קביעת תצורת ההגדרות של IPsec
אבטחת פרוטוקול אינטרנט (IPSec או IPsec) היא חבילת פרוטוקולים להצפנת נתונים המועברים ברשת, כולל רשתות אינטרנט. בעוד TLS מצפין רק נתונים המשמשים ביישום ספציפי, כגון דפדפן אינטרנט או יישום של דואר אלקטרוני, IPSec מצפין מנות IP מלאות או את המטענים של מנות IP, ומציע מערכת אבטחה גמישה יותר. ה-IPSec של המכשיר פועל במצב העברה, שבו המטענים של מנות IP מוצפנים. באמצעות תכונה זאת, המכשיר יכול להתחבר ישירות למחשב שיש לו רשת וירטואלית פרטית (VPN) זהה. בדוק את דרישות המערכת (פונקציות ניהול) וקבע את התצורה הנחוצה במחשב לפני שתגדיר את המכשיר.
|
|
שימוש ב-IPSec עם מסנן כתובות IPההגדרות של מסנן כתובות IP מופעלות לפני המדיניות של IPSec. ציון כתובות IP בהגדרות של חומת אש
|
קביעת תצורת ההגדרות של IPsec
לפני השימוש ב-IPSec לתקשורת מוצפנת, עליך לרשום מדיניות אבטחה (SP). מדיניות אבטחה מורכבת מקבוצות של ההגדרות שמתוארות בהמשך. לאחר רישום רכיבי המדיניות, ציין את הסדר שבו הן יופעלו.
בורר
הבורר (Selector) מגדיר תנאים למנות IP להפעלה בתקשורת IPsec. התנאים הניתנים לבחירה כוללים כתובות IP ומספרי יציאות של המכשיר וההתקנים שאיתם הוא מתקשר.
IKE
IKE מגדיר את ה-IKEv1 המשמש לפרוטוקול החלפת מפתחות. לתשומת לבך, ההוראות משתנות בהתאם לשיטת האימות שנבחרה.
[Pre-Shared Key Method]
שיטת אימות זאת משתמשת במילת מפתח משותפת, הנקראת מפתח משותף, לתקשורת בין המכשיר והתקנים אחרים. הפעל TLS לממשק המשתמש המרוחק לפני שתציין שיטת אימות זאת (הגדרת מפתח ואישור עבור TLS).
שיטת אימות זאת משתמשת במילת מפתח משותפת, הנקראת מפתח משותף, לתקשורת בין המכשיר והתקנים אחרים. הפעל TLS לממשק המשתמש המרוחק לפני שתציין שיטת אימות זאת (הגדרת מפתח ואישור עבור TLS).
[Digital Signature Method]
המכשיר וההתקנים האחרים מאמתים זה את זה על ידי אימות הדדי של החתימות הדיגיטליות שלהם. צור או התקן מראש את המפתח ואת האישור (רישום המפתח והאישור עבור תקשורת רשת).
המכשיר וההתקנים האחרים מאמתים זה את זה על ידי אימות הדדי של החתימות הדיגיטליות שלהם. צור או התקן מראש את המפתח ואת האישור (רישום המפתח והאישור עבור תקשורת רשת).
AH/ESP
ציין את ההגדרות של AH/ESP, שנוסף למנה במהלך תקשורת IPSec. ניתן להשתמש ב-AH וב-ESP בו-זמנית. ניתן גם לבחור אם לאפשר PFS כדי לקבל אבטחה חזקה יותר.
|
|
|
למידע נוסף לגבי הפעולות הבסיסיות שיש לבצע במהלך הגדרת המכשיר מממשק משתמש מרוחק, ראה הגדרת אפשרויות תפריט Remote UI (ממשק המשתמש המרוחק).
|
1
הפעל את ממשק המשתמש המרוחק והיכנס למצב מנהל מערכת. הפעלת Remote UI (ממשק המשתמש המרוחק)
2
לחץ על [Settings/Registration] בדף הפורטל. מסך ממשק המשתמש המרוחק
3
בחר [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
לחץ על [Edit].
5
בחר בתיבת הסימון [Use IPSec] ולאחר מכן לחץ על [OK].
אם ברצונך שהמכשיר יקבל רק מנות שמתאימות לאחד מרכיבי מדיניות האבטחה שתגדיר בשלבים בהמשך, נקה את תיבת הסימון [Receive Non-Policy Packets].
6
לחץ על [Register New Policy].
7
ציין את הגדרות המדיניות.
|
1
|
בתיבת הטקסט [Policy Name], השתמש בתווים אלפאנומריים כדי להזין את השם שישמש לזיהוי המדיניות.
|
|
2
|
בחר בתיבת הסימון [Enable Policy].
|
8
ציין את הגדרות הבורר.
[Local Address]
לחץ על לחצן הבחירה כדי לבחור את סוג כתובת ה-IP של המכשיר להפעלת המדיניות.
לחץ על לחצן הבחירה כדי לבחור את סוג כתובת ה-IP של המכשיר להפעלת המדיניות.
|
[All IP Addresses]
|
בחר כדי להשתמש ב-IPsec לכל מנות ה-IP.
|
|
[IPv4 Address]
|
בחר כדי להשתמש ב-IPSec לכל מנות ה-IP שנשלחות אל או מכתובת ה-IPv4 של המכשיר.
|
|
[IPv6 Address]
|
בחר כדי להשתמש ב-IPSec לכל מנות ה-IP שנשלחות אל או מכתובת ה-IPv6 של המכשיר.
|
[Remote Address]
לחץ על לחצן הבחירה כדי לבחור את סוג כתובת ה-IP של ההתקנים האחרים להפעלת המדיניות.
לחץ על לחצן הבחירה כדי לבחור את סוג כתובת ה-IP של ההתקנים האחרים להפעלת המדיניות.
|
[All IP Addresses]
|
בחר כדי להשתמש ב-IPsec לכל מנות ה-IP.
|
|
[All IPv4 Addresses]
|
בחר כדי להשתמש ב-IPSec לכל מנות ה-IP שנשלחות אל או מכתובת ה-IPv4 של ההתקנים האחרים.
|
|
[All IPv6 Addresses]
|
בחר כדי להשתמש ב-IPSec לכל מנות ה-IP שנשלחות אל או מכתובת ה-IPv6 של ההתקנים האחרים.
|
|
[IPv4 Manual Settings]
|
בחר כדי לציין כתובת IPv4 יחידה או טווח של כתובות IPv4 להפעלת IPSec. הזן את כתובת ה-IPv4 (או את הטווח) בתיבת הטקסט [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
בחר כדי לציין כתובת IPv6 יחידה או טווח של כתובות IPv6 להפעלת IPSec. הזן את כתובת ה-IPv6 (או את הטווח) בתיבת הטקסט [Addresses to Set Manually].
|
[Addresses to Set Manually]
אם [IPv4 Manual Settings] או [IPv6 Manual Settings] נבחרו עבור [Remote Address], הזן את כתובת ה-IP להפעלת המדיניות. ניתן גם להזין טווח כתובות על ידי הוספת מקף בין הכתובות.
אם [IPv4 Manual Settings] או [IPv6 Manual Settings] נבחרו עבור [Remote Address], הזן את כתובת ה-IP להפעלת המדיניות. ניתן גם להזין טווח כתובות על ידי הוספת מקף בין הכתובות.
הזנת כתובות IP
|
תיאור
|
דוגמה
|
|
|
הזנת כתובת יחידה
|
IPv4:
תחום מספרים מופרדים בנקודות. |
192.168.0.10
|
|
IPv6:
תחום תווים אלפאנומריים מופרדים בנקודותיים. |
fe80::10
|
|
|
ציון טווח כתובות
|
הוסף מקף בין הכתובות.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
בעת ציון כתובת IPv4 באופן ידני, ניתן לבטא את הטווח באמצעות מסיכת רשת המשנה. הזן את מסיכת רשת המשנה תוך שימוש בנקודות כדי לתחום מספרים (דוגמה: "255.255.255.240").
בעת ציון כתובת IPv4 באופן ידני, ניתן לבטא את הטווח באמצעות מסיכת רשת המשנה. הזן את מסיכת רשת המשנה תוך שימוש בנקודות כדי לתחום מספרים (דוגמה: "255.255.255.240").
[Prefix Length]
ציון הטווח של כתובות IPv6 באופן ידני מאפשר גם לציין את הטווח באמצעות קידומות. הזן טווח בין 0 ובין 128 שהוא אורך הקידומת.
ציון הטווח של כתובות IPv6 באופן ידני מאפשר גם לציין את הטווח באמצעות קידומות. הזן טווח בין 0 ובין 128 שהוא אורך הקידומת.
[Local Port]/[Remote Port]
אם ברצונך ליצור מדיניות נפרדת לכל פרוטוקול, כגון HTTP או WSD לחץ על לחצן האפשרויות [Single Port] והזן את מספר היציאה המתאים של הפרוטוקול כדי לקבוע אם להשתמש ב-IPSec.
אם ברצונך ליצור מדיניות נפרדת לכל פרוטוקול, כגון HTTP או WSD לחץ על לחצן האפשרויות [Single Port] והזן את מספר היציאה המתאים של הפרוטוקול כדי לקבוע אם להשתמש ב-IPSec.
IPSec אינו חל על המנות הבאות
לולאה חוזרת (Loopback), שידור לקבוצה ומנות שידור
מנות IKE (באמצעות UDP ביציאה 500)
זיהוי שכן ICMPv6 ומנות פרסומת שכנות
9
ציין את הגדרות IKE.
[IKE Mode]
המצב משמש לפרוטוקול החלפת המפתח מוצג. המכשיר תומך במצב הראשי, לא במצב האגרסיבי.
המצב משמש לפרוטוקול החלפת המפתח מוצג. המכשיר תומך במצב הראשי, לא במצב האגרסיבי.
[Authentication Method]
בחר [Pre-Shared Key Method] או [Digital Signature Method] לשימוש בעת אימות המכשיר. עליך להפעיל TLS עבור ממשק המשתמש המרוחק לפני בחירה ב-[Pre-Shared Key Method]. עליך ליצור או להתקין את המפתח ואת האישור לפני בחירה ב-[Digital Signature Method]. הגדרת מפתח ואישור עבור TLS
בחר [Pre-Shared Key Method] או [Digital Signature Method] לשימוש בעת אימות המכשיר. עליך להפעיל TLS עבור ממשק המשתמש המרוחק לפני בחירה ב-[Pre-Shared Key Method]. עליך ליצור או להתקין את המפתח ואת האישור לפני בחירה ב-[Digital Signature Method]. הגדרת מפתח ואישור עבור TLS
[Valid for]
ציין כמה זמן תימשך הפעלה עבור IKE SA (ISAKMP SA). הזן את הזמן בדקות.
ציין כמה זמן תימשך הפעלה עבור IKE SA (ISAKMP SA). הזן את הזמן בדקות.
[Authentication]/[Encryption]/[DH Group]
בחר אלגוריתם מהרשימה הנפתחת. כל אלגוריתם משמש בהחלפת המפתח.
בחר אלגוריתם מהרשימה הנפתחת. כל אלגוריתם משמש בהחלפת המפתח.
|
[Authentication]
|
בחר את אלגוריתם ה-Hash.
|
|
[Encryption]
|
בחר את אלגוריתם ההצפנה.
|
|
[DH Group]
|
בחר את קבוצת Diffie-Hellman, שקובעת את חוזק המפתח.
|
אימות מכשיר באמצעות מפתח משותף מראש
|
1
|
לחץ על לחצן האפשרויות [Pre-Shared Key Method] עבור [Authentication Method] ולאחר מכן לחץ על [Shared Key Settings].
|
|
2
|
השתמש בתווים אלפאנומריים כדי להזין את המפתח המשותף מראש ולאחר מכן לחץ על [OK].
|
|
3
|
ציין את ההגדרות [Valid for] ו-[Authentication]/[Encryption]/[DH Group].
|
אימות מכשיר באמצעות שיטת חתימה דיגיטלית
|
1
|
לחץ על לחצן האפשרויות [Digital Signature Method] עבור [Authentication Method] ולאחר מכן לחץ על [Key and Certificate].
|
|
2
|
לחץ על [Register Default Key] בצד ימין של המפתח והאישור שבהם ברצונך להשתמש.
הצגת הפרטים של אישור
ניתן לבדוק את פרטי האישור או לאמת את האישור על ידי לחיצה על קישור הטקסט המתאים תחת [Key Name] או סמל האישור.
|
|
3
|
ציין את ההגדרות [Valid for] ו-[Authentication]/[Encryption]/[DH Group].
|
10
ציין את ההגדרות של רשת IPsec.
[Use PFS]
בחר בתיבת הסימון כדי להפעיל סודיות העברה שלמה (PFS) עבור מפתחות הפעלת IPSec. הפעלת PFS מגבירה את האבטחה תוך הגברת העומס על התקשורת. ודא ש-PFS מופעל גם בהתקנים אחרים.
בחר בתיבת הסימון כדי להפעיל סודיות העברה שלמה (PFS) עבור מפתחות הפעלת IPSec. הפעלת PFS מגבירה את האבטחה תוך הגברת העומס על התקשורת. ודא ש-PFS מופעל גם בהתקנים אחרים.
[Specify by Time]/[Specify by Size]
הגדר את התנאים לסיום הפעלה עבור IPSec SA. IPSec SA משמש כמנהרת תקשורת. בחר אחד משתי תיבות הסימון או את שתיהן לפי הצורך. אם שתי תיבות הסימון נבחרות, הפעלת ה-IPSec SA מסתיימת כאשר אחד מהתנאים מתמלא.
הגדר את התנאים לסיום הפעלה עבור IPSec SA. IPSec SA משמש כמנהרת תקשורת. בחר אחד משתי תיבות הסימון או את שתיהן לפי הצורך. אם שתי תיבות הסימון נבחרות, הפעלת ה-IPSec SA מסתיימת כאשר אחד מהתנאים מתמלא.
|
[Specify by Time]
|
הזן זמן בדקות כדי לציין כמה זמן ההפעלה תימשך.
|
|
[Specify by Size]
|
הזן גודל במגה-בתים כדי לציין כמה נתונים יכולים לעבור בהפעלה.
|
[Select Algorithm]
בחר את תיבות הסימון [ESP], [ESP (AES-GCM)] או [AH (SHA1)] בהתאם לכותרת ה-IPSec והאלגוריתם בשימוש. AES-GCM הוא אלגוריתם גם לאימות וגם להצפנה. אם [ESP] נבחר, בחר גם אלגוריתמים לאימות והצפנה מהרשימה הנפתחת [ESP Authentication] והרשימה הנפתחת [ESP Encryption].
בחר את תיבות הסימון [ESP], [ESP (AES-GCM)] או [AH (SHA1)] בהתאם לכותרת ה-IPSec והאלגוריתם בשימוש. AES-GCM הוא אלגוריתם גם לאימות וגם להצפנה. אם [ESP] נבחר, בחר גם אלגוריתמים לאימות והצפנה מהרשימה הנפתחת [ESP Authentication] והרשימה הנפתחת [ESP Encryption].
|
[ESP Authentication]
|
כדי לאפשר אימות ESP, בחר [SHA1] עבור אלגוריתם ה-Hash. בחר [Do Not Use] אם ברצונך להשבית את אימות ה-ESP.
|
|
[ESP Encryption]
|
בחר את אלגוריתם ההצפנה עבור ESP. אפשר לבחור [NULL] אם אינך רוצה לציין את האלגוריתם, או לבחור [Do Not Use] אם ברצונך להשבית את הצפנת ה-ESP.
|
[Connection Mode]
מצב החיבור של IPSec מוצג. המכשיר תומך במצב העברה, שבו המטענים של מנות IP מוצפנים. מצב מנהרה, שבו מנות IP מלאות (כותרות ומטענים) כמוסים, אינו זמין.
מצב החיבור של IPSec מוצג. המכשיר תומך במצב העברה, שבו המטענים של מנות IP מוצפנים. מצב מנהרה, שבו מנות IP מלאות (כותרות ומטענים) כמוסים, אינו זמין.
11
לחץ על [OK].
אם עליך לרשום מדיניות אבטחה נוספת, חזור לשלב 6.
12
ארגן את סדר רכיבי המדיניות הרשומים תחת [Registered IPSec Policies].
רכיבי מדיניות מופעלים מהמיקום הגבוה ביותר לנמוך ביותר. לחץ על [Up] או [Down] כדי להעביר מדיניות למעלה או למטה בסדר.
עריכת מדיניות
לחץ על קישור הטקסט המתאים תחת [Policy Name] כדי להגיע למסך העריכה.
מחיקת מדיניות
לחץ על [Delete] מימין לשם המדיניות שברצונך למחוק לחץ על [OK].
לחץ על [OK].13
הפעל מחדש את המכשיר. הפעלת המכשיר מחדש
|
|
שימוש בלוח ההפעלהניתן גם להפעיל או להשבית תקשורת IPSec מתוך <Menu> במסך Home _בית. <Use IPSec>
|