Konfiguracija nastavitev IPSec
IPSecurity Protocol (IPSec ali IPsec) je zbirka protokolov za šifriranje podatkov, ki se prenašajo po omrežju, vključno z internetnimi omrežji. Medtem ko TLS šifrira samo podatke, uporabljene v določenem programu, na primer spletnem brskalniku ali e-poštnem odjemalcu, IPSec šifrira vse pakete ali vsebino paketov IP, zato je bolj univerzalen varnostni sistem. IPSec v stroju deluje v načinu prenosa, v katerem se vsebina paketov IP šifrira. S to funkcijo se lahko stroj poveže neposredno z računalnikom, ki je v istem navideznem zasebnem omrežju (VPN). Preden stroj konfigurirate, preverite sistemske zahteve in določite zahtevane nastavitve računalnika.
Sistemske zahteve
IPSec, ki ga podpira stroj, je v skladu z RFC2401, RFC2402, RFC2406 in RFC4305.
|
Operacijski sistem
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Način povezave
|
Način prenosa
|
|
|
Protokol za izmenjavo ključev
|
IKEv1 (glavni način)
|
|
|
Način overjanja
|
Souporabljeni ključ
Digitalni podpis
|
|
|
Razpršilni algoritem
(in dolžina ključa) |
HMAC-SHA1-96
HMAC-SHA2 (256 ali 384 bitov)
|
|
|
Šifrirni algoritem
(in dolžina ključa) |
3DES-CBC
AES-CBC (128, 192 ali 256 bitov)
|
|
|
Algoritem/skupina izmenjave ključev (in dolžina ključa)
|
Diffie-Hellman (DH)
Skupina 1 (768 bitov)
Skupina 2 (1024 bitov)
Skupina 14 (2048 bitov)
|
|
|
ESP
|
Razpršilni algoritem
|
HMAC-SHA1-96
|
|
Šifrirni algoritem
(in dolžina ključa) |
3DES-CBC
AES-CBC (128, 192 ali 256 bitov)
|
|
|
Razpršilni/šifrirni algoritem (in dolžina ključa)
|
AES-GCM (128, 192 ali 256 bitov)
|
|
|
AH
|
Razpršilni algoritem
|
HMAC-SHA1-96
|
|
OPOMBA
|
Omejitve funkcije IPSecIPSec podpira komunikacijo z enovrstnim naslovom (ali eno napravo).
Stroj ne more hkrati uporabljati IPSec in DHCPv6.
V omrežjih z NAT ali masko IP funkcija IPSec ni na voljo.
Uporaba funkcije IPSec s filtrom naslovov IPNastavitve filtriranja naslovov IP se uveljavijo pred politikami IPSec.
|
Konfiguracija nastavitev IPSec
Preden uporabite IPSec za šifrirano komunikacijo, morate registrirati varnostne politike (SP). Varnostna politika vključuje spodaj opisane skupine nastavitev. Registrirate lahko največ 10 politik. Po registraciji politik izberite vrstni red, v katerem bodo uveljavljene.
Izbirnik
Izbirnik določa pogoje, v katerih bodo paketi IP uporabili komunikacijo IPSec. Pogoji vključujejo naslove IP in številke vrat stroja ter naprave za komunikacijo.
IKE
IKE konfigurira protokol za izmenjavo ključev IKEv1. Upoštevajte, da so navodila lahko drugačna, odvisno od izbranega načina overjanja.
[Pre-Shared Key Method:]
Ključ z največ 24 črkovno-številskimi znaki lahko delite z drugimi napravami. Omogočite TLS za vmesnik Remote UI, preden določite ta način overjanja (Omogočanje šifrirane komunikacije TLS za vmesnik Remote UI).
Ključ z največ 24 črkovno-številskimi znaki lahko delite z drugimi napravami. Omogočite TLS za vmesnik Remote UI, preden določite ta način overjanja (Omogočanje šifrirane komunikacije TLS za vmesnik Remote UI).
[Digital Signature Method:]
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Prej ustvarite ali namestite par ključev (Konfiguriranje nastavitev za pare ključev in digitalna potrdila).
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Prej ustvarite ali namestite par ključev (Konfiguriranje nastavitev za pare ključev in digitalna potrdila).
AH/ESP
Določite nastavitve za AH/ESP, ki se paketom doda med komunikacijo IPSec. AH in ESP lahko uporabljate hkrati. Izberete lahko tudi, ali želite za večjo varnost omogočiti PFS.
1
Zaženite Daljinski UI in se prijavite v načinu ureditve sistema. Zagon vmesnika Remote UI
2
Kliknite [Settings/Registration].
3
Kliknite [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Kliknite [Edit...].
5
Izberite potrditveno polje [Use IPSec] in kliknite [OK].
Če želite, da stroj sprejema samo tiste pakete, ki ustrezajo kateri od varnostnih politik, ki jih določite po spodnjem postopku, počistite polje [Receive Non-Policy Packets].
6
Kliknite [Register New Policy...].
7
Določite nastavitve politike.
|
1
|
V besedilno polje [Policy Name] vnesite največ 24 črkovno-številskih znakov za ime, ki se bo uporabljalo za identifikacijo politike.
|
|
2
|
Izberite potrditveno okno [Enable Policy].
 |
8
Določite nastavitve izbirnika.
[Local Address:]
Kliknite izbirni gumb pred vrsto naslova IP stroja, za katero bo veljala politika.
Kliknite izbirni gumb pred vrsto naslova IP stroja, za katero bo veljala politika.
|
[All IP Addresses]
|
Izberite, če želite IPSec uporabiti za vse pakete IP.
|
|
[IPv4 Address]
|
Izberite za uporabo IPSec za vse pakete IP, ki se pošljejo z naslova IPv4 stroja ali prejmejo nanj.
|
|
[IPv6 Address]
|
Izberite za uporabo IPSec za vse pakete IP, ki se pošljejo z naslova IPv6 stroja ali prejmejo nanj.
|
[Remote Address:]
Kliknite izbirni gumb pred vrsto naslova IP drugih naprav, za katere bo veljala politika.
Kliknite izbirni gumb pred vrsto naslova IP drugih naprav, za katere bo veljala politika.
|
[All IP Addresses]
|
Izberite, če želite IPSec uporabiti za vse pakete IP.
|
|
[All IPv4 Addresses]
|
Izberite za uporabo IPSec za vse pakete IP, ki se pošljejo iz naslova IPv4 drugih naprav ali prejmejo nanj.
|
|
[All IPv6 Addresses]
|
Izberite za uporabo IPSec za vse pakete IP, ki se pošljejo iz naslova IPv6 drugih naprav ali prejmejo nanj.
|
|
[IPv4 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv4 ali razpon naslovov IPv4, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv4 v besedilno polje [Addresses to Set Manually:].
|
|
[IPv6 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv6 ali razpon naslovov IPv6, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv6 v besedilno polje [Addresses to Set Manually:].
|
[Addresses to Set Manually:]
Če je [IPv4 Manual Settings] ali [IPv6 Manual Settings] izbrano za [Remote Address:], vnesite IP naslov, da uveljavite politiko. Vnesete lahko tudi razpon naslovov, tako da jih ločite z vezaji.
Če je [IPv4 Manual Settings] ali [IPv6 Manual Settings] izbrano za [Remote Address:], vnesite IP naslov, da uveljavite politiko. Vnesete lahko tudi razpon naslovov, tako da jih ločite z vezaji.
OPOMBA:
Vnos IP naslovov
Vnos IP naslovov
|
Opis
|
Primer
|
|
|
Vnos posameznega naslova
|
IPv4:
Med številke vnesite pike. |
192.168.0.10
|
|
IPv6:
Med črkovno-številske znake vnesite dvopičja. |
fe80::10
|
|
|
Določanje razpona naslovov
|
Med naslove vnesite vezaje.
|
192.168.0.10-192.168.0.20
|
|
Določanje razponov naslovov s predpono (samo za IPv6)
|
Vnesite naslov, nato poševnico in številko, ki predstavlja dolžino predpone.
|
fe80::1234/64
|
[Subnet Settings:]
Če naslov IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (Primer: "255.255.255.240").
Če naslov IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (Primer: "255.255.255.240").
[Prefix Length:]
Če naslov IPv6 določite ročno, lahko določite dolžino predpone.
Če naslov IPv6 določite ročno, lahko določite dolžino predpone.
[Local Port:]/[Remote Port:]
Če želite ustvariti ločene politike za vsak protokol, na primer HTTP ali SNMP, vnesite ustrezno številko vhoda za protokol, da določite, ali se bo IPSec uporabljal.
Če želite ustvariti ločene politike za vsak protokol, na primer HTTP ali SNMP, vnesite ustrezno številko vhoda za protokol, da določite, ali se bo IPSec uporabljal.
POMEMBNO:
IPSec ne velja za naslednje pakete
IPSec ne velja za naslednje pakete
Pakete s povratno zanko, večvrstno oddajanje in oddajanje
Pakete IKE (ki uporabljajo UDP na vratih 500)
Pakete ICMPv6 za spodbujanje sosednjih odjemalcev in oglaševanje
9
Določite nastavitve za IKE.
[IKE Mode:]
Prikaže se uporabljeni način za protokol izmenjave ključev. Stroj podpira glavni način, agresivnega načina pa ne.
Prikaže se uporabljeni način za protokol izmenjave ključev. Stroj podpira glavni način, agresivnega načina pa ne.
Authentication Method:]
Izberite [Pre-Shared Key Method:] ali [Digital Signature Method:] za način, ki ga uporabljate za overjanje stroja. Preden izberete [Pre-Shared Key Method:] (Omogočanje šifrirane komunikacije TLS za vmesnik Remote UI), morate omogočiti TLS za vmesnik Remote UI. Preden izberete [Digital Signature Method:] (Konfiguriranje nastavitev za pare ključev in digitalna potrdila), morate ustvariti ali namestiti par ključev.
Izberite [Pre-Shared Key Method:] ali [Digital Signature Method:] za način, ki ga uporabljate za overjanje stroja. Preden izberete [Pre-Shared Key Method:] (Omogočanje šifrirane komunikacije TLS za vmesnik Remote UI), morate omogočiti TLS za vmesnik Remote UI. Preden izberete [Digital Signature Method:] (Konfiguriranje nastavitev za pare ključev in digitalna potrdila), morate ustvariti ali namestiti par ključev.
[Valid for:]
Določite, kako dolga bo seja za IKE SA (ISAKMP SA). Čas vnesite v minutah.
Določite, kako dolga bo seja za IKE SA (ISAKMP SA). Čas vnesite v minutah.
[Authentication:]/[Encryption:]/[DH Group:]
Na spustnem seznamu izberite algoritem. Vsak algoritem se uporablja pri izmenjavi ključev.
Na spustnem seznamu izberite algoritem. Vsak algoritem se uporablja pri izmenjavi ključev.
|
[Authentication:]
|
Izberite razpršilni algoritem.
|
|
[Encryption:]
|
Izberite algoritem kodiranja.
|
|
[DH Group:]
|
Izberite skupino Diffie-Hellman, ki določa moč ključa.
|
Uporaba ključa v vnaprejšnji skupni rabi za overjanje
|
1
|
Kliknite okrogli izbirni gumb [Pre-Shared Key Method:] za [Authentication Method:] in zatem kliknite [Shared Key Settings...].
|
|
2
|
Vnesite največ 24 črkovno-številskih znakov za ključ v vnaprejšnji skupni rabi in kliknite [OK].
 |
|
3
|
Izberite nastavitve [Valid for:] in [Authentication:]/[Encryption:]/[DH Group:].
|
Uporaba para ključev in vnaprej nameščenih potrdil CA za overjanje
|
1
|
Kliknite okrogli izbirni gumb [Digital Signature Method:] za [Authentication Method:] in zatem kliknite [Key and Certificate...].
|
|
2
|
Kliknite [Register Default Key] desno od para ključev, ki ga želite uporabiti.
 OPOMBA:
Ogled podrobnosti para ključev ali potrdila Če kliknete ustrezno besedilno povezavo pod [Key Name] ali ikono potrdila, si lahko ogledate podrobnosti potrdila ali ga preverite. Preverjanje parov ključev in digitalnih potrdil
|
|
3
|
Izberite nastavitve [Valid for:] in [Authentication:]/[Encryption:]/[DH Group:].
|
10
Določite omrežne nastavitve IPSec.
[Use PFS]
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave.
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave.
[Specify by Time]/[Specify by Size]
Nastavite pogoje za prekinitev seje za IPSec SA. IPSec SA se uporablja kot tunel za komunikacijo. Po želji potrdite eno ali obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
Nastavite pogoje za prekinitev seje za IPSec SA. IPSec SA se uporablja kot tunel za komunikacijo. Po želji potrdite eno ali obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
|
[Specify by Time]
|
Vnesite čas v minutah, da določite trajanje seje.
|
|
[Specify by Size]
|
Vnesite velikost v megabajtih, da določite, koliko podatkov se lahko prenese v seji.
|
[Select Algorithm:]
Izberite potrditveno okno (okna) [ESP], [ESP (AES-GCM)] ali [AH (SHA1)], odvisno od glave IPSec in uporabljenega algoritma. AES-GCM je algoritem za overjanje in šifriranje. Če izberete [ESP], izberite tudi algoritme za overjanje in šifriranje v spustnih seznamih [ESP Authentication:] in [ESP Encryption:].
Izberite potrditveno okno (okna) [ESP], [ESP (AES-GCM)] ali [AH (SHA1)], odvisno od glave IPSec in uporabljenega algoritma. AES-GCM je algoritem za overjanje in šifriranje. Če izberete [ESP], izberite tudi algoritme za overjanje in šifriranje v spustnih seznamih [ESP Authentication:] in [ESP Encryption:].
|
[ESP Authentication:]
|
Za vklop overjanja ESP izberite [SHA1] za razpršilni algoritem. Izberite [Do Not Use], če želite onemogočiti overjanje ESP.
|
|
[ESP Encryption:]
|
Izberite algoritem šifriranja za ESP. Izberite [NULL], če ne želite določiti algoritma, ali pa izberite [Do Not Use], če želite onemogočiti kodiranje ESP.
|
[Connection Mode]
Prikaže se način povezave za IPSec. Stroj podpira način prenosa, v katerem se vsebina paketov IP šifrira. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
Prikaže se način povezave za IPSec. Stroj podpira način prenosa, v katerem se vsebina paketov IP šifrira. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
11
Kliknite [OK].
Če želite registrirati dodatno varnostno politiko, se vrnite na 6. korak.
12
Razvrstite politike, navedene v [Registered IPSec Policies].
Politike se uveljavijo od tiste na najvišjem položaju do najnižje. Kliknite [Up] ali [Down], da politiko pomaknete višje ali nižje.
OPOMBA:
Urejanje politike
Kliknite ustrezno besedilno povezavo pod [Policy Name], da odprete zaslon za urejanje.
Urejanje politike
Kliknite ustrezno besedilno povezavo pod [Policy Name], da odprete zaslon za urejanje.
Brisanje politike
Kliknite [Delete] desno od imena politike, ki jo želite izbrisati kliknite [OK].
kliknite [OK].13
Ponovno zaženite stroj.
Ugasnite stroj in počakajte najmanj 10 sekund, nato ga znova vključite.