare de sub [Policy Name] pentru ecranul de editare.
Ştergerea unei politici
Faceţi clic pe [Delete] din partea dreaptă a numelui politicii pe care doriţi să o ştergeţi clic pe [OK].
clic pe [OK].13
Reporniţi aparatul.
Opriţi aparatul şi aşteptaţi cel puţin 10 secunde, apoi porniţi-l din nou.