Διαμόρφωση των ρυθμίσεων IPSec

Χρησιμοποιώντας το IPSec, μπορείτε να εμποδίζετε τρίτους να υποκλέπτουν ή να αλλοιώνουν τα πακέτα IP που μεταφέρονται μέσω του δικτύου IP. Επειδή το IPSec προσθέτει λειτουργίες ασφάλειας στην IP, μια βασική οικογένεια πρωτοκόλλων που χρησιμοποιείται για το διαδίκτυο, μπορεί να προσφέρει ασφάλεια που είναι ανεξάρτητη από τις εφαρμογές ή τη διαμόρφωση δικτύου. Για να πραγματοποιήσετε επικοινωνία IPSec με αυτή τη συσκευή, θα πρέπει να διαμορφώσετε ρυθμίσεις όπως τις παραμέτρους της εφαρμογής και τον αλγόριθμο για την πιστοποίηση και την κρυπτογράφηση. Απαιτούνται δικαιώματα διαχειριστή για τη διαμόρφωση αυτών των ρυθμίσεων.

Ενεργοποίηση IPSec

Καταχώριση πολιτικής


Κατάσταση επικοινωνίας Αυτή η συσκευή υποστηρίζει μόνο λειτουργία μεταφοράς για την επικοινωνία IPSec. Ως αποτέλεσμα, η πιστοποίηση και η κρυπτογράφηση εφαρμόζεται μόνο στα τμήματα δεδομένων των πακέτων IP. Πρωτόκολλο ανταλλαγής κλειδιών Αυτή η συσκευή υποστηρίζει την έκδοση 1 του πρωτοκόλλου Internet Key Exchange (IKEv1) για την ανταλλαγή κλειδιών με βάση το πρωτόκολλο Internet Security Association and Key Management Protocol (ISAKMP). Για τη μέθοδο πιστοποίησης, ορίστε είτε τη μέθοδο ήδη κοινόχρηστου κλειδιού είτε τη μέθοδο ψηφιακής υπογραφής. Όταν ορίζετε τη μέθοδο ήδη κοινόχρηστου κλειδιού, θα πρέπει να αποφασίσετε εκ των προτέρων μια φράση πρόσβασης (ήδη κοινόχρηστο κλειδί), η οποία θα χρησιμοποιείται μεταξύ της συσκευής και του αποδέκτη της επικοινωνίας IPSec. Κατά τον καθορισμό της μεθόδου ψηφιακής υπογραφής, χρησιμοποιήστε ένα πιστοποιητικό CA και ένα κλειδί και πιστοποιητικό μορφής PKCS#12 για να πραγματοποιήσετε αμοιβαία πιστοποίηση μεταξύ της συσκευής και του αποδέκτη της επικοινωνίας IPSec. Για περισσότερες πληροφορίες σχετικά με την καταχώριση νέων πιστοποιητικών CA ή κλειδιών/πιστοποιητικών, ανατρέξτε στην ενότητα Καταχώριση κλειδιού και πιστοποιητικού για την επικοινωνία δικτύου. Σημειωτέον ότι το SNTP θα πρέπει να διαμορφώνεται για τη συσκευή πριν χρησιμοποιήσει αυτή τη μέθοδο. Καθορισμός ρυθμίσεων SNTP

Κατάσταση επικοινωνίας

Αυτή η συσκευή υποστηρίζει μόνο λειτουργία μεταφοράς για την επικοινωνία IPSec. Ως αποτέλεσμα, η πιστοποίηση και η κρυπτογράφηση εφαρμόζεται μόνο στα τμήματα δεδομένων των πακέτων IP.

Πρωτόκολλο ανταλλαγής κλειδιών

Αυτή η συσκευή υποστηρίζει την έκδοση 1 του πρωτοκόλλου Internet Key Exchange (IKEv1) για την ανταλλαγή κλειδιών με βάση το πρωτόκολλο Internet Security Association and Key Management Protocol (ISAKMP). Για τη μέθοδο πιστοποίησης, ορίστε είτε τη μέθοδο ήδη κοινόχρηστου κλειδιού είτε τη μέθοδο ψηφιακής υπογραφής.

Όταν ορίζετε τη μέθοδο ήδη κοινόχρηστου κλειδιού, θα πρέπει να αποφασίσετε εκ των προτέρων μια φράση πρόσβασης (ήδη κοινόχρηστο κλειδί), η οποία θα χρησιμοποιείται μεταξύ της συσκευής και του αποδέκτη της επικοινωνίας IPSec.

Κατά τον καθορισμό της μεθόδου ψηφιακής υπογραφής, χρησιμοποιήστε ένα πιστοποιητικό CA και ένα κλειδί και πιστοποιητικό μορφής PKCS#12 για να πραγματοποιήσετε αμοιβαία πιστοποίηση μεταξύ της συσκευής και του αποδέκτη της επικοινωνίας IPSec. Για περισσότερες πληροφορίες σχετικά με την καταχώριση νέων πιστοποιητικών CA ή κλειδιών/πιστοποιητικών, ανατρέξτε στην ενότητα Καταχώριση κλειδιού και πιστοποιητικού για την επικοινωνία δικτύου. Σημειωτέον ότι το SNTP θα πρέπει να διαμορφώνεται για τη συσκευή πριν χρησιμοποιήσει αυτή τη μέθοδο. Καθορισμός ρυθμίσεων SNTP


Ανεξάρτητα από τη ρύθμιση του [Format Encryption Method to FIPS 140-2] για την επικοινωνία IPSec, θα χρησιμοποιηθεί μονάδα κρυπτογράφησης που έχει ήδη λάβει πιστοποίηση FIPS140-2. Προκειμένου η επικοινωνία IPSec να συμμορφώνεται με το FIPS 140-2, θα πρέπει να ορίσετε το μήκος του DH και του RSA για επικοινωνία IPSec σε 2048-bit ή παραπάνω στο περιβάλλον δικτύου όπου ανήκει η συσκευή. Μόνο το μήκος κλειδιού για το DH μπορεί να οριστεί από τη συσκευή. Προσέξτε όταν διαμορφώνετε το περιβάλλον σας, καθώς δεν υπάρχουν ρυθμίσεις για RSA στη συσκευή. Μπορείτε να καταχωρίσετε έως και 10 πολιτικές ασφαλείας.

Ανεξάρτητα από τη ρύθμιση του [Format Encryption Method to FIPS 140-2] για την επικοινωνία IPSec, θα χρησιμοποιηθεί μονάδα κρυπτογράφησης που έχει ήδη λάβει πιστοποίηση FIPS140-2.

Προκειμένου η επικοινωνία IPSec να συμμορφώνεται με το FIPS 140-2, θα πρέπει να ορίσετε το μήκος του DH και του RSA για επικοινωνία IPSec σε 2048-bit ή παραπάνω στο περιβάλλον δικτύου όπου ανήκει η συσκευή.

Μόνο το μήκος κλειδιού για το DH μπορεί να οριστεί από τη συσκευή.

Προσέξτε όταν διαμορφώνετε το περιβάλλον σας, καθώς δεν υπάρχουν ρυθμίσεις για RSA στη συσκευή.

Μπορείτε να καταχωρίσετε έως και 10 πολιτικές ασφαλείας.

Ενεργοποίηση IPSec

Εκκινήστε το Remote UI (Απομακρυσμένο περιβάλλον εργασίας). Εκκίνηση του Remote UI

Κάντε κλικ στο [Settings/Registration] στη σελίδα πύλης. Η οθόνη του Remote UI (Απομακρυσμένο περιβάλλον εργασίας)

Κάντε κλικ στο [Network Settings]

[IPSec Settings].

Επιλέξτε [Use IPSec], και κάντε κλικ στο [OK].

Για να λαμβάνετε μόνο πακέτα που αντιστοιχούν στην πολιτική ασφαλείας, επιλέξτε το [Reject] για το [Receive Non-Policy Packets].

Καταχώριση πολιτικής

Εκκινήστε το Remote UI (Απομακρυσμένο περιβάλλον εργασίας). Εκκίνηση του Remote UI

Κάντε κλικ στο [Settings/Registration] στη σελίδα πύλης. Η οθόνη του Remote UI (Απομακρυσμένο περιβάλλον εργασίας)

Κάντε κλικ στο [Network Settings]

[IPSec Policy List].

Κάντε κλικ στην επιλογή [Register New IPSec Policy].

Ορίστε μια πολιτική.

[Policy Name]

Πληκτρολογήστε όνομα για την αναγνώριση της πολιτικής.

[Policy On/Off]

Επιλέξτε [On] για να ενεργοποιήσετε την καταχωρισμένη πολιτική.

[Only Allow 256-bit for AES Key Length]

Επιλέξτε αυτό το πλαίσιο ελέγχου για να περιορίσετε το μήκος κλειδιού της μεθόδου κρυπτογράφησης AES σε 256 bit και να ικανοποιήσετε τα πρότυπα πιστοποίησης CC.

Διαμορφώστε τις παραμέτρους εφαρμογής του IPSec.

Κάντε κλικ στην επιλογή [Selector Settings].

Ορίστε τη διεύθυνση IP στην οποία θα εφαρμοστεί η πολιτική IPSec.

Ορίστε τη διεύθυνση IP αυτής της συσκευής στο πεδίο [Local Address], και ορίστε τη διεύθυνση IP του αποδέκτη της επικοινωνίας στο πεδίο [Remote Address].

[All IP Addresses]	Το IPSec εφαρμόζεται σε όλα τα πακέτα IP που αποστέλλονται και λαμβάνονται.
[IPv4 Address]	Το IPSec εφαρμόζεται στα πακέτα IP που αποστέλλονται και λαμβάνονται από τη διεύθυνση IPv4 αυτής της συσκευής.
[IPv6 Address]	Το IPSec εφαρμόζεται στα πακέτα IP που αποστέλλονται και λαμβάνονται από τη διεύθυνση IPv6 αυτής της συσκευής.
[All IPv4 Addresses]	Το IPSec εφαρμόζεται στα πακέτα IP που αποστέλλονται και λαμβάνονται από τη διεύθυνση IPv4 του αποδέκτη της επικοινωνίας.
[All IPv6 Addresses]	Το IPSec εφαρμόζεται στα πακέτα IP που αποστέλλονται και λαμβάνονται από τη διεύθυνση IPv6 του αποδέκτη της επικοινωνίας.
[IPv4 Manual Settings]	Ορίστε τη διεύθυνση IPv4 στην οποία θα εφαρμοστεί το IPSec. Επιλέξτε το στοιχείο [Single Address] για να εισαγάγετε συγκεκριμένη διεύθυνση IPv4. Επιλέξτε το στοιχείο [Range Address] για να ορίσετε πολλαπλές διευθύνσεις IPv4. Εισαγάγετε ξεχωριστή διεύθυνση στο πεδίο [First Address] και στο πεδίο [Last Address]. Επιλέξτε το στοιχείο [Subnet Settings] για να ορίσετε πολλαπλές διευθύνσεις IPv4, χρησιμοποιώντας μάσκα υποδικτύου. Εισαγάγετε ξεχωριστές τιμές στο πεδίο [First Address] και στο πεδίο [Subnet Settings].
[IPv6 Manual Settings]	Ορίστε τη διεύθυνση IPv6 στην οποία θα εφαρμοστεί το IPSec. Επιλέξτε το στοιχείο [Single Address] για να εισαγάγετε συγκεκριμένη διεύθυνση IPv6. Επιλέξτε το στοιχείο [Range Address] για να ορίσετε πολλαπλές διευθύνσεις IPv6. Εισαγάγετε ξεχωριστή διεύθυνση στο πεδίο [First Address] και στο πεδίο [Last Address]. Επιλέξτε το στοιχείο [Prefix Address] για να ορίσετε πολλαπλές διευθύνσεις IPv6, χρησιμοποιώντας πρόθεμα. Εισαγάγετε ξεχωριστές τιμές στο πεδίο [First Address] και στο πεδίο [Prefix Length].

Ορίστε τη θύρα στην οποία θα εφαρμοστεί το IPSec.

Επιλέξτε [Specify by Port Number] για να χρησιμοποιήσετε αριθμούς θύρας όταν ορίζετε τις θύρες στις οποίες θα εφαρμόζεται το IPSec. Επιλέξτε [All Ports] για να εφαρμοστεί το IPSec σε όλους τους αριθμούς θύρας. Για να εφαρμοστεί το IPSec σε συγκεκριμένο αριθμό θύρας, πατήστε [Single Port] και πληκτρολογήστε τον αριθμό της θύρας. Ορίστε τη θύρα αυτής της συσκευής στο πεδίο [Local Port], και ορίστε τη θύρα του αποδέκτη της επικοινωνίας στο πεδίο [Remote Port>].

Για να καθορίσετε τις θύρες στις οποίες θα εφαρμοστεί το IPSec βάσει ονόματος υπηρεσίας, επιλέξτε [Specify by Service Name] και επιλέξτε τις υπηρεσίες που θα χρησιμοποιήσετε.

Κάντε κλικ στην επιλογή [OK].

Διαμορφώστε τις ρυθμίσεις πιστοποίησης και κρυπτογράφησης.

Κάντε κλικ στην επιλογή [IKE Settings].

Διαμορφώστε τις απαραίτητες ρυθμίσεις.

[IKE Mode]

Επιλέξτε την κατάσταση λειτουργίας για το πρωτόκολλο ανταλλαγής κλειδιών. Η ασφάλεια ενισχύεται αν επιλέξετε [Main] καθώς ι ίδια η σύνοδος IKE είναι κρυπτογραφημένη, αλλά η ταχύτητα της συνόδου είναι χαμηλότερη συγκριτικά με την επιλογή [Aggressive], η οποία δεν κρυπτογραφεί ολόκληρη τη σύνοδο.

[Validity]

Ορίστε την περίοδο λήξης για το IKE SA που δημιουργήθηκε.

[Authentication Method]

Επιλέξτε μία από τις μεθόδους πιστοποίησης που περιγράφονται παρακάτω.

[Pre-Shared Key Method]

Ορίστε την ίδια φράση πρόσβασης (ήδη κοινόχρηστο κλειδί) που έχει οριστεί για τον αποδέκτη της επικοινωνίας. Επιλέξτε [Shared Key Settings], εισαγάγετε τη συμβολοσειρά χαρακτήρων που θα χρησιμοποιηθεί ως κοινόχρηστο κλειδί και πατήστε το [OK].

[Digital Signature Method]

Ορίστε το κλειδί και το πιστοποιητικό που θα χρησιμοποιηθούν για αμοιβαία πιστοποίησης με τον αποδέκτη της επικοινωνίας. Κάντε κλικ στο [Key and Certificate], και πατήστε [Use] για το κλειδί που θα χρησιμοποιηθεί.

[Authentication/Encryption Algorithm]

Επιλέξτε είτε [Auto] είτε [Manual Settings] για να ρυθμίσετε πώς θα ορίζεται ο αλγόριθμος πιστοποίησης και κρυπτογράφησης για τη φάση 1 του ΙΚΕ. Αν επιλέξετε [Auto], ορίζεται αυτόματα αλγόριθμος που μπορεί να χρησιμοποιηθεί και από αυτή τη συσκευή και από τον αποδέκτη της επικοινωνίας. Αν θέλετε να ορίσετε συγκεκριμένο αλγόριθμο, επιλέξτε [Manual Settings] και διαμορφώστε τις παρακάτω ρυθμίσεις.

[Authentication]	Επιλέξτε τον αλγόριθμο κατακερματισμού.
[Encryption]	Επιλέξτε τον αλγόριθμο κρυπτογράφησης.
[DH Group]	Επιλέξτε την ομάδα για τη μέθοδο ανταλλαγής κλειδιών Diffie-Hellman για να ορίσετε την ισχύ του κλειδιού.

Κάντε κλικ στην επιλογή [OK].


Όταν το [IKE Mode] έχει οριστεί σε [Main] στην οθόνη [IKE] και η [Authentication Method] έχει οριστεί σε [Pre-Shared Key Method], ισχύουν οι ακόλουθοι περιορισμοί για την καταχώριση πολλαπλών πολιτικών ασφαλείας. Κλειδί μεθόδου ήδη κοινόχρηστου κλειδιού: όταν ορίζονται πολλαπλές απομακρυσμένες διευθύνσεις IP στις οποίες εφαρμόζεται πολιτική ασφαλείας, όλα τα κοινόχρηστα κλειδιά για τη συγκεκριμένη πολιτική ασφαλείας είναι πανομοιότυπα (αυτό δεν ισχύει όταν ορίζεται μία μόνο διεύθυνση). Προτεραιότητα: όταν ορίζονται πολλαπλές απομακρυσμένες διευθύνσεις IP στις οποίες εφαρμόζεται πολιτική ασφαλείας, η προτεραιότητα της συγκεκριμένης πολιτικής ασφαλείας είναι χαμηλότερη από τις πολιτικές ασφαλείας για τις οποίες ορίζεται μία μόνο διεύθυνση.

Όταν το [IKE Mode] έχει οριστεί σε [Main] στην οθόνη [IKE] και η [Authentication Method] έχει οριστεί σε [Pre-Shared Key Method], ισχύουν οι ακόλουθοι περιορισμοί για την καταχώριση πολλαπλών πολιτικών ασφαλείας.

Κλειδί μεθόδου ήδη κοινόχρηστου κλειδιού: όταν ορίζονται πολλαπλές απομακρυσμένες διευθύνσεις IP στις οποίες εφαρμόζεται πολιτική ασφαλείας, όλα τα κοινόχρηστα κλειδιά για τη συγκεκριμένη πολιτική ασφαλείας είναι πανομοιότυπα (αυτό δεν ισχύει όταν ορίζεται μία μόνο διεύθυνση).

Προτεραιότητα: όταν ορίζονται πολλαπλές απομακρυσμένες διευθύνσεις IP στις οποίες εφαρμόζεται πολιτική ασφαλείας, η προτεραιότητα της συγκεκριμένης πολιτικής ασφαλείας είναι χαμηλότερη από τις πολιτικές ασφαλείας για τις οποίες ορίζεται μία μόνο διεύθυνση.

Διαμορφώστε τις ρυθμίσεις επικοινωνίας IPSec.

Κάντε κλικ στην επιλογή [IPSec Network Settings].

Διαμορφώστε τις απαραίτητες ρυθμίσεις.

[Validity]

Ορίστε την περίοδο λήξης για το IPSec SA που δημιουργήθηκε. Βεβαιωθείτε ότι έχετε ορίσει είτε [Time] είτε [Size]. Εάν ορίσετε και τα δύο, εφαρμόζεται η ρύθμιση με την τιμή που επιτυγχάνεται πρώτα.

[PFS]

Εάν επιλέξετε [Use PFS], το απόρρητο του κλειδιού κρυπτογράφησης αυξάνεται αλλά η ταχύτητα επικοινωνίας μειώνεται. Επιπλέον, η λειτουργία Perfect Forward Secrecy (PFS) θα πρέπει να είναι ενεργοποιημένη στη συσκευή αποδέκτη της επικοινωνίας.

[Authentication/Encryption Algorithm]

Επιλέξτε είτε [Auto] είτε [Manual Settings] για να ρυθμίσετε πώς θα ορίζεται ο αλγόριθμος πιστοποίησης και κρυπτογράφησης για τη φάση 2 του ΙΚΕ. Αν επιλέξετε [Auto], ορίζεται αυτόματα ο αλγόριθμος πιστοποίησης ESP και κρυπτογράφησης. Αν θέλετε να ορίσετε συγκεκριμένη μέθοδο πιστοποίησης, επιλέξτε [Manual Settings] και επιλέξτε μία από τις παρακάτω μεθόδους πιστοποίησης.

[ESP]	Πραγματοποιούνται τόσο η πιστοποίηση όσο και η κρυπτογράφηση. Επιλέξτε τον αλγόριθμο για την [ESP Authentication] και την [ESP Encryption]. Επιλέξτε το [NULL] αν δεν θέλετε να ορίσετε τον αλγόριθμο πιστοποίησης ή κρυπτογράφησης.
[ESP (AES-GCM)]	Χρησιμοποιείται το AES-GCM ως ο αλγόριθμος ESP, και πραγματοποιούνται τόσο η πιστοποίηση όσο και η κρυπτογράφηση.
[AH (SHA1)]	Πραγματοποιείται πιστοποίηση, αλλά τα δεδομένα δεν κρυπτογραφούνται. Χρησιμοποιείται το SHA1 ως ο αλγόριθμος.

Κάντε κλικ στο [OK].

Κάντε κλικ στην επιλογή [OK].

Ενεργοποιήστε τις καταχωρισμένες πολιτικές και ελέγξτε τη σειρά προτεραιότητας.

Οι πολιτικές εφαρμόζονται με τη σειρά στην οποία εμφανίζονται στη λίστα, ξεκινώντας από την κορυφή. Αν θέλετε να αλλάξετε τη σειρά προτεραιότητας, επιλέξτε μια πολιτική από τη λίστα και κάντε κλικ στο [Raise Priority] ή [Lower Priority].


Διαχείριση πολιτικών IPSec Μπορείτε να επεξεργάζεστε πολιτικές στην οθόνη που εμφανίζεται στο βήμα 4. Για να επεξεργαστείτε τις λεπτομέρειες μιας πολιτικής, κάντε κλικ στο όνομα της πολιτικής στη λίστα. Για να απενεργοποιήσετε μια πολιτική, κάντε κλικ στο όνομα της πολιτικής στη λίστα επιλέξτε [Off] για [Policy On/Off] κάντε κλικ στο [OK]. Για να διαγράψετε μια πολιτική, επιλέξτε την πολιτική από τη λίστα κάντε κλικ στο [Delete] [OK]. Χρήση του πίνακα λειτουργίας Μπορείτε, επίσης, να ενεργοποιήσετε ή να απενεργοποιήσετε την επικοινωνία μέσω IPSec από το <Ρύθμ.> στην οθόνη <Αρχική>. <Ρυθμίσεις IPSec> Μαζική εισαγωγή/Μαζική εξαγωγή Αυτή η ρύθμιση μπορεί να εισαχθεί ή να εξαχθεί με μοντέλα που υποστηρίζουν μαζική εισαγωγή αυτής της ρύθμισης. Εισαγωγή/Εξαγωγή δεδομένων ρύθμισης Αυτή η ρύθμιση περιλαμβάνεται στις [Settings/Registration Basic Information] κατά τη μαζική εξαγωγή. Εισαγωγή/Εξαγωγή όλων των ρυθμίσεων

Διαχείριση πολιτικών IPSec

Μπορείτε να επεξεργάζεστε πολιτικές στην οθόνη που εμφανίζεται στο βήμα 4.

Για να επεξεργαστείτε τις λεπτομέρειες μιας πολιτικής, κάντε κλικ στο όνομα της πολιτικής στη λίστα.

Για να απενεργοποιήσετε μια πολιτική, κάντε κλικ στο όνομα της πολιτικής στη λίστα

επιλέξτε [Off] για [Policy On/Off]

κάντε κλικ στο [OK].

Για να διαγράψετε μια πολιτική, επιλέξτε την πολιτική από τη λίστα

κάντε κλικ στο [Delete]

[OK].

Χρήση του πίνακα λειτουργίας

Μπορείτε, επίσης, να ενεργοποιήσετε ή να απενεργοποιήσετε την επικοινωνία μέσω IPSec από το <Ρύθμ.> στην οθόνη <Αρχική>. <Ρυθμίσεις IPSec>

Μαζική εισαγωγή/Μαζική εξαγωγή

Αυτή η ρύθμιση μπορεί να εισαχθεί ή να εξαχθεί με μοντέλα που υποστηρίζουν μαζική εισαγωγή αυτής της ρύθμισης. Εισαγωγή/Εξαγωγή δεδομένων ρύθμισης

Αυτή η ρύθμιση περιλαμβάνεται στις [Settings/Registration Basic Information] κατά τη μαζική εξαγωγή. Εισαγωγή/Εξαγωγή όλων των ρυθμίσεων