Brug af IPSec
Brug IPSec (IP sikkerhedsprotokol) til at forhindre aflytning og at der bliver rørt ved IP-pakker, der sendes og modtages via et IP-netværk. Dette udfører kryptering på IP-protokolniveau for at sørge for sikkerheden uden at stole på en applikation eller netværkskonfiguration.
Gældende betingelser og understøttede tilstande for IPSec
Pakker, hvor IPSec ikke gælder
Pakker, der angiver en Loopback-, Multicast- eller Broadcast-adresse
IKE-pakker sendt fra UDP port 500
ICMPv6 Neighbor Solicitation- og Neighbor Advertisement-pakker
Betjeningstilstand for nøgleudvekslingsprotokol (IKE-tilstand)
Den IKE-tilstand, der understøttes af maskinen, er kun hovedtilstanden, der bruges til at kryptere pakker. Den ikke-krypterende, aggressive tilstand understøttes ikke.
Kommunikationstilstand
Den kommunikationstilstand, der understøttes af maskinen, er kun transporttilstanden, der kun krypterer den del, der ikke medtager IP-header. Tunnel-tilstanden, der krypterer hele IP-pakken, er ikke understøttet.
Brug af IPSec sammen med IP-adressefiltrering
Indstillingerne for IP-adressefilteret anvendes først. Indstilling af firewall
Konfiguration af IPSec-politik
For at udføre IPSec-kommunikation på maskinen skal du oprette en IPSec-politik, der inkluderer det anvendelige område og algoritmer til godkendelse og kryptering. Politikken består hovedsageligt af følgende punkter.
Vælger
Angiv, hvilke IP-pakker, der skal anvendes til IPSec-kommunikation. Udover at angive maskinens og kommunikationsenhedernes IP-adresse, kan du også angive deres portnumre.
IKE
Nøgleudvekslingsprotokollen understøtter Internet Key Exchange Version 1 (IKEv1). For godkendelsesmetode skal du vælge metoden til forhåndsdelt nøgle eller digital signaturmetode.
Forhåndsdelt nøglemetode:
Denne godkendelsesmetode anvender et fælles nøgleord, kaldt delt nøgle, til kommunikation mellem maskinen og andre enheder.
Denne godkendelsesmetode anvender et fælles nøgleord, kaldt delt nøgle, til kommunikation mellem maskinen og andre enheder.
Digital signaturmetode
Maskinen og de andre enheder godkender hinanden ved gensidigt at bekræfte deres digitale signaturer.
Maskinen og de andre enheder godkender hinanden ved gensidigt at bekræfte deres digitale signaturer.
ESP/AH
Angiv indstillingerne for ESP/AH, som er den protokol, der bruges til IPSec-kommunikation. ESP og AH kan bruges samtidigt. Brug PFS (Perfect Forward Secrecy) for endnu større sikkerhed.
Indstilling af IPSec
Aktivér brugen af IPSec, og opret og registrer derefter IPSec-politikken. Hvis der er blevet oprettet flere politikker, skal du angive den rækkefølge, de anvendes i.
Dette afsnit beskriver, hvordan du konfigurerer indstillinger ved hjælp af Fjern-UI fra en computer.
På betjeningspanelet skal du vælge [Menu] på skærmen [Hjem] og derefter vælge [Præferencer] for at konfigurere indstillingerne. Betjeningspanelet kan dog kun bruges til at aktivere eller deaktivere IPSec. [Brug IPSec]
Det er nødvendigt med administratorrettigheder. Maskinen skal genstartes for at anvende indstillingerne.
På betjeningspanelet skal du vælge [Menu] på skærmen [Hjem] og derefter vælge [Præferencer] for at konfigurere indstillingerne. Betjeningspanelet kan dog kun bruges til at aktivere eller deaktivere IPSec. [Brug IPSec]
Det er nødvendigt med administratorrettigheder. Maskinen skal genstartes for at anvende indstillingerne.
Påkrævede forberedelser |
Tilslut maskinen direkte til en computer på det samme virtuelle private netværk (VPN) som maskinen. Bekræft betjeningsbetingelserne, og afslut indstillingerne på computeren på forhånd. IPSec Forbered følgende i overensstemmelse med IKE-godkendelsesmetoden: Når du bruger den forhåndsdelte nøglemetode, skal du aktivere TLS for Fjern-UI-kommunikation. Brug af TLS Når du bruger den digitale signaturmetode, skal du forberede den nøgle og det certifikat, der skal bruges. Administration og bekræftelse af en nøgle og et certifikat Når du bruger PFS, skal du kontrollere, at PFS er aktiveret på kommunikationsenheden. |
1
Log ind på Fjern-UI i systemadministratortilstand.Start af Fjern-UI
2
På portalsiden for Fjern-UI skal du klikke på [Indstillinger/registrering]. Portalside for Fjern-UI
3
Klik på [Netværksindstillinger] 
[IPSec-indstillinger] [Rediger].
[IPSec-indstillinger] [Rediger].Skærmen [Redigér IPSec-indstillinger] vises.
4
Vælg afkrydsningsfeltet [Brug IPSec], og klik på [OK].
For kun at modtage pakker, der er i overensstemmelse med politikken, skal du rydde afkrydsningsfeltet [Modtag Non-policy-pakker].
5
Klik på [Registrér ny politik].
Skærmen [Registrér ny IPSec-politik] vises.
6
I [Indstillinger for politik] skal du indtaste politikkens navn og vælge afkrydsningsfeltet [Aktivér politik].
For politikkens navn skal du indtaste et navn for at identificere politikken ved hjælp af alfanumeriske enkeltbyte-tegn.
7
I [Indstillinger for vælger] skal du indstille vælgeren.
[Lokale adresseindstillinger]
Vælg IP-adressetypen for den maskine, som politikken anvendes på.
For at anvende IPSec til alle IP-pakker skal du vælge [Alle IP-adresser].
For at anvende IPSec til IP-pakker, der er sendt og modtaget ved hjælp af en IPv4- eller IPv6-adresse skal du vælge [IPv4-adresse] eller [IPv6-adresse].
[Indstillinger for fjernadresse]
Vælg IP-adressetypen for den kommunikationsenhed, som politikken anvendes på.
For at anvende IPSec til alle IP-pakker skal du vælge [Alle IP-adresser].
For at anvende IPSec til IP-pakker, der er sendt og modtaget ved hjælp af en IPv4- eller IPv6-adresse skal du vælge [Alle IPv4-adresse] eller [Alle IPv6-adresse].
For at angive en IPv4- eller IPv6-adresse, som IPSec anvendes på, skal du vælge [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger].
[Adresser til manuel indstilling]
Når [Manuelle IPv4-indstillinger] eller [Manuelle IPv6-indstillinger] er valgt, skal du indtaste IP-adressen. Du kan også angive en række IP-adresser ved hjælp af en bindestreg (-).
Eksempel på indtastning:
En IPv4-adresse
192.168.0.10
192.168.0.10
En IPv6-adresse
fe80::10
fe80::10
Specifikation af rækken
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Indstillinger for undernet]
Når [Manuelle IPv4-indstillinger] er valgt, kan du bruge en undernetmaske til at angive rækken af IPv4-adresser.
Eksempel på indtastning:
255.255.255.240
255.255.255.240
[Præfikslængde]
Når [Manuelle IPv6-indstillinger] er valgt, kan du bruge en præfikslængde til at angive rækken af IPv6-adresser. Indtast præfikslængden med et område på 0 til 128.
[Portindstillinger]
Indstil porten, som IPSec er anvendt på, i [Lokal port] på maskinen og [Fjernport] på kommunikationsenheden.
For at anvende IPSec til alle portnumre skal du vælge [Alle porte].
For at anvende IPSec til en specifik protokol, som f.eks. HTTP eller WSD, skal du vælge [Enkelt port] og indtaste protokollens portnummer.
8
I [IKE-indstillinger] skal du indstille IKE.
[IKE-tilstand]
Maskinen understøtter kun hovedtilstanden.
[Autentificeringsmetode]
Vælg maskinens godkendelsesmetode.
Når [Metoden Forhåndsdelt nøgle] er valgt, skal du klikke på [Indstillinger for delt nøgle] indtaste strengen, der skal bruges som den delte nøgle ved hjælp af alfanumeriske enkeltbyte-tegn, klikke på [OK].
indtaste strengen, der skal bruges som den delte nøgle ved hjælp af alfanumeriske enkeltbyte-tegn, klikke på [OK].Når [Digital signaturmetode] er valgt, skal du klikke på [Nøgle og certifikat] [Registrer standardnøgle] til højre for tasten og det certifikat, der skal bruges.
[Registrer standardnøgle] til højre for tasten og det certifikat, der skal bruges.[Gyldighed]
Indtast den gyldige periode for IKE SA (ISAKMP SA), der skal bruges som kontrolkommunikationssti om få minutter.
[Autent./krypteringsalgoritme]
Vælg den algoritme, der skal bruges til nøgleudveksling.
9
I [IPSec-netværksindstillinger] skal du konfigurere IPSec-netværksindstillingerne.
[Brug PFS]
Vælg dette afkrydsningsfelt for at konfigurere PFS for sessionsnøglen.
[Gyldighed]
Angiv den gyldige periode for IPSec SA, der skal bruges som datakommunikationssti efter tid, størrelse, eller begge.
Når afkrydsningsfeltet [Angiv efter tid] er valgt, skal du indtaste den gyldige periode i minutter.
Når afkrydsningsfeltet [Angiv efter størrelse] er valgt, skal du indtaste den gyldige periode i megabyte.
Når begge er valgt, anvendes elementet, hvis angivne værdi først er nået.
[Autent./krypteringsalgoritme]
Vælg afkrydsningsfeltet i overensstemmelse med den anvendte IPSec-header (ESP og AH) og dens algoritme.
[ESP-autentificering]
Når [ESP] er valgt, skal du vælge godkendelsesalgoritmen. For at udføre ESP-godkendelse skal du vælge [SHA1]. Ellers vælg [Brug ikke].
[ESP-kryptering]
Når [ESP] er valgt, skal du vælge krypteringsalgoritmen. Hvis du ikke ønsker at angive algoritmen, skal du vælge [NULL]. For at deaktivere kryptering, vælg [Brug ikke].
[Tilslutningsstatus]
Maskinen understøtter kun transporttilstanden.
10
Klik på [OK].
Den nyligt registrerede politik er føjet til [Registrerede IPSec-politikker] på skærmen [IPSec-indstillinger].
Når der er registreret flere politikker
Klik på [Op] eller [Ned] til højre for politikkens navn for at angive prioriteten. Politikker med højere niveau har prioritet i forbindelse med IPSec-kommunikation.
11
Genstart maskinen. Genstart af maskinen
Indstillingerne anvendes nu.
 |
Redigering af registrerede politikkerFor at redigere de registrerede oplysninger skal du klikke på den politiks navn, du vil redigere, i [Registrerede IPSec-politikker] på skærmen [IPSec-indstillinger]. |