Konfiguration af IPSec-indstillinger
Internet Protocol Security (IPSec eller IPsec) er en protokolprogrampakke til kryptering af data, der transporteres via et netværk, herunder internetnetværk. Selvom TLS kun krypterer data, der anvendes i et bestemt program, f.eks. en webbrowser eller et e-mailprogram, krypterer IPSec hele IP-pakker eller data i IP-pakker, hvilket giver et mere alsidigt sikkerhedssystem. Maskinens IPSec fungerer i transportstatus, i hvilken dataene i IP-pakkerne krypteres. Med denne funktion kan maskinen oprette direkte forbindelse til en computer, der er på det samme VPN (virtual private network). Kontroller systemkravene, og angiv den nødvendige konfiguration på computeren, før du konfigurerer maskinen.
Systemkrav
IPSec, der understøttes af maskinen, er i overensstemmelse med RFC2401, RFC2402, RFC2406 og RFC4305.
|
Operativsystem
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Forbindelsesstatus
|
Transportstatus
|
|
|
Nøgleudvekslingsprotokol
|
IKEv1 (hovedstatus)
|
|
|
Godkendelsesmetode
|
Forhåndsdelt nøgle
Digital signatur
|
|
|
Hashalgoritme
(og nøglelængde) |
HMAC-SHA1-96
HMAC-SHA2 (256 eller 384 bit)
|
|
|
Krypteringsalgoritme
(og nøglelængde) |
3DES-CBC
AES-CBC (128, 192 eller 256 bit)
|
|
|
Nøgleududvekslingsalgoritme/-gruppe (og nøglelængde)
|
Diffie-Hellman (DH)
Gruppe 1 (768 bit)
Gruppe 2 (1024 bit)
Gruppe 14 (2048 bit)
|
|
|
ESP
|
Hashalgoritme
|
HMAC-SHA1-96
|
|
Krypteringsalgoritme
(og nøglelængde) |
3DES-CBC
AES-CBC (128, 192 eller 256 bit)
|
|
|
Hashalgoritme/krypteringsalgoritme (og nøglelængde)
|
AES-GCM (128, 192 eller 256 bit)
|
|
|
AH
|
Hashalgoritme
|
HMAC-SHA1-96
|
|
BEMÆRK!
|
IPSec-funktionsbegrænsningerIPSec understøtter kommunikation til en unicast-adresse (eller en enkelt enhed).
Maskinen kan ikke bruge både IPSec og DHCPv6 samtidigt.
IPSec er ikke tilgængelig på netværk, hvor der er implementeret en NAT- eller IP-maske.
Brug af IPSec med IP-adressefilterIndstillinger for IP-adressefiltret anvendes før IPSec-politikkerne.
|
Konfiguration af IPSec-indstillinger
Før du bruger IPSec til krypteret kommunikation, skal du registrere sikkerhedspolitikkerne (SP). En sikkerhedspolitik består af grupper de indstillinger, der er beskrevet herunder. Der kan registreres op til 10 politikker. Når du har registreret politikkerne, skal du angive den rækkefølge, ihvilken de anvendes.
Vælger
Vælgeren definerer betingelserne for IP-pakker for at anvende IPSec-kommunication. De indstillinger, der kan vælges, omfatter maskinens IP-adresser og portnumre og de enheder, der skal kommunikeres med.
IKE
IKE konfigurerer den IKEv1, der bruges til nøgleudvekslingsprotokollen. Bemærk, at instruktionerne kan variere, afhængigt af den godkendelsesmetode der er valgt.
[Metoden Forhåndsdelt nøgle:]
En nøgle på op til 24 alfanumeriske tegn kan deles med de andre enheder. Aktivér TLS for Remote UI, før du angiver denne godkendelsesmetode (Aktivering af TLS-krypteret kommunikation for Remote UI).
En nøgle på op til 24 alfanumeriske tegn kan deles med de andre enheder. Aktivér TLS for Remote UI, før du angiver denne godkendelsesmetode (Aktivering af TLS-krypteret kommunikation for Remote UI).
[Digital signaturmetode:]
Maskinen og de andre enheder godkender hinanden ved gensidigt at bekræfte deres digitale signaturer. Generér eller installér nøgleparret på forhånd (Konfiguration af indstillinger for nøglepar og digitale certifikater).
Maskinen og de andre enheder godkender hinanden ved gensidigt at bekræfte deres digitale signaturer. Generér eller installér nøgleparret på forhånd (Konfiguration af indstillinger for nøglepar og digitale certifikater).
AH/ESP
Angiv indstillingerne for AH/ESP, som føjes til pakkerne under IPSec-kommunikation. AH og ESP bruges samtidigt. Du kan også vælge, hvorvidt du vil aktivere PFS for at stramme sikkerheden eller ej.
1
Start Brugerinterface til fjernbetjening, og log på i systemadministratorstatus. Start af Brugerinterface til fjernbetjening
2
Klik på [Indstillinger/registrering].
3
Klik på [Sikkerhedsindstillinger] 
[IPSec-indstillinger].
[IPSec-indstillinger].
4
Klik på [Rediger ...].
5
Marker afkrydsningsfeltet [Brug IPSec], og klik på [OK].
Hvis du ønsker, at maskinen kun skal modtage pakker, der stemmer overens med en af de sikkerhedspolitiker, du definerer i trinnene herunder, skal du rydde markeringen i afkrydsningsfeltet [Modtag Non-policy-pakker].
6
Klik på [Registrér ny politik...].
7
Angiv politikindstillingerne.
|
1
|
I tekstfeltet [Politiknavn] skal du angive op til 24 alfanumeriske tegn for et navn, der bruges til identificering af politikken.
|
|
2
|
Marker afkrydsningsfeltet [Aktivér politik].
 |
8
Angiv indstillingerne for vælgeren.
[Lokal adresse:]
Klik på alternativknappen for denne type IP-adresse for maskinen for at anvende politikken.
Klik på alternativknappen for denne type IP-adresse for maskinen for at anvende politikken.
|
[Alle IP-adresser]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker.
|
|
[IPv4-adresse]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra maskinens IPv4-adresse.
|
|
[IPv6-adresse]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra maskinens IPv6-adresse.
|
[Fjernadresse:]
Klik på alternativknappen for denne type IP-adresse for andre enheder for at anvende politikken.
Klik på alternativknappen for denne type IP-adresse for andre enheder for at anvende politikken.
|
[Alle IP-adresser]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker.
|
|
[Alle IPv4-adresse]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra IPv4-adresser for de andre enheder.
|
|
[Alle IPv6-adresse]
|
Vælg indstillingen for at bruge IPSec til alle IP-pakker, der blev sendt til eller fra IPv6-adresser for andre enheder.
|
|
[Manuelle IPv4-indstillinger]
|
Vælg indstillingen for at angive en enkelt IPv4-adresse eller et udvalg af IPv4-adresser for at anvende IPSec. Angiv IPv4-adressen (eller området) i tekstfeltet [Adresser til manuel indstilling:].
|
|
[Manuelle IPv6-indstillinger]
|
Vælg indstillingen for at angive en enkelt IPv6-adresse eller et udvalg af IPv6-adresser for at anvende IPSec. Angiv IPv6-adressen (eller området) i tekstfeltet [Adresser til manuel indstilling:].
|
[Adresser til manuel indstilling:]
Hvis [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger] er valgt for [Fjernadresse:], skal du angive IP-adressen for at anvende politikken. Du kan også angive et adresseområde ved at indsætte en bindestreg mellem adresserne.
Hvis [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger] er valgt for [Fjernadresse:], skal du angive IP-adressen for at anvende politikken. Du kan også angive et adresseområde ved at indsætte en bindestreg mellem adresserne.
BEMÆRK!
Angivelse af IP-adresser
Angivelse af IP-adresser
|
Beskrivelse
|
Eksempel
|
|
|
Indtastning af en enkelt adresse
|
IPv4:
Adskil tal med punktummer. |
192.168.0.10
|
|
IPv6:
Adskil alfanumeriske tegn med kolonner. |
fe80::10
|
|
|
Angivelse af adresseområder
|
Indsæt en bindestreg mellem adresserne.
|
192.168.0.10-192.168.0.20
|
|
Angivelse af adresseområder med et præfiks (kun IPv6)
|
Indtast adressen efterfulgt af en skråstreg og et tal, der indikerer præfikslængde.
|
fe80::1234/64
|
[Indstillinger for undernet:]
Når du angiver IPv4-adressen manuelt, kan du udtrykke området ved hjælp af undernetmasken. Angiv undernetmasken, og adskil tallene med punktummer (eksempel: "255.255.255.240").
Når du angiver IPv4-adressen manuelt, kan du udtrykke området ved hjælp af undernetmasken. Angiv undernetmasken, og adskil tallene med punktummer (eksempel: "255.255.255.240").
[Præfikslængde:]
Ved manual angivelse af IPv6 kan du angive præfikslængden.
Ved manual angivelse af IPv6 kan du angive præfikslængden.
[Lokal port:]/[Fjernport:]
Hvis du vil oprette separate politikker for hver protokol, f.eks. HTTP eller SNMP, skal du angive det relevante portnummer for protokollen for at afgøre, om IPSec skal bruges.
Hvis du vil oprette separate politikker for hver protokol, f.eks. HTTP eller SNMP, skal du angive det relevante portnummer for protokollen for at afgøre, om IPSec skal bruges.
VIGTIGT!
IPSec anvendes ikke på de følgende pakker
IPSec anvendes ikke på de følgende pakker
Tilbageloop-, multicast- og broadcast-pakker
IKE-pakker (vha. UDP på port 500)
ICMPv6-naboinvitations- og nabomeddelelsespakker
9
Angiv IKE-indstillingerne.
[IKE-tilstand:]
Den status, der bruges til nøgleudvekslingsprotokollen vises. Maskinen understøtter hovedstatussen, ikke den aggressive status.
Den status, der bruges til nøgleudvekslingsprotokollen vises. Maskinen understøtter hovedstatussen, ikke den aggressive status.
[Autentificeringsmetode:]
Vælg [Metoden Forhåndsdelt nøgle:] eller [Digital signaturmetode:] for den metode, der bruges, når du godkender maskinen. Du skal aktivere TLS for Remote UI, før du vælger [Metoden Forhåndsdelt nøgle:] (Aktivering af TLS-krypteret kommunikation for Remote UI). Du skal generere eller installere et nøglepar, før du vælger [Digital signaturmetode:] (Konfiguration af indstillinger for nøglepar og digitale certifikater).
Vælg [Metoden Forhåndsdelt nøgle:] eller [Digital signaturmetode:] for den metode, der bruges, når du godkender maskinen. Du skal aktivere TLS for Remote UI, før du vælger [Metoden Forhåndsdelt nøgle:] (Aktivering af TLS-krypteret kommunikation for Remote UI). Du skal generere eller installere et nøglepar, før du vælger [Digital signaturmetode:] (Konfiguration af indstillinger for nøglepar og digitale certifikater).
[Gyldig til:]
Angiv, i hvor lang tid en session varer for IKE SA (ISAKMP SA). Angiv tiden i minutter.
Angiv, i hvor lang tid en session varer for IKE SA (ISAKMP SA). Angiv tiden i minutter.
[Autentificering:]/[Kryptering:]/[DH-gruppe:]
Vælg en algoritme på rullelisten. Hver enkelt algoritme bruges i nøgleudvekslingen.
Vælg en algoritme på rullelisten. Hver enkelt algoritme bruges i nøgleudvekslingen.
|
[Autentificering:]
|
Vælg hashalgoritmen.
|
|
[Kryptering:]
|
Vælg krypteringsalgoritmen.
|
|
[DH-gruppe:]
|
Vælg Diffie-Hellman-gruppen, der bestemmer længden på nøglen.
|
Brug af en forhåndsdelt nøgle til godkendelse
|
1
|
Klik på alternativknappen [Metoden Forhåndsdelt nøgle:] for [Autentificeringsmetode:], og klik derefter på [Indstillinger for delt nøgle...].
|
|
2
|
Angiv op til 24 alfanumeriske tegn for den forhåndsdelte nøgle, og klik på [OK].
 |
|
3
|
Angiv indstillingerne [Gyldig til:], og [Autentificering:]/[Kryptering:]/[DH-gruppe:].
|
Brug af et nøglepar og forhåndsinstallerede CA-certifikater for godkendelse
|
1
|
Klik på alternativknappen [Digital signaturmetode:] for [Autentificeringsmetode:], og klik derefter på [Nøgle og certifikat ...].
|
|
2
|
Klik på [Registrer standardnøgle] til højre for et nøglepar, du vil bruge.
 BEMÆRK!
Visning af detaljer om et nøglepar eller et certifikat Du kan klikke på detaljerne for certifikatet eller kontrollere certifikatet ved at klikke på det tilhørende tekstlink under [Nøglenavn] eller ikonet for certifikatet. Bekræftelse af nøglepar og digitale certifikater
|
|
3
|
Angiv indstillingerne [Gyldig til:], og [Autentificering:]/[Kryptering:]/[DH-gruppe:].
|
10
Angiv netværksindstillingerne for IPSec.
[Brug PFS]
Markér afkrydsningsfeltet for at aktivere PFS (perfect forward secrecy) for IPSec-sessionsnøgler. Hvis du aktiverer PFS, forbedrer det sikkerheden, samtidig med at belastningen af kommunikationen øges. Sørg for, at PFS også er aktiveret for de andre enheder.
Markér afkrydsningsfeltet for at aktivere PFS (perfect forward secrecy) for IPSec-sessionsnøgler. Hvis du aktiverer PFS, forbedrer det sikkerheden, samtidig med at belastningen af kommunikationen øges. Sørg for, at PFS også er aktiveret for de andre enheder.
[Angiv efter tid]/[Angiv efter størrelse]
Angiv betingelserne for afslutning af en session for IPSec SA. IPSec SA bruges som en kommunikationstunnel. Marker et eller begge felter efter behov. Hvis du markerer begge felter, afsluttes IPSec SA-sessionen, når en af betingelserne er blevet opfyldt.
Angiv betingelserne for afslutning af en session for IPSec SA. IPSec SA bruges som en kommunikationstunnel. Marker et eller begge felter efter behov. Hvis du markerer begge felter, afsluttes IPSec SA-sessionen, når en af betingelserne er blevet opfyldt.
|
[Angiv efter tid]
|
Angiv en tid i minutter for at angive, i hvor lang tid en session varer.
|
|
[Angiv efter størrelse]
|
Angiv en størrelse i MB for at angive, hvor mange data der kan transporteres i en session.
|
[Vælg algoritme:]
Marker afkrydsningsfeltet/-felterne [ESP], [ESP (AES-GCM)] eller [AH (SHA1)], afhængigt af den IPSec-header og -algorime der anvendes. AES-GCM er en algoritme til både godkendelse og kryptering. Hvis [ESP] er valgt, skal du også vælge algoritmer til godkendelse og kryptering på rullelisterne [ESP-autentificering:] og [EPS-kryptering:].
Marker afkrydsningsfeltet/-felterne [ESP], [ESP (AES-GCM)] eller [AH (SHA1)], afhængigt af den IPSec-header og -algorime der anvendes. AES-GCM er en algoritme til både godkendelse og kryptering. Hvis [ESP] er valgt, skal du også vælge algoritmer til godkendelse og kryptering på rullelisterne [ESP-autentificering:] og [EPS-kryptering:].
|
[ESP-autentificering:]
|
Hvis du vil aktivere ESP-godkendelsen, skal du vælge [SHA1] for hashalgoritmen. Vælg [Brug ikke], hvis du vil deaktivere ESP-godkendelsen.
|
|
[EPS-kryptering:]
|
Vælg krypteringsalgoritmen for ESP. Du kan vælge [NULL], hvis du ikke vil angive algoritmen, eller vælge [Brug ikke], hvis du vil deaktivere ESP-kryptering.
|
[Tilslutningsstatus]
Forbindelsesstatussen for IPSec vises. Maskinen understøtter transportstatussen, i hvilken dataene i IP-pakkerne krypteres. Tunnelstatussen, i hvilken hele IP-pakker (headere og data) indkapsles, er ikke tilgængelig.
Forbindelsesstatussen for IPSec vises. Maskinen understøtter transportstatussen, i hvilken dataene i IP-pakkerne krypteres. Tunnelstatussen, i hvilken hele IP-pakker (headere og data) indkapsles, er ikke tilgængelig.
11
Klik på [OK].
Hvis du skal registrere en ekstra sikkerhedspolitik, skal du gå tilbage til trin 6.
12
Arranger rækkefølgen af de politikker, der vises under [Registrerede IPSec-politikker].
Politikkerne anvendes fra den, som er placeret højest, til den, der er placeret nederst. Klik på [Op] eller [Ned] for at flytte en politik op eller ned i rækkefølgen.
BEMÆRK!
Redigering af en politik
Klik på det tilsvarende tekstlink under [Politiknavn] for redigeringsskærmen.
Redigering af en politik
Klik på det tilsvarende tekstlink under [Politiknavn] for redigeringsskærmen.
Sletning af en politik
Klik på [Slet] til højre for det politiknavn, du vil slette klik på [OK].
klik på [OK].13
Genstart maskinen.
Sluk maskinen, vent mindst 10 sekunder, og tænd den igen.