IPSec-beállítások konfigurálása
Az Internet Protocol Security (IPSec vagy IPsec) protokoll hálózaton keresztül (azon belül az interneten keresztül is) továbbított adatok titkosítására szolgáló protokollcsomag. Míg a TLS csak egy adott alkalmazás, például webböngésző vagy levelezőprogram adatait, addig az IPSec a teljes IP-csomagokat, illetve az általuk szállított adatokat is titkosítja, ezáltal sokoldalúbb biztonsági rendszert kínál. A készülék IPSec funkciója szállítási módban működik, tehát az IP-csomagok hasznos adattartalmát titkosítja. E funkciónak köszönhetően a készülék közvetlenül csatlakozni tud azokhoz a számítógépekhez, amelyek vele megegyező virtuális magánhálózatban (VPN) vannak. Mielőtt konfigurálná a készüléket, ellenőrizze a rendszerkövetelményeket, és állítsa be a számítógépen a szükséges konfigurációt.
Rendszerkövetelmények
A készülék által támogatott IPSec protokoll az RFC2401, RFC2402, RFC2406 és RFC4305 előírásnak megfelelő.
|
Operációs rendszer
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Csatlakozás módja
|
Szállítási mód
|
|
|
Kulcscsere-protokoll
|
IKEv1 (fő mód)
|
|
|
Hitelesítés módja
|
Előmegosztott kulcs
Digitális aláírás
|
|
|
Tördelő algoritmus
(és kulcshossz) |
HMAC-SHA1-96
HMAC-SHA2 (256 bit vagy 384 bit)
|
|
|
Titkosító algoritmus
(és kulcshossz) |
3DES-CBC
AES-CBC (128 bit, 192 bit, or 256 bit)
|
|
|
Kulcscsere-algoritmus/csoport (és kulcshossz)
|
Diffie-Hellman (DH)
1-es csoport (768 bites)
2-es csoport (1024 bites)
14-es csoport (2048 bites)
|
|
|
ESP
|
Tördelő algoritmus
|
HMAC-SHA1-96
|
|
Titkosító algoritmus
(és kulcshossz) |
3DES-CBC
AES-CBC (128 bit, 192 bit, or 256 bit)
|
|
|
Tördelő algoritmus/titkosító algoritmus (és kulcshossz)
|
AES-GCM (128, 192 vagy 256 bites)
|
|
|
AH
|
Tördelő algoritmus
|
HMAC-SHA1-96
|
|
MEGJEGYZÉS
|
Az IPSec funkcionális korlátaiAz IPSec az unicast címekkel (vagyis egyetlen eszközzel) folytatott kommunikációt támogatja.
A készüléken IPSec és DHCPv6 használata egyszerre nem lehetséges.
Az IPSec nem érhető el olyan hálózatokon, amelyeken NAT vagy IP helyettesítést alkalmaznak.
IPSec használata IP-cím szűrővelAz IP-címszűrési beállítások az IPSec-szabályok előtt vannak alkalmazva.
|
IPSec-beállítások konfigurálása
Ahhoz, hogy az IPSec protokollal titkosíthassa a kommunikációt, biztonsági házirendeket kell regisztrálnia. Egy biztonsági házirend az alábbi beállításcsoportokból áll. Legfeljebb 10 házirend regisztrálható. A házirendek regisztrálása után meg kell adnia az alkalmazásuk sorrendjét.
Választó
A választóval feltételeket határozhat meg, amelyekkel kiválaszthatja, hogy milyen IP-csomagokra alkalmazza az IPSec-kommunikációt. A választható feltételek között a készülék IP-címei és portszámai, valamint a készülékkel kommunikáló eszközök szerepelnek.
IKE
Az IKE az IKEv1 kulcscsere-protokollt konfigurálja. Az utasítások a kiválasztott hitelesítési módtól függően változnak.
[Előre megosztott kulcsos mód:]
A többi eszközzel megosztható egy legfeljebb 24 alfanumerikus karakterből álló kulcs. Mielőtt ezt a hitelesítési módot választaná, engedélyezze a TLS-t a Távoli felhasználói felülethez (TLS-protokollal titkosított kommunikáció engedélyezése a Távoli felhasználói felülethez).
A többi eszközzel megosztható egy legfeljebb 24 alfanumerikus karakterből álló kulcs. Mielőtt ezt a hitelesítési módot választaná, engedélyezze a TLS-t a Távoli felhasználói felülethez (TLS-protokollal titkosított kommunikáció engedélyezése a Távoli felhasználói felülethez).
[Digitális aláírás mód:]
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez elő kell állítania és telepítenie kell a kulcspárt (Kulcspárok és digitális tanúsítványok beállításainak konfigurálása).
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez elő kell állítania és telepítenie kell a kulcspárt (Kulcspárok és digitális tanúsítványok beállításainak konfigurálása).
AH/ESP
Az AH/ESP beállításait határozza meg, amely az IPSec-kommunikáció során a csomagok részévé válik. Az AH és ESP egyszerre használható. Szigorúbb biztonsági feltételek esetén a PFS használatát is engedélyezheti.
1
Indítsa el a Távoli felhasználói felületet, és jelentkezzen be rendszerkezelői módban. A távoli felhasználói felület indítása
2
Kattintson rá: [Beállítások/Bejegyzés].
3
Kattintson a [Biztonsági beállítások] 
[IPSec-beállítások] gombra.
[IPSec-beállítások] gombra.
4
Kattintson rá: [Szerkesztés...].
5
Jelölje be az [IPSec használata] jelölőnégyzetet, és kattintson az [OK] gombra.
Ha szeretné, hogy a készülék csak az alábbi lépések során meghatározott biztonsági szabályoknak megfelelő csomagokat fogadjon, akkor törölje a jelet a [Házirendnek meg nem felelő csomag vétele] jelölőnégyzetből.
6
Kattintson rá: [Új házirend bejegyzése...].
7
Adja meg a házirend-beállításokat.
|
1
|
A [Házirend neve] szövegmezőben legfeljebb 24 alfanumerikus karakterrel adja meg a házirendet azonosító nevet.
|
|
2
|
Jelölje be a [Házirend engedélyezése] jelölőnégyzetet.
 |
8
Adja meg a választóbeállításokat.
[Helyi cím:]
Kattintson a készülék IP-címtípusai közül azoknak a választógombjára, amelyekre alkalmazni kell a házirendet.
Kattintson a készülék IP-címtípusai közül azoknak a választógombjára, amelyekre alkalmazni kell a házirendet.
|
[Minden IP-cím]
|
Akkor válassza, ha minden IP-csomagra alkalmazza az IPSec protokollt.
|
|
[IPv4-cím]
|
Akkor válassza, ha a készülék IPv4-címéről vagy címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv6-cím]
|
Akkor válassza, ha a készülék IPv6-címéről vagy címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
[Távoli cím:]
Kattintson a készülék IP-címtípusai közül azoknak a választógombjára, amelyekre alkalmazni kell a házirendet.
Kattintson a készülék IP-címtípusai közül azoknak a választógombjára, amelyekre alkalmazni kell a házirendet.
|
[Minden IP-cím]
|
Akkor válassza, ha minden IP-csomagra alkalmazza az IPSec protokollt.
|
|
[Minden IPv4-cím]
|
Akkor válassza, ha az egyéb készülékek IPv4-címéről és címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[Minden IPv6-cím]
|
Akkor válassza, ha az egyéb készülékek IPv6-címéről és címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv4 kézi beállításai]
|
Adja meg azokat az önálló IPv4-címeket vagy IPv4-címtartományokat, amelyekre alkalmazza az IPSec protokollt. Az IPv4-címet (vagy tartományt) az [Kézzel beállítandó címek:] szövegmezőben adhatja meg.
|
|
[IPv6 kézi beállításai]
|
Adja meg azokat az önálló IPv6-címeket vagy IPv6-címtartományokat, amelyekre alkalmazza az IPSec protokollt. Az IPv6-címet (vagy tartományt) az [Kézzel beállítandó címek:] szövegmezőben adhatja meg.
|
[Kézzel beállítandó címek:]
Ha a [IPv4 kézi beállításai] vagy a [IPv6 kézi beállításai] lehetőség van kiválasztva a [Távoli cím:]mezőben, akkor adja meg azt az IP-címet, amelyre alkalmazni kell a házirendet. Címtartományt is megadhat, ebben az esetben kötőjellel válassza el egymástól a címeket.
Ha a [IPv4 kézi beállításai] vagy a [IPv6 kézi beállításai] lehetőség van kiválasztva a [Távoli cím:]mezőben, akkor adja meg azt az IP-címet, amelyre alkalmazni kell a házirendet. Címtartományt is megadhat, ebben az esetben kötőjellel válassza el egymástól a címeket.
MEGJEGYZÉS:
IP-címek megadása
IP-címek megadása
|
Leírás
|
Példa
|
|
|
Egyetlen IP-cím megadása
|
IPv4:
A számokat pontokkal válassza el. |
192.168.0.10
|
|
IPv6:
Az alfanumerikus karaktereket kettőspontokkal válassza el. |
fe80::10
|
|
|
Címtartomány megadása
|
A címek közé tegyen kötőjelet.
|
192.168.0.10-192.168.0.20
|
|
Címtartomány megadása előtaggal (csak IPv6 esetén)
|
Adja meg a címet, majd egy perjelet és az előtag hosszát jelző számot.
|
fe80::1234/64
|
[Alhálózat beállításai:]
Ha kézzel ad meg IPv4-címeket, akkor alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: 255.255.255.240).
Ha kézzel ad meg IPv4-címeket, akkor alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: 255.255.255.240).
[Előtag hossza:]
Az IPv6 kézi megadásakor beállíthatja az előtag hosszát.
Az IPv6 kézi megadásakor beállíthatja az előtag hosszát.
[Helyi port:]/[Távoli port:]
Ha az egyes protokollokhoz, például a HTTP vagy SNMP protokollhoz külön házirendeket szeretne létrehozni, akkor a protokoll helyes portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Ha az egyes protokollokhoz, például a HTTP vagy SNMP protokollhoz külön házirendeket szeretne létrehozni, akkor a protokoll helyes portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
FONTOS:
Az IPSec nem vonatkozik a következő csomagokra
Az IPSec nem vonatkozik a következő csomagokra
Visszacsatolt, multicast és üzenetszórásos csomagok
IKE-csomagok (UDP protokollal, az 500-as porton)
ICMPv6 szomszédkeresési és szomszédhirdetési csomagok
9
Határozza meg az IKE-beállításokat.
[IKE mód:]
A kulcscsere-protokollként használt mód jelenik meg. A készülék a fő módot támogatja, nem az agresszív módot.
A kulcscsere-protokollként használt mód jelenik meg. A készülék a fő módot támogatja, nem az agresszív módot.
[Hitelesítési mód:]
Válassza az [Előre megosztott kulcsos mód:] vagy a [Digitális aláírás mód:] lehetőséget a készülék hitelesítésének módjaként. Az [Előre megosztott kulcsos mód:] választása esetén engedélyeznie kell a TLS-protokollt a Távoli felhasználói felülethez (TLS-protokollal titkosított kommunikáció engedélyezése a Távoli felhasználói felülethez). A [Digitális aláírás mód:] lehetőség választása előtt elő kell állítania, majd telepítenie kell egy kulcspárt (Kulcspárok és digitális tanúsítványok beállításainak konfigurálása).
Válassza az [Előre megosztott kulcsos mód:] vagy a [Digitális aláírás mód:] lehetőséget a készülék hitelesítésének módjaként. Az [Előre megosztott kulcsos mód:] választása esetén engedélyeznie kell a TLS-protokollt a Távoli felhasználói felülethez (TLS-protokollal titkosított kommunikáció engedélyezése a Távoli felhasználói felülethez). A [Digitális aláírás mód:] lehetőség választása előtt elő kell állítania, majd telepítenie kell egy kulcspárt (Kulcspárok és digitális tanúsítványok beállításainak konfigurálása).
[Érvényesség:]
Határozza meg, hogy mennyi ideig tarthat egy IKE SA (ISAKMP SA) munkamenet. Az időtartamot percekben adhatja meg.
Határozza meg, hogy mennyi ideig tarthat egy IKE SA (ISAKMP SA) munkamenet. Az időtartamot percekben adhatja meg.
[Hitelesítés:]/[Titkosítás:]/[DH csoport:]
Válasszon egy algoritmust a legördülő listából. A kulcscserében mindegyik algoritmus részt vesz.
Válasszon egy algoritmust a legördülő listából. A kulcscserében mindegyik algoritmus részt vesz.
|
[Hitelesítés:]
|
Válasszon tördelő algoritmust.
|
|
[Titkosítás:]
|
Válasszon titkosítási algoritmust.
|
|
[DH csoport:]
|
Válassza ki a kulcs erősségét meghatározó Diffie-Hellman csoportot.
|
Hitelesítés előmegosztott kulccsal
|
1
|
Kattintson a [Előre megosztott kulcsos mód:] választógombra a [Hitelesítési mód:] mezőben, majd kattintson a [Megosztott kulcs beállításai...] lehetőségre.
|
|
2
|
Adja meg legfeljebb 24 alfanumerikus karakterrel az előmegosztott kulcsot, majd kattintson az [OK] gombra.
 |
|
3
|
Adja meg az [Érvényesség:] és [Hitelesítés:]/[Titkosítás:]/[DH csoport:] beállításokat.
|
Hitelesítés kulcspárral és előre telepített hitelesítésszolgáltatói tanúsítvánnyal
|
1
|
Kattintson a [Digitális aláírás mód:] választógombra a [Hitelesítési mód:] mezőben, majd kattintson a [Kulcs és tanúsítvány...] lehetőségre.
|
|
2
|
Kattintson a használni kívánt kulcspártól jobbra látható [Alapértelmezett kulcs bejegyzése] parancsra.
 MEGJEGYZÉS:
Kulcspár vagy tanúsítvány részleteinek megtekintése A [Kulcsnév] alatti megfelelő szöveges hivatkozásra vagy a tanúsítvány ikonjára kattintva megtekintheti a tanúsítvány részleteit, illetve ellenőrizheti a tanúsítványt. Kulcspárok és digitális tanúsítványok ellenőrzése
|
|
3
|
Adja meg az [Érvényesség:] és [Hitelesítés:]/[Titkosítás:]/[DH csoport:] beállításokat.
|
10
Adja meg az IPSec hálózati beállításokat.
[PFS használata]
Az IPSec-munkamenetkulcsok tökéletes továbbítási titkosságának (Perfect Forward Secrecy, PFS) engedélyezéséhez jelölje be a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növelheti a kommunikációs terhelést. Győződjön meg róla, hogy az PFS a többi eszközön is engedélyezve van-e.
Az IPSec-munkamenetkulcsok tökéletes továbbítási titkosságának (Perfect Forward Secrecy, PFS) engedélyezéséhez jelölje be a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növelheti a kommunikációs terhelést. Győződjön meg róla, hogy az PFS a többi eszközön is engedélyezve van-e.
[Megadás idővel]/[Megadás mérettel]
Állítsa be, hogy milyen feltételek esetén záruljanak le az IPSec SA-munkamenetek. Az IPSec SA kommunikációs csatornaként szolgál. Jelölje be szükség szerint valamelyik vagy mindkettő jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenet akkor zárul le, ha a kettő feltétel közül bármelyik teljesül.
Állítsa be, hogy milyen feltételek esetén záruljanak le az IPSec SA-munkamenetek. Az IPSec SA kommunikációs csatornaként szolgál. Jelölje be szükség szerint valamelyik vagy mindkettő jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenet akkor zárul le, ha a kettő feltétel közül bármelyik teljesül.
|
[Megadás idővel]
|
Adja meg, hogy hány percig tartson egy munkamenet.
|
|
[Megadás mérettel]
|
Adja meg, hogy hány megabájtnyi adatot lehessen továbbítani egy munkamenetben.
|
[Algoritmus kiválasztása:]
Jelölje be az [ESP], [ESP (AES-GCM)] vagy [AH (SHA1)] jelölőnégyzet(ek)et a használt IPSec-fejlécnek és algoritmusnak megfelelően. Az AES-GCM olyan algoritmus, amely egyszerre hitelesítést és titkosítást is végez. Ha az [ESP] lehetőséget választja, akkor az [ESP-hitelesítés:] és [ESP-titkosítás:] legördülő listából válassza ki a hitelesítési és titkosítási algoritmusokat is.
Jelölje be az [ESP], [ESP (AES-GCM)] vagy [AH (SHA1)] jelölőnégyzet(ek)et a használt IPSec-fejlécnek és algoritmusnak megfelelően. Az AES-GCM olyan algoritmus, amely egyszerre hitelesítést és titkosítást is végez. Ha az [ESP] lehetőséget választja, akkor az [ESP-hitelesítés:] és [ESP-titkosítás:] legördülő listából válassza ki a hitelesítési és titkosítási algoritmusokat is.
|
[ESP-hitelesítés:]
|
Az ESP-hitelesítés engedélyezéséhez válassza az [SHA1] lehetőséget tördelő algoritmusként. Ha le szeretné tiltani az ESP-hitelesítést, akkor válassza a [Ne használja] lehetőséget.
|
|
[ESP-titkosítás:]
|
Válasszon titkosítási algoritmust az ESP számára. Választhatja a [NULL] lehetőséget, ha nem kívánja az algoritmust meghatározni, vagy a [Ne használja] lehetőséget, ha le kívánja tiltani az ESP-titkosítást.
|
[Csatlakozási mód]
Az IPSec csatlakozási módja látható. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
Az IPSec csatlakozási módja látható. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
11
Kattintson rá: [OK].
Ha további biztonsági házirendet kell regisztrálnia, akkor térjen vissza a 6. lépéshez.
12
Rendezze sorba a [Bejegyzett IPSec-házirendek] mezőben felsorolt házirendeket.
A készülék a legmagasabb pozíciótól kezdve a legalacsonyabbig alkalmazza a házirendeket. A házirendeket a [Fel] és [Le] gombbal helyezheti feljebb vagy lejjebb a listában.
MEGJEGYZÉS:
Házirend szerkesztése
A szerkesztési képernyő megnyitásához kattintson a [Házirend neve] alatti megfelelő szöveges hivatkozásra.
Házirend szerkesztése
A szerkesztési képernyő megnyitásához kattintson a [Házirend neve] alatti megfelelő szöveges hivatkozásra.
Házirend törlése
Kattintson a törölni kívánt házirendnévtől jobbra látható [Törlés] pontra kattintson az [OK] gombra.
kattintson az [OK] gombra.13
Indítsa újra a készüléket.
Kapcsolja ki a készüléket, várjon legalább 10 másodpercet, majd kapcsolja be.