Konfigurieren der IPSec-Einstellungen

Durch Verwendung von IPSec können Sie verhindern, dass Dritte über das IP-Netzwerk übermittelte IP-Pakete abfangen oder manipulieren. Weil IPSec dem IP, eine grundlegende Protokollsuite für das Internet, Sicherheitsfunktionen hinzufügt, kann es Sicherheit bieten, die unabhängig von Anwendungen oder Netzwerkkonfigurationen ist. Um die IPSec-Kommunikation mit diesem Gerät durchzuführen, müssen Sie Einstellungen, wie zum Beispiel die Anwendungsparameter und die Algorithmen für die Authentifizierung und die Verschlüsselung konfigurieren. Administratorrechte sind erforderlich, um diese Einstellungen zu konfigurieren.

Aktivierung von IPSec

Registrieren einer Richtlinie


Kommunikationsmodus Dieses Gerät unterstützt nur den Transportmodus für die IPSec-Kommunikation. Demzufolge werden Authentifizierung und Verschlüsselung nur bei den Datenanteilen der IP-Pakete angewandt. Schlüsselaustauschprotokoll Dieses Gerät unterstützt die Internet Schlüsselaustauschversion 1 (IKEv1) für den Austausch von Schlüsseln basierend auf dem Internet Security Association and Key Management Protocol (ISAKMP). Legen Sie in Bezug auf die Authentifizierungsmethode entweder die Methode Pre-Shared-Key oder die digitale Signatur fest. Wenn Sie die Methode Pre-Shared-Key festlegen, müssen Sie im Voraus ein Passphrase (Pre-Shared-Key) bestimmen, der zwischen dem Gerät und dem IPSec-Kommunikations-Peer verwendet wird. Wenn Sie die digitale Signaturmethode einstellen, verwenden Sie ein Zertifizierungsstellenzertifikat sowie einen PKCS#12-Formatschlüssel und -Zertifikat, um die gegenseitige Authentifizierung zwischen Gerät und IPsec-Kommunikationspartner durchzuführen. Weitere Informationen zur Registrierung neuer CA-Zertifikate oder Schlüssel/Zertifikate finden Sie unter Registrieren eines Schlüssels und Zertifikats für die Netzwerkkommunikation. Beachten Sie, dass SNTP für das Gerät konfiguriert werden muss, damit es diese Methode verwenden kann. Vornehmen von SNTP-Einstellungen

Kommunikationsmodus

Dieses Gerät unterstützt nur den Transportmodus für die IPSec-Kommunikation. Demzufolge werden Authentifizierung und Verschlüsselung nur bei den Datenanteilen der IP-Pakete angewandt.

Schlüsselaustauschprotokoll

Dieses Gerät unterstützt die Internet Schlüsselaustauschversion 1 (IKEv1) für den Austausch von Schlüsseln basierend auf dem Internet Security Association and Key Management Protocol (ISAKMP). Legen Sie in Bezug auf die Authentifizierungsmethode entweder die Methode Pre-Shared-Key oder die digitale Signatur fest.

Wenn Sie die Methode Pre-Shared-Key festlegen, müssen Sie im Voraus ein Passphrase (Pre-Shared-Key) bestimmen, der zwischen dem Gerät und dem IPSec-Kommunikations-Peer verwendet wird.

Wenn Sie die digitale Signaturmethode einstellen, verwenden Sie ein Zertifizierungsstellenzertifikat sowie einen PKCS#12-Formatschlüssel und -Zertifikat, um die gegenseitige Authentifizierung zwischen Gerät und IPsec-Kommunikationspartner durchzuführen. Weitere Informationen zur Registrierung neuer CA-Zertifikate oder Schlüssel/Zertifikate finden Sie unter Registrieren eines Schlüssels und Zertifikats für die Netzwerkkommunikation. Beachten Sie, dass SNTP für das Gerät konfiguriert werden muss, damit es diese Methode verwenden kann. Vornehmen von SNTP-Einstellungen


Ungeachtet der Einstellungen von [Verschlüsselungsmethode für FIPS 140-2 formatieren] für eine IPSec-Kommunikation wird ein Verschlüsselungsmodul verwendet, das bereits eine FIPS140-2-Zertifizierung erhalten hat. Damit die IPSec-Kommunikation im Einklang mit FIPS 140-2 steht, müssen Sie die Schlüssellänge sowohl von DH als auch von RSA für die IPSec-Kommunikation in der Netzwerkumgebung, zu der das System gehört, auf 2048-bit oder länger setzen. Es kann lediglich die Schlüssellänge für DH über das System festgelegt werden. Notieren Sie die Konfiguration Ihrer Umgebung, da es keine Einstellungen für RSA im System gibt. Sie können bis zu 10 Sicherheitsrichtlinien registrieren.

Ungeachtet der Einstellungen von [Verschlüsselungsmethode für FIPS 140-2 formatieren] für eine IPSec-Kommunikation wird ein Verschlüsselungsmodul verwendet, das bereits eine FIPS140-2-Zertifizierung erhalten hat.

Damit die IPSec-Kommunikation im Einklang mit FIPS 140-2 steht, müssen Sie die Schlüssellänge sowohl von DH als auch von RSA für die IPSec-Kommunikation in der Netzwerkumgebung, zu der das System gehört, auf 2048-bit oder länger setzen.

Es kann lediglich die Schlüssellänge für DH über das System festgelegt werden.

Notieren Sie die Konfiguration Ihrer Umgebung, da es keine Einstellungen für RSA im System gibt.

Sie können bis zu 10 Sicherheitsrichtlinien registrieren.

Aktivierung von IPSec

Starten Sie die Remote-UI. Starten von Remote UI

Klicken Sie auf der Portalseite auf [Einstellungen/Speicherung]. Remote UI-Bildschirm

Klicken Sie auf [Einstellungen Netzwerk]

[Einstellungen IPSec].

Wählen Sie [IPSec verwenden] und klicken Sie auf [OK].

Um nur Pakete zu empfangen, die der Sicherheitsrichtlinie entsprechen, wählen Sie [Zurückweisen] für [Pakete ohne Richtlinie empfangen].

Registrieren einer Richtlinie

Starten Sie die Remote-UI. Starten von Remote UI

Klicken Sie auf der Portalseite auf [Einstellungen/Speicherung]. Remote UI-Bildschirm

Klicken Sie auf [Einstellungen Netzwerk]

[Liste IPSec-Richtlinie].

Klicken Sie auf [Neue IPSec Richtlinie speichern].

Legen Sie eine Richtlinie fest.

[Richtlinienname]

Geben Sie einen Namen zur Identifizierung der Richtlinie ein.

[Richtlinie Ein/Aus]

Wählen Sie [Ein], um die gespeicherte Richtlinie zu aktivieren.

[Nur 256-Bit für AES Schlüssellänge zulassen]

Aktivieren Sie dieses Kontrollkästchen, um die Schlüssellänge der AES-Verschlüsselungsmethode auf 256 Bit einzuschränken und die CC-Authentifizierungsstandards zu erfüllen.

Konfigurieren Sie die IPSec-Anwendungsparameter.

Klicken Sie auf [Einstellungen Auswahl].

Legen Sie die IP-Adresse fest, um die IPSec-Richtlinie anzuwenden.

Legen Sie die IP-Adresse dieses Geräts unter [Lokale Adresse] fest, und legen Sie die IP-Adresse des Kommunikations-Peer unter [Remote-Adresse] fest.

[Alle IP-Adressen]	IPSec wird bei allen gesendeten und empfangenen IP-Paketen angewandt.
[IPv4-Adresse]	IPSec wird bei den IP-Paketen angewandt, die an die IPv4-Adresse dieses Geräts gesendet und von ihr empfangen wurden.
[IPv6-Adresse]	IPSec wird bei den IP-Paketen angewandt, die an die IPv6-Adresse dieses Geräts gesendet und von ihr empfangen wurden.
[Alle IPv4-Adressen]	IPSec wird bei den IP-Paketen angewandt, die an die IPv4-Adresse des Kommunikations-Peer gesendet und von ihr empfangen wurden.
[Alle IPv6-Adressen]	IPSec wird bei den IP-Paketen angewandt, die an die IPv6-Adresse des Kommunikations-Peer gesendet und von ihr empfangen wurden.
[Manuelle Einstellungen IPv4]	Legen Sie die IPv4-Adresse fest, um die IPSec anzuwenden. Wählen Sie [Einzeladresse] aus, um eine individuelle IPv4-Adresse einzugeben. Wählen Sie [Adressbereich] aus, um eine Reihe von IPv4-Adressen einzugeben. Geben Sie eine separate Adresse für [Erste Adresse] und [Letzte Adresse] ein. Wählen Sie [Einstellungen Subnet] aus, um eine Reihe von IPv4-Adressen mithilfe einer Subnetmaske einzugeben. Geben Sie separate Werte für [Erste Adresse] und [Einstellungen Subnet] ein.
[Manuelle Einstellungen IPv6]	Legen Sie die IPv6-Adresse fest, um die IPSec anzuwenden. Wählen Sie [Einzeladresse] aus, um eine individuelle IPv6-Adresse einzugeben. Wählen Sie [Adressbereich] aus, um eine Reihe von IPv6-Adressen einzugeben. Geben Sie eine separate Adresse für [Erste Adresse] und [Letzte Adresse] ein. Wählen Sie [Präfixadresse] aus, um eine Reihe von IPv6-Adressen mithilfe einer Präfixes einzugeben. Geben Sie separate Werte für [Erste Adresse] und [Präfixlänge] ein.

Legen Sie den Anschluss fest, an dem IPSec angewandt werden soll.

Wählen Sie [Durch Portnummer definieren], um die Portnummern zu verwenden, sobald Sie die Anschlüsse festlegen, bei denen IPSec angewandt wird. Wählen Sie [Alle Ports] aus, um IPSec bei allen Portnummern anzuwenden. Um IPSec bei einer spezifischen Portnummer anzuwenden, wählen Sie [Single Port], und geben Sie die Portnummer ein. Legen Sie den Anschluss dieses Geräts unter [Lokaler Port] fest, und legen Sie den Anschluss des Kommunikations-Peer unter [Remote Port] fest.

Um die Ports, auf die IPSec festgelegt werden soll, nach Dienstnamen anzugeben, wählen Sie [Durch Servicename definieren] und wählen Sie die zu verwendenden Dienste.

Klicken Sie auf [OK].

Konfigurieren Sie die Authentifizierungs- und Verschlüsselungseinstellungen.

Klicken Sie auf [Einstellungen IKE].

Konfigurieren Sie die erforderlichen Einstellungen.

[IKE-Modus]

Wählen Sie den Betriebsmodus für das Schlüsselaustauschprotokoll aus. Die Sicherheit wird verbessert, wenn Sie [Main] auswählen, weil die IKE-Sitzung selbst verschlüsselt ist, jedoch ist die Geschwindigkeit der Sitzung langsamer als bei [Aggressive], welche nicht die gesamte Sitzung verschlüsselt.

[Gültigkeit]

Legen Sie die Gültigkeitsdauer für die generierte IKE SA fest.

[Authentisierungsmethode]

Wählen Sie eine der nachfolgend beschriebenen Authentifizierungsmethoden aus.

[Methode Pre-gemeinsamer Schlüssel]	Stellen Sie die gleiche Passphrase (Pre-Shared-Key) ein, die Sie für die Kommunikations-Peer eingestellt haben. Wählen Sie [Einstellungen gemeinsamer Schlüssel], geben Sie die für den gemeinsamen Schlüssel zu verwendende Zeichenfolge ein, und wählen Sie [OK].
[Methode digitale Signatur]	Legen Sie den Schlüssel und das Zertifikat fest, die für die gegenseitige Authentifizierung mit dem Kommunikation-Peer verwendet werden sollen. Klicken Sie auf [Schlüssel und Zertifikat], und klicken Sie dann auf [Verwenden] für die zu verwendenden Schlüssel.

[Algorithmus Authentisierung/Verschlüsselung]

Wählen Sie entweder [Auto] oder [Manuelle Einstellungen] aus, um einzustellen, wie der Authentifizierungs- und Verschlüsselungsalgorithmus für die IKE-Phase 1 festzulegen sind. Wenn Sie [Auto] auswählen, wird ein Algorithmus automatisch eingestellt, der sowohl von diesem Gerät als auch vom Kommunikationspartner verwendet werden kann. Wenn Sie einen bestimmten Algorithmus festlegen möchten, wählen Sie [Manuelle Einstellungen] aus, und konfigurieren Sie die nachfolgenden Einstellungen.

[Authentisierung]	Wählen Sie den Hash-Algorithmus.
[Verschlüsselung]	Wählen Sie den Verschlüsselungsalgorithmus.
[DH-Gruppe]	Wählen Sie die Gruppe für die Diffie-Hellman Schlüsselaustauschmethode aus, um die Schlüsselstärke einzustellen.

Klicken Sie auf [OK].


Wenn [IKE-Modus] auf [Main] auf dem Bildschirm [IKE] und [Authentisierungsmethode] auf [Methode Pre-gemeinsamer Schlüssel] eingestellt ist, gelten die folgenden Einschränkungen bei der Registrierung mehrerer Sicherheitsrichtlinien. Schlüssel der Pre-Shared-Key-Methode: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, sind alle gemeinsam genutzten Schlüssel für diese Sicherheitsrichtlinie identisch. (Dies gilt nicht, wenn eine einzige Adresse angegeben wird.) Priorität: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, liegt die Priorität dieser Sicherheitsrichtlinie unterhalb der Sicherheitsrichtlinien, für die eine einzige Adresse angegeben ist.

Wenn [IKE-Modus] auf [Main] auf dem Bildschirm [IKE] und [Authentisierungsmethode] auf [Methode Pre-gemeinsamer Schlüssel] eingestellt ist, gelten die folgenden Einschränkungen bei der Registrierung mehrerer Sicherheitsrichtlinien.

Schlüssel der Pre-Shared-Key-Methode: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, sind alle gemeinsam genutzten Schlüssel für diese Sicherheitsrichtlinie identisch. (Dies gilt nicht, wenn eine einzige Adresse angegeben wird.)

Priorität: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, liegt die Priorität dieser Sicherheitsrichtlinie unterhalb der Sicherheitsrichtlinien, für die eine einzige Adresse angegeben ist.

Konfigurieren Sie die IPSec Kommunikationseinstellungen.

Klicken Sie auf [Einstellungen IPSec-Netzwerk].

Konfigurieren Sie die erforderlichen Einstellungen.

[Gültigkeit]

Legen Sie die Gültigkeitsdauer für die generierte IPSec SA fest. Achten Sie darauf, entweder [Zeit] oder [Format] festzulegen. Wenn Sie beides festlegen, wird die Einstellung mit dem zuerst erreichten Wert übernommen.

[PFS]

Wenn Sie [PFS verwenden] wählen, wird die Geheimhaltung des Verschlüsselungsschlüssels erhöht, jedoch die Kommunikationsgeschwindigkeit verlangsamt. Darüber hinaus muss die Funktion Perfect Forward Secrecy (PFS) im Gerät des Kommunikationspartners aktiviert sein.

[Algorithmus Authentisierung/Verschlüsselung]

Wählen Sie entweder [Auto] oder [Manuelle Einstellungen], um einzustellen, wie der Authentifizierungs- und Verschlüsselungsalgorithmus für die IKE Phase 2 festzulegen ist. Wenn Sie [Auto] auswählen, wird der ESP-Authentifizierungs- und -Verschlüsselungsalgorithmus automatisch eingestellt. Wenn Sie eine bestimmte Authentifizierungsmethode festlegen möchten, wählen Sie [Manuelle Einstellungen], und wählen Sie eine der nachfolgenden Authentifizierungsmethoden aus.

[ESP]	Die Authentifizierung und die Verschlüsselung werden beide ausgeführt. Wählen Sie den Algorithmus für [ESP-Authentisierung] und [ESP-Verschlüsselung] aus. Wählen Sie [NULL], wenn Sie den Authentifizierungs- oder Verschlüsselungsalgorithmus nicht festlegen möchten.
[ESP (AES-GCM)]	AES-GCM wird als der ESP-Algorithmus verwendet. Die Authentifizierung und die Verschlüsselung werden beide ausgeführt.
[AH (SHA1)]	Die Authentifizierung wird ausgeführt, jedoch werden die Daten nicht verschlüsselt. SHA1 wird als der Algorithmus verwendet.

Klicken Sie auf [OK].

Aktivieren Sie die registrierten Richtlinien, und prüfen Sie die Reihenfolge der Priorität.

Die Richtlinien werden in der Reihenfolge übernommen, in der sie aufgelistet sind, beginnend von oben. Wenn Sie die Reihenfolge der Priorität ändern wollen, wählen Sie eine Richtlinie in der Liste aus, und wählen Sie [Vorrang erhöhen] oder [Vorrang reduzieren].


Verwalten der IPSec-Richtlinien Sie können die am Bildschirm in Schritt 4 angezeigten Richtlinien bearbeiten. Um die Details der Richtlinie zu bearbeiten, klicken Sie auf den Namen der Richtlinie in der Liste. Um eine Richtlinie zu deaktivieren, klicken Sie auf den Namen der Richtlinie in der Liste Wählen Sie [Aus] für [Richtlinie Ein/Aus] aus Klicken Sie [OK]. Um eine Richtlinie zu löschen, wählen Sie die Richtlinie in der Liste aus Klicken Sie [Löschen] [OK]. Verwenden des Bedienfelds Sie können die IPSec-Kommunikation auch über <Einstellen> auf dem Bildschirm <Startseite> aktivieren oder deaktivieren. <Einstellungen IPSec> Stapelweises Importieren/stapelweises Exportieren Diese Einstellung lässt sich mit Modellen, die diesbezüglich den Stapelimport unterstützen, importieren/exportieren.　Importieren/Exportieren von Einstellungsdaten Diese Einstellung ist beim Stapelexport in [Grundinformationen Einstellungen/Speicherung] enthalten. Importieren/Exportieren aller Einstellungen

Verwalten der IPSec-Richtlinien

Sie können die am Bildschirm in Schritt 4 angezeigten Richtlinien bearbeiten.

Um die Details der Richtlinie zu bearbeiten, klicken Sie auf den Namen der Richtlinie in der Liste.

Um eine Richtlinie zu deaktivieren, klicken Sie auf den Namen der Richtlinie in der Liste

Wählen Sie [Aus] für [Richtlinie Ein/Aus] aus

Klicken Sie [OK].

Um eine Richtlinie zu löschen, wählen Sie die Richtlinie in der Liste aus

Klicken Sie [Löschen]

[OK].

Verwenden des Bedienfelds

Sie können die IPSec-Kommunikation auch über <Einstellen> auf dem Bildschirm <Startseite> aktivieren oder deaktivieren. <Einstellungen IPSec>

Stapelweises Importieren/stapelweises Exportieren

Diese Einstellung lässt sich mit Modellen, die diesbezüglich den Stapelimport unterstützen, importieren/exportieren.　Importieren/Exportieren von Einstellungsdaten

Diese Einstellung ist beim Stapelexport in [Grundinformationen Einstellungen/Speicherung] enthalten. Importieren/Exportieren aller Einstellungen