Cấu hình cài đặt IPSec

Bằng cách sử dụng IPSec, bạn có thể ngăn ngừa các bên thứ ba chặn hoặc giả mạo các gói tin IP được truyền qua mạng IP. Vì IPSec bổ sung các chức năng bảo mật cho IP, một bộ giao thức cơ bản được sử dụng cho Internet, nên nó có thể cung cấp cơ chế bảo mật độc lập với các ứng dụng hoặc cấu hình mạng. Để thực hiện giao tiếp IPSec với máy này, bạn phải cấu hình các cài đặt như các thông số ứng dụng và thuật toán xác thực và mã hóa. Cần có quyền quản trị viên để cấu hình các cài đặt này.

Bật IPSec

Đăng ký chính sách


Chế độ giao tiếp Máy này chỉ hỗ trợ chế độ truyền tải cho giao tiếp IPSec. Do đó, việc xác thực và mã hóa chỉ được áp dụng cho các phần dữ liệu của gói tin IP. Giao thức trao đổi khóa Máy này hỗ trợ giao thức Internet Key Exchange phiên bản 1 (IKEv1) để trao đổi khóa dựa trên giao thức Internet Security Association and Key Management Protocol (ISAKMP). Đối với phương thức xác thực, cài đặt phương thức khóa chia sẻ trước hoặc phương thức chữ ký số. Khi cài đặt phương thức khóa chia sẻ trước, bạn cần quyết định trước cụm mật khẩu (khóa chia sẻ trước), được sử dụng giữa máy và giao tiếp ngang hàng IPSec. Khi cài đặt phương thức chữ ký số, hãy sử dụng chứng chỉ CA và khóa định dạng PKCS #12 và chứng chỉ để thực hiện xác thực qua lại giữa máy và giao tiếp ngang hàng IPSec. Để biết thêm thông tin về cách đăng ký chứng chỉ CA hoặc khóa/chứng chỉ mới, xem mục Đăng ký khóa và chứng chỉ cho giao tiếp mạng. Lưu ý rằng phải cấu hình SNTP cho máy trước khi sử dụng phương pháp này. Thực hiện cài đặt SNTP

Chế độ giao tiếp

Máy này chỉ hỗ trợ chế độ truyền tải cho giao tiếp IPSec. Do đó, việc xác thực và mã hóa chỉ được áp dụng cho các phần dữ liệu của gói tin IP.

Giao thức trao đổi khóa

Máy này hỗ trợ giao thức Internet Key Exchange phiên bản 1 (IKEv1) để trao đổi khóa dựa trên giao thức Internet Security Association and Key Management Protocol (ISAKMP). Đối với phương thức xác thực, cài đặt phương thức khóa chia sẻ trước hoặc phương thức chữ ký số.

Khi cài đặt phương thức khóa chia sẻ trước, bạn cần quyết định trước cụm mật khẩu (khóa chia sẻ trước), được sử dụng giữa máy và giao tiếp ngang hàng IPSec.

Khi cài đặt phương thức chữ ký số, hãy sử dụng chứng chỉ CA và khóa định dạng PKCS #12 và chứng chỉ để thực hiện xác thực qua lại giữa máy và giao tiếp ngang hàng IPSec. Để biết thêm thông tin về cách đăng ký chứng chỉ CA hoặc khóa/chứng chỉ mới, xem mục Đăng ký khóa và chứng chỉ cho giao tiếp mạng. Lưu ý rằng phải cấu hình SNTP cho máy trước khi sử dụng phương pháp này. Thực hiện cài đặt SNTP


Bất kể cài đặt của [Format Encryption Method to FIPS 140-2] (Phương pháp mã hóa định dạng thành FIPS 140-2) cho giao tiếp IPSec, thì sẽ sử dụng mô-đun mã hóa đã có chứng chỉ FIPS140-2. Để làm cho giao tiếp IPSec tuân thủ chuẩn FIPS 140-2, bạn phải cài đặt độ dài khóa của cả thuật toán DH và RSA của giao tiếp IPSec thành 2048-bit hoặc dài hơn trong môi trường mạng của máy. Chỉ có thể chỉ định độ dài khóa cho thuật toán DH từ máy. Hãy lưu ý khi cấu hình môi trường của bạn, vì không có cài đặt nào cho thuật toán RSA trong máy. Bạn có thể đăng ký tối đa 10 chính sách bảo mật.

Bất kể cài đặt của [Format Encryption Method to FIPS 140-2] (Phương pháp mã hóa định dạng thành FIPS 140-2) cho giao tiếp IPSec, thì sẽ sử dụng mô-đun mã hóa đã có chứng chỉ FIPS140-2.

Để làm cho giao tiếp IPSec tuân thủ chuẩn FIPS 140-2, bạn phải cài đặt độ dài khóa của cả thuật toán DH và RSA của giao tiếp IPSec thành 2048-bit hoặc dài hơn trong môi trường mạng của máy.

Chỉ có thể chỉ định độ dài khóa cho thuật toán DH từ máy.

Hãy lưu ý khi cấu hình môi trường của bạn, vì không có cài đặt nào cho thuật toán RSA trong máy.

Bạn có thể đăng ký tối đa 10 chính sách bảo mật.

Bật IPSec

Khởi động Remote UI. Khởi động Remote UI

Nhấp vào [Settings/Registration] (Cài đặt/Đăng ký) trên trang cổng thông tin. Màn hình Remote UI

Nhấp vào [Network Settings] (Cài đặt mạng)

[IPSec Settings] (Cài đặt IPSec).

Chọn [Use IPSec] (Sử dụng IPSec), và nhấp vào [OK].

Để chỉ nhận các gói tin tương ứng với chính sách bảo mật, hãy chọn [Reject] (Từ chối) cho [Receive Non-Policy Packets] (Nhận các gói tin phi chính sách).

Đăng ký chính sách

Khởi động Remote UI. Khởi động Remote UI

Nhấp vào [Settings/Registration] (Cài đặt/Đăng ký) trên trang cổng thông tin. Màn hình Remote UI

Nhấp vào [Network Settings] (Cài đặt mạng)

[IPSec Policy List] (Danh sách chính sách IPSec].

Nhấp vào [Register New IPSec Policy] (Bắt đầu Xuất).

Cài đặt chính sách.

[Policy Name] (Thư Viện Ứng Dụng)

Nhập tên để xác định chính sách.

[Policy On/Off] (Thư Viện Ứng Dụng)

Chọn [On] (Bật) để bật chính sách đã đăng ký.

[Only Allow 256-bit for AES Key Length] (Thư Viện Ứng Dụng)

Chọn hộp kiểm này để giới hạn độ dài khóa của phương pháp mã hóa AES ở mức 256 bit và đáp ứng các tiêu chuẩn xác thực CC.

Cấu hình các thông số ứng dụng IPSec.

Nhấp vào [Selector Settings] (Bắt đầu Xuất).

Chỉ định địa chỉ IP để áp dụng chính sách IPSec.

Chỉ định địa chỉ IP của máy này trong [Local Address] (Địa chỉ cục bộ), và chỉ định địa chỉ IP của cơ chế giao tiếp ngang hàng trong [Remote Address] (Địa chỉ từ xa).

[All IP Addresses]	IPSec được áp dụng cho tất cả các gói tin IP được gửi và nhận.
[IPv4 Address]	IPSec được áp dụng cho các gói tin IP được gửi đến và nhận từ địa chỉ IPv4 của máy này.
[IPv6 Address]	IPSec được áp dụng cho các gói tin IP được gửi đến và nhận từ địa chỉ IPv6 của máy này.
[All IPv4 Addresses]	IPSec được áp dụng cho các gói tin IP được gửi đến và nhận từ địa chỉ IPv4 của cơ chế giao tiếp ngan hàng.
[All IPv6 Addresses]	IPSec được áp dụng cho các gói tin IP được gửi đến và nhận từ địa chỉ IPv6 của cơ chế giao tiếp ngan hàng.
[IPv4 Manual Settings]	Chỉ định địa chỉ IPv4 để áp dụng IPSec. Chọn [Single Address] (Địa chỉ đơn) để nhập một địa chỉ IPv4 riêng lẻ. Chọn [Range Address] (Dải địa chỉ) để chỉ định dải địa chỉ IPv4. Nhập một địa chỉ riêng cho [First Address] (Địa chỉ đầu tiên) và [Last Address] (Địa chỉ cuối cùng). Chọn [Subnet Settings] (Cài đặt mạng con) để chỉ định dải địa chỉ IPv4 bằng mặt nạ mạng phụ. Nhập các giá trị riêng cho [First Address] (Địa chỉ đầu tiên) và [Subnet Settings] (Cài đặt mạng con).
[IPv6 Manual Settings]	Chỉ định địa chỉ IPv6 để áp dụng IPSec. Chọn [Single Address] (Địa chỉ đơn) để nhập một địa chỉ IPv6 riêng lẻ. Chọn [Range Address] (Dải địa chỉ) để chỉ định dải địa chỉ IPv6. Nhập một địa chỉ riêng cho [First Address] (Địa chỉ đầu tiên) và [Last Address] (Địa chỉ cuối cùng). Chọn [Prefix Address] (Tiền tố địa chỉ) để chỉ định dải địa chỉ IPv6 bằng tiền tố. Nhập các giá trị riêng cho [First Address] (Địa chỉ đầu tiên) và [Prefix Length] (Độ dài tiền tố).

Chỉ định cổng để áp dụng IPSec.

Chọn [Specify by Port Number] (Chỉ định theo số cổng) để sử dụng số cổng khi chỉ định các cổng mà IPSec áp dụng. Chọn [All Ports] (Tất cả cổng) để áp dụng IPSec cho tất cả các số cổng. Để áp dụng IPSec cho một số cổng cụ thểSingle Port] (Cổng đơn) và nhập số cổng. Chỉ định cổng của máy này trong [Local Port] (Cổng cục bộ), và chỉ định cổng giao tiếp ngang hàng trong [Remote Port] (Cổng từ xa).

Để chỉ định các cổng để áp dụng IPSec theo tên dịch vụ, hãy chọn [Specify by Service Name] (Chỉ định theo tên dịch vụ) và chọn các dịch vụ để sử dụng.

Nhấp vào [OK] (Bắt đầu Xuất).

Cấu hình cài đặt xác thực và mã hóa.

Nhấp vào [IKE Settings] (Bắt đầu Xuất).

Cấu hình cài đặt cần thiết.

[IKE Mode]

Chọn chế độ hoạt động cho giao thức trao đổi khóa. Bảo mật được tăng cường nếu bạn chọn [Main] (Chính) vì bản thân phiên IKE đã được mã hóa, nhưng tốc độ của phiên chậm hơn so với [Aggressive] (Linh hoạt), vốn không mã hóa toàn bộ phiên.

[Validity]

Cài đặt khoảng thời gian hết hạn của IKE SA đã tạo.

[Authentication Method]

Chọn một trong các phương pháp xác thực được mô tả bên dưới.

[Pre-Shared Key Method]	Cài đặt cùng một cụm mật khẩu (khóa chia sẻ trước) mà được cài đặt cho cơ chế giao tiếp ngang hàng. Lựa chọn [Shared Key Settings] (Mã khóa chia sẻ), nhập chuỗi ký tự để sử dụng làm khóa chia sẻ và chọn [OK].
[Digital Signature Method]	Cài đặt khóa và chứng chỉ để sử dụng cho việc xác thực qua lại với cơ chế giao tiếp ngang hàng. Nhấp vào [Key and Certificate] (Khóa và chứng chỉ), và nhấp vào [Use] (Sử dụng) để sử dụng khóa.

[Authentication/Encryption Algorithm]

Chọn [Auto] (Tự động) hoặc [Manual Settings] (Cài đặt thủ công) để cài đặt cách chỉ định thuật toán xác thực và mã hóa cho IKE giai đoạn 1. Nếu bạn chọn [Auto] (Tự động) thì sẽ tự động cài đặt một thuật toán mà có thể được sử dụng bởi cả máy này và cơ chế giao tiếp ngang hàng. Nếu bạn muốn chỉ định một thuật toán cụ thể, hãy chọn [Manual Settings] (Cài đặt thủ công) và cấu hình cài đặt dưới đây.

[Authentication]	Chọn thuật toán băm.
[Encryption]	Chọn thuật toán mã hóa.
[DH Group]	Chọn nhóm cho phương pháp trao đổi khóa Diffie-Hellman để cài đặt độ mạnh của khóa.

Nhấp vào [OK] (Bắt đầu Xuất).


Khi cài đặt [IKE Mode] (Chế độ IKE) thành [Main] (Chính) trên màn hình [IKE] và cài đặt [Authentication Method] (Phương pháp xác thực) thành [Pre-Shared Key Method] (Phương pháp khóa chia sẻ trước), thì áp dụng các hạn chế sau đây khi đăng ký nhiều chính sách bảo mật. Phương thức khóa chia sẻ trước: khi chỉ định nhiều địa chỉ IP từ xa mà một chính sách bảo mật sẽ được áp dụng, tất cả các khóa chia sẻ cho chính sách bảo mật đó đều giống nhau (điều này không áp dụng khi chỉ định một địa chỉ đơn). Ưu tiên: khi chỉ định nhiều địa chỉ IP từ xa mà một chính sách bảo mật sẽ được áp dụng, thì mức độ ưu tiên của chính sách bảo mật đó nằm ở vị trí thấp hơn các chính sách bảo mật mà một địa chỉ đơn được chỉ định.

Khi cài đặt [IKE Mode] (Chế độ IKE) thành [Main] (Chính) trên màn hình [IKE] và cài đặt [Authentication Method] (Phương pháp xác thực) thành [Pre-Shared Key Method] (Phương pháp khóa chia sẻ trước), thì áp dụng các hạn chế sau đây khi đăng ký nhiều chính sách bảo mật.

Phương thức khóa chia sẻ trước: khi chỉ định nhiều địa chỉ IP từ xa mà một chính sách bảo mật sẽ được áp dụng, tất cả các khóa chia sẻ cho chính sách bảo mật đó đều giống nhau (điều này không áp dụng khi chỉ định một địa chỉ đơn).

Ưu tiên: khi chỉ định nhiều địa chỉ IP từ xa mà một chính sách bảo mật sẽ được áp dụng, thì mức độ ưu tiên của chính sách bảo mật đó nằm ở vị trí thấp hơn các chính sách bảo mật mà một địa chỉ đơn được chỉ định.

Cấu hình cài đặt giao tiếp IPSec.

Nhấp vào [IPSec Network Settings] (Bắt đầu Xuất).

Cấu hình cài đặt cần thiết.

[Validity]

Cài đặt khoảng thời gian hết hạn của IPSec SA được tạo. Đảm bảo cài đặt [Time] (Thời gian) hoặc [Size] (Kích cỡ). Nếu bạn cài đặt cả hai, thì áp dụng cài đặt có giá trị đạt được đầu tiên.

[PFS]

Nếu bạn chọn [Use PFS] (Sử dụng PFS), thì tính bí mật của khóa mã hóa tăng lên nhưng tốc độ giao tiếp chậm hơn. Ngoài ra, phải bật chức năng Perfect Forward Secrecy (PFS) trên thiết bị giao tiếp ngang hàng.

[Authentication/Encryption Algorithm]

Chọn [Auto] (Tự động) hoặc [Manual Settings] (Cài đặt thủ công) để cài đặt cách thức chỉ định thuật toán xác thực và mã hóa cho IKE giai đoạn 2. Nếu bạn chọn [Auto] (Tự động), thì thuật toán mã hóa và xác thực ESP được tự động cài đặt. Nếu bạn muốn chỉ định một phương thức xác thực cụ thể, hãy chọn [Manual Settings] (Cài đặt thủ công) và chọn một trong các phương pháp xác thực bên dưới.

[ESP]	Thực hiện cả xác thực và mã hóa. Chọn thuật toán cho [ESP Authentication] (Xác thực ESP) và [ESP Encryption] (Mã hóa ESP). Chọn [NULL] (RỖNG) nếu bạn không muốn cài đặt thuật toán xác thực hoặc mã hóa.
[ESP (AES-GCM)]	Sử dụng chuẩn AES-GCM làm thuật toán ESP, và thực hiện cả xác thực và mã hóa.
[AH (SHA1)]	Thực hiện xác thực, nhưng dữ liệu không được mã hóa. Sử dụng SHA1 làm thuật toán.

Nhấp vào [OK].

Nhấp vào [OK] (Bắt đầu Xuất).

Bật các chính sách đã đăng ký và kiểm tra thứ tự ưu tiên.

Áp dụng các chính sách theo thứ tự được liệt kê, bắt đầu từ trên cùng. Nếu bạn muốn thay đổi thứ tự ưu tiên, hãy chọn một chính sách trong danh sách và nhấp vào [Raise Priority] (Tăng ưu tiên) hoặc [Lower Priority] (Giảm ưu tiên).


Quản lý các chính sách IPSec Bạn có thể chỉnh sửa các chính sách trên màn hình hiển thị ở bước 4. Để sửa chi tiết của chính sách, nhấp vào tên chính sách trong danh sách. Để tắt một chính sách, nhấp vào tên chính sách trong danh sách chọn [Off] (Tắt) cho [Policy On/Off] (Bật/tắt chính sách) nhấp vào [OK]. Để xóa một chính sách, chọn chính sách trong danh sách nhấp vào [Delete] (Xóa) [OK]. Sử dụng bảng thao tác Bạn cũng có thể bật hoặc tắt giao tiếp IPSec từ <Đặt> trong màn hình <Home>. <Cài Đặt IPSec> Nhập hàng loạt/xuất hàng loạt Có thể nhập/xuất cài đặt này với các mẫu máy hỗ trợ nhập hàng loạt cài đặt này. Nhập/Xuất Dữ Liệu Cài Đặt Cài đặt này có trong [Settings/Registration Basic Information] (Cài đặt/Đăng ký thông tin cơ bản) khi xuất hàng loạt. Nhập/Xuất tất cả cài đặt

Quản lý các chính sách IPSec

Bạn có thể chỉnh sửa các chính sách trên màn hình hiển thị ở bước 4.

Để sửa chi tiết của chính sách, nhấp vào tên chính sách trong danh sách.

Để tắt một chính sách, nhấp vào tên chính sách trong danh sách

chọn [Off] (Tắt) cho [Policy On/Off] (Bật/tắt chính sách)

nhấp vào [OK].

Để xóa một chính sách, chọn chính sách trong danh sách

nhấp vào [Delete] (Xóa)

[OK].

Sử dụng bảng thao tác

Bạn cũng có thể bật hoặc tắt giao tiếp IPSec từ <Đặt> trong màn hình <Home>. <Cài Đặt IPSec>

Nhập hàng loạt/xuất hàng loạt

Có thể nhập/xuất cài đặt này với các mẫu máy hỗ trợ nhập hàng loạt cài đặt này. Nhập/Xuất Dữ Liệu Cài Đặt

Cài đặt này có trong [Settings/Registration Basic Information] (Cài đặt/Đăng ký thông tin cơ bản) khi xuất hàng loạt. Nhập/Xuất tất cả cài đặt