IPSec Ayarlarını Yapılandırma

İnternet Protokolü Güvenliği (IPSec veya IPsec), internet ağları da dahil olmak üzere, bir ağ üzerinden taşınan verileri şifrelemek için uygun protokoldür. TLS yalnızca Web tarayıcısı veya e-posta uygulaması gibi belirli bir uygulamada kullanılan verileri şifrelerken, IPSec, IP paketlerinin tamamını ya da IP paketlerinin bilgi yüklerini şifreler ve böylece daha çok yönlü bir güvenlik sistemi sunar. Makinenin IPSec protokolü, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunda çalışır. Bu özellik sayesinde makine, aynı sanal özel ağda (VPN) bulunan bir bilgisayara doğrudan bağlanabilir. Makineyi yapılandırmadan önce sistem gereksinimlerini kontrol edin (Yönetim Fonksiyonları) ve bilgisayarda gerekli yapılandırmayı ayarlayın.
IP adres filtresi ile IPSec kullanma
IP adresi filtre ayarları, IPSec politikalarından önce uygulanır. Güvenlik Duvarı Ayarları için IP Adreslerini Belirtme

IPSec Ayarlarını Yapılandırma

Şifreli iletişim için IPSec'i kullanmadan önce güvenlik ilkelerini (SP) kaydetmeniz gerekir. Bir güvenlik ilkesi, aşağıda açıklanan ayar gruplarından oluşur. İlkeleri kaydettikten sonra bunların uygulanma sırasını belirtin.
Seçici
Seçici, IP paketlerinin IPSec iletişimini uygulama koşullarını tanımlar. Seçilebilir koşullar arasında, iletişim kurulacak aygıtların ve makinenin IP adresleri ve bağlantı noktası numarası yer alır.
IKE
IKE, anahtar değişimi protokolü için kullanılan IKEv1'i yapılandırır. Talimatların, seçilen kimlik doğrulama yöntemine bağlı olarak değişiklik gösterdiğini unutmayın.
[Ön-Paylaşımlı Anahtar Yöntemi]
Bu kimlik doğrulama yöntemi, makine ve diğer aygıtlar arasındaki iletişim için Paylaşılan Anahtar adında genel bir anahtar kelime kullanır. Bu kimlik doğrulama yöntemini belirtmeden önce Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirin (TLS için Anahtar ve Sertifika Yapılandırma).
[Dijital İmza Yöntemi]
Makine ve diğer aygıtlar, dijital imzalarını karşılıklı doğrulayarak birbirinin kimliğini doğrular. Anahtar ve sertifikayı önceden oluşturun veya yükleyin (Ağ İletişimi için Anahtar ve Sertifika Kaydetme).
AH/ESP
IPSec iletişimi sırasında paketlere eklenen AH/ESP ayarlarını belirtin. AH ve ESP aynı anda kullanılabilir. Daha sıkı güvenlik için PFS'nin etkinleştirilip etkinleştirilmeyeceğini de belirleyebilirsiniz.
Uzak Kullanıcı Arabiriminden makineyi ayarlarken gerçekleştirilecek temel işlemler hakkında bilgi için bkz. Uzak Kullanıcı Arabiriminden Menü Seçeneklerini Ayarlama.
1
Uzak Kullanıcı Arabirimini başlatın ve Sistem Yöneticisi modunda oturum açın. Uzak Kullanıcı Arabirimini Başlatma
2
Portal sayfasında [Ayarlar/Kayıt] öğesini tıklatın. Uzak Kullanıcı Arabirimi Ekranı
3
[Ağ Ayarları]  [IPSec Ayarları] öğesini seçin.
4
[Düzenle] öğesini tıklatın.
5
[IPSec Kullan] onay kutusunu seçin ve [Tamam] öğesini tıklatın.
Makinenin, yalnızca aşağıdaki adımlarda tanımladığınız güvenlik politikalarından biriyle eşleşen paketleri almasını istiyorsanız [İlkesiz Paketleri Al] onay kutusunu temizleyin.
6
[Yeni İlke Kaydet] öğesini tıklatın.
7
İlke Ayarlarını belirtin.
1
[İlke Adı] metin kutusuna, ilkeyi tanımlamak amacıyla kullanılan bir ad için alfasayısal karakter girin.
2
[İlkeyi Etkinleştir] onay kutusunu seçin.
8
Seçici Ayarlarını belirtin.
[Yerel Adres]
İlkenin uygulanacağı makinenin IP adresi türü için radyo düğmesini tıklatın.
[Tüm IP Adresleri]
Tüm IP paketlerine ilişkin IPSec kullanmak için seçin.
[IPv4 Adresi]
Makinenin IPv4 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'i kullanmak üzere seçin.
[IPv6 Adresi]
Makinenin IPv6 adresine gönderilen veya buradan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[Uzak Adres]
İlkenin uygulanacağı diğer aygıtların IP adresi türü için radyo düğmesini tıklatın.
[Tüm IP Adresleri]
Tüm IP paketlerine ilişkin IPSec kullanmak için seçin.
[Tüm IPv4 Adresleri]
Diğer aygıtların IPv4 adreslerine gönderilen veya bunlardan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[Tüm IPv6 Adresleri]
Diğer aygıtların IPv6 adreslerine gönderilen veya bunlardan gelen tüm IP paketleri için IPSec'yi kullanmak üzere seçin.
[IPv4 Manüel Ayarları]
IPSec uygulanacak tek bir IPv4 adresi veya IPv4 adresleri aralığı belirtmek için seçin. [Manüel Ayarlanacak Adresler] metin kutusuna IPv4 adresini (veya aralığı) girin.
[IPv6 Manüel Ayarları]
IPSec uygulanacak tek bir IPv6 adresi veya IPv6 adresleri aralığı belirtmek için seçin. [Manüel Ayarlanacak Adresler] metin kutusuna IPv6 adresini (veya aralığı) girin.
[Manüel Ayarlanacak Adresler]
[Uzak Adres] için [IPv4 Manüel Ayarları] veya [IPv6 Manüel Ayarları] seçilirse, ilkenin uygulanacağı IP adresini girin. Ayrıca adresler arasına bir tire ekleyerek de adres aralığı girebilirsiniz.
IP adresleri girme
Açıklama
Örnek
Tek bir adres girme
IPv4:
Sayıları nokta ile ayırın.
192.168.0.10
IPv6:
Alfasayısal karakterleri iki nokta ile ayırın.
fe80::10
Bir adres aralığı belirtme
Adreslerin arasına tire ekleyin.
192.168.0.10-192.168.0.20
[Alt Ağ Ayarları]
Manuel olarak IPv4 adresi girerken, alt ağ maskesini kullanarak aralığı ifade edebilirsiniz. Numaraları sınırlandırmak için nokta kullanarak alt ağ maskesini girin (örnek: "255.255.255.240").
[Önek Uzunluğu]
IPv6 adres aralığını manuel olarak belirtmek, önekleri kullanarak aralığı belirtmenize de izin verir. Önek uzunluğu için 0 ile 128 arasında bir aralık girin.
[Yerel Port]/[Uzak Port]
HTTP veya WSD gibi her bir protokol için ayrı ilkeler oluşturmak istiyorsanız, [Tek Port] radyo düğmesine tıklayın ve IPSec kullanılıp kullanılmayacağını belirlemek üzere protokol için uygun bağlantı noktası numarasını girin.
IPSec, aşağıdaki paketlere uygulanmaz
Geridöngü, çok noktaya yayın ve yayın paketleri
IKE paketleri (500 numaralı bağlantı noktasında UDP kullanan)
ICMPv6 komşu isteme ve komşu tanıtımı paketleri
9
IKE Ayarlarını belirtin.
[IKE Modu]
Anahtar değişimi protokolü için kullanılan mod görüntülenir. Makine, ısrarlı modu değil, ana modu destekler.
[Kimlik Doğrulama Yöntemi]
Makinenin kimliği doğrulanırken kullanılan yöntem için [Ön-Paylaşımlı Anahtar Yöntemi] veya [Dijital İmza Yöntemi] öğesini seçin. [Ön-Paylaşımlı Anahtar Yöntemi] öğesini seçmeden önce Uzak Kullanıcı Arabirimi için TLS'yi etkinleştirmeniz gerekir. [Dijital İmza Yöntemi] öğesini seçmeden önce bir anahtar ve sertifika oluşturmanız veya yüklemeniz gerekir. TLS için Anahtar ve Sertifika Yapılandırma
[Geçerlilik tarihi]
IKE SA (ISAKMP SA) için bir oturumun ne kadar süreceğini belirtin. Dakika cinsinden süreyi girin.
[Kimlik Doğrulama]/[Şifreleme]/[DH Grubu]
Açılır listeden bir algoritma seçin. Anahtar değişiminde her bir algoritma kullanılır.
[Kimlik Doğrulama]
Karma algoritmayı seçin.
[Şifreleme]
Şifreleme algoritmasını seçin.
[DH Grubu]
Anahtar gücünü belirleyen Diffie-Hellman grubunu seçin.
 Önceden paylaşılan bir anahtar kullanarak makinenin kimliğini doğrulama
1
[Kimlik Doğrulama Yöntemi] için [Ön-Paylaşımlı Anahtar Yöntemi] radyo düğmesini ve [Paylaşılan Anahtar Ayarları] öğesini tıklatın.
2
Önceden paylaşılan anahtar için alfasayısal karakter girin ve [Tamam] öğesini tıklatın.
3
[Geçerlilik tarihi] ve [Kimlik Doğrulama]/[Şifreleme]/[DH Grubu] ayarlarını belirtin.
 Dijital imza yöntemini kullanarak makinenin kimliğini doğrulama
1
[Kimlik Doğrulama Yöntemi] için [Dijital İmza Yöntemi] radyo düğmesini ve [Anahtar ve Sertifika] öğesini tıklatın.
2
Kullanmak istediğiniz anahtar ve sertifikanın sağındaki [Varsayılan Anahtarı Kaydet] öğesini tıklatın.
Bir sertifikanın ayrıntılarını görüntüleme
[Anahtar Adı] altındaki ilgili metin bağlantısını veya sertifika simgesini tıklatarak sertifikanın ayrıntılarını kontrol edebilir ya da sertifikayı doğrulayabilirsiniz.
3
[Geçerlilik tarihi] ve [Kimlik Doğrulama]/[Şifreleme]/[DH Grubu] ayarlarını belirtin.
10
IPSec Ağ Ayarlarını belirtin.
[PFS Kullan]
IPSec oturum anahtarları için Kusursuz İletme Gizliliğini (PFS) etkinleştirmek üzere onay kutusunu seçin. PFS etkinleştirildiğinde, bir yandan güvenlik geliştirilirken diğer yandan da iletişimdeki yük artırılır. Diğer aygıtlar için de PFS'nin etkinleştirildiğinden emin olun.
[Zaman Göre Belirle]/[Boyuta Göre Belirle]
Bir IPSec SA oturumunu sonlandırma koşullarını ayarlayın. Bir iletişim tüneli olarak IPSec SA kullanılır. Onay kutularından birini veya her ikisini gerektiği gibi seçin. Her iki onay kutusu da seçilirse, koşullardan herhangi biri karşılandığında IPSec SA oturumu sonlandırılır.
[Zaman Göre Belirle]
Oturumun ne kadar süreceğini belirtmek için dakika cinsinden bir süre girin.
[Boyuta Göre Belirle]
Bir oturumda ne kadar verinin taşınabileceğini belirtmek için megabayt cinsinden bir boyut girin.
[Algoritma Seç]
Kullanılan IPSec üstbilgisine ve algoritmaya bağlı olarak [ESP], [ESP (AES-GCM)] veya [AH (SHA1)] onay kutusunu seçin. AES-GCM, hem kimlik doğrulama hem de şifreleme algoritmasıdır. [ESP] seçilirse, [ESP Kimlik Doğrulaması] ve [ESP Şifreleme] açılır listelerinden kimlik doğrulama ve şifreleme algoritmalarını da seçin.
[ESP Kimlik Doğrulaması]
ESP kimlik doğrulamasını etkinleştirmek üzere, karma algoritma için [SHA1] öğesini seçin. ESP kimlik doğrulamasını devre dışı bırakmak istiyorsanız, [Kullanma] öğesini seçin.
[ESP Şifreleme]
ESP için şifreleme algoritmasını seçin. Algoritma belirtmek istemiyorsanız [BOŞ] öğesini veya ESP şifrelemesini devre dışı bırakmak istiyorsanız [Kullanma] öğesini seçebilirsiniz.
[Bağlantı Modu]
IPSec bağlantı modu görüntülenir. Makine, IP paketlerinin bilgi yüklerinin şifrelendiği taşıma modunu destekler. IP paketlerinin tamamının (üstbilgiler ve bilgi yükleri) kapsüllendiği tünel modu kullanılamaz.
11
[Tamam] öğesini tıklatın.
Ek bir güvenlik ilkesi kaydetmeniz gerekirse, 6. adıma geri dönün.
12
[Kayıtlı IPSec İlkeleri] altında listelenen ilkelerin sırasını düzenleyin.
En yüksek konumdan başlayarak en düşük konuma doğru ilkeler uygulanır. Bir ilkeyi sıralamada yukarı veya aşağı taşımak için [Üst] ya da [Aşağı] öğesini tıklatın.
Bir ilkenin düzenlenmesi
Düzenleme ekranı için [İlke Adı] altındaki karşılık gelen metin bağlantısını tıklatın.
Bir ilkenin silinmesi
Silmek istediğiniz ilke adının sağında bulunan [Sil] öğesini tıklatın,  [Tamam] öğesini tıklatın.
13
Makineyi yeniden başlatın. Makineyi Yeniden Başlatma
İşletim panelini kullanma
IPSec iletişimini, Ana Ekran'daki <Menü> öğesinden de etkinleştirebilir veya devre dışı bırakabilirsiniz. <IPSec Kullan>
6X9H-04C