Konfiguriranje postavki za IPSec

Upotrebom opcije IPSec trećim stranama možete onemogućiti presretanje ili neovlašteni pristup IP paketima koji se prenose preko IP mreže. Budući da IPSec dodaje sigurnosne funkcije IP-u, osnovnom skupu protokola koji se upotrebljava za Internet, može omogućiti zaštitu koja je neovisna o aplikacijama ili mrežnoj konfiguraciji. Kako biste osigurali IPSec komunikaciju s ovim uređajem, morate konfigurirati postavke poput aplikacijskih parametara i algoritma za autentikaciju i enkripciju. Za konfiguriranje tih postavki nužne su administratorske ovlasti.

Aktiviranje IPSec-a

Registriranje pravila


Mod komunikacije Uređaj podržava samo način prijenosa za IPSec komunikaciju. Rezultat toga jest da se autentikacija i enkripcija primjenjuju samo na podatkovne dijelove IP paketa. Protokol razmjene ključeva Uređaj podržava Internet Key Exchange verzije 1 (IKEv1) za razmjenu ključeva temeljem standarda ISAKMP (Internet Security Association and Key Management Protocol). Za metodu autentikacije odaberite metodu unaprijed dijeljenog ključa ili metodu digitalnog potpisa. Prilikom postavljanja metode unaprijed dijeljenog ključa, morate unaprijed odabrati pristupni izraz (unaprijed dijeljeni ključ) koji se upotrebljava između uređaja i uređaja za IPSec komunikaciju. Prilikom postavljanja metode digitalnog potpisa, odaberite CA certifikat i ključ u formatu PKCS#12 i certifikat za međusobnu autentikaciju između uređaja i uređaja za IPSec komunikaciju. Više informacija o registraciji novih CA certifikata ili ključeva/certifikata potražite u odjeljku Registriranje ključa i certifikata za mrežnu razmjenu podataka. Napominjemo kako SNTP prije upotrebe te metode mora biti konfiguriran za uređaj. Podešavanje SNTP postavki

Mod komunikacije

Uređaj podržava samo način prijenosa za IPSec komunikaciju. Rezultat toga jest da se autentikacija i enkripcija primjenjuju samo na podatkovne dijelove IP paketa.

Protokol razmjene ključeva

Uređaj podržava Internet Key Exchange verzije 1 (IKEv1) za razmjenu ključeva temeljem standarda ISAKMP (Internet Security Association and Key Management Protocol). Za metodu autentikacije odaberite metodu unaprijed dijeljenog ključa ili metodu digitalnog potpisa.

Prilikom postavljanja metode unaprijed dijeljenog ključa, morate unaprijed odabrati pristupni izraz (unaprijed dijeljeni ključ) koji se upotrebljava između uređaja i uređaja za IPSec komunikaciju.

Prilikom postavljanja metode digitalnog potpisa, odaberite CA certifikat i ključ u formatu PKCS#12 i certifikat za međusobnu autentikaciju između uređaja i uređaja za IPSec komunikaciju. Više informacija o registraciji novih CA certifikata ili ključeva/certifikata potražite u odjeljku Registriranje ključa i certifikata za mrežnu razmjenu podataka. Napominjemo kako SNTP prije upotrebe te metode mora biti konfiguriran za uređaj. Podešavanje SNTP postavki


Bez obzira na postavljanje opcije [Format Encryption Method to FIPS 140-2] za IPSec komunikaciju, koristit će se modul za enkripciju s postojećim FIPS140-2 certifikatom. Kako biste osigurali usklađenost IPSec komunikacije sa standardom FIPS 140-2, u mrežnom okruženju kojemu uređaj pripada morate postaviti dužinu ključa za DH i RSA u IPSec komunikaciji na 2048 ili više bitova. S uređaja možete odrediti samo dužinu ključa za DH. Obratite pažnju prilikom konfiguriranja okruženja, jer uređaj ne sadrži postavke za RSA. Možete registrirati do 10 sigurnosnih pravila.

Bez obzira na postavljanje opcije [Format Encryption Method to FIPS 140-2] za IPSec komunikaciju, koristit će se modul za enkripciju s postojećim FIPS140-2 certifikatom.

Kako biste osigurali usklađenost IPSec komunikacije sa standardom FIPS 140-2, u mrežnom okruženju kojemu uređaj pripada morate postaviti dužinu ključa za DH i RSA u IPSec komunikaciji na 2048 ili više bitova.

S uređaja možete odrediti samo dužinu ključa za DH.

Obratite pažnju prilikom konfiguriranja okruženja, jer uređaj ne sadrži postavke za RSA.

Možete registrirati do 10 sigurnosnih pravila.

Aktiviranje IPSec-a

Pokrenite Remote UI (Udaljeni UI). Pokretanje sučelja Remote UI

Na stranici portala kliknite [Settings/Registration]. Zaslon sučelja Remote UI

Kliknite [Network Settings]

[IPSec Settings].

Odaberite [Use IPSec] i kliknite [OK].

Da biste samo primali pakete koji odgovaraju sigurnosnim pravilima, odaberite [Reject] za [Receive Non-Policy Packets].

Registriranje pravila

Pokrenite Remote UI (Udaljeni UI). Pokretanje sučelja Remote UI

Na stranici portala kliknite [Settings/Registration]. Zaslon sučelja Remote UI

Kliknite [Network Settings]

[IPSec Policy List].

Kliknite [Register New IPSec Policy].

Postavite pravilo.

[Policy Name]

Unesite naziv za identificiranje pravila.

[Policy On/Off]

Odaberite [On] da biste omogućili registrirano pravilo.

[Only Allow 256-bit for AES Key Length]

Odaberite potvrdni okvir da biste ograničili dužinu ključa AES metode enkripcije na 256 bita i uskladili sa CC standardima za provjeru valjanosti.

Konfigurirajte parametre IPSec aplikacije.

Kliknite [Selector Settings].

Odredite IP adresu na koju ćete primijeniti IPSec pravila.

Odredite IP adresu ovog uređaja u izborniku [Local Address] i odredite IP adresu uređaja za komunikaciju u izborniku [Remote Address].

[All IP Addresses]	IPSec se primjenjuje na sve poslane i primljene IP pakete.
[IPv4 Address]	IPSec se primjenjuje na IP pakete poslane i primljene s IPv4 adrese ovog uređaja.
[IPv6 Address]	IPSec se primjenjuje na IP pakete poslane i primljene s IPv6 adrese ovog uređaja.
[All IPv4 Addresses]	IPSec se primjenjuje na IP pakete poslane i primljene s IPv4 adrese uređaja za komunikaciju.
[All IPv6 Addresses]	IPSec se primjenjuje na IP pakete poslane i primljene s IPv6 adrese uređaja za komunikaciju.
[IPv4 Manual Settings]	Odredite IPv4 adresu na koju ćete primijeniti IPSec. Odaberite [Single Address] i unesite pojedinačnu IPv4 adresu. Odaberite [Range Address] i odredite raspon IPv4 adresa. Unesite zasebnu adresu za [First Address] i [Last Address]. Odaberite [Subnet Settings] i odredite raspon IPv4 adresa pomoću maske podmreže. Unesite zasebne vrijednosti za [First Address] i [Subnet Settings].
[IPv6 Manual Settings]	Odredite IPv6 adresu na koju ćete primijeniti IPSec. Odaberite [Single Address] i unesite pojedinačnu IPv6 adresu. Odaberite [Range Address] i odredite raspon IPv6 adresa. Unesite zasebnu adresu za [First Address] i [Last Address]. Odaberite [Prefix Address] i odredite raspon IPv6 adresa pomoću prefiksa. Unesite zasebne vrijednosti za [First Address] i [Prefix Length].

Odredite port na koji ćete primijeniti IPSec.

Odaberite [Specify by Port Number] za upotrebu brojeva portova prilikom određivanja portova na koje se IPSec odnosi. Odaberite [All Ports] kako biste IPSec primijenili na sve brojeve portova. Kako biste IPSec primijenili na određeni broj porta, pritisnite [Single Port] i unesite broj porta. Odredite priključak ovog uređaja u izborniku [Local Port] i odredite priključak uređaja za komunikaciju u izborniku [Remote Port].

Da biste naveli priključke na koje ćete primijeniti IPSec po nazivu usluge, odaberite [Specify by Service Name] i odaberite usluge koje želite koristiti.

Kliknite [OK].

Konfigurirajte postavke autentikacije i enkripcije.

Kliknite [IKE Settings].

Konfigurirajte neophodne postavke.

[IKE Mode]

Odaberite način rada za protokol razmjene ključeva. Zaštita će biti jača ako odaberete [Main] jer je i sama IKE sesija šifrirana, ali sesija će biti sporija nego uz postavku [Aggressive] koja ne šifrira čitavu sesiju.

[Validity]

Postavite razdoblje isteka generiranog IKE SA.

[Authentication Method]

Odaberite jednu od metoda autentikacije opisanih u nastavku.

[Pre-Shared Key Method]	Postavite isti pristupni izraz (unaprijed dijeljeni ključ) koji je postavljen za uređaj za komunikaciju. Odaberite [Shared Key Settings], unesite niz znakova koji ćete upotrebljavati kao dijeljeni ključ i odaberite [OK].
[Digital Signature Method]	Postavite ključ i certifikat za upotrebu i međusobnu autentikaciju s uređajem za komunikaciju. Kliknite [Key and Certificate] i kliknite [Use] za ključ koji ćete koristiti.

[Authentication/Encryption Algorithm]

Odaberite [Auto] ili [Manual Settings] i postavite kako odrediti algoritam kriptiranja i autentikacije za IKE, fazu 1. Ako odaberete [Auto], algoritam koji može upotrebljavati ovaj uređaj i uređaj za komunikaciju postavit će se automatski. Ako želite odrediti određeni algoritam, odaberite [Manual Settings] i konfigurirajte postavke u nastavku.

[Authentication]	Odaberite algoritam raspršivanja.
[Encryption]	Odaberite algoritam šifriranja.
[DH Group]	Odaberite grupu za metodu razmjene ključeva Diffie-Hellman i postavite snagu ključa.

Kliknite [OK].


Ako za [IKE Mode] odaberete vrijednost [Main] na zaslonu [IKE], a [Authentication Method] postavite na [Pre-Shared Key Method], vrijedit će sljedeća ograničenja prilikom registracije više sigurnosnih pravila. Metoda unap. dijelj. ključa: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, svi dijeljeni ključevi za to sigurnosno pravilo bit će identični (to se ne primjenjuje ako je određena jedna adresa). Prioritet: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, prioritet tog sigurnosnog pravila bit će ispod sigurnosnih pravila za koja je određena jedna adresa.

Ako za [IKE Mode] odaberete vrijednost [Main] na zaslonu [IKE], a [Authentication Method] postavite na [Pre-Shared Key Method], vrijedit će sljedeća ograničenja prilikom registracije više sigurnosnih pravila.

Metoda unap. dijelj. ključa: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, svi dijeljeni ključevi za to sigurnosno pravilo bit će identični (to se ne primjenjuje ako je određena jedna adresa).

Prioritet: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, prioritet tog sigurnosnog pravila bit će ispod sigurnosnih pravila za koja je određena jedna adresa.

Konfigurirajte IPSec postavke komunikacije.

Kliknite [IPSec Network Settings].

Konfigurirajte neophodne postavke.

[Validity]

Postavite razdoblje valjanosti generiranog IPSec SA. Postavite [Time] ili [Size]. Ako postavite oboje, primjenjuje se postavka s vrijednošću koja je prva dosegnuta.

[PFS]

Ako odaberete [Use PFS], tajnost ključa šifriranja raste, ali brzina komunikacije opada. Osim toga, funkciju PFS-a (Perfect Forward Secrecy) morate omogućiti na uređaju za komunikaciju.

[Authentication/Encryption Algorithm]

Odaberite [Auto] ili [Manual Settings] i postavite kako odrediti algoritam kriptiranja i autentikacije za IKE, fazu 2. Ako odaberete [Auto], ESP algoritam kriptiranja i autentikacije postavit će se automatski. Ako želite odrediti konkretnu metodu autentikacije, odaberite [Manual Settings] i odaberite jednu od metoda autentikacije u nastavku.

[ESP]	Izvršit će se autentikacija i šifriranje. Odaberite algoritam za [ESP Authentication] i [ESP Encryption]. Odaberite [NULL] ako ne želite postaviti algoritam autentikacije ili kriptiranja.
[ESP (AES-GCM)]	AES-GCM se koristi kao ESP algoritam, a provode se autentikacija i enkripcija.
[AH (SHA1)]	Provodi se autentikacija, ali ne i enkripcija podataka. SHA1 se koristi kao algoritam.

Kliknite [OK].

Omogućite registrirana pravila i provjerite redoslijed prioriteta.

Pravila se primjenjuju redoslijedom kojim su navedena, počevši od vrha. Ako želite promijeniti redoslijed prioriteta, odaberite pravila s popisa i pritisnite [Raise Priority] ili [Lower Priority].


Upravljanje IPSec pravilima Možete uređivati pravila na zaslonu koji je prikazan u 4. koraku. Da biste uredili pojedinosti pravila, kliknite naziv pravila na popisu. Da biste onemogućili pravilo, kliknite naziv pravila na popisu odaberite [Off] za [Policy On/Off] kliknite [OK]. Kako biste izbrisali pravilo, odaberite pravilo s popisa kliknite [Delete] [OK]. Korištenje upravljačke ploče Razmjenu podataka putem protokola IPSec možete omogućiti ili onemogućiti i na izborniku <Podesi> na zaslonu <Početni prikaz>. <IPSec postavke> Serijski uvoz / serijski izvoz Postavku možete uvoziti/izvoziti s modelima koji podržavaju serijski uvoz te postavke. Uvoz/izvoz podataka o postavkama Ta je postavka uključena u [Settings/Registration Basic Information] prilikom serijskog izvoza. Uvoz/izvoz svih postavki

Upravljanje IPSec pravilima

Možete uređivati pravila na zaslonu koji je prikazan u 4. koraku.

Da biste uredili pojedinosti pravila, kliknite naziv pravila na popisu.

Da biste onemogućili pravilo, kliknite naziv pravila na popisu

odaberite [Off] za [Policy On/Off]

kliknite [OK].

Kako biste izbrisali pravilo, odaberite pravilo s popisa

kliknite [Delete]

[OK].

Korištenje upravljačke ploče

Razmjenu podataka putem protokola IPSec možete omogućiti ili onemogućiti i na izborniku <Podesi> na zaslonu <Početni prikaz>. <IPSec postavke>

Serijski uvoz / serijski izvoz

Postavku možete uvoziti/izvoziti s modelima koji podržavaju serijski uvoz te postavke. Uvoz/izvoz podataka o postavkama

Ta je postavka uključena u [Settings/Registration Basic Information] prilikom serijskog izvoza. Uvoz/izvoz svih postavki