Modul de comunicareAcest aparat acceptă doar modul de transport pentru comunicarea IPSec. Drept urmare, autentificarea şi criptarea se aplică numai porţiunilor de date ale pachetelor IP. Protocol schimbare parolăAcest aparat acceptă Internet Key Exchange versiunea 1 (IKEv1) pentru schimbul de chei bazat pe Internet Security Association and Key Management Protocol (ISAKMP). Pentru metoda de autentificare, setaţi metoda cheii pre-partajate sau metoda semnăturii digitale. Când setaţi metoda cheii pre-partajate, trebuie să stabiliţi în prealabil o expresie de acces (cheie pre-partajată), care este utilizată între aparat şi perechea de comunicare IPSec. Când setaţi metoda semnăturii digitale, utilizaţi un certificat CA şi o cheie şi un certificat de format PKCS#12 pentru a efectua autentificarea reciprocă între aparat şi perechea de comunicare IPSec. Pentru mai multe informaţii despre înregistrarea de noi certificate CA sau chei/certificate, consultaţi Înregistrarea unei chei şi a unui certificat pentru comunicarea în reţea. Reţineţi că SNTP trebuie configurat pentru aparat înainte de a utiliza această metodă. Efectuarea setărilor SNTP |
Indiferent de setarea opţiunii <Metoda criptare format conform FIPS 140-2> pentru comunicaţia IPSec, va fi utilizat un modul de criptare care a obţinut deja certificarea FIPS140-2. Pentru a face comunicaţia IPSec conformă cu FIPS 140-2, trebuie să setaţi lungimea cheii atât pentru DH cât şi pentru RSA pentru comunicaţia IPSec la 2048 de biţi sau mai mult în mediul de reţea căruia îi aparţine aparatul. Doar lungimea cheii pentru DH poate fi specificată de la aparat. Ţineţi cont de acest lucru când configuraţi mediul dumneavoastră, deoarece în aparat nu există setări pentru RSA. Puteţi să înregistraţi până la 10 politici de securitate. |
1 | Apăsaţi <Setări selector>. | ||||||||||||||
2 | Specificaţi adresa IP la care să se aplice politica IPSec. Specificaţi adresa IP a acestui aparat în <Adresa locală> şi specificaţi adresa IP a perechii de comunicare în <Adresa la distanţă>.
| ||||||||||||||
3 | Specificaţi portul la care să se aplice IPSec. Apăsaţi <Specif. după număr de port> pentru a utiliza numerele de porturi când specificaţi porturile la care se aplică IPSec. Selectaţi <Toate porturile> pentru a aplica IPSec la toate numerele de porturi. Pentru a aplica IPSec la un anumit număr de port, apăsaţi <Port unic> şi introduceţi numărul portului. După ce specificaţi porturile, apăsaţi <OK>. Specificaţi portul acestui aparat în <Port local> şi specificaţi portul perechii de comunicare în <Port la distanţă>. Apăsaţi <Specif. după nume service> pentru a utiliza nume de servicii când specificaţi porturile la care se aplică IPSec. Selectaţi serviciul din listă, apăsaţi <Service Pornit/Oprit> pentru a-l seta la <Pornit> şi apăsaţi <OK>. | ||||||||||||||
4 | Apăsaţi <OK>. |
1 | Apăsaţi <Setări IKE>. | ||||||||||
2 | Configuraţi setările necesare. <Mod IKE> Selectaţi modul de operare pentru protocolul de schimbare a cheilor. Securitatea este îmbunătăţită dacă selectaţi <Principal>, deoarece sesiunea IKE însăşi este criptată, dar viteza sesiunii este mai mică decât cu <Agresiv>, care nu criptează întreaga sesiune. <Validitate> Setaţi perioada de expirare pentru valorile IKE SA generate. <Metoda autentificare> Selectaţi una dintre metodele de autentificare descrise mai jos.
<Algoritm Autentificare/Criptare> Selectaţi fie <Auto>, fie <Setări manuale> pentru a seta modul de specificare a algoritmului de autentificare şi criptare IKE faza 1. Dacă selectaţi <Auto>, este setat automat un algoritm care poate fi utilizat atât de aparat, cât şi de perechea de comunicare. Dacă doriţi să specificaţi un algoritm particular, selectaţi <Setări manuale> şi configuraţi setările de mai jos.
| ||||||||||
3 | Apăsaţi <OK>. |
Când opţiunea <Mod IKE> este setată la <Principal> pe ecranul <Setări IKE> şi opţiunea <Metoda autentificare> este setată la <Met.cu cheie pre-partaj.>, următoarele restricţii se aplică atunci când înregistraţi mai multe politici de securitate. Cheia la metoda cu cheie per-partajată: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, toate cheile partajate pentru acea politică de securitate sunt identice (acest lucru nu se aplică atunci când este specificată o singură adresă). Prioritate: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, prioritatea acelei politici de securitate este sub politicile de securitate pentru care este specificată o singură adresă. |
1 | Apăsaţi <Setări reţea IPSec>. | ||||||
2 | Configuraţi setările necesare. <Validitate> Setaţi perioada de expirare pentru valorile IPSec SA generate. Aveţi grijă să setaţi fie <Ora>, fie <Format>. Dacă le setaţi pe ambele, se aplică setarea a cărei valoare este atinsă prima. <PFS> Dacă setaţi funcţia Perfect Forward Secrecy (PFS) la <Pornit>, secretul cheii de criptare este mărit, dar viteza de comunicare este mai mică. În plus, funcţia PFS trebuie activată pe dispozitivul de comunicare pereche. <Algoritm Autentificare/Criptare> Selectaţi fie <Auto>, fie <Setări manuale> pentru a seta modul de specificare a algoritmului de autentificare şi criptare IKE faza 2. Dacă selectaţi <Auto>, algoritmul de autentificare şi criptare ESP este setat automat. Dacă doriţi să specificaţi o metodă de autentificare particulară, apăsaţi <Setări manuale> şi selectaţi una dintre metodele de autentificare de mai jos.
| ||||||
3 | Apăsaţi <OK> <OK>. |
Gestionarea politicilor IPSecPuteţi edita politicile pe ecranul afişat la pasul 3. Pentru a edita detaliile unei politici, selectaţi politica din listă şi apăsaţi <Editare>. Pentru a dezactiva o politică, selectaţi politica din listă şi apăsaţi <Politică P/O>. Pentru a şterge o politică, selectaţi politica din listă şi apăsaţi <Şterge> <Da>. |