Konfigurácia nastavení IPSec
Zabezpečenie internetového protokolu (IPSec alebo IPsec) je balíček protokolov na šifrovanie dát prenášaných v sieti vrátane internetových sietí. Zatiaľ čo TLS šifruje iba dáta používané v konkrétnej aplikácii, ako je webový prehliadač alebo e-mailová aplikácia, IPSec šifruje celé pakety IP alebo sady paketov IP, čím ponúka všestrannejší systém zabezpečenia. IPSec stroja funguje v režime prenosu, v ktorom sa šifrujú sady paketov IP. S touto funkciou sa stroj dokáže pripojiť priamo k počítaču, ktorý je v rovnakej virtuálnej privátnej sieti (VPN). Skontrolujte požiadavky na systém a pred konfiguráciou stroja nastavte potrebnú konfiguráciu počítača.
Systémové požiadavky
IPSec podporované strojom spĺňa štandardy RFC2401, RFC2402, RFC2406 a RFC4305.
|
Operačný systém
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Režim pripojenia
|
Režim prenosu
|
|
|
Protokol výmeny kľúča
|
IKEv1 (hlavný režim)
|
|
|
Spôsob overovania
|
Predzdieľaný kľúč
Digitálny podpis
|
|
|
Transformačný algoritmus
(a dĺžka kľúča) |
HMAC-SHA1-96
HMAC-SHA2 (256 bitov alebo 384 bitov)
|
|
|
Šifrovací algoritmus
(a dĺžka kľúča) |
3DES-CBC
AES-CBC (128 bitov, 192 bitov alebo 256 bitov)
|
|
|
Algoritmus výmeny kľúča/skupina (a dĺžka kľúča)
|
Diffie-Hellman (DH)
Skupina 1 (768 bitov)
Skupina 2 (1024 bitov)
Skupina 14 (2048 bitov)
|
|
|
ESP
|
Transformačný algoritmus
|
HMAC-SHA1-96
|
|
Šifrovací algoritmus
(a dĺžka kľúča) |
3DES-CBC
AES-CBC (128 bitov, 192 bitov alebo 256 bitov)
|
|
|
Transformačný algoritmus/šifrovací algoritmus (a dĺžka kľúča)
|
AES-GCM (128 bitov, 192 bitov alebo 256 bitov)
|
|
|
AH
|
Transformačný algoritmus
|
HMAC-SHA1-96
|
|
POZNÁMKA
|
Funkčné obmedzenia IPSecIPSec podporuje komunikáciu na adresu Unicast (alebo jedno zariadenie).
Stroj nemôže použiť súčasne IPSec a DHCPv6.
IPSec je nedostupné v sieťach, v ktorých je implementované maskovanie NAT alebo IP.
Používanie IPSec s filtrom adries IPNastavenia filtra adries IP sa použijú pred politikami IPSec.
|
Konfigurácia nastavení IPSec
Pred použitím IPSec na šifrovanú komunikáciu musíte uložiť politiky zabezpečenia (SP). Politika zabezpečenia pozostáva zo skupín nastavení opísaných nižšie. Môžete registrovať maximálne 10 politík. Po registrácii politík špecifikujte poradie, v ktorom sa použijú.
Volič
Volič definuje podmienky pre pakety IP na aplikáciu komunikácie IPSec. Medzi podmienky, ktoré sa dajú vybrať, patria adresy IP a čísla portov stroja a zariadení, s ktorými komunikujú.
IKE
IKE konfiguruje IKEv1, ktoré sa používa pre protokol výmeny kľúča. Pamätajte si, že pokyny sa líšia v závislosti od zvolenej metódy overenia.
[Pre-Shared Key Method:]
S ostatnými zariadeniami môžete zdieľať kľúč s maximálne 24 znakmi písmen alebo čísel. Pred špecifikáciou tejto metódy overenia aktivujte TLS pre vzdialené užívateľské rozhranie (Aktivovanie komunikácie šifrovanej pomocou TLS pre vzdialené užívateľské rozhranie).
S ostatnými zariadeniami môžete zdieľať kľúč s maximálne 24 znakmi písmen alebo čísel. Pred špecifikáciou tejto metódy overenia aktivujte TLS pre vzdialené užívateľské rozhranie (Aktivovanie komunikácie šifrovanej pomocou TLS pre vzdialené užívateľské rozhranie).
[Digital Signature Method:]
Stroj a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Najprv generujte alebo nainštalujte pár kľúčov (Konfigurácia nastavení pre páry kľúčov a digitálne certifikáty).
Stroj a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Najprv generujte alebo nainštalujte pár kľúčov (Konfigurácia nastavení pre páry kľúčov a digitálne certifikáty).
AH/ESP
Špecifikujte nastavenia pre AH/ESP, ktoré sa pridá k paketom počas komunikácie IPSec. AH a ESP môžete použiť súčasne. Môžete tiež vybrať, či sa má aktivovať PFS pre väčšie zabezpečenie.
1
Spustite vzdialené užívateľské rozhranie a prihláste sa v režime správcu systému. Spustenie vzdialeného užívateľského rozhrania
2
Kliknite na [Settings/Registration].
3
Kliknite na [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Kliknite na [Edit...].
5
Označte začiarkavacie políčko [Use IPSec] a kliknite na [OK].
Ak chcete, aby stroj prijímal iba pakety, ktoré spĺňajú jednu z politík zabezpečenia, ktorú definujete v nižšie uvedených krokoch, zrušte označenie začiarkavacieho políčka [Receive Non-Policy Packets].
6
Kliknite na [Register New Policy...].
7
Špecifikujte nastavenia politiky.
|
1
|
V textovom poli [Policy Name] zadajte maximálne 24 znakov písmen alebo čísel pre názov, ktorý sa použije na identifikáciu politiky.
|
|
2
|
Začiarknite políčko [Enable Policy].
 |
8
Špecifikujte nastavenia voliča.
[Local Address:]
Kliknite na prepínač pre typ adresy IP stroja na aplikovanie politiky.
Kliknite na prepínač pre typ adresy IP stroja na aplikovanie politiky.
|
[All IP Addresses]
|
Vyberte, či sa má pre všetky pakety IP použiť IPSec.
|
|
[IPv4 Address]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adresy IPv4 stroja.
|
|
[IPv6 Address]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adresy IPv6 stroja.
|
[Remote Address:]
Kliknite na prepínač pre typ adresy IP iných zariadení na aplikovanie politiky.
Kliknite na prepínač pre typ adresy IP iných zariadení na aplikovanie politiky.
|
[All IP Addresses]
|
Vyberte, či sa má pre všetky pakety IP použiť IPSec.
|
|
[All IPv4 Addresses]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adries IPv4 iných zariadení.
|
|
[All IPv6 Addresses]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adries IPv6 iných zariadení.
|
|
[IPv4 Manual Settings]
|
Vyberte špecifikáciu jednej adresy IPv4 alebo rozsahu adries IPv4 na použitie IPSec. Zadajte v textovom poli [Addresses to Set Manually:] adresu IPv4 (alebo rozsah).
|
|
[IPv6 Manual Settings]
|
Vyberte špecifikáciu jednej adresy IPv6 alebo rozsahu adries IPv6 na použitie IPSec. Zadajte v textovom poli [Addresses to Set Manually:] adresu IPv6 (alebo rozsah).
|
[Addresses to Set Manually:]
Ak je pre voľbu [Remote Address:] vybrané [IPv4 Manual Settings] alebo [IPv6 Manual Settings], zadajte adresu IP na použitie politiky. Vložením spojovníka medzi adresy môžete tiež zadať rozsah adries.
Ak je pre voľbu [Remote Address:] vybrané [IPv4 Manual Settings] alebo [IPv6 Manual Settings], zadajte adresu IP na použitie politiky. Vložením spojovníka medzi adresy môžete tiež zadať rozsah adries.
POZNÁMKA:
Zadanie adries IP
Zadanie adries IP
|
Opis
|
Príklad
|
|
|
Zadávanie jednej adresy
|
IPv4:
Oddeľte čísla bodkami. |
192.168.0.10
|
|
IPv6:
Oddeľte znaky písmen alebo číslic pomocou dvojbodiek. |
fe80::10
|
|
|
Špecifikácia rozsahu adries
|
Medzi adresy vložte spojovník.
|
192.168.0.10-192.168.0.20
|
|
Špecifikácia rozsahu adries pomocou prefixu (iba IPv6)
|
Zadajte adresu, za ňou dajte lomku a číslo označujúce dĺžku prefixu.
|
fe80::1234/64
|
[Subnet Settings:]
Pri ručnej špecifikácii adresy IPv4 môžete vyjadriť rozsah pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
Pri ručnej špecifikácii adresy IPv4 môžete vyjadriť rozsah pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
[Prefix Length:]
Pri ručnej špecifikácii adresy IPv6 môžete nastaviť dĺžku prefixu.
Pri ručnej špecifikácii adresy IPv6 môžete nastaviť dĺžku prefixu.
[Local Port:]/[Remote Port:]
Ak chcete vytvoriť samostatné politiky pre každý protokol, ako napríklad HTTP alebo SNMP, zadajte pre protokol vhodné číslo portu na určenie toho, či sa má použiť IPSec.
Ak chcete vytvoriť samostatné politiky pre každý protokol, ako napríklad HTTP alebo SNMP, zadajte pre protokol vhodné číslo portu na určenie toho, či sa má použiť IPSec.
DÔLEŽITÉ:
IPSec sa nepoužije na nasledujúce pakety
IPSec sa nepoužije na nasledujúce pakety
Slučka, Multicast a pakety vysielania
Pakety IKE (pomocou UDP na porte 500)
Pakety žiadosti suseda ICMPv6 a oznámenia suseda
9
Špecifikujte nastavenia IKE.
[IKE Mode:]
Zobrazí sa režim použitý pre protokol výmeny kľúča. Stroj podporuje hlavný režim, nie agresívny režim.
Zobrazí sa režim použitý pre protokol výmeny kľúča. Stroj podporuje hlavný režim, nie agresívny režim.
[Authentication Method:]
Pre spôsob použitý pri overení stroja vyberte [Pre-Shared Key Method:] alebo [Digital Signature Method:]. Pred výberom [Pre-Shared Key Method:] (Aktivovanie komunikácie šifrovanej pomocou TLS pre vzdialené užívateľské rozhranie) musíte aktivovať TLS pre vzdialené UR. Pred výberom [Digital Signature Method:] (Konfigurácia nastavení pre páry kľúčov a digitálne certifikáty) musíte generovať alebo nainštalovať pár kľúčov.
Pre spôsob použitý pri overení stroja vyberte [Pre-Shared Key Method:] alebo [Digital Signature Method:]. Pred výberom [Pre-Shared Key Method:] (Aktivovanie komunikácie šifrovanej pomocou TLS pre vzdialené užívateľské rozhranie) musíte aktivovať TLS pre vzdialené UR. Pred výberom [Digital Signature Method:] (Konfigurácia nastavení pre páry kľúčov a digitálne certifikáty) musíte generovať alebo nainštalovať pár kľúčov.
[Valid for:]
Špecifikujte, ako dlho trvá relácia pre IKE SA (ISAKMP SA). Zadajte čas v minútach.
Špecifikujte, ako dlho trvá relácia pre IKE SA (ISAKMP SA). Zadajte čas v minútach.
[Authentication:]/[Encryption:]/[DH Group:]
Vyberte z rozbaľovacieho zoznamu algoritmus. Každý algoritmus sa používa pri výmene kľúča.
Vyberte z rozbaľovacieho zoznamu algoritmus. Každý algoritmus sa používa pri výmene kľúča.
|
[Authentication:]
|
Vyberte transformačný algoritmus.
|
|
[Encryption:]
|
Vyberte algoritmus šifrovania.
|
|
[DH Group:]
|
Vyberte skupinu Diffie-Hellman, ktorá určuje silu kľúča.
|
Používanie predzdieľaného kľúča na overenie
|
1
|
Kliknite na prepínač [Pre-Shared Key Method:] pre položku [Authentication Method:] a potom kliknite na položku [Shared Key Settings...].
|
|
2
|
Zadajte pre predzdieľaný kľúč maximálne 24 znakov písmen alebo čísel a kliknite na [OK].
 |
|
3
|
Špecifikujte nastavenia [Valid for:] a [Authentication:]/[Encryption:]/[DH Group:].
|
Používanie páru kľúčov a predinštalovaných certifikátov CA na overenie
|
1
|
Kliknite na prepínač [Digital Signature Method:] pre položku [Authentication Method:] a potom kliknite na položku [Key and Certificate...].
|
|
2
|
Kliknite na [Register Default Key] napravo od páru kľúčov, ktorý chcete použiť.
 POZNÁMKA:
Zobrazenie podrobností páru kľúčov alebo certifikátu Kliknutím na príslušný textový odkaz pod [Key Name] alebo na ikonu certifikátu môžete skontrolovať podrobnosti certifikátu alebo overiť certifikát. Overenie párov kľúčov a digitálnych certifikátov
|
|
3
|
Špecifikujte nastavenia [Valid for:] a [Authentication:]/[Encryption:]/[DH Group:].
|
10
Špecifikujte sieťové nastavenia IPSec.
[Use PFS]
Označte začiarkavacie políčko na aktiváciu PFS (Perfect Forward Secrecy) pre kľúče relácie IPSec.. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia.
Označte začiarkavacie políčko na aktiváciu PFS (Perfect Forward Secrecy) pre kľúče relácie IPSec.. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia.
[Specify by Time]/[Specify by Size]
Nastavte podmienky na ukončenie relácie pre IPSec SA. IPSec SA sa používa ako komunikačný tunel. Podľa potreby označte jedno alebo obidve začiarkavacie políčka. Ak označíte obidve začiarkavacie políčka, relácia IPSec SA sa ukončí pri splnení jednej z podmienok.
Nastavte podmienky na ukončenie relácie pre IPSec SA. IPSec SA sa používa ako komunikačný tunel. Podľa potreby označte jedno alebo obidve začiarkavacie políčka. Ak označíte obidve začiarkavacie políčka, relácia IPSec SA sa ukončí pri splnení jednej z podmienok.
|
[Specify by Time]
|
Zadajte čas v minútach na špecifikáciu dĺžky trvania relácie.
|
|
[Specify by Size]
|
Zadajte veľkosť v megabajtoch na špecifikáciu, koľko dát sa dá preniesť v relácii.
|
[Select Algorithm:]
Označte začiarkavacie políčko [ESP], [ESP (AES-GCM)] alebo [AH (SHA1)] v závislosti od hlavičky IPSec a použitého algoritmu. AES-GCM je algoritmus pre overenie aj šifrovanie. Ak sa vyberie [ESP], vyberte z rozbaľovacích zoznamov [ESP Authentication:] a [ESP Encryption:] aj algoritmy na overenie a šifrovanie.
Označte začiarkavacie políčko [ESP], [ESP (AES-GCM)] alebo [AH (SHA1)] v závislosti od hlavičky IPSec a použitého algoritmu. AES-GCM je algoritmus pre overenie aj šifrovanie. Ak sa vyberie [ESP], vyberte z rozbaľovacích zoznamov [ESP Authentication:] a [ESP Encryption:] aj algoritmy na overenie a šifrovanie.
|
[ESP Authentication:]
|
Na aktiváciu overenia ESP vyberte pre transformačný algoritmus voľbu [SHA1]. Vyberte [Do Not Use], ak chcete deaktivovať overenie ESP.
|
|
[ESP Encryption:]
|
Vyberte algoritmus šifrovania pre ESP. Môžete vybrať [NULL], ak nechcete špecifikovať algoritmus alebo vyberte [Do Not Use], ak chcete deaktivovať šifrovanie ESP.
|
[Connection Mode]
Zobrazí sa režim pripojenia IPSec. Stroj podporuje režim prenosu, v ktorom sa šifrujú sady paketov IP. Režim tunelu, v ktorom sa zapuzdrujú celé pakety IP (hlavičky a sady), nie je k dispozícii.
Zobrazí sa režim pripojenia IPSec. Stroj podporuje režim prenosu, v ktorom sa šifrujú sady paketov IP. Režim tunelu, v ktorom sa zapuzdrujú celé pakety IP (hlavičky a sady), nie je k dispozícii.
11
Kliknite na [OK].
Ak potrebujete uložiť ďalšiu politiku zabezpečenia, vráťte sa na krok 6.
12
Zoraďte poradie politík uvedených pod [Registered IPSec Policies].
Politiky sa aplikujú od najvyššej pozície po najnižšiu. Kliknite na [Up] alebo [Down] na presun politiky smerom hore alebo dole.
POZNÁMKA:
Úprava politiky
Kliknite na príslušný textový odkaz pod položkou [Policy Name] pre obrazovku úprav.
Úprava politiky
Kliknite na príslušný textový odkaz pod položkou [Policy Name] pre obrazovku úprav.
Zmazanie politiky
Kliknite na [Delete] napravo od názvu politiky, ktorú chcete zmazať kliknite na [OK].
kliknite na [OK].13
Reštartujte stroj.
Vypnite stroj a pred jeho opätovným zapnutím počkajte aspoň 10 sekúnd.