IPSec gebruiken
Gebruik IP Security Protocol (IPSec) om spionage van en knoeien met IP-pakketten te verhinderen die via een IP-netwerk worden verzonden en ontvangen. Dit past versleuteling op IP-protocolniveau toe om beveiliging te garanderen zonder dat u vertrouwt op een toepassing of netwerkconfiguratie.
Toepasbare condities en ondersteunde modi voor IPSec
Pakketten waar IPSec niet geldt
Pakketten die een loopback-, multicast- en broadcastadres opgeven
IKE-pakketten die vanaf UDP-poort 500 zijn verzonden
Pakketten voor 'neighbor solicitation' en 'neighbor advertisement' van ICMPv6
Bedieningsmodus van het protocol voor uitwisselen van sleutels (IKE-modus. IKE = Internet Key Exchange)
De door het apparaat ondersteunde IKE-modus is uitsluitend de hoofdmodus die wordt gebruikt om pakketten te versleutelen. De agressieve modus die niet versleutelt, wordt niet ondersteund.
Communicatiemodus
De door het apparaat ondersteunde communicatiemodus is slechts de transportmodus, die uitsluitend het gedeelte zonder de IP-koptekst versleutelt. De tunnelmodus, die het hele IP-pakket versleutelt, wordt niet ondersteund.
IPSec samen met IP-adresfiltering gebruiken
De instellingen voor het IP-adresfilter worden eerst toegepast. De Firewall instellen
IPSec-beleidsconfiguratie
Om IPSec-communicatie op het apparaat toe te passen, moet u een IPSec-beleid creëren dat het toepasbare bereik en algoritmes voor verificatie en versleuteling omvat. Het beleid wordt uitsluitend samengesteld uit de volgende items.
Selector
Geef op welke IP-pakketten worden toegepast voor IPSec-communicatie. Naast het opgeven van het IP-adres van het apparaat en communicerende apparaten kunt u ook hun poortnummers opgeven.
IKE
Het protocol voor uitwisselen van sleutels ondersteunt Internet Key Exchange Version 1 (IKEv1). Voor de verificatiemethode selecteert u de gedeelde-sleutelmethode of digitale-handtekeningmethode.
Gedeelde-sleutelmethode:
Deze verificatiemethode gebruikt een algemeen sleutelwoord, genaamd Gedeelde sleutel, voor communicatie tussen het apparaat en andere apparaten.
Deze verificatiemethode gebruikt een algemeen sleutelwoord, genaamd Gedeelde sleutel, voor communicatie tussen het apparaat en andere apparaten.
Digitale-handtekeningmethode
Het apparaat en andere apparaten testen elkaar door wederzijds hun digitale handtekeningen te verifiëren.
Het apparaat en andere apparaten testen elkaar door wederzijds hun digitale handtekeningen te verifiëren.
ESP / AH
Kies de instellingen voor ESP / AH, het protocol dat wordt gebruikt voor IPSec-communicatie. U kunt ESP en AH gelijktijdig gebruiken. Gebruik Perfect Forward Secrecy (PFS) voor nog betere beveiliging.
IPSec instellen
Schakel het gebruik van IPSec in. Creëer en registreer het IPSec beleid. Als er meer dan één beleid is gecreëerd, geef dan de volgorde op waarin ze worden toegepast.
Dit gedeelte leert u hoe u de instellingen kiest met behulp van Externe UI vanaf een computer.
Op het bedieningspaneel: selecteer [Menu] in het scherm [Start] en selecteer dan [Voorkeuren] om de instellingen te kiezen. U kunt het bedieningspaneel echter uitsluitend gebruiken om IPSec in of uit te schakelen. [Gebruik IPSec]
Beheerdersrechten zijn vereist. U moet het apparaat opnieuw starten om de instellingen toe te passen.
Op het bedieningspaneel: selecteer [Menu] in het scherm [Start] en selecteer dan [Voorkeuren] om de instellingen te kiezen. U kunt het bedieningspaneel echter uitsluitend gebruiken om IPSec in of uit te schakelen. [Gebruik IPSec]
Beheerdersrechten zijn vereist. U moet het apparaat opnieuw starten om de instellingen toe te passen.
Vereiste voorbereidingen |
Verbind het apparaat rechtstreeks met een computer op hetzelfde virtual private network (VPN) als het apparaat. Bevestig de condities van de bewerking, en realiseer vooraf de instellingen op de computer. IPSec Bereid het volgende voor in overeenstemming met de IKE-verificatiemethode: Als u de gedeelde-sleutelmethode gebruikt, schakel dan TLS in voor communicatie via Externe UI. TLS gebruiken Als u de digitale-handtekeningmethode gebruikt, bereid dan de te gebruiken sleutel en certificaat voor. Sleutel en certificaat beheren en verifiëren Bij gebruik van PFS: controleer dat PFS is ingeschakeld op het communicerende apparaat. |
1
Meld u in de systeembeheerdersmodus aan bij de Externe UI.Externe UI starten
2
Klik op de Portal-pagina van de Externe UI op [Instellingen/registratie]. Portal-pagina van Externe UI
3
Klik op [Netwerkinstellingen] 
[IPSec-instellingen] [Bewerken].
[IPSec-instellingen] [Bewerken].Het scherm [IPSec-instellingen bewerken] verschijnt.
4
Selecteer het selectievakje [Gebruik IPSec], en klik op [OK].
Als u uitsluitend pakketten wilt ontvangen die aan het beleid voldoen, maak dan het selectievakje [Pakketten zonder beleid ontvangen] leeg.
5
Klik op [Nieuw beleid registreren].
Het scherm [Nieuw IPSec-beleid registreren] verschijnt.
6
In [Beleidsinstellingen] voert u de naam van het beleid in en selecteert u het selectievakje [Beleid inschakelen].
Geef het beleid een naam die het identificeert. Gebruik single-byte alfanumerieke tekens.
7
In [Selector-instellingen] stelt u de selector in.
[Plaatselijke adresinstellingen]
Selecteer het type IP-adres van het apparaat waarvoor het beleid geldt.
Als u IPSec op alle IP-pakketten wilt toepassen, selecteert u [Alle IP-adressen].
Als u IPSec wilt toepassen op IP-pakketten die zijn verzonden / ontvangen met behulp van een IPv4- of IPv6-adres, selecteert u [IPv4-adres] of [IPv6-adres].
[Instellingen extern adres]
Selecteer het type IP-adres van het communicerende apparaat waarvoor het beleid geldt.
Als u IPSec op alle IP-pakketten wilt toepassen, selecteert u [Alle IP-adressen].
Als u IPSec wilt toepassen op IP-pakketten die zijn verzonden / ontvangen met behulp van een IPv4- of IPv6-adres, selecteert u [Alle IPv4-adressen] of [Alle IPv6-adressen].
Als u een IPv4- of IPv6-adres waarop IPSec wordt toegepast, wilt opgeven, selecteert u [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen].
[Adressen om handmatig in te stellen]
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd, voert u het IP-adres in. U kunt ook een reeks IP-adressen opgeven met behulp van een afbreekstreepje (-).
Invoervoorbeeld:
Een IPv4-adres
192.168.0.10
192.168.0.10
Een IPv6-adres
fe80::10
fe80::10
Specificatie van het bereik
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnetinstellingen]
Als [Handmatige IPv4-instellingen] is geselecteerd, kunt u een subnetmasker gebruiken om het bereik van IPv4-adressen op te geven.
Invoervoorbeeld:
255.255.255.240
255.255.255.240
[Prefixlengte]
Als [Handmatige IPv6-instellingen] is geselecteerd, kunt u een voorvoegsellengte gebruiken om het bereik van de IPv6-adressen op te geven. Voer de voorvoegsellengte in met een bereik tussen 0 en 128.
[Poortinstellingen]
Stel de poort waarop IPSec wordt toegepast in in [Lokale poort] op het apparaat en in [Externe poort] op het communicerende apparaat.
Als u IPSec op alle poortnummers wilt toepassen, selecteert u [Alle poorten].
Als u IPSec op een specifiek protocol wilt toepassen, zoals HTTP of WSD, selecteert u [Eén poort] en voert u het poortnummer van het protocol in.
8
In [IKE-instellingen] stelt u IKE in.
[IKE-modus]
Het apparaat ondersteunt uitsluitend de hoofdmodus.
[Authenticatiemethode]
Selecteer de verificatiemethode van het apparaat.
Als [Methode gedeelde sleutel] is geselecteerd, klikt u op [Instellingen gedeelde sleutel] voer de reeks in die u wilt gebruiken als gedeelde sleutel; gebruik single-byte alfanumerieke tekens klik op [OK].
voer de reeks in die u wilt gebruiken als gedeelde sleutel; gebruik single-byte alfanumerieke tekens klik op [OK].Als [Methode digitale handtekening] is geselecteerd, klikt u op [Sleutel en certificaat] [Registreer standaardsleutel] rechts van sleutel en certificaat die u wilt gebruiken.
[Registreer standaardsleutel] rechts van sleutel en certificaat die u wilt gebruiken.[Geldigheid]
Voer (in minuten) de geldige periode van IKE SA (ISAKMP SA) in die u wilt gebruiken als het pad voor de besturingscommunicatie.
[Authenticatie-/encryptie-algoritme]
Selecteer het algoritme dat u wilt gebruiken voor sleuteluitwisseling.
9
In [IPSec-netwerkinstellingen] configureert u de IPSec-netwerkinstellingen.
[Gebruik PFS]
Selecteer dit selectievakje om PFS voor de sessiesleutel te configureren.
[Geldigheid]
Geef de geldige periode van IPSec SA op die u wilt gebruiken als het gegevenscommunicatiepad, op basis van tijd, formaat, of beide.
Als het selectievakje [Geef tijd op] is geselecteerd, voert u de geldige periode in minuten in.
Als het selectievakje [Geef formaat op] is geselecteerd, voert u de geldige periode in megabytes in.
Als beiden zijn geselecteerd, wordt het item toegepast waarvan de opgegeven waarde het eerst wordt bereikt.
[Authenticatie-/encryptie-algoritme]
Selecteer dit selectievakje volgens de te gebruiken IPSec koptekst (ESP en AH) en diens algoritme.
[ESP-authenticatie]
Als [ESP] is geselecteerd, selecteert u het verificatie-algoritme. Om ESP-verificatie toe te passen, selecteert u [SHA1]. Anders selecteert u [Niet gebruiken].
[ESP-encryptie]
Als [ESP] is geselecteerd, selecteert u het versleutelingalgoritme. Als u het algoritme wilt opgeven, selecteert u [NULL]. Om versleuteling uit te schakelen, selecteert u [Niet gebruiken].
[Verbindingsmodus]
Het apparaat ondersteunt uitsluitend de transportmodus.
10
Klik op [OK].
Het nieuw geregistreerde beleid wordt toegevoegd aan [Geregistreerd IPSec-beleid] op het scherm [IPSec-instellingen].
Als er meer dan één beleid is geregistreerd
Klik op [Omhoog] of [Omlaag] rechts van de beleidsnaam om de prioriteit in te stellen. Een beleid met hoger niveau heeft prioriteit bij toepassing voor IPSec-communicatie.
11
Start het apparaat opnieuw op. Start het apparaat opnieuw op
De instellingen worden toegepast.
 |
Een geregistreerd beleid bewerkenOm de geregistreerde informatie te bewerken, klikt u op de beleidsnaam die u wilt bewerken in [Geregistreerd IPSec-beleid] op het scherm [IPSec-instellingen]. |