Konfiguriranje postavki za IPSec

Internet Protocol Security (IPSec ili IPsec) paket je protokola za šifriranje podataka koji se prenose putem mreže, uključujući internetske mreže. Dok TLS šifrira samo podatke koji se koriste u određenoj aplikaciji, kao što je web-preglednik ili aplikacija za e-poštu, IPSec šifrira cijele IP pakete ili njihov sadržaj te tako nudi raznolikiji sigurnosni sustav. IPSec uređaja funkcionira u načinu prijenosa, u kojem se sadržaj IP paketa šifrira. Uz tu se značajku uređaj može izravno povezati s računalom u istoj virtualnoj privatnoj mreži (VPN-u). Prije konfiguriranja uređaja provjerite sistemske preduvjete i postavite potrebnu konfiguraciju na računalu.

Tražene značajke sustava

IPSec koji uređaj podržava usklađen je sa standardima RFC2401, RFC2402, RFC2406 i RFC4305.

Operacijski sustav	Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
Način povezivanja	Način prijenosa
Protokol razmjene ključeva	IKEv1 (glavni način)
	Način provjere autentičnosti	Unaprijed razmijenjeni ključ Digitalni potpis
	Hash algoritam (i dužina ključa)	HMAC-SHA1-96 HMAC-SHA2 (256-bitni ili 384-bitni)
	Algoritam enkripcije (i duljina ključa)	3DES-CBC AES-CBC (128-bitni, 192-bitni ili 256-bitni)
	Algoritam razmjene ključeva / grupa (i duljina ključa)	Diffie-Hellman (DH) Grupa 1 (768 bita) Grupa 2 (1024 bita) Grupa 14 (2048 bita)
ESP	Algoritam raspršivanja	HMAC-SHA1-96
	Algoritam enkripcije (i duljina ključa)	3DES-CBC AES-CBC (128-bitni, 192-bitni ili 256-bitni)
	Algoritam raspršivanja / algoritam šifriranja (i duljina ključa)	AES-GCM (128-bitni, 192-bitni ili 256-bitni)
AH	Algoritam raspršivanja	HMAC-SHA1-96

NAPOMENA
Funkcionalna ograničenja protokola IPSec IPSec podržava komunikaciju s jednosmjernom adresom (ili jednim uređajem). Uređaj ne može istodobno koristiti IPSec i DHCPv6. IPSec nije dostupan u mrežama s implementiranim NAT ili IP maskiranjem. Korištenje protokola IPSec s filtrom IP adresa Prije IPSec pravilnika primjenjuju se postavke filtra IP adresa. Definiranje IP adresa za pravila vatrozida

NAPOMENA

Funkcionalna ograničenja protokola IPSec

IPSec podržava komunikaciju s jednosmjernom adresom (ili jednim uređajem).

Uređaj ne može istodobno koristiti IPSec i DHCPv6.

IPSec nije dostupan u mrežama s implementiranim NAT ili IP maskiranjem.

Korištenje protokola IPSec s filtrom IP adresa

Prije IPSec pravilnika primjenjuju se postavke filtra IP adresa.

Definiranje IP adresa za pravila vatrozida

Konfiguriranje postavki za IPSec

Prije korištenja protokola IPSec za šifriranu komunikaciju potrebno je registrirati sigurnosna pravila. Sigurnosna se pravila sastoje od grupa postavki koje su opisane u nastavku. Moguće je registrirati najviše 10 pravila. Nakon registriranja pravila definirajte redoslijed kojim se primjenjuju.

Alat za odabir

Alat za odabir definira uvjete za IP pakete koji se primjenjuju na IPSec komunikaciju. Uvjeti koji se mogu odabrati obuhvaćaju IP adrese i brojeve priključaka na uređaju i ostalim uređajima za komunikaciju.

IKE

IKE konfigurira IKEv1 koji se koristi za protokol razmjene ključeva. Imajte na umu da upute ovise o odabranom načinu provjere autentičnosti.

[Pre-Shared Key Method:] (Način unaprijed dijeljenog ključa)
S drugim je uređajima moguće razmijeniti ključ od najviše 24 alfanumerička znaka. Prije no što definirate tu metodu provjere autentičnosti (Omogućivanje komunikacije šifrirane TLS-om za korisničko sučelje za daljinski pristup), za Remote UI (Korisničko sučelje za daljinski pristup) omogućite TLS.

[Digital Signature Method:]
Uređaj i drugi uređaji međusobno potvrđuju svoje digitalne potpise i tako si potvrđuju autentičnost. Unaprijed generirajte ili instalirajte par ključeva (Konfiguriranje postavki za parove ključeva i digitalne certifikate).

AH/ESP

Definirajte postavke za zaglavlje AH/ESP koje se dodaje u pakete tijekom IPSec komunikacije. AH i ESP mogu se koristiti istodobno. Možete odabrati i želite li omogućiti PFS radi veće sigurnosti.

Pokrenite Remote UI (Korisničko sučelje za daljinski pristup), a zatim se prijavite u načinu rada za upravitelja sustava. Pokretanje sučelja Remote UI

Kliknite na [Settings/Registration].

Kliknite na [Security Settings]

[IPSec Settings].

Kliknite na [Edit...].

Odaberite potvrdni okvir [Use IPSec] i kliknite na [OK].

Ako želite da uređaj prima samo one pakete koji odgovaraju nekom od sigurnosnih pravilnika koje definirate u koracima u nastavku, poništite potvrdni okvir [Receive Non-Policy Packets].

Kliknite na [Register New Policy...].

Definirajte postavke pravila.

1	U tekstni okvir [Policy Name] unesite najviše 24 znaka za naziv koji se koristi za prepoznavanje pravila.
2	Potvrdite okvir [Enable Policy].

Definirajte postavke alata za odabir.

[Local Address:]
Kliknite izborni gumb za vrstu IP adrese uređaja da biste primijenili pravila.

[All IP Addresses]	Odaberite da biste IPSec koristili za sve IP pakete.
[IPv4 Address]	Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv4 adresu uređaja ili s nje.
[IPv6 Address]	Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv6 adresu uređaja ili s nje.

[Remote Address:]
Kliknite izborni gumb za vrstu IP adrese drugih uređaja da biste primijenili pravila.

[All IP Addresses]	Odaberite da biste IPSec koristili za sve IP pakete.
[All IPv4 Addresses]	Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv4 adresu drugih uređaja ili s nje.
[All IPv6 Addresses]	Odaberite da biste IPSec koristili za sve IP pakete poslane na IPv6 adresu drugih uređaja ili s nje.
[IPv4 Manual Settings]	Odaberite da biste definirali IPv4 adresu ili raspon IPv4 adresa za primjenu protokola IPSec. Unesite IPv4 adresu (ili raspon) u tekstni okvir [Addresses to Set Manually:].
[IPv6 Manual Settings]	Odaberite da biste definirali IPv6 adresu ili raspon IPv6 adresa za primjenu protokola IPSec. Unesite IPv6 adresu (ili raspon) u tekstni okvir [Addresses to Set Manually:].

[Addresses to Set Manually:]
Ako je [IPv4 Manual Settings] ili [IPv6 Manual Settings] odabrano za [Remote Address:], upišite IP adresu radi primjene pravila. Raspon adresa možete unijeti i umetanjem crtice između adresa.

NAPOMENA:
Unos IP adresa

	Opis	Primjer
Unos jedne adrese	IPv4: Brojeve odvojite točkama.	192.168.0.10
Unos jedne adrese	IPv6: Alfanumeričke znakove odvojite dvotočkama.	fe80::10
Definiranje raspona adresa	Između adresa umetnite crticu.	192.168.0.10-192.168.0.20
Definiranje raspona adresa s prefiksom (samo IPv6)	Unesite adresu, a zatim kosu crtu i broj koji naznačuje duljinu prefiksa.	fe80::1234/64

[Subnet Settings:]
Prilikom ručnog unosa IPv4 adresa raspon se može izraziti pomoću maske podmreže. Unesite masku podmreže i koristite točke da biste odijelili brojeve (primjer: "255.255.255.240").

[Prefix Length:]
Podešavate li IPv6 adresu ručno, možete pdoesiti dužinu prefiksa.

[Local Port:]/[Remote Port:]
Ako želite stvoriti zasebna pravila za svaki protokol, npr. HTTP ili SMTP, unesite odgovarajući broj priključka za svaki protokol da biste definirali treba li koristiti IPSec.

VAŽNO:
IPSec se ne primjenjuje na sljedeće pakete

povratne, višesmjerne i emitirane pakete

IKE pakete (koriste UDP na priključku 500)

ICMPv6 pakete susjednog poticanja i oglašavanja

Definirajte postavke protokola IKE.

[IKE Mode:]
Prikazuje se način rada koji se koristi za protokol razmjene ključeva. Uređaj podržava glavni način rada, ali ne i agresivan način.

[Authentication Method:] (Način provjere autentičnosti)
Odaberite [Pre-Shared Key Method:] (Način unaprijed dijeljenog ključa) ili [Digital Signature Method:] (Način digitalnog potpisa) za metodu potvrde autentičnosti uređaja. Morate aktivirati TLS za korisničko sučelje za daljinski pristup prije nego odaberete [Pre-Shared Key Method:] (Način unaprijed dijeljenog ključa) (Omogućivanje komunikacije šifrirane TLS-om za korisničko sučelje za daljinski pristup). Prije nego odaberete [Digital Signature Method:] (Način digitalnog potpisa) morate generirati ili instalirati par ključeva (Konfiguriranje postavki za parove ključeva i digitalne certifikate).

[Valid for:]
Definirajte koliko dugo traje sesija za IKE SA (ISAKMP SA). Unesite vrijeme u minutama.

[Authentication:]/[Encryption:]/[DH Group:]
S padajućeg popisa odaberite algoritam. Svaki se algoritam koristi u razmjeni ključeva.

[Authentication:]	Odaberite algoritam raspršivanja.
[Encryption:]	Odaberite algoritam šifriranja.
[DH Group:]	Odaberite Diffie-Hellmanovu grupu kojom se definira jačina ključa.

Korištenje unaprijed razmijenjenog ključa za provjeru autentičnosti

1	Kliknite na tipku [Pre-Shared Key Method:] za [Authentication Method:] a zatim kliknite na [Shared Key Settings...].
2	Unesite najviše 24 alfanumerička znaka za unaprijed razmijenjeni ključ, a zatim kliknite [OK].
3	Definirajte postavke za [Valid for:] i [Authentication:]/[Encryption:]/[DH Group:].

Korištenje para ključeva i unaprijed instaliranih certifikata CA za provjeru autentičnosti

1	Kliknite na tipku [Digital Signature Method:] za [Authentication Method:] a zatim kliknite na [Key and Certificate...].
2	Desno od para ključeva koji želite koristiti kliknite [Register Default Key]. NAPOMENA: Prikaz detalja o paru ključeva ili certifikatu Klikom na odgovarajuću tekstnu vezu u odjeljku [Key Name] ili ikonu certifikata možete pogledati detalje certifikata ili provjeriti certifikat. Potvrda parova ključeva i digitalnih certifikata
3	Definirajte postavke za [Valid for:] i [Authentication:]/[Encryption:]/[DH Group:].

Definirajte mrežne postavke za IPSec.

[Use PFS]
Potvrdite okvir da biste omogućili savršenu tajnost prosljeđivanja (Perfect Forward Secrecy, PFS) za ključeve IPSec sesije. Omogućivanjem PFS-a poboljšava se sigurnost, ali i povećava opterećenje komunikacije. Provjerite je li PFS omogućen i na ostalim uređajima.

[Specify by Time]/[Specify by Size]
Postavite uvjete za prekid sesije za IPSec dodjelu sigurnosti (SA). IPSec SA koristi se kao komunikacijski tunel. Po potrebi potvrdite jedan ili oba okvira. Ako su potvrđena oba okvira, IPSec SA sesija prekida se kada se ispuni jedan od uvjeta.

[Specify by Time]	Da biste definirali trajanje sesije, unesite vrijeme u minutama.
[Specify by Size]	Da biste definirali koliko se podataka može prenijeti u jednoj sesiji, unesite veličinu u megabajtima.

[Select Algorithm:]
Odaberite potvrdne okvire [ESP], [ESP (AES-GCM)] ili [AH (SHA1)], ovisno o IPSec zaglavlju i korištenom algoritmu. AES-GCM je algoritam za provjeru autentičnosti i šifriranje. Ako je odabrano [ESP], odaberite s padajućih izbornika [ESP Authentication:] i [ESP Encryption:] i algoritme za autentikaciju i enkripciju.

[ESP Authentication:]	Da biste omogućili ESP provjeru autentičnosti, za algoritam raspršivanja odaberite [SHA1]. Ako želite onemogućiti ESP provjeru autentičnosti, odaberite [Do Not Use].
[ESP Encryption:]	Odaberite algoritam šifriranja za ESP. Odaberite [NULL] ako ne želite definirati algoritam ili odaberite [Do Not Use] ako želite onemogućiti ESP šifriranje.

[Connection Mode]
Prikazuje se način povezivanja protokola IPSec. Uređaj podržava način prijenosa, u kojem se sadržaj IP paketa šifrira. Način rada u tunelu, u kojem se inkapsuliraju cijeli IP paketi (zaglavlja i sadržaj), nije dostupan.

Kliknite na [OK].

Ako želite registrirati dodatna sigurnosna pravila, vratite se na 6. korak.

Uredite redoslijed pravila u odjeljku [Registered IPSec Policies].

Pravila se primjenjuju od najvišeg položaja prema najnižem. Da biste pravila premjestili prema gore ili prema dolje, kliknite [Up] ili [Down].

NAPOMENA:
Uređivanje pravila
Da bi se prikazao zaslon za uređivanje, kliknite odgovarajuću tekstnu vezu u odjeljku [Policy Name].

Brisanje pravila

Kliknite [Delete] s desne strane naziva pravila koje želite izbrisati

kliknite [OK].

Ponovo pokrenite uređaj.

Isključite uređaj pa pričekajte barem deset sekundi prije nego ga ponovno uključite.

Konfiguriranje postavki za parove ključeva i digitalne certifikate

Popis pravila za IPSec