IPSec-suojauksen käyttäminen
Käytä IPSec-suojausprotokollaa estämään IP-verkon kautta lähetettyjen ja vastaanotettujen IP-pakettien salakuuntelu ja peukalointi. Tällöin salaus suoritetaan IP-protokollan tasolla, jotta varmistetaan tietoturva luottamatta sovelluksen tai verkon määritykseen.
IPSec-suojauksen käyttöolosuhteet ja tuetut tilat
Paketit, joissa IPSec ei toimi
Paketit, joissa määritetään silmukka-, monilähetys- tai yleislähetysosoite
UDP-portista 500 lähetetyt IKE-paketit
ICMPv6 Neighbor Solicitation- ja Neighbor Advertisement -paketit
Avaintenvaihtoprotokolla toimintatila (IKE-tila)
Laitteen tukema IKE-tila on ainoa päätila, jota käytetään pakettien salaamiseen. Ei-salaavaa aggressiivista tilaa ei tueta.
Tiedonvälitystila
Ainoa laitteen tukema tiedonvälitystila on siirtotila, joka salaa vain osan ilman IP-otsikkoa. Koko IP-paketin salaavaa tunnelitilaa ei tueta.
IPSec-toiminnon käyttäminen yhdessä IP-osoitteiden suodatuksen kanssa
IP-osoitteiden suodatusasetuksia käytetään ensin. Palomuurin asettaminen
IPSec-käytännön määritys
Jos laitteessa halutaan käyttää IPSec-tiedonsiirtoa, on luotava IPSec-käytäntö, joka sisältää todennukseen ja salaukseen käytettävän alueen ja algoritmit. Käytäntö muodostuu pääasiassa seuraavista kohteista.
Valitsin
Määritä, mihin paketteihin IPSec-tiedonsiirtoa käytetään. Laitteen ja tietoa siirtävien laitteiden IP-osoitteen lisäksi voit määrittää myös niiden porttien numerot.
IKE
Avaintenvaihtoprotokolla tukee Internet-avainten vaihdon versiota 1 (IKEv1). Valitse todentamismenetelmäksi esijaettu avain tai digitaalinen allekirjoitus.
Esijaettu avain:
Tämä todentamismenetelmä käyttää yhteistä avainsanaa eli jaettua avainta tiedonsiirtoon tämän laitteen ja muiden laitteiden välillä.
Tämä todentamismenetelmä käyttää yhteistä avainsanaa eli jaettua avainta tiedonsiirtoon tämän laitteen ja muiden laitteiden välillä.
Digitaalinen allekirjoitus
Laite ja muut laitteet todentavat toisensa vahvistamalla vastavuoroisesti digitaaliset allekirjoituksensa.
Laite ja muut laitteet todentavat toisensa vahvistamalla vastavuoroisesti digitaaliset allekirjoituksensa.
ESP/AH
Määritä ESP/AH-asetukset, joka on IPSec-tiedonsiirrossa käytettävä protokolla. ESP:tä ja AH:ta voidaan käyttää samaan aikaan. Käytä PFS-salausta vieläkin parempaa tietoturvaa varten.
IPSec-asetukset
Ota IPSec käyttöön ja luo ja rekisteröi sitten IPSec-käytäntö. Jos on luotu useita käytäntöjä, määritä järjestys, jossa niitä käytetään.
Tässä osiossa kerrotaan, miten asetukset määritetään käyttämällä etäkäyttöliittymää tietokoneesta.
Määritä asetukset valitsemalla käyttöpaneelin [Koti]-näytöstä [Valikko] ja valitsemalla sitten [Yleisasetukset]. Käyttöpaneelia käyttämällä voidaan kuitenkin ottaa vain IPSec käyttöön tai pois käytöstä. [Käytä IPSec-muotoa]
Järjestelmänvalvojan oikeudet tarvitaan. Laite on käynnistettävä uudelleen, jotta asetukset otetaan käyttöön.
Määritä asetukset valitsemalla käyttöpaneelin [Koti]-näytöstä [Valikko] ja valitsemalla sitten [Yleisasetukset]. Käyttöpaneelia käyttämällä voidaan kuitenkin ottaa vain IPSec käyttöön tai pois käytöstä. [Käytä IPSec-muotoa]
Järjestelmänvalvojan oikeudet tarvitaan. Laite on käynnistettävä uudelleen, jotta asetukset otetaan käyttöön.
Tarvittavat valmistelut |
Yhdistä laite suoraan tietokoneeseen, joka on samassa näennäisessä yksityisverkossa (VPN) kuin laite. Tarkista käyttöedellytykset ja viimeistele asetukset tietokoneessa etukäteen. IPSec Valmistele seuraavat IKE-todentamismenetelmän mukaan: Jos käytetään esijaettua avainta, ota TLS käyttöön etäkäyttöliittymän tietoliikennettä varten. TLS:n käyttäminen Jos käytetään digitaalista allekirjoitusta, valmistele käytettävä avain ja varmenne. Avaimen ja varmenteen hallitseminen ja tarkistaminen Jos käytetään PFS-salausta, tarkista, että PFS on otettu käyttöön tiedonvälityslaitteessa. |
1
Kirjaudu etäkäyttöliittymään järjestelmänvalvojan tilassa. Etäkäyttöliittymän käynnistäminen
2
Napsauta etäkäyttöliittymän portaalisivulla [Asetukset/Tallennus]. Etäkäyttöliittymän portaalisivu
3
Napsauta [Verkkoasetukset] 
[IPSec-asetukset] [Muokkaa].
[IPSec-asetukset] [Muokkaa].[Muokkaa IPSec-asetuksia] -näyttö tulee esiin.
4
Valitse [Käytä IPSec-muotoa] -valintaruutu ja napsauta [OK].
Jos haluat vastaanottaa vain paketteja, jotka täyttävät käytännön vaatimukset, tyhjennä [Epätavallisten pakettien vastaanotto]-valintaruutu.
5
Napsauta [Tallenna uusi toimintaohje].
[Tallenna uusi IPSec-toimintaohje] -näyttö tulee esiin.
6
Syötä käytännön nimi kohtaan [Toimintaohjeen asetukset] ja valitse [Ota käyttöön toimintaohje]-valintaruutu.
Syötä käytännön nimeksi sen tunnistava nimi käyttämällä yksitavuisia aakkosnumeerisia merkkejä.
7
Aseta valitsin kohdassa [Valitsimen asetukset].
[Paikallisen osoitteen asetukset]
Valitse laitteen IP-osoitetyyppi, johon käytäntöä käytetään.
Jos haluat käyttää IPSec-suojausta kaikkiin IP-paketteihin, valitse [Kaikki IP-osoitteet].
Jos haluat käyttää IPSec-suojausta IPv4- tai IPv6-osoitetta käyttäen lähetettyihin ja vastaanotettuihin IP-paketteihin, valitse [IPv4-osoite] tai [IPv6-osoite].
[Etäosoitteiden asetukset]
Valitse sen tiedonvälityslaitteen IP-osoitetyyppi, johon käytäntöä käytetään.
Jos haluat käyttää IPSec-suojausta kaikkiin IP-paketteihin, valitse [Kaikki IP-osoitteet].
Jos haluat käyttää IPSec-suojausta IPv4- tai IPv6-osoitetta käyttäen lähetettyihin ja vastaanotettuihin IP-paketteihin, valitse [Kaikki IPv4-osoitteet] tai [Kaikki IPv6-osoitteet].
Jos haluat määrittää IPv4- tai IPv6-osoitteen, johon IPSec-suojausta käytetään, valitse [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset].
[Manuaalisesti asetettavat osoitteet]
Jos valitaan [IPv4:n manuaaliset asetukset] tai [IPv6:n manuaaliset asetukset], syötä IP-osoite. Voit määrittää myös IP-osoitealueen käyttämällä yhdysmerkkiä (-).
Syöttöesimerkki:
Yksi IPv4-osoite
192.168.0.10
192.168.0.10
Yksi IPv6-osoite
fe80::10
fe80::10
Alueen määritys
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Aliverkon asetukset]
Jos valitaan [IPv4:n manuaaliset asetukset], voit käyttää aliverkon peitettä IPv4-osoitealueen määrittämiseen.
Syöttöesimerkki:
255.255.255.240
255.255.255.240
[Etuliitteen pituus]
Jos valitaan [IPv6:n manuaaliset asetukset], voit käyttää etuliitteen pituutta IPv6-osoitealueen määrittämiseen. Syötä etuliitteen pituus alueella 0–128.
[Portin asetukset]
Aseta portti, johon IPSec-suojausta käytetään, laitteen kohdassa [Paikallinen portti] ja tiedonvälityslaitteen kohdassa [Etäportti].
Jos haluat käyttää IPSec-suojausta kaikkiin porttien numeroihin, valitse [Kaikki portit].
Jos haluat käyttää IPSec-suojausta tiettyyn protokollaan, kuten HTTP tai WSD, valitse [Yksittäisportti] ja syötä protokollan portin numero.
8
Aseta IKE kohdassa [IKE-asetukset].
[IKE-tila]
Laite tukee vain päätilaa.
[Autentikointitapa]
Valitse laitteen todentamismenetelmä.
Jos on valittu [Esijaettu avain -menetelmä], napsauta [Jaetun avaimen asetukset] syötä jaettuna avaimena käytettävä merkkijono käyttämällä yksitavuisia aakkosnumeerisia merkkejä napsauta [OK].
syötä jaettuna avaimena käytettävä merkkijono käyttämällä yksitavuisia aakkosnumeerisia merkkejä napsauta [OK].Jos on valittu [Digitaalinen allekirjoitus -menetelmä], napsauta [Avain ja varmenne] [Tallenna oletusavain] käytettävän avaimen ja varmenteen oikealla puolella.
[Tallenna oletusavain] käytettävän avaimen ja varmenteen oikealla puolella.[Voimassaolo]
Syötä ohjaustiedonsiirtopolkuna käytettävän IKE SA:n (ISAKMP SA) voimassaoloaika minuutteina.
[Autentikointi/Salausalgoritmi]
Valitse avainten vaihdossa käytettävä algoritmi.
9
Määrittää IPSec-verkon asetukset kohdassa [IPSec-verkkoasetukset].
[Käytä PFS:ää]
Valitse tämä valintaruutu, jos haluat määrittää istunnon avaimen PFS-salauksen.
[Voimassaolo]
Määritä tietojen tietoliikennepolkuna käytettävän IPSec SA:n voimassaoloaikana ajan, koon tai molempien mukaan.
Jos valitaan [Määritä ajan mukaan]-valintaruutu, syötä voimassaoloaika minuutteina.
Jos valitaan [Määritä koon mukaan]-valintaruutu, syötä voimassaoloaika megatavuina.
Jos valitaan molemmat, käytetään kohdetta, jonka määritetty arvo saavutetaan ensin.
[Autentikointi/Salausalgoritmi]
Valitse tämä valintaruutu käytettävän IPSec-otsikon (ESP ja AH) ja sen algoritmin mukaan.
[ESP-autentikointi]
Jos valitaan [ESP], valitse todennusalgoritmi. Jos haluat suorittaa ESP-todennuksen, valitse [SHA1]. Valitse muussa tapauksessa [Älä käytä].
[ESP-salaus]
Jos valitaan [ESP], valitse salausalgoritmi. Jos et halua määrittää algoritmia, valitse [TYHJÄARVO]. Jos haluat poistaa salauksen käytöstä, valitse [Älä käytä].
[Kytkentätapa]
Laite tukee vain siirtotilaa.
10
Napsauta [OK].
Juuri rekisteröity käytäntö lisätään [IPSec-asetukset]-näytön kohtaan [Tallenna IPSec-toimintaohjeet].
Jos on rekisteröity useita käytäntöjä
Aseta prioriteetti napsauttamalla käytännön nimen oikealla puolella [Ylös] tai [Alas]. Korkeamman tason käytännöt ovat sovelluksessa etusijalla IPSec-tiedonsiirtoon nähden.
11
Käynnistä laite uudelleen. Laitteen käynnistäminen uudelleen
Asetukset otetaan käyttöön.
 |
Rekisteröityjen käytäntöjen muokkaaminenJos haluat muokata rekisteröityjä tietoja, napsauta muokattavan käytännön nimeä [IPSec-asetukset]-näytön kohdassa [Tallenna IPSec-toimintaohjeet]. |