IPSec-beállítások konfigurálása
Az Internet Protocol Security (IPSec vagy IPsec) protokoll hálózaton keresztül (azon belül az interneten keresztül is) továbbított adatok titkosítására szolgáló protokollcsomag. Míg a TLS csak egy adott alkalmazás, például webböngésző vagy levelezőprogram adatait, addig az IPSec a teljes IP-csomagokat, illetve az általuk szállított adatokat is titkosítja, ezáltal sokoldalúbb biztonsági rendszert kínál. A készülék IPSec funkciója szállítási módban működik, tehát az IP-csomagok hasznos adattartalmát titkosítja. E funkciónak köszönhetően a készülék közvetlenül csatlakozni tud azokhoz a számítógépekhez, amelyek vele megegyező virtuális magánhálózatban (VPN) vannak. Mielőtt konfigurálná a készüléket, ellenőrizze a rendszerkövetelményeket a (Kezelési funkciók) menüpontban, és állítsa be a számítógépen a szükséges konfigurációt.
|
|
IPSec használata IP-címszűrővelAz IP-címszűrési beállítások az IPSec-szabályok előtt vannak alkalmazva. IP-címek megadása tűzfalbeállításokhoz
|
IPSec-beállítások konfigurálása
Ahhoz, hogy az IPSec protokollal titkosíthassa a kommunikációt, biztonsági házirendeket kell regisztrálnia. Egy biztonsági házirend az alábbi beállításcsoportokból áll. A házirendek regisztrálása után meg kell adnia az alkalmazásuk sorrendjét.
Választó
A választóval feltételeket határozhat meg, amelyekkel kiválaszthatja, hogy milyen IP-csomagokra alkalmazza az IPSec-kommunikációt. A választható feltételek között a készülék IP-címei és portszámai, valamint a készülékkel kommunikáló eszközök szerepelnek.
IKE
Az IKE az IKEv1 kulcscsere-protokollt konfigurálja. Az utasítások a kiválasztott hitelesítési módtól függően változnak.
[Előre megosztott kulcsos mód]
Ez a hitelesítési mód egy közös kulcsszót, egy úgynevezett megosztott kulcsot használ a készülék és a többi eszköz közötti kommunikációhoz. Mielőtt ezt a hitelesítési módot választaná, engedélyezze a TLS-t a Távoli felhasználói felülethez (A TLS kulcsának és tanúsítványának konfigurálása).
Ez a hitelesítési mód egy közös kulcsszót, egy úgynevezett megosztott kulcsot használ a készülék és a többi eszköz közötti kommunikációhoz. Mielőtt ezt a hitelesítési módot választaná, engedélyezze a TLS-t a Távoli felhasználói felülethez (A TLS kulcsának és tanúsítványának konfigurálása).
[Digitális aláírás mód]
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez létre kell hoznia vagy telepítenie kell a kulcsot és a tanúsítványt (A kulcs és tanúsítvány regisztrálása a hálózati kommunikációhoz).
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez létre kell hoznia vagy telepítenie kell a kulcsot és a tanúsítványt (A kulcs és tanúsítvány regisztrálása a hálózati kommunikációhoz).
AH/ESP
Az AH/ESP beállításait határozza meg, amely az IPSec-kommunikáció során a csomagok részévé válik. Az AH és ESP egyszerre használható. Szigorúbb biztonsági feltételek esetén a PFS használatát is engedélyezheti.
|
|
|
Ha további információkat szeretne azokról az alapvető műveletekről, amelyek a készülék távoli felhasználói felületről való működtetése esetén hajthatók végre, lásd a következőt: Menüpontok beállítása a Távoli felhasználói felületről.
|
1
Indítsa el a Távoli felhasználói felületet, és jelentkezzen be rendszerkezelői módban. A Távoli felhasználói felület elindítása
2
Kattintson a [Beállítások/Bejegyzés] lehetőségre a Portál oldalon (főoldalon). A Távoli felhasználói felület képernyője
3
Válassza a [Hálózati beállítások] 
[IPSec-beállítások] lehetőséget.
[IPSec-beállítások] lehetőséget.4
Kattintson a [Szerkesztés] elemre.
5
Jelölje be a [IPSec használata] jelölőnégyzetet, és kattintson az [OK] gombra.
Ha szeretné, hogy a készülék csak az alábbi lépések során meghatározott biztonsági szabályoknak megfelelő csomagokat fogadjon, akkor törölje a jelet a [Házirendnek meg nem felelő csomag vétele] jelölőnégyzetből.
6
Kattintson a [Új házirend bejegyzése] elemre.
7
Adja meg a házirend-beállításokat.
|
1
|
A [Házirend neve] szövegmezőben alfanumerikus karakterekkel adja meg a házirendet azonosító nevet.
|
|
2
|
Jelölje be a [Házirend engedélyezése] jelölőnégyzetet.
|
8
Adja meg a választóbeállításokat.
[Helyi cím]
Kattintson a készülék IP-címtípusai közül annak a választógombjára, amelyre alkalmazni szeretné a házirendet.
Kattintson a készülék IP-címtípusai közül annak a választógombjára, amelyre alkalmazni szeretné a házirendet.
|
[Minden IP-cím]
|
Akkor válassza, ha minden IP-csomagra az IPSec protokollt szeretné alkalmazni.
|
|
[IPv4-cím]
|
Akkor válassza, ha a készülék IPv4-címéről vagy -címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv6-cím]
|
Akkor válassza, ha a készülék IPv6-címéről vagy -címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
[Távoli cím]
Kattintson az egyéb eszközök IP-címtípusai közül annak a választógombjára, amelyre alkalmazni szeretné a házirendet.
Kattintson az egyéb eszközök IP-címtípusai közül annak a választógombjára, amelyre alkalmazni szeretné a házirendet.
|
[Minden IP-cím]
|
Akkor válassza, ha minden IP-csomagra az IPSec protokollt szeretné alkalmazni.
|
|
[Minden IPv4-cím]
|
Akkor válassza, ha a többi eszköz IPv4-címéről és -címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[Minden IPv6-cím]
|
Akkor válassza, ha a többi eszköz IPv6-címéről és -címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv4 kézi beállításai]
|
Adja meg azokat az önálló IPv4-címeket vagy IPv4-címtartományokat, amelyekre alkalmazza az IPSec protokollt. Az IPv4-címet (vagy tartományt) a [Kézzel beállítandó címek] szövegmezőben adhatja meg.
|
|
[IPv6 kézi beállításai]
|
Adja meg azokat az önálló IPv6-címeket vagy IPv6-címtartományokat, amelyekre alkalmazza az IPSec protokollt. Az IPv6-címet (vagy tartományt) a [Kézzel beállítandó címek] szövegmezőben adhatja meg.
|
[Kézzel beállítandó címek]
Ha az [IPv4 kézi beállításai] vagy az [IPv6 kézi beállításai] lehetőség van kiválasztva a [Távoli cím] mezőben, adja meg azt az IP-címet, amelyre alkalmazni szeretné a házirendet. Címtartományt is megadhat, ebben az esetben kötőjellel válassza el egymástól a címeket.
Ha az [IPv4 kézi beállításai] vagy az [IPv6 kézi beállításai] lehetőség van kiválasztva a [Távoli cím] mezőben, adja meg azt az IP-címet, amelyre alkalmazni szeretné a házirendet. Címtartományt is megadhat, ebben az esetben kötőjellel válassza el egymástól a címeket.
IP-címek beírása
|
Leírás
|
Példa
|
|
|
Egyetlen cím megadása
|
IPv4:
A számokat pontokkal válassza el. |
192.168.0.10
|
|
IPv6:
Az alfanumerikus karaktereket kettőspontokkal válassza el. |
fe80::10
|
|
|
Címtartomány megadása
|
A címek közé tegyen kötőjelet.
|
192.168.0.10-192.168.0.20
|
[Alhálózat beállításai]
Ha kézzel adja meg az IPv4-címet, akkor az alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
Ha kézzel adja meg az IPv4-címet, akkor az alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
[Előtag hossza]
Az IPv6-címek tartományának kézi megadásakor előtagok használatával a tartományt is megadhatja. Adjon meg egy 0 és 128 közötti számot az előtag hosszának.
Az IPv6-címek tartományának kézi megadásakor előtagok használatával a tartományt is megadhatja. Adjon meg egy 0 és 128 közötti számot az előtag hosszának.
[Helyi port]/[Távoli port]
Ha az egyes protokollokhoz, például a HTTP vagy a WSD protokollhoz külön házirendeket szeretne létrehozni, akkor kattintson az [Egyetlen port] választógombra, és a protokoll megfelelő portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Ha az egyes protokollokhoz, például a HTTP vagy a WSD protokollhoz külön házirendeket szeretne létrehozni, akkor kattintson az [Egyetlen port] választógombra, és a protokoll megfelelő portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Az IPSec nem vonatkozik a következő csomagokra
Visszacsatolt, multicast és üzenetszórásos csomagok
IKE-csomagok (UDP protokollal, az 500-as porton)
ICMPv6 szomszédkeresési és szomszédhirdetési csomagok
9
Határozza meg az IKE-beállításokat.
[IKE mód]
Megjelenik a kulcscsereprotokoll használati módja. A készülék a fő módot támogatja, nem az agresszív módot.
Megjelenik a kulcscsereprotokoll használati módja. A készülék a fő módot támogatja, nem az agresszív módot.
[Hitelesítési mód]
Válassza az [Előre megosztott kulcsos mód] vagy a [Digitális aláírás mód] lehetőséget a készülék hitelesítésének módjaként. Ha az [Előre megosztott kulcsos mód] lehetőséget választja, engedélyeznie kell a TLS protokollt a Távoli felhasználói felülethez. A [Digitális aláírás mód] lehetőség választása előtt létre kell hoznia vagy telepítenie kell a kulcsot és a tanúsítványt. A TLS kulcsának és tanúsítványának konfigurálása
Válassza az [Előre megosztott kulcsos mód] vagy a [Digitális aláírás mód] lehetőséget a készülék hitelesítésének módjaként. Ha az [Előre megosztott kulcsos mód] lehetőséget választja, engedélyeznie kell a TLS protokollt a Távoli felhasználói felülethez. A [Digitális aláírás mód] lehetőség választása előtt létre kell hoznia vagy telepítenie kell a kulcsot és a tanúsítványt. A TLS kulcsának és tanúsítványának konfigurálása
[Érvényesség]
Határozza meg, hogy mennyi ideig tarthat egy IKE SA (ISAKMP SA) munkamenet. Az időtartamot percekben adhatja meg.
Határozza meg, hogy mennyi ideig tarthat egy IKE SA (ISAKMP SA) munkamenet. Az időtartamot percekben adhatja meg.
[Hitelesítés]/[Titkosítás]/[DH csoport]
Válasszon egy algoritmust a legördülő listából. A kulcscserében mindegyik algoritmus részt vesz.
Válasszon egy algoritmust a legördülő listából. A kulcscserében mindegyik algoritmus részt vesz.
|
[Hitelesítés]
|
Válasszon tördelő algoritmust.
|
|
[Titkosítás]
|
Válasszon titkosítási algoritmust.
|
|
[DH csoport]
|
Válassza ki a kulcs erősségét meghatározó Diffie-Hellman csoportot.
|
A készülék hitelesítése előmegosztott kulccsal
|
1
|
Kattintson az [Előre megosztott kulcsos mód] választógombra a [Hitelesítési mód] mezőben, majd kattintson a [Megosztott kulcs beállításai] lehetőségre.
|
|
2
|
Adja meg alfanumerikus karakterrel az előmegosztott kulcsot, majd kattintson az [OK] gombra.
|
|
3
|
Adja meg az [Érvényesség] és a [Hitelesítés]/[Titkosítás]/[DH csoport] beállításokat.
|
A készülék hitelesítése digitális aláírással
|
1
|
Kattintson az [Digitális aláírás mód] választógombra a [Hitelesítési mód] mezőben, majd kattintson a [Kulcs és tanúsítvány] lehetőségre.
|
|
2
|
Kattintson a használni kívánt kulcstól és tanúsítványtól jobbra látható [Alapértelmezett kulcs bejegyzése] parancsra.
Tanúsítvány részleteinek megtekintése
Ha rákattint a [Kulcsnév] alatti megfelelő szöveges hivatkozásra vagy a tanúsítvány ikonjára, megtekintheti a tanúsítvány részletes adatait, illetve ellenőrizheti a tanúsítványt.
|
|
3
|
Adja meg az [Érvényesség] és a [Hitelesítés]/[Titkosítás]/[DH csoport] beállításokat.
|
10
Adja meg az IPSec hálózati beállításokat.
[PFS használata]
Ha a sérülés utáni titkosságvédelem (Perfect Forward Secrecy, PFS) funkciót is szeretné használni az IPSec-munkamenetekhez, jelölje be ezt a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növelheti a kommunikációs terhelést. Győződjön meg róla, hogy az PFS a többi eszközön is engedélyezve van.
Ha a sérülés utáni titkosságvédelem (Perfect Forward Secrecy, PFS) funkciót is szeretné használni az IPSec-munkamenetekhez, jelölje be ezt a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növelheti a kommunikációs terhelést. Győződjön meg róla, hogy az PFS a többi eszközön is engedélyezve van.
[Megadás idővel]/[Megadás mérettel]
Állítsa be, hogy milyen feltételek esetén záruljanak le az IPSec SA-munkamenetek. Az IPSec SA kommunikációs csatornaként szolgál. Jelölje be szükség szerint valamelyik vagy mindkettő jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenet akkor zárul le, ha a kettő feltétel közül bármelyik teljesül.
Állítsa be, hogy milyen feltételek esetén záruljanak le az IPSec SA-munkamenetek. Az IPSec SA kommunikációs csatornaként szolgál. Jelölje be szükség szerint valamelyik vagy mindkettő jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenet akkor zárul le, ha a kettő feltétel közül bármelyik teljesül.
|
[Megadás idővel]
|
Adja meg, hogy hány percig tartson egy munkamenet.
|
|
[Megadás mérettel]
|
Adja meg, hogy hány megabájtnyi adatot lehessen továbbítani egy munkamenetben.
|
[Algoritmus kiválasztása]
Jelölje be az [ESP], [ESP (AES-GCM)] vagy az [AH (SHA1)] jelölőnégyzet(ek) et a használt IPSec-fejlécnek és -algoritmusnak megfelelően. Az AES-GCM olyan algoritmus, amely egyszerre hitelesítést és titkosítást is végez. Ha az [ESP] lehetőséget választja, akkor az [ESP-hitelesítés] és az [ESP-titkosítás] legördülő listából válassza ki a hitelesítési és titkosítási algoritmusokat is.
Jelölje be az [ESP], [ESP (AES-GCM)] vagy az [AH (SHA1)] jelölőnégyzet(ek) et a használt IPSec-fejlécnek és -algoritmusnak megfelelően. Az AES-GCM olyan algoritmus, amely egyszerre hitelesítést és titkosítást is végez. Ha az [ESP] lehetőséget választja, akkor az [ESP-hitelesítés] és az [ESP-titkosítás] legördülő listából válassza ki a hitelesítési és titkosítási algoritmusokat is.
|
[ESP-hitelesítés]
|
Az ESP-hitelesítés engedélyezéséhez válassza az [SHA1] kivonatoló algoritmust. Ha le szeretné tiltani az ESP-hitelesítést, válassza a [Ne használja] lehetőséget.
|
|
[ESP-titkosítás]
|
Válasszon titkosítási algoritmust az ESP számára. Ha nem szeretné meghatározni az algoritmust, válassza a [NULL] lehetőséget, ha pedig le kívánja tiltani az ESP-titkosítást válassza a [Ne használja] lehetőséget.
|
[Csatlakozási mód]
Megjelenik az IPSec csatlakozási módja. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
Megjelenik az IPSec csatlakozási módja. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
11
Kattintson a [OK] elemre.
Ha további biztonsági házirendet kell regisztrálnia, akkor térjen vissza a 6. lépéshez.
12
Rendezze sorba a [Bejegyzett IPSec-házirendek] mezőben felsorolt házirendeket.
A készülék a legmagasabb pozíciótól kezdve a legalacsonyabbig alkalmazza a házirendeket. A házirendeket a [Fel] vagy a [Le] gombbal helyezheti feljebb vagy lejjebb a listában.
Házirend szerkesztése
A szerkesztési képernyő megnyitásához kattintson a [Házirend neve] alatti megfelelő szöveges hivatkozásra.
Házirend törlése
Kattintson a törölni kívánt házirendnévtől jobbra látható [Törlés] pontra kattintson az [OK].
gombra.
kattintson az [OK].gombra.
13
Indítsa újra a készüléket. A készülék újraindítása
|
|
A kezelőpanel használatávalAz IPSec-kommunikációt a <Menü> felületen, a Főképernyő részben is engedélyezheti vagy letilthatja. <IPSec használata>
|