קביעת תצורת ההגדרות של IPsec
אבטחת פרוטוקול אינטרנט (IPSec או IPsec) היא חבילת פרוטוקולים להצפנת נתונים המועברים ברשת, כולל רשתות אינטרנט. בעוד TLS מצפין רק נתונים המשמשים ביישום ספציפי, כגון דפדפן אינטרנט או יישום של דואר אלקטרוני, IPSec מצפין מנות IP מלאות או את המטענים של מנות IP, ומציע מערכת אבטחה גמישה יותר. ה-IPSec של המכשיר פועל במצב העברה, שבו המטענים של מנות IP מוצפנים. באמצעות תכונה זאת, המכשיר יכול להתחבר ישירות למחשב שיש לו רשת וירטואלית פרטית (VPN) זהה. בדוק את דרישות המערכת והגדר את התצורה הדרושה במחשב לפני הגדרת המכשיר. פונקציות ניהול
|
|
שימוש ב-IPSec עם מסנן כתובות IPהגדרות IPSec מיושמות לפני הגדרות סינון כתובת ה-IP במהלך קבלת חבילה בזמן שהגדרות כתובת ה-IP מיושמות לפני הגדרות ה-IPSec במהלך שידור חבילה. הגדרת כתובות IP עבור כללי חומת אש
|
רישום מדיניות אבטחה
כדי להשתמש ב-IPSec לצורך תקשורת מוצפנת, עליך לרשום את מדיניות האבטחה (SP) לפני הפעלת הגדרות IPSec (הפעלת אימות IPSec). מדיניות אבטחה מורכבת מקבוצות של ההגדרות שמתוארות בהמשך. באפשרותך לרשום מספר קווי מדיניות בהתאם לשילוב כתובת ה-IP ומספר היציאה. לאחר רישום רכיבי המדיניות, ציין את הסדר שבו הן יופעלו.
בורר
הבורר (Selector) מגדיר תנאים למנות IP להפעלה בתקשורת IPSec. התנאים הניתנים לבחירה כוללים כתובות IP ומספרי יציאות של המכשיר וההתקנים שאיתם הוא מתקשר.
IKE
IKE מגדיר את ה-IKEv1 המשמש לפרוטוקול החלפת מפתחות. לתשומת לבך, ההוראות משתנות בהתאם לשיטת האימות שנבחרה.
[Pre-Shared Key Method]
ניתן לשתף מפתח בעל תווים אלפא נומריים עם התקנים אחרים. הפעל TLS עבור ה-Remote UI (ממשק משתמש מרוחק) מראש (השימוש ב-TLS לתקשורת מוצפנת).
ניתן לשתף מפתח בעל תווים אלפא נומריים עם התקנים אחרים. הפעל TLS עבור ה-Remote UI (ממשק משתמש מרוחק) מראש (השימוש ב-TLS לתקשורת מוצפנת).
[Digital Signature Method]
המכשיר וההתקנים האחרים מאמתים זה את זה על ידי אימות הדדי של החתימות הדיגיטליות שלהם. הכן זוג מפתחות (השימוש בזוגות מפתחות ואישורים דיגיטליים שהונפקו על ידי ה-CA).
המכשיר וההתקנים האחרים מאמתים זה את זה על ידי אימות הדדי של החתימות הדיגיטליות שלהם. הכן זוג מפתחות (השימוש בזוגות מפתחות ואישורים דיגיטליים שהונפקו על ידי ה-CA).
הגדרת פרוטוקולים ואפשרויות
קבע את הגדרות ה-ESP וה-AH, שנוספים לחבילות במהלך תקשורת IPSec. לא ניתן להשתמש ב-ESP וב-AH בו-זמנית. ניתן גם לבחור אם לאפשר PFS כדי לקבל אבטחה חזקה יותר.
1
הפעל את ה-Remote UI (ממשק משתמש מרוחק) והתחבר במצב ניהול. הפעלת Remote UI (ממשק משתמש מרוחק)
2
לחץ על [Settings/Registration].
3
לחץ על [Security] 
[IPSec Settings].
[IPSec Settings].
4
לחץ על [IPSec Policy List].
5
לחץ על [Register IPSec Policy].
6
הזן שם מדיניות תחת [Policy Name], וסמן את תיבת הסימון [Enable Policy].
[Policy Name]
הזן תווים אלפא נומריים עבור שם שישמש לזיהוי המדיניות.
הזן תווים אלפא נומריים עבור שם שישמש לזיהוי המדיניות.
[Enable Policy]
סמן את תיבת הסימון כדי להפעיל את המדיניות. כאשר אינך משתמש במדיניות, בטל את הסימון בתיבת הסימון.
סמן את תיבת הסימון כדי להפעיל את המדיניות. כאשר אינך משתמש במדיניות, בטל את הסימון בתיבת הסימון.
7
קבע את הגדרות הבורר.
[Local Address]
Sבחר את סוג כתובת ה-IP של המכשיר כדי להחיל את המדיניות מהרשימה הבאה.
Sבחר את סוג כתובת ה-IP של המכשיר כדי להחיל את המדיניות מהרשימה הבאה.
|
[All IP Addresses]
|
בחר כדי להשתמש ב-IPSec לכל מנות ה-IP.
|
|
[IPv4 Address]
|
בחר כדי להשתמש ב-IPSec לכל מנות ה-IP שנשלחות אל או מכתובת ה-IPv4 של המכשיר.
|
|
[IPv6 Address]
|
בחר כדי להשתמש ב-IPSec לכל מנות ה-IP שנשלחות אל או מכתובת ה-IPv6 של המכשיר.
|
|
[IPv4 Manual Settings]
|
בחר כדי לציין כתובת IPv4 יחידה או טווח של כתובות IPv4 להפעלת IPSec. הזן את כתובת ה-IPv4 (או את הטווח) בתיבת הטקסט [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
בחר כדי לציין כתובת IPv6 יחידה או טווח של כתובות IPv6 להפעלת IPSec. הזן את כתובת ה-IPv6 (או את הטווח) בתיבת הטקסט [Addresses to Set Manually].
|
[Addresses to Set Manually]
אם [IPv4 Manual Settings] או [IPv6 Manual Settings] נבחרו עבור [Local Address], הזן את כתובת ה-IP להפעלת המדיניות.
אם [IPv4 Manual Settings] או [IPv6 Manual Settings] נבחרו עבור [Local Address], הזן את כתובת ה-IP להפעלת המדיניות.
[Subnet Settings]
בעת ציון כתובות IPv4 באופן ידני, ניתן לבטא את הטווח באמצעות מסיכת רשת המשנה. הזן את מסיכת רשת המשנה תוך שימוש בנקודות כדי לתחום מספרים (דוגמה: "255.255.255.240").
בעת ציון כתובות IPv4 באופן ידני, ניתן לבטא את הטווח באמצעות מסיכת רשת המשנה. הזן את מסיכת רשת המשנה תוך שימוש בנקודות כדי לתחום מספרים (דוגמה: "255.255.255.240").
[Remote Address]
Sבחר את סוג כתובת ה-IP של ההתקנים האחרים כדי להחיל את המדיניות מהרשימה המוצגת להלן.
Sבחר את סוג כתובת ה-IP של ההתקנים האחרים כדי להחיל את המדיניות מהרשימה המוצגת להלן.
|
[All IP Addresses]
|
בחר כדי להשתמש ב-IPSec לכל מנות ה-IP.
|
|
[All IPv4 Address]
|
בחר כדי להשתמש ב-IPSec לכל חבילות ה-IP שנשלחות אל או מכתובת ה-IPv4.
|
|
[All IPv6 Address]
|
בחר כדי להשתמש ב-IPSec לכל חבילות ה-IP שנשלחות אל או מכתובת ה-IPv6.
|
|
[IPv4 Manual Settings]
|
בחר כדי לציין כתובת IPv4 יחידה או טווח של כתובות IPv4 להפעלת IPSec. הזן את כתובת ה-IPv4 (או את הטווח) בתיבת הטקסט [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
בחר כדי לציין כתובת IPv6 יחידה או טווח של כתובות IPv6 להפעלת IPSec. הזן את כתובת ה-IPv6 (או את הטווח) בתיבת הטקסט [Addresses to Set Manually].
|
[Addresses to Set Manually]
אם [IPv4 Manual Settings] או [IPv6 Manual Settings] נבחרו עבור [Remote Address], הזן את כתובת ה-IP להפעלת המדיניות.
אם [IPv4 Manual Settings] או [IPv6 Manual Settings] נבחרו עבור [Remote Address], הזן את כתובת ה-IP להפעלת המדיניות.
[Subnet Settings]
בעת ציון כתובות IPv4 באופן ידני, ניתן לבטא את הטווח באמצעות מסיכת רשת המשנה. הזן את מסיכת רשת המשנה תוך שימוש בנקודות כדי לתחום מספרים (דוגמה: "255.255.255.240").
בעת ציון כתובות IPv4 באופן ידני, ניתן לבטא את הטווח באמצעות מסיכת רשת המשנה. הזן את מסיכת רשת המשנה תוך שימוש בנקודות כדי לתחום מספרים (דוגמה: "255.255.255.240").
[Local Port]/[Remote Port]
אם ברצונך ליצור מדיניות נפרדת לכל פרוטוקול, כגון HTTP או SMTP, הזן את מספר היציאה המתאים של הפרוטוקול כדי לקבוע אם להשתמש ב-IPSec.
אם ברצונך ליצור מדיניות נפרדת לכל פרוטוקול, כגון HTTP או SMTP, הזן את מספר היציאה המתאים של הפרוטוקול כדי לקבוע אם להשתמש ב-IPSec.
IPSec לא מופעל על החבילות בעלות כתובת רב-נתיבית או כתובת שידור מסוימת.
8
ציין את הגדרות IKE.
[IKE Mode]
המצב המשמש לפרוטוקול החלפת המפתח מוצג. בדרך-כלל בחר את המצב הראשי.
בחר את המצב האגרסיבי כאשר כתובת ה-IP אינה קבועה. שים לב שהאבטחה נמוכה יותר במצב האגרסיבי מאשר במצב הראשי.
[AUTH Method]
בחר [Pre-Shared Key Method] או [Digital Signature Method] לשימוש בעת אימות המכשיר.
בחר [Pre-Shared Key Method] או [Digital Signature Method] לשימוש בעת אימות המכשיר.
כאשר מצב אגרסיבי נבחר תחת [IKE Mode], ההגדרה [Pre-Shared Key Method] אינה מצפינה את המפתח המשותף.
[Authentication/Encryption Algorithm]
כדי להגדיר באופן אוטומטי את האלגוריתם המשמש לצורך החלפת המפתח, סמן את תיבת הסימון [Auto]. אם תסמן את תיבת הסימון, האלגוריתם יוגדר כפי שמוצג להלן.
כדי להגדיר באופן אוטומטי את האלגוריתם המשמש לצורך החלפת המפתח, סמן את תיבת הסימון [Auto]. אם תסמן את תיבת הסימון, האלגוריתם יוגדר כפי שמוצג להלן.
|
[Authentication]
|
[SHA1 and MD5]
|
|
[Encryption]
|
[3DES-CBC and AES-CBC]
|
|
[DH Group]
|
[Group 2 (1024)]
|
כדי להגדיר באופן ידני את האלגוריתם, בטל את הסימון בתיבת הסימון ובחר את האלגוריתם.
|
[Authentication]
|
בחר את אלגוריתם ה-Hash.
|
|
[Encryption]
|
בחר את אלגוריתם ההצפנה.
|
|
[DH Group]
|
בחר את קבוצת Diffie-Hellman, שקובעת את חוזק המפתח.
|
השימוש ב-[Pre-Shared Key Method] לצורך אימות
|
1
|
בחר באפשרות [Pre-Shared Key Method] עבור [AUTH Method] ולחץ על [Shared Key Settings].
|
|
2
|
השתמש בתווים אלפאנומריים כדי להזין את המפתח המשותף מראש ולאחר מכן לחץ על [OK].
|
השימוש ב-[Digital Signature Method] לצורך אימות
|
1
|
בחר באפשרות [Digital Signature Method] עבור [AUTH Method] ולחץ על [Key and Certificate].
|
|
2
|
בחר את זוג המפתחות שברצונך להשתמש בו, ולחץ על [Default Key Settings].
הצגת פרטי זוג המפתחות או האישור
ניתן לבדוק את פרטי האישור או לאמת את האישור על ידי לחיצה על קישור הטקסט המתאים תחת [Key Name] או סמל האישור. אימות זוגות מפתחות ואישורים דיגיטליים
|
9
ציין את ההגדרות של רשת IPSec.
[Use PFS]
סמן את תיבת הסימון כדי להפעיל את הסודיות המושלמת המקדימה (PFS) עבור מפתחות שיחה של IPSec. הפעלת PFS מגבירה את האבטחה תוך הגברת העומס על התקשורת. ודא ש-PFS מופעל גם בהתקנים אחרים. כאשר אינך משתמש ב-PFS, בטל את הסימון בתיבת הסימון.
[Validity]
ציין כמה זמן SA משמש כתעלת תקשורת. סמן את תיבת הסימון [Specify by Time] או את [Specify by Size] או את שתיהן לפי הצורך. אם שתי תיבות הסימון נבחרות, הפעלת ה-IPSec SA מסתיימת כאשר אחד מהתנאים מתמלא.
ציין כמה זמן SA משמש כתעלת תקשורת. סמן את תיבת הסימון [Specify by Time] או את [Specify by Size] או את שתיהן לפי הצורך. אם שתי תיבות הסימון נבחרות, הפעלת ה-IPSec SA מסתיימת כאשר אחד מהתנאים מתמלא.
|
[Specify by Time]
|
הזן זמן בדקות כדי לציין כמה זמן ההפעלה תימשך. הזמן שהוזן מיושם על IPSec SA וגם על IKE SA.
|
|
[Specify by Size]
|
הזן גודל במגה-בתים כדי לציין כמה נתונים יכולים לעבור בהפעלה. הגודל שהוזן מיושם על IPSec SA בלבד.
|
אם סימנת את תיבת הסימון [Specify by Size] בלבד
לא ניתן לציין את חוקיות IKE SA על ידי גודל, כך שהערך הראשוני (480 דקות) של [Specify by Time] מיושם.
[Authentication/Encryption Algorithm]
בחר את הפרוטוקול ואת האלגוריתם לשימוש עבור תקשורת IPSec.
בחר את הפרוטוקול ואת האלגוריתם לשימוש עבור תקשורת IPSec.
הגדרת חיבור באופן אוטומטי
בחר באפשרות [Auto].
|
[ESP Authentication]
|
ESP מופעל ואלגוריתם האימות מוגדר לאפשרות [SHA1 and MD5].
|
|
[ESP Encryption]
|
ESP מופעל ואלגוריתם ההצפנה מוגדר לאפשרות [3DES-CBC and AES-CBC].
|
שימוש ב-ESP
בחר [ESP] ובחר את אלגוריתם האימות ואת אלגוריתם ההצפנה.
|
[ESP Authentication]
|
בחר את אלגוריתם הגיבוב לשימוש עבור אימות ESP.
|
|
[ESP Encryption]
|
בחר את אלגוריתם ההצפנה עבור ESP.
|
שימוש ב-AH
בחר [AH], ובחר את אלגוריתם הגיבוב לשימוש עבור אימות AH מתוך [AH Authentication].
[Connection Mode]
מצב החיבור של IPSec מוצג. המכשיר תומך במצב העברה, שבו המטענים של מנות IP מוצפנים. מצב מנהרה, שבו מנות IP מלאות (כותרות ומטענים) כמוסים, אינו זמין.
מצב החיבור של IPSec מוצג. המכשיר תומך במצב העברה, שבו המטענים של מנות IP מוצפנים. מצב מנהרה, שבו מנות IP מלאות (כותרות ומטענים) כמוסים, אינו זמין.
10
לחץ על [OK].
אם עליך לרשום מדיניות אבטחה נוספת, חזור לשלב 5.
11
ארגן את סדר רכיבי המדיניות הרשומים תחת [IPSec Policy List].
רכיבי מדיניות מופעלים מהמיקום הגבוה ביותר לנמוך ביותר. לחץ על [Raise Priority] או [Lower Priority] כדי להעביר מדיניות למעלה או למטה בסדר.
עריכת מדיניות
באפשרותך ללחוץ על קישור הטקסט תחת [Policy Name] כדי לערוך את ההגדרות.
מחיקת מדיניות
לחץ על [Delete] מימין למדיניות שברצונך למחוק.
12
יש לבצע איפוס מלא.
לחץ על [Device Control],בחר באפשרות [Hard Reset], ולחץ על [Execute].
ההגדרות מופעלות לאחר ביצוע איפוס מלא.
הפעלת אימות IPSec
לאחר השלמת רישום מדיניות האבטחה, הפעל את תקשורת IPSec.
1
הפעל את ה-Remote UI (ממשק משתמש מרוחק) והתחבר במצב ניהול. הפעלת Remote UI (ממשק משתמש מרוחק)
2
לחץ על [Settings/Registration].
3
לחץ על [Security] [IPSec Settings].
[IPSec Settings].
4
לחץ על [Edit].
5
בחר בתיבת הסימון [Use IPSec] ולאחר מכן לחץ על [OK].
[Use IPSec]
בעת השימוש ב-IPSec במכשיר, סמן את תיבת הסימון. כאשר לא נעשה שימוש ב-IPSec, בטל את הסימון בתיבת הסימון.
[Allow Receive Non-Policy Packets]
אם תסמן את תיבת הסימון בעת השימוש ב-IPSec, חבילות שאינן זמינות לרישום מדיניות יישלחו/יתקבלו גם הן. כדי להשבית את השליחה/הקבלה של החבילות שאינן זמינות עבור המדיניות, בטל את הסימון בתיבת הסימון.
אם תסמן את תיבת הסימון בעת השימוש ב-IPSec, חבילות שאינן זמינות לרישום מדיניות יישלחו/יתקבלו גם הן. כדי להשבית את השליחה/הקבלה של החבילות שאינן זמינות עבור המדיניות, בטל את הסימון בתיבת הסימון.
6
יש לבצע איפוס מלא.
לחץ על [Device Control],בחר באפשרות [Hard Reset], ולחץ על [Execute].
ההגדרות מופעלות לאחר ביצוע איפוס מלא.
|
|
שימוש בלוח ההפעלהבאפשרותך גם להפעיל או להשבית את תקשורת IPSec מתפריט ההגדרות של לוח ההפעלה. IPSec
|