IPSec-protokolli seadete konfigureerimine
Internet Protocol Security (Interneti-protokolli turve) (IPSec või IPsec) on protokollipakett võrgu kaudu transporditavate andmete krüptimiseks. Kui TLS krüptib ainult konkreetses rakenduses (nt veebibrauser või e-posti rakendus) kasutatavad andmed, krüptib IPSec kas IP-paketid tervikuna või IP-pakettide kogumid, luues seeläbi mitmekülgsema turbesüsteemi. Seadme IPSec töötab transpordirežiimis, milles IP-pakettide kogumid krüptitakse. Selle funktsiooniga saab seade ühenduda otse arvutiga, mis asub samas VPN-võrgus. Kontrollige süsteeminõudeid ja konfigureerige arvuti enne seadme konfigureerimist.
Nõuded süsteemile
Seadme toetatav IPSec vastab dokumentide RFC2401, RFC2402, RFC2406 ja RFC4305 nõuetele.
|
Operatsioonisüsteem
|
Windows XP / Vista / 7 / 8 / Server 2003 / Server 2008 / Server 2012
|
|
|
Ühendusrežiim
|
Transpordirežiim
|
|
|
Võtmevahetuse protokoll
|
IKEv1 (põhirežiim)
|
|
|
Autentimismeetod
|
Eelnevalt jaotatud võti
Digitaalsignatuur
|
|
|
Räsialgoritm
(ja võtme pikkus) |
HMAC-SHA1-96
HMAC-SHA2 (256 või 384 bitti)
|
|
|
Krüptimisalgoritm
(ja võtme pikkus) |
3DES-CBC
AES-CBC (128, 192 või 256 bitti)
|
|
|
Võtmevahetuse algoritm/grupp (ja võtme pikkus)
|
Diffie-Hellman (DH)
Grupp 1 (768 bitti)
Grupp 2 (1024 bitti)
Grupp 14 (2048 bitti)
|
|
|
ESP
|
Räsialgoritm
|
HMAC-SHA1-96
|
|
Krüptimisalgoritm
(ja võtme pikkus) |
3DES-CBC
AES-CBC (128, 192 või 256 bitti)
|
|
|
Räsialgoritm/krüptimisalgoritm (ja võtme pikkus)
|
AES-GCM (128, 192 või 256 bitti)
|
|
|
AH
|
Räsialgoritm
|
HMAC-SHA1-96
|
|
MÄRKUS
|
IPSec-protokolli funktsionaalsed piirangudIPSec toetab sidet ainusaateaadressiga (ehk ühe seadmega).
Seade ei saa kasutada samaaegselt nii IPSec-protokolli kui ka DHCPv6-protokolli.
IPSec-protokoll pole saadaval võrkudes, milles kasutatakse NAT- või IP-aadressi maskimist.
IPSec-protokolli kasutamine koos IP-aadressi filtrigaIP-aadressi filtri seaded rakendatakse enne IPSec-protokolli reegleid.
|
IPSec-protokolli seadete konfigureerimine
Enne IPSec-protokolli kasutamist krüptitud sides peate registreerima turbereeglid (SP). Turbereegel koosneb allpool kirjeldatud seadekogumitest. Registreerida saab kuni 10 reeglit. Pärast reeglite registreerimist määrake nende rakendamise järjestus.
Valits
Valits määratleb IPSec-side rakendamiseks vajalikud IP-pakettide tingimused. Valitavad tingimused hõlmavad seadme IP-aadresse ja pordinumbreid ning seadmeid, millega ühendus luuakse.
IKE
IKE konfigureerib võtmevahetuse protokollis kasutatava režiimi IKEv1. Võtke arvesse, et juhised võivad olenevalt valitud autentimisviisist erineda.
[Pre-Shared Key Method:]
Teiste seadetega saab ühiskasutusse anda kuni 24-kohalise tähtedest ja numbritest koosneva võtme. Lubage enne selle autentimisviisi määramist rakenduse Remote UI (Kaugkasutajaliides) jaoks TLS (TLS-standardi abil krüptitud ühenduse lubamine rakenduse Remote UI (Kaugkasutajaliides) jaoks).
Teiste seadetega saab ühiskasutusse anda kuni 24-kohalise tähtedest ja numbritest koosneva võtme. Lubage enne selle autentimisviisi määramist rakenduse Remote UI (Kaugkasutajaliides) jaoks TLS (TLS-standardi abil krüptitud ühenduse lubamine rakenduse Remote UI (Kaugkasutajaliides) jaoks).
[Digital Signature Method:]
See seade ja muud seadmed autendivad üksteist digitaalsignatuuride vastastikuse kontrollimisega. Looge või installige eelnevalt võtmepaar (Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine).
See seade ja muud seadmed autendivad üksteist digitaalsignatuuride vastastikuse kontrollimisega. Looge või installige eelnevalt võtmepaar (Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine).
AH/ESP
Määrake AH/ESP seaded, mis lisatakse IPSec-side käigus pakettidele. Päiseid AH ja ESP saab kasutada samaaegselt. Samuti saate valida, kas suurema turvalisuse nimel valida või mitte valida PFS.
1
Käivitage Remote UI (Kaugkasutajaliides) ja logige sisse süsteemihaldurirežiimis. Remote UI (Kaugkasutajaliides) käivitamine
2
Klõpsake [Settings/Registration].
3
Klõpsake nuppe [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Klõpsake [Edit...].
5
Märkige ruut [Use IPSec] ja klõpsake nuppu [OK].
Kui soovite, et seade võtaks vastu ainult allpool esitatud juhendites määratletud turbereeglitele vastavaid pakette, tühjendage ruut [Receive Non-Policy Packets].
6
Klõpsake [Register New Policy...].
7
Määrake reegli seaded.
|
1
|
Sisestage tekstiväljale [Policy Name] kuni 24 tähe- ja/või numbrimärgist koosnev nimi, mida kasutatakse reegli tuvastamiseks.
|
|
2
|
Märkige ruut [Enable Policy].
 |
8
Määrake valitsa seaded.
[Local Address:]
Klõpsake reegli rakendamiseks seadme IP-aadressi tüübi raadionuppu.
Klõpsake reegli rakendamiseks seadme IP-aadressi tüübi raadionuppu.
|
[All IP Addresses]
|
Valige, et kasutada IPSec-protokolli kõikide IP-pakettide korral.
|
|
[IPv4 Address]
|
Valige kõikide IP-pakettide jaoks, mis saadetakse seadme IPv4-aadressile või sellelt aadressilt, IPSec.
|
|
[IPv6 Address]
|
Valige kõikide IP-pakettide jaoks, mis saadetakse seadme IPv6-aadressile või sellelt aadressilt, IPSec.
|
[Remote Address:]
Klõpsake reegli rakendamiseks muude seadmete IP-aadressi tüübi raadionuppu.
Klõpsake reegli rakendamiseks muude seadmete IP-aadressi tüübi raadionuppu.
|
[All IP Addresses]
|
Valige, et kasutada IPSec-protokolli kõikide IP-pakettide korral.
|
|
[All IPv4 Addresses]
|
Valige kõikide IP-pakettide muu seadme IPv4 aadressilt või muu seadme IPv4 aadressile saatmiseks, IPSec.
|
|
[All IPv6 Addresses]
|
Valige kõikide IP-pakettide muu seadme IPv6 aadressilt või muu seadme IPv6 aadressile saatmiseks, IPSec.
|
|
[IPv4 Manual Settings]
|
Valige, et määrata üks IPv4-aadress või IPv4-aadresside vahemik, mille korral rakendatakse IPSec-protokolli. Sisestage IPv4-aadress (või vahemik) tekstiväljale [Addresses to Set Manually:].
|
|
[IPv6 Manual Settings]
|
Valige, et määrata üks IPv6-aadress või IPv6-aadresside vahemik, mille korral rakendatakse IPSec-protokolli. Sisestage IPv6-aadress (või vahemik) tekstiväljale [Addresses to Set Manually:].
|
[Addresses to Set Manually:]
Kui [IPv4 Manual Settings] või [IPv6 Manual Settings] on valitud [Remote Address:] jaoks, siis sisestage reegli rakendamiseks IP-aadress. Lisades aadresside vahele sidekriipsu saate sisestada ka aadressivahemiku.
Kui [IPv4 Manual Settings] või [IPv6 Manual Settings] on valitud [Remote Address:] jaoks, siis sisestage reegli rakendamiseks IP-aadress. Lisades aadresside vahele sidekriipsu saate sisestada ka aadressivahemiku.
MÄRKUS.
IP-aadresside sisestamine
IP-aadresside sisestamine
|
Kirjeldus
|
Näide
|
|
|
Ühe aadressi sisestamine
|
IPv4:
eraldage numbrid punktidega. |
192.168.0.10
|
|
IPv6:
eraldage tähe- ja numbrimärgid koolonitega. |
fe80::10
|
|
|
Aadressivahemiku määramine
|
Eraldage aadressid sidekriipsuga.
|
192.168.0.10-192.168.0.20
|
|
Eesliitega aadressivahemiku määramine (ainult IPv6)
|
Sisestage aadress, selle järele kaldkriips ja eesliite pikkust tähistav number.
|
fe80::1234/64
|
[Subnet Settings:]
IPv4-aadresside käsitsi määramisel saate vahemikku väljendada alamvõrgu maski abil. Sisestage alamvõrgu mask, eraldades numbrid punktidega (nt: „255.255.255.240”).
IPv4-aadresside käsitsi määramisel saate vahemikku väljendada alamvõrgu maski abil. Sisestage alamvõrgu mask, eraldades numbrid punktidega (nt: „255.255.255.240”).
[Prefix Length:]
Kui määrate IPv6 käsitsi, siis saate määrata eesliite pikkuse.
Kui määrate IPv6 käsitsi, siis saate määrata eesliite pikkuse.
[Local Port:]/[Remote Port:]
Kui soovite iga protokolli (nt HTTP või SNMP) jaoks luua eraldi reeglid, sisestage protokolli jaoks vastav pordinumber, et määrata, kas IPSec-protokolli kasutada või mitte.
Kui soovite iga protokolli (nt HTTP või SNMP) jaoks luua eraldi reeglid, sisestage protokolli jaoks vastav pordinumber, et määrata, kas IPSec-protokolli kasutada või mitte.
TÄHTIS
IPSeci ei rakendata järgmistele pakettidele
IPSeci ei rakendata järgmistele pakettidele
Tsükli-, multisaate- ja leviedastuspaketid
IKE paketid (mis kasutavad pordi 500 puhul UDP-d)
ICMPv6 naabri taotlemise ja naabri väljakuulutamise paketid
9
Määrake IKE seaded.
[IKE Mode:]
Kuvatakse võtmevahetuse protokolli korral kasutatav režiim. Seade toetab põhirežiimi, mitte agressiivset režiimi.
Kuvatakse võtmevahetuse protokolli korral kasutatav režiim. Seade toetab põhirežiimi, mitte agressiivset režiimi.
[Authentication Method:]
Valige seadme autentimise viisiks [Pre-Shared Key Method:] või [Digital Signature Method:]. Enne viisi [Pre-Shared Key Method:] (TLS-standardi abil krüptitud ühenduse lubamine rakenduse Remote UI (Kaugkasutajaliides) jaoks) valimist peate rakenduse Remote UI (Kaugkasutajaliides) jaoks lubama TLS-protokolli. Enne viisi [Digital Signature Method:] valimist peate looma või installima võtmepaari (Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine).
Valige seadme autentimise viisiks [Pre-Shared Key Method:] või [Digital Signature Method:]. Enne viisi [Pre-Shared Key Method:] (TLS-standardi abil krüptitud ühenduse lubamine rakenduse Remote UI (Kaugkasutajaliides) jaoks) valimist peate rakenduse Remote UI (Kaugkasutajaliides) jaoks lubama TLS-protokolli. Enne viisi [Digital Signature Method:] valimist peate looma või installima võtmepaari (Võtmepaaride ja digitaalsete sertifikaatide seadete konfigureerimine).
[Valid for:]
Määrake IKE SA seansi kestus (ISAKMP SA). Sisestage minutite arv.
Määrake IKE SA seansi kestus (ISAKMP SA). Sisestage minutite arv.
[Authentication:]/[Encryption:]/[DH Group:]
Valige ripploendist algoritm. Iga algoritmi kasutatakse võtmevahetuses.
Valige ripploendist algoritm. Iga algoritmi kasutatakse võtmevahetuses.
|
[Authentication:]
|
Valige räsialgoritm.
|
|
[Encryption:]
|
Valige krüptimisalgoritm.
|
|
[DH Group:]
|
Valige võtme tugevuse määramiseaks Diffie-Hellmani rühm.
|
Autentimine eelnevalt jaotatud võtme abil
|
1
|
Klõpsake seade [Pre-Shared Key Method:] raadionuppu [Authentication Method:] ja seejärel üksust [Shared Key Settings...].
|
|
2
|
Sisestage kuni 24 tähe- ja/või numbrimärgist koosnev eelnevalt jaotatud võti ja seejärel klõpsake nuppu [OK].
 |
|
3
|
Määrake seadete [Valid for:] ja [Authentication:]/[Encryption:]/[DH Group:] väärtused.
|
Võtmepaari ja eelinstallitud CA-sertifikaatide kasutamine autentimiseks
|
1
|
Klõpsake seade [Digital Signature Method:] raadionuppu [Authentication Method:] ja seejärel üksust [Key and Certificate...].
|
|
2
|
Klõpsake kasutatavast võtmepaarist paremal asuvat nuppu [Register Default Key].
 MÄRKUS
Võtmepaari või sertifikaadi üksikasjade vaatamine Klõpsates rea [Key Name] all asuvat vastavat tekstilinki või sertifikaadi ikooni saate kontrollida sertifikaati või selle üksikasju. Võtmepaaride ja digitaalsete sertifikaatide kontrollimine
|
|
3
|
Määrake seadete [Valid for:] ja [Authentication:]/[Encryption:]/[DH Group:] väärtused.
|
10
Määrake IPSec-protokolli võrguseaded.
[Use PFS]
IPSeci seansivõtmete jaoks PFS-i lubamiseks märkige see ruut. PFS-i lubamine suurendab turvalisust, ent samal ajal ka sidekoormust. Veenduge, et PFS on lubatud ka muude seadmete jaoks.
IPSeci seansivõtmete jaoks PFS-i lubamiseks märkige see ruut. PFS-i lubamine suurendab turvalisust, ent samal ajal ka sidekoormust. Veenduge, et PFS on lubatud ka muude seadmete jaoks.
[Specify by Time]/[Specify by Size]
Määrake IPSec SA seansi lõpetamise tingimused. IPSec SA-d kasutatakse sidetunnelina. Vajadusel märkige kas üks ruut või mõlemad ruudud. Kui märgitakse mõlemad ruudu, lõpetatakse IPSec SA seanss, kui üks neist kahest tingimusest on täidetud.
Määrake IPSec SA seansi lõpetamise tingimused. IPSec SA-d kasutatakse sidetunnelina. Vajadusel märkige kas üks ruut või mõlemad ruudud. Kui märgitakse mõlemad ruudu, lõpetatakse IPSec SA seanss, kui üks neist kahest tingimusest on täidetud.
|
[Specify by Time]
|
Sisestage seansi kestus minutites.
|
|
[Specify by Size]
|
Sisestage seansi jooksul transporditavate andmete maht megabaitides.
|
[Select Algorithm:]
Olenevalt kasutatavast IPSec-päisest ja algoritmist märkige ruut (ruudud) [ESP], [ESP (AES-GCM)] või [AH (SHA1)]. AES-GCM on algoritm nii autentimiseks kui ka krüptimiseks. [ESP] valimise korral valige ka autentimis- ja krüptimisalgoritmid rippmenüüdest [ESP Authentication:] ja [ESP Encryption:].
Olenevalt kasutatavast IPSec-päisest ja algoritmist märkige ruut (ruudud) [ESP], [ESP (AES-GCM)] või [AH (SHA1)]. AES-GCM on algoritm nii autentimiseks kui ka krüptimiseks. [ESP] valimise korral valige ka autentimis- ja krüptimisalgoritmid rippmenüüdest [ESP Authentication:] ja [ESP Encryption:].
|
[ESP Authentication:]
|
ESP autentimise lubamiseks valige räsialgoritmiks [SHA1]. Kui soovite ESP autentimise keelata, valige väärtus [Do Not Use].
|
|
[ESP Encryption:]
|
Valige ESP krüptimisalgoritm. Kui te ei soovi algoritmi määrata, valige [NULL] või kui soovite ESP-krüptimise keelata, valige [Do Not Use].
|
[Connection Mode]
Kuvatakse IPSec-protokolli ühendusrežiim. Seade toetab transpordirežiimi, milles IP-pakettide kogumid on krüptitud. Tunnelirežiim, milles terved IP-paketid (päised ja kogumid) on kapseldatud, pole saadaval.
Kuvatakse IPSec-protokolli ühendusrežiim. Seade toetab transpordirežiimi, milles IP-pakettide kogumid on krüptitud. Tunnelirežiim, milles terved IP-paketid (päised ja kogumid) on kapseldatud, pole saadaval.
11
Klõpsake [OK].
Täiendava turbereegli registreerimiseks naaske juhise 6 juurde.
12
Määrake loendis [Registered IPSec Policies] loetletud reeglite järjestus.
Reegleid rakendatakse alates loendi esimesest üksusest kuni viimaseni. Reegli liigutamiseks loendis üles või alla klõpsake nuppe [Up] või [Down].
MÄRKUS
Reegli redigeerimine
Klõpsake redigeerimiskuval rea [Policy Name] all olevat tekstilinki.
Reegli redigeerimine
Klõpsake redigeerimiskuval rea [Policy Name] all olevat tekstilinki.
Reegli kustutamine
Klõpsake kustutatavast reegli nimest paremal nuppu [Delete] ja seejärel klõpsake nuppu [OK].
klõpsake nuppu [OK].13
Taaskäivitage seade.
Lülitage seade välja, oodake vähemalt 10 sekundit ning lülitage seejärel uuesti sisse.