Konfiguracija nastavitev IPSec
Internet Protocol Security (IPSec ali IPsec) je zbirka protokolov za šifriranje podatkov, ki se prenašajo po omrežju, vključno z internetnimi omrežji. Medtem ko TLS šifrira samo podatke, uporabljene v določenem programu, na primer spletnem brskalniku ali e-poštnem odjemalcu, IPSec šifrira vse pakete ali vsebino paketov IP, zato je bolj univerzalen varnostni sistem. IPSec v napravi deluje v načinu prenosa, v katerem se vsebina paketov IP šifrira. S to funkcijo se lahko naprava poveže neposredno z računalnikom, ki je v istem navideznem zasebnem omrežju (VPN). Preden stroj konfigurirate, preverite sistemske zahteve in določite zahtevane nastavitve računalnika. Funkcije upravljanja
|
|
Uporaba funkcije IPSec s filtrom naslovov IPPri sprejemu paketov so nastavitve za IPSec uporabljene pred nastavitvami filtriranja naslovov IP, pri pošiljanju paketov pa so nastavitve naslova IP uporabljene pred nastavitvami za IPSec. Izbira IP naslovov za pravila požarne stene
|
Registracija varnostnih pravilnikov
Če želite uporabiti IPSec za šifrirano komunikacijo, morate registrirati varnostne pravilnike (SP), preden omogočite nastavitve za IPSec (Omogočanje komunikacije IPSec). Varnostni pravilnik vključuje spodaj opisane skupine nastavitev. Registrirate lahko več pravilnikov glede na kombinacijo naslova IP in številke vrat. Po registraciji pravilnikov izberite vrstni red, v katerem bodo uveljavljeni.
Izbirnik
Izbirnik določa pogoje, v katerih bodo paketi IP uporabili komunikacijo IPSec. Pogoji vključujejo naslove IP in številke vrat naprave ter naprave za komunikacijo.
IKE
IKE konfigurira protokol za izmenjavo ključev IKEv1. Upoštevajte, da so navodila lahko drugačna, odvisno od izbranega načina preverjanja pristnosti.
[Pre-Shared Key Method]
Ključ z alfanumeričnimi znaki lahko daste v skupno rabo z drugimi napravami. Pred tem omogočite TLS za Remote UI (Oddaljeni uporabniški vmesnik) (Uporaba protokola TLS za šifrirano komunikacijo).
Ključ z alfanumeričnimi znaki lahko daste v skupno rabo z drugimi napravami. Pred tem omogočite TLS za Remote UI (Oddaljeni uporabniški vmesnik) (Uporaba protokola TLS za šifrirano komunikacijo).
[Digital Signature Method]
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Pripravite par ključev, ki ga boste uporabili (Uporaba parov ključev in digitalnih potrdil, ki jih je izdal overitelj digitalnih potrdil).
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave. Pripravite par ključev, ki ga boste uporabili (Uporaba parov ključev in digitalnih potrdil, ki jih je izdal overitelj digitalnih potrdil).
Nastavljanje protokolov in možnosti
Konfigurirajte nastavitve za ESP in AH, ki sta dodana paketom pri komunikaciji IPSec. ESP in AH ne morete uporabljati hkrati. Izberete lahko tudi, ali želite za večjo varnost omogočiti PFS.
1
Zaženite Remote UI (Oddaljeni uporabniški vmesnik) in se prijavite v način za upravljanje. Zagon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)
2
Kliknite [Settings/Registration].
3
Kliknite [Security] 
[IPSec Settings].
[IPSec Settings].
4
Kliknite [IPSec Policy List].
5
Kliknite [Register IPSec Policy].
6
Vnesite ime pravilnika v polje [Policy Name] in potrdite polje [Enable Policy].
[Policy Name]
Vnesite alfanumerične znake za ime, ki se uporablja za prepoznavo pravilnika.
Vnesite alfanumerične znake za ime, ki se uporablja za prepoznavo pravilnika.
[Enable Policy]
Potrdite to polje, da omogočite pravilnik. Če ne uporabljate pravilnika, počistite to potrditveno polje.
Potrdite to polje, da omogočite pravilnik. Če ne uporabljate pravilnika, počistite to potrditveno polje.
7
Konfigurirajte nastavitve izbirnika.
[Local Address]
Na tem seznamu izberite vrsto naslova IP naprave, za katerega želite uporabiti pravilnik.
Na tem seznamu izberite vrsto naslova IP naprave, za katerega želite uporabiti pravilnik.
|
[All IP Addresses]
|
Potrdite, če želite IPSec uporabiti za vse pakete IP.
|
|
[IPv4 Address]
|
Izberite, če želite IPSec uporabiti za vse pakete IP, poslane z naslova IPv4 naprave ali prejete nanj.
|
|
[IPv6 Address]
|
Uporabi IPSec za vse pakete IP, ki se pošljejo z naslova IPv6 naprave ali prejmejo nanj.
|
|
[IPv4 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv4 ali razpon naslovov IPv4, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv4 v besedilno polje [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv6 ali razpon naslovov IPv6, za katere bo veljal IPSec. Vnesite naslov IPv6 (ali razpon) v besedilno polje [Addresses to Set Manually].
|
[Addresses to Set Manually]
Če je [IPv4 Manual Settings] ali [IPv6 Manual Settings] izbrano za [Local Address], vnesite IP naslov, da uveljavite politiko.
Če je [IPv4 Manual Settings] ali [IPv6 Manual Settings] izbrano za [Local Address], vnesite IP naslov, da uveljavite politiko.
[Subnet Settings]
Če naslove IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
Če naslove IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
[Remote Address]
Na spodaj prikazanem seznamu izberite vrsto naslova IP drugih naprav, za katerega želite uporabiti pravilnik.
Na spodaj prikazanem seznamu izberite vrsto naslova IP drugih naprav, za katerega želite uporabiti pravilnik.
|
[All IP Addresses]
|
Potrdite, če želite IPSec uporabiti za vse pakete IP.
|
|
[All IPv4 Address]
|
Izberite, če želite IPSec uporabiti za vse pakete IP, poslane na naslov IPv4 ali iz njega.
|
|
[All IPv6 Address]
|
Izberite, če želite IPSec uporabiti za vse pakete IP, poslane na naslov IPv6 ali iz njega.
|
|
[IPv4 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv4 ali razpon naslovov IPv4, za katere bo veljal IPSec. Vnesite naslov (ali razpon naslovov) IPv4 v besedilno polje [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Izberite, če želite določiti posamezne naslove IPv6 ali razpon naslovov IPv6, za katere bo veljal IPSec. Vnesite naslov IPv6 (ali razpon) v besedilno polje [Addresses to Set Manually].
|
[Addresses to Set Manually]
Če je [IPv4 Manual Settings] ali [IPv6 Manual Settings] izbrano za [Remote Address], vnesite IP naslov, da uveljavite politiko.
Če je [IPv4 Manual Settings] ali [IPv6 Manual Settings] izbrano za [Remote Address], vnesite IP naslov, da uveljavite politiko.
[Subnet Settings]
Če naslove IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
Če naslove IPv4 določite ročno, lahko z masko podomrežja vnesete razpon. Vnesite masko podomrežja, v kateri ločite številke s pikami (primer: 255.255.255.240).
[Local Port]/[Remote Port]
Če želite ustvariti ločene pravilnike za vsak protokol, na primer HTTP ali SMTP, vnesite ustrezno številko vrat za protokol, da določite, ali bo IPSec uporabljen.
Če želite ustvariti ločene pravilnike za vsak protokol, na primer HTTP ali SMTP, vnesite ustrezno številko vrat za protokol, da določite, ali bo IPSec uporabljen.
IPSec ni uporabljen za pakete, za katere je določen naslov za večvrstno oddajanje ali oddajanje.
8
Določite nastavitve za IKE.
[IKE Mode]
Prikaže se način, uporabljen za protokol izmenjave ključev. Običajno izberite glavni način.
Agresivni način izberite, če naslov IP ni fiksen. Upoštevajte, da je varnost v agresivnem načinu slabša kot v glavnem.
[AUTH Method]
Izberite [Pre-Shared Key Method] ali [Digital Signature Method] za način, ki ga uporabljate za preverjanje pristnosti naprave.
Izberite [Pre-Shared Key Method] ali [Digital Signature Method] za način, ki ga uporabljate za preverjanje pristnosti naprave.
Če v polju [IKE Mode] izberete agresivni način, nastavitev [Pre-Shared Key Method] ne šifrira ključa v skupni rabi.
[Authentication/Encryption Algorithm]
Če želite samodejno nastaviti algoritem, ki se uporablja za izmenjavo ključev, potrdite polje [Auto]. Če potrdite polje, je algoritem nastavljen tako, kot je prikazano spodaj.
Če želite samodejno nastaviti algoritem, ki se uporablja za izmenjavo ključev, potrdite polje [Auto]. Če potrdite polje, je algoritem nastavljen tako, kot je prikazano spodaj.
|
[Authentication]
|
[SHA1 and MD5]
|
|
[Encryption]
|
[3DES-CBC and AES-CBC]
|
|
[DH Group]
|
[Group 2 (1024)]
|
Če želite ročno nastaviti algoritem, počistite potrditveno polje in izberite algoritem.
|
[Authentication]
|
Izberite razpršilni algoritem.
|
|
[Encryption]
|
Izberite algoritem kodiranja.
|
|
[DH Group]
|
Izberite skupino Diffie-Hellman, ki določa moč ključa.
|
Uporaba funkcije [Pre-Shared Key Method] za preverjanje pristnosti
|
1
|
Izberite [Pre-Shared Key Method] za možnost [AUTH Method] in kliknite [Shared Key Settings].
|
|
2
|
Vnesite črkovno-številske znake za ključ v vnaprejšnji skupni rabi in kliknite [OK].
|
Uporaba funkcije [Digital Signature Method] za preverjanje pristnosti
|
1
|
Izberite [Digital Signature Method] za možnost [AUTH Method] in kliknite [Key and Certificate].
|
|
2
|
Izberite par ključev, ki ga želite uporabiti, in kliknite [Default Key Settings].
Ogled podrobnosti para ključev ali potrdila
Če kliknete ustrezno besedilno povezavo v razdelku [Key Name] ali ikono potrdila, si lahko ogledate podrobnosti potrdila ali ga preverite. Preverjanje parov ključev in digitalnih potrdil
|
9
Določite omrežne nastavitve IPSec.
[Use PFS]
Potrdite to polje, da omogočite popolno zaupnost posredovanja PFS (Perfect Forward Secrecy) za ključe seje IPSec. PFS poveča varnost, vendar hkrati poveča tudi obremenitev komunikacije. Poskrbite, da je PFS omogočen tudi za ostale naprave. Če PFS-ja ne uporabljate, počistite to potrditveno polje.
[Validity]
Določite, koliko časa bo SA kot tunel za komunikacijo. Potrdite polje [Specify by Time] ali [Specify by Size] oziroma po potrebi obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
Določite, koliko časa bo SA kot tunel za komunikacijo. Potrdite polje [Specify by Time] ali [Specify by Size] oziroma po potrebi obe polji. Če potrdite obe polji, se seja IPSec SA prekine, ko je izpolnjen kateri od obeh pogojev.
|
[Specify by Time]
|
Vnesite čas v minutah, da določite trajanje seje. Vneseni čas je uporabljen tako za sejo IPSec SA kot tudi IKE SA.
|
|
[Specify by Size]
|
Vnesite velikost v megabajtih, da določite, koliko podatkov se lahko prenese v seji. Vnesena velikost je uporabljena samo za IPSec SA.
|
Če ste potrdili samo polje [Specify by Size]
Preverjanja veljavnosti IKE SA ni mogoče določiti po velikosti, zato je uporabljena prvotna vrednost (480 minut) v polju [Specify by Time].
[Authentication/Encryption Algorithm]
Izberite protokol in algoritem, ki bosta uporabljena za komunikacijo IPSec.
Izberite protokol in algoritem, ki bosta uporabljena za komunikacijo IPSec.
Samodejna nastavitev povezave
Izberite [Auto].
|
[ESP Authentication]
|
ESP je omogočen, algoritem za preverjanje pristnosti pa je nastavljen na [SHA1 and MD5].
|
|
[ESP Encryption]
|
ESP je omogočen, algoritem za šifriranje pa je nastavljen na [3DES-CBC and AES-CBC].
|
Uporaba načina ESP
Izberite [ESP] ter nato še algoritem za preverjanje pristnosti in šifriranje.
|
[ESP Authentication]
|
Izberite razpršilni algoritem, ki za želite uporabiti za preverjanje pristnosti ESP.
|
|
[ESP Encryption]
|
Izberite algoritem šifriranja za ESP.
|
Uporaba načina AH
Izberite [AH], nato pa v polju [AH Authentication] zberite še razpršilni algoritem, ki ga želite uporabiti za preverjanje pristnosti AH.
[Connection Mode]
Prikaže se način povezave za IPSec. Naprava podpira način prenosa, v katerem je vsebina paketov IP šifrirana. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
Prikaže se način povezave za IPSec. Naprava podpira način prenosa, v katerem je vsebina paketov IP šifrirana. Način tunela, v katerem so paketi IP oblikovani kot celota (z glavo in vsebino), ni na voljo.
10
Kliknite [OK].
Če želite registrirati dodaten varnostni pravilnik, se vrnite na 5. korak.
11
Razvrstite politike, navedene v [IPSec Policy List].
Pravilniki so uporabljeni od tistega na najvišjem mestu do najnižjega. Kliknite [Raise Priority] ali [Lower Priority], da politiko pomaknete višje ali nižje.
Urejanje pravilnika
Kliknete lahko besedilno povezavo pod možnostjo [Policy Name], da uredite nastavitve.
Brisanje pravilnika
Kliknite [Delete] na desni strani pravilnika, ki ga želite izbrisati.
12
Izklopite in znova vklopite napravo.
Kliknite [Device Control], izberite [Hard Reset] in nato kliknite [Execute].
Nastavitve so omogočene, ko izklopite in znova vklopite napravo.
Omogočanje komunikacije IPSec
Po registraciji varnostnih pravilnikov omogočite komunikacijo IPSec.
1
Zaženite Remote UI (Oddaljeni uporabniški vmesnik) in se prijavite v način za upravljanje. Zagon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)
2
Kliknite [Settings/Registration].
3
Kliknite [Security] [IPSec Settings].
[IPSec Settings].
4
Kliknite [Edit].
5
Potrdite polje [Use IPSec] in kliknite [OK].
[Use IPSec]
Potrdite polje, če v napravi uporabljate IPSec. Če ga ne uporabljate, počistite to potrditveno polje.
[Allow Receive Non-Policy Packets]
Če uporabljate IPSec in potrdite to polje, so poslani/prejeti tudi paketi, ki niso na voljo za registrirane pravilnike. Če želite onemogočiti pošiljanje/prejemanje paketov, ki niso na voljo za pravilnike, počistite potrditveno polje.
Če uporabljate IPSec in potrdite to polje, so poslani/prejeti tudi paketi, ki niso na voljo za registrirane pravilnike. Če želite onemogočiti pošiljanje/prejemanje paketov, ki niso na voljo za pravilnike, počistite potrditveno polje.
6
Izklopite in znova vklopite napravo.
Kliknite [Device Control], izberite [Hard Reset] in nato kliknite [Execute].
Nastavitve omogočite tako, da napravo izklopite in jo znova vklopite.
|
|
Uporaba operacijske ploščeKomunikacijo IPSec lahko omogočite ali onemogočite tudi v meniju z nastavitvami na operacijski plošči. IPSec
|