KommunikationsmodusDieses Gerät unterstützt nur den Transportmodus für die IPSec-Kommunikation. Demzufolge werden Authentifizierung und Verschlüsselung nur bei den Datenanteilen der IP-Pakete angewandt. SchlüsselaustauschprotokollDieses Gerät unterstützt die Internet Schlüsselaustauschversion 1 (IKEv1) für den Austausch von Schlüsseln basierend auf dem Internet Security Association and Key Management Protocol (ISAKMP). Legen Sie in Bezug auf die Authentifizierungsmethode entweder die Methode Pre-Shared-Key oder die digitale Signatur fest. Wenn Sie die Methode Pre-Shared-Key festlegen, müssen Sie im Voraus ein Passphrase (Pre-Shared-Key) bestimmen, der zwischen dem Gerät und dem IPSec-Kommunikations-Peer verwendet wird. Wenn Sie die digitale Signaturmethode einstellen, verwenden Sie ein Zertifizierungsstellenzertifikat sowie einen PKCS#12-Formatschlüssel und -Zertifikat, um die gegenseitige Authentifizierung zwischen Gerät und IPsec-Kommunikationspartner durchzuführen. Weitere Informationen zur Registrierung neuer CA-Zertifikate oder Schlüssel/Zertifikate finden Sie unter Registrieren eines Schlüssels und Zertifikats für die Netzwerkkommunikation. Beachten Sie, dass SNTP für das Gerät konfiguriert werden muss, damit es diese Methode verwenden kann. Vornehmen von SNTP-Einstellungen |
Ungeachtet der Einstellungen von <Verschlüss.meth.für FIPS 140-2 formatieren> für eine IPSec-Kommunikation wird ein Verschlüsselungsmodul verwendet, das bereits eine FIPS140-2-Zertifizierung erhalten hat. Damit die IPSec-Kommunikation im Einklang mit FIPS 140-2 steht, müssen Sie die Schlüssellänge sowohl von DH als auch von RSA für die IPSec-Kommunikation in der Netzwerkumgebung, zu der das System gehört, auf 2048-bit oder länger setzen. Es kann lediglich die Schlüssellänge für DH über das System festgelegt werden. Notieren Sie die Konfiguration Ihrer Umgebung, da es keine Einstellungen für RSA im System gibt. Sie können bis zu 10 Sicherheitsrichtlinien registrieren. |
1 | Drücken Sie <Einstellungen Ausw.vorricht.>. | ||||||||||||||
2 | Legen Sie die IP-Adresse fest, um die IPSec-Richtlinie anzuwenden. Legen Sie die IP-Adresse dieses Geräts unter <Lokale Adresse> fest, und legen Sie die IP-Adresse des Kommunikations-Peer unter <Remote-Adresse> fest.
| ||||||||||||||
3 | Legen Sie den Anschluss fest, an dem IPSec angewandt werden soll. Drücken Sie <Durch PortNr. definieren>, um die Portnummern zu verwenden, sobald Sie die Anschlüsse festlegen, bei denen IPSec angewandt wird. Wählen Sie <Alle Ports> aus, um IPSec bei allen Portnummern anzuwenden. Um IPSec bei einer spezifischen Portnummer anzuwenden, drücken Sie <Single Port>, und geben Sie die Portnummer ein. Nachdem Sie die Anschlüsse festgelegt haben, drücken Sie <OK>. Legen Sie den Anschluss dieses Geräts unter <Lokaler Port> fest, und legen Sie den Anschluss des Kommunikations-Peer unter <Remote Port> fest. Drücken Sie <Durch Service name definieren>, um die Dienstnamen zu verwenden, sobald Sie die Anschlüsse festlegen, bei denen IPSec angewandt wird. Wählen Sie den Dienst in der Liste aus, drücken Sie dann <Service Ein/Aus>, und ihn auf <Ein> zu setzen, und drücken Sie anschließend <OK>. | ||||||||||||||
4 | Drücken Sie <OK>. |
1 | Drücken Sie <Einstellungen IKE>. | ||||||||||
2 | Konfigurieren Sie die erforderlichen Einstellungen. <IKE-Modus> Wählen Sie den Betriebsmodus für das Schlüsselaustauschprotokoll aus. Die Sicherheit wird verbessert, wenn Sie <Main> auswählen, weil die IKE-Sitzung selbst verschlüsselt ist, jedoch ist die Geschwindigkeit der Sitzung langsamer als bei <Aggressive>, welche nicht die gesamte Sitzung verschlüsselt. <Authentisierungs methode> Wählen Sie eine der nachfolgend beschriebenen Authentifizierungsmethoden aus.
<Algorithmus Auth./Verschlüss.> Wählen Sie entweder <Auto> oder <Manuelle Einstellungen> aus, um einzustellen, wie der Authentifizierungs- und Verschlüsselungsalgorithmus für die IKE-Phase 1 festzulegen sind. Wenn Sie <Auto> auswählen, wird ein Algorithmus automatisch eingestellt, der sowohl von diesem Gerät als auch vom Kommunikationspartner verwendet werden kann. Wenn Sie einen bestimmten Algorithmus festlegen möchten, wählen Sie <Manuelle Einstellungen> aus, und konfigurieren Sie die nachfolgenden Einstellungen.
| ||||||||||
3 | Drücken Sie <OK>. |
Wenn <IKE-Modus> auf <Main> auf dem Bildschirm <Einstellungen IKE> und <Authentisierungs methode> auf <Meth. Pregem. Schls.> eingestellt ist, gelten die folgenden Einschränkungen bei der Registrierung mehrerer Sicherheitsrichtlinien. Schlüssel der Pre-Shared-Key-Methode: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, sind alle gemeinsam genutzten Schlüssel für diese Sicherheitsrichtlinie identisch. (Dies gilt nicht, wenn eine einzige Adresse angegeben wird.) Priorität: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, liegt die Priorität dieser Sicherheitsrichtlinie unterhalb der Sicherheitsrichtlinien, für die eine einzige Adresse angegeben ist. |
1 | Drücken Sie <Einstellungen IPSec-Netzwerk>. | ||||||
2 | Konfigurieren Sie die erforderlichen Einstellungen. <Gültigkeit> Setzen Sie einen Gültigkeitszeitraum für die generierten IKE-SA und IPsec-SA fest. Achten Sie darauf, entweder <Zeit> oder <Format> festzulegen. Wenn Sie beides festlegen, endet der Gültigkeitszeitraum, sobald einer der Werte erreicht ist. <PFS> Wenn Sie die PFS-Funktion (Perfect Forward Secrecy) auf <Ein> festlegen, wird die Geheimhaltung des Verschlüsselungsschlüssels erhöht, jedoch die Kommunikationsgeschwindigkeit verlangsamt. Darüber hinaus muss die PFS-Funktion im Gerät des Kommunikationspartners aktiviert sein. <Algorithmus Auth./Verschlüss.> Wählen Sie entweder <Auto> oder <Manuelle Einstellungen> aus, um einzustellen, wie der Authentifizierungs- und Verschlüsselungsalgorithmus für die IKE Phase 2 festzulegen ist. Wenn Sie <Auto> auswählen, wird der ESP-Authentifizierungs- und -Verschlüsselungsalgorithmus automatisch eingestellt. Wenn Sie eine bestimmte Authentifizierungsmethode festlegen möchten, drücken Sie <Manuelle Einstellungen>, und wählen Sie eine der nachfolgenden Authentifizierungsmethoden aus.
| ||||||
3 | Drücken Sie <OK> <OK>. |
Verwalten der IPSec-RichtlinienSie können die am Bildschirm in Schritt 3 angezeigten Richtlinien bearbeiten. Um die Details der Richtlinie zu bearbeiten, wählen Sie die Richtlinie in der Liste aus, und drücken Sie <Bearbeiten>. Um eine Richtlinie zu deaktivieren, wählen Sie die Richtlinie in der Liste aus, und drücken Sie <Richtlinie Ein/Aus>. Um eine Richtlinie zu löschen, wählen Sie die Richtlinie in der Liste aus, und drücken Sie <Löschen> <Ja>. |