Χρήση IPSec
Χρησιμοποιήστε το Πρωτόκολλο ασφαλείας IP (IPSec) για να αποτρέψετε την υποκλοπή και την αλλοίωση πακέτων IP που αποστέλλονται και λαμβάνονται μέσω ενός δικτύου IP. Εκτελεί κρυπτογράφηση σε επίπεδο πρωτοκόλλου IP, για να διασφαλιστεί η ασφάλεια χωρίς να στηρίζεται σε κάποια εφαρμογή ή διαμόρφωση δικτύου.
Ισχύοντες όροι IPSec και υποστηριζόμενες καταστάσεις
Πακέτα στα οποία δεν εφαρμόζεται το IPSec
Πακέτα που καθορίζουν διεύθυνση βρόχου επιστροφής, πολλαπλής διανομής ή εκπομπής
Πακέτα IKE που αποστέλλονται από τη θύρα 500 UDP
Πακέτα επίκλησης γείτονα και κοινοποίησης γείτονα ICMPv6
Κατάσταση λειτουργίας πρωτοκόλλου ανταλλαγής κλειδιών (κατάσταση IKE)
Η μόνη κατάσταση IKE που υποστηρίζει η συσκευή είναι η κύρια κατάσταση που χρησιμοποιείται για την κρυπτογράφηση πακέτων. Η κατάσταση χωρίς επιβεβαίωση, χωρίς κρυπτογράφηση, δεν υποστηρίζεται.
Κατάσταση επικοινωνίας
Η μόνη κατάσταση επικοινωνίας που υποστηρίζει η συσκευή είναι η κατάσταση μεταφοράς, η οποία κρυπτογραφεί μόνο το τμήμα χωρίς την κεφαλίδα IP. Η κατάσταση διοχέτευσης, η οποία κρυπτογραφεί ολόκληρο το πακέτο IP, δεν υποστηρίζεται.
Χρήση IPSec σε συνδυασμό με φίλτρο διεύθυνσης IP
Οι ρυθμίσεις του φίλτρου διεύθυνσης IP εφαρμόζονται πρώτες. Ρύθμιση του τείχους προστασίας
Διαμόρφωση πολιτικής IPSec
Για την επικοινωνία IPSec στη συσκευή, πρέπει να δημιουργήσετε μια πολιτική IPSec που θα περιλαμβάνει το ισχύον εύρος και τους ισχύοντες αλγορίθμους για έλεγχο ταυτότητας και κρυπτογράφηση. Η πολιτική απαρτίζεται κυρίως από τα εξής στοιχεία.
Επιλογέας
Καθορίστε τα πακέτα IP που θα εφαρμοστούν στην επικοινωνία IPSec. Εκτός από τον καθορισμό της διεύθυνσης IP της συσκευής και των συσκευών με τις οποίες θα επικοινωνεί, μπορείτε να καθορίσετε επίσης τους αριθμούς θυρών τους.
IKE
Το πρωτόκολλο ανταλλαγής κλειδιών υποστηρίζει την έκδοση 1 του πρωτόκολλο Internet Key Exchange (IKEv1). Για τη μέθοδο ελέγχου ταυτότητας, επιλέξτε τη μέθοδο προκαθορισμένου κοινόχρηστου κλειδιού ή τη μέθοδο ψηφιακής υπογραφής.
Pre-shared Key Method:
Αυτή η μέθοδος ελέγχου ταυτότητας χρησιμοποιεί μια κοινή λέξη-κλειδί, που ονομάζεται Κοινόχρηστο κλειδί, για τη επικοινωνία μεταξύ της συσκευής και άλλων συσκευών.
Αυτή η μέθοδος ελέγχου ταυτότητας χρησιμοποιεί μια κοινή λέξη-κλειδί, που ονομάζεται Κοινόχρηστο κλειδί, για τη επικοινωνία μεταξύ της συσκευής και άλλων συσκευών.
Digital Signature Method
Η παρούσα συσκευή και οι άλλες συσκευές ελέγχουν την ταυτότητα η μία της άλλης με αμοιβαία επαλήθευση των ψηφιακών υπογραφών τους.
Η παρούσα συσκευή και οι άλλες συσκευές ελέγχουν την ταυτότητα η μία της άλλης με αμοιβαία επαλήθευση των ψηφιακών υπογραφών τους.
ESP/AH
Καθορίστε τις ρυθμίσεις για ESP/AH που είναι το πρωτόκολλο που χρησιμοποιείται για την επικοινωνία IPSec. Το ESP και το AH μπορούν να χρησιμοποιηθούν ταυτόχρονα. Χρησιμοποιήστε την άριστη και άμεση εμπιστευτικότητα (PFS) για ακόμα μεγαλύτερη ασφάλεια.
Ρύθμιση του IPSec
Ενεργοποιήστε τη χρήση IPSec και, στη συνέχεια, δημιουργήστε και καταχωρίστε την πολιτική. Εάν έχουν δημιουργηθεί πολλές πολιτικές, καθορίστε τη σειρά με την οποία θα εφαρμόζονται.
Σε αυτήν την ενότητα περιγράφεται ο τρόπος διαμόρφωσης των ρυθμίσεων με χρήση του Remote UI (Απομακρυσμένο περιβάλλον εργασίας) από έναν υπολογιστή.
Στον πίνακα λειτουργίας, επιλέξτε [Μενού] στην [Αρχική] οθόνη και κατόπιν επιλέξτε [Προτιμήσεις], για να διαμορφώσετε τις ρυθμίσεις. Ωστόσο, ο πίνακας λειτουργίας μπορεί να χρησιμοποιηθεί μόνο για την ενεργοποίηση ή την απενεργοποίηση του IPSec. [Χρήση IPSec]
Απαιτούνται δικαιώματα διαχειριστή. Η συσκευή πρέπει να επανεκκινηθεί για να εφαρμοστούν οι ρυθμίσεις.
Στον πίνακα λειτουργίας, επιλέξτε [Μενού] στην [Αρχική] οθόνη και κατόπιν επιλέξτε [Προτιμήσεις], για να διαμορφώσετε τις ρυθμίσεις. Ωστόσο, ο πίνακας λειτουργίας μπορεί να χρησιμοποιηθεί μόνο για την ενεργοποίηση ή την απενεργοποίηση του IPSec. [Χρήση IPSec]
Απαιτούνται δικαιώματα διαχειριστή. Η συσκευή πρέπει να επανεκκινηθεί για να εφαρμοστούν οι ρυθμίσεις.
|
Απαιτούμενες προετοιμασίες
|
|
Συνδέστε τη συσκευή απευθείας σε έναν υπολογιστή που βρίσκεται στο ίδιο εικονικό ιδιωτικό δίκτυο (VPN) με τη συσκευή. Επιβεβαιώστε τις συνθήκες λειτουργίας και ολοκληρώστε τις ρυθμίσεις στον υπολογιστή εκ των προτέρων. IPSec
Προετοιμάστε τα ακόλουθα, σύμφωνα με τη μέθοδο ελέγχου ταυτότητας IKE:
Όταν χρησιμοποιείτε τη μέθοδο του προκαθορισμένου κοινόχρηστου κλειδιού, ενεργοποιήστε το TLS για επικοινωνία με το Remote UI (Απομακρυσμένο περιβάλλον εργασίας). Χρήση TLS
Όταν χρησιμοποιείτε τη μέθοδο της ψηφιακής υπογραφής, προετοιμάστε το κλειδί και το πιστοποιητικό που θα χρησιμοποιήσετε. Διαχείριση και επαλήθευση κλειδιού και πιστοποιητικού
Όταν χρησιμοποιείτε PFS, βεβαιωθείτε ότι το PFS είναι ενεργοποιημένο στη συσκευή επικοινωνίας.
|
1
Συνδεθείτε στο Remote UI (Απομακρυσμένο περιβάλλον εργασίας) σε κατάσταση υπεύθυνου συστήματος. Εκκίνηση του Remote UI (Απομακρυσμένο περιβάλλον εργασίας)
2
Στη σελίδα πύλης του Remote UI (Απομακρυσμένο περιβάλλον εργασίας), κάντε κλικ στην επιλογή [Settings/Registration]. Σελίδα Πύλης του Remote UI (Απομακρυσμένου περιβάλλοντος εργασίας χρήστη)
3
Κάντε κλικ στο [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].Εμφανίζεται η οθόνη [Edit IPSec Settings].
4
Επιλέξτε το πλαίσιο ελέγχου [Use IPSec] και κάντε κλικ στο [OK].
Για να λαμβάνονται μόνο τα πακέτα που πληρούν την πολιτική, καταργήστε την επιλογή από το πλαίσιο ελέγχου [Receive Non-Policy Packets].
5
Κάντε κλικ στην επιλογή [Register New Policy].
Εμφανίζεται η οθόνη [Register New IPSec Policy].
6
Στην περιοχή [Policy Settings], εισαγάγετε το όνομα της πολιτική και επιλέξτε το πλαίσιο ελέγχου [Enable Policy].
Για το όνομα της πολιτικής, εισαγάγετε ένα όνομα που θα προσδιορίζει την πολιτική, χρησιμοποιώντας αλφαριθμητικούς χαρακτήρες ενός byte.
7
Στην περιοχή [Selector Settings], ορίστε τον επιλογέα.
[Local Address Settings]
Επιλέξτε τον τύπο της διεύθυνσης IP της συσκευής στην οποία εφαρμόζεται η πολιτική.
Για να εφαρμοστεί το IPSec σε όλα τα πακέτα IP, επιλέξτε [All IP Addresses].
Για να εφαρμοστεί το IPSec στα πακέτα IP που αποστέλλονται και λαμβάνονται με χρήση διεύθυνσης IPv4 ή IPv6, επιλέξτε [IPv4 Address] ή [IPv6 Address].
[Remote Address Settings]
Επιλέξτε τον τύπο της διεύθυνσης IP της συσκευής επικοινωνίας στην οποία εφαρμόζεται η πολιτική.
Για να εφαρμοστεί το IPSec σε όλα τα πακέτα IP, επιλέξτε [All IP Addresses].
Για να εφαρμοστεί το IPSec στα πακέτα IP που αποστέλλονται και λαμβάνονται με χρήση διεύθυνσης IPv4 ή IPv6, επιλέξτε [All IPv4 Addresses] ή [All IPv6 Addresses].
Για να καθορίσετε μια διεύθυνση IPv4 ή IPv6 στην οποία θα εφαρμοστεί το IPSec, επιλέξτε [IPv4 Manual Settings] ή [IPv6 Manual Settings].
[Addresses to Set Manually]
Όταν έχετε επιλέξει [IPv4 Manual Settings] ή [IPv6 Manual Settings], εισαγάγετε τη διεύθυνση IP. Μπορείτε επίσης να καθορίσετε μια περιοχή διευθύνσεων IP, χρησιμοποιώντας ένα ενωτικό (-).
Παράδειγμα πληκτρολόγησης:
Μία διεύθυνση IPv4
192.168.0.10
192.168.0.10
Μία διεύθυνση IPv6
fe80::10
fe80::10
Καθορισμός περιοχής
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Όταν έχετε επιλέξει [IPv4 Manual Settings], μπορείτε να χρησιμοποιήσετε μια μάσκα υποδικτύου για να καθορίσετε την περιοχή των διευθύνσεων IPv4.
Παράδειγμα εισαγωγής:
255.255.255.240
255.255.255.240
[Prefix Length]
Όταν έχετε επιλέξει [IPv6 Manual Settings], μπορείτε να χρησιμοποιήσετε ένα μήκος προθέματος για να καθορίσετε την περιοχή των διευθύνσεων IPv6. Εισαγάγετε το μήκος προθέματος εντός του εύρους 0 έως 128.
[Port Settings]
Ορίστε τη θύρα στην οποία θα εφαρμοστεί το IPSec στο [Local Port] στη συσκευή και στο [Remote Port] στη συσκευή επικοινωνίας.
Για να εφαρμοστεί το IPSec σε όλους τους αριθμούς θυρών, επιλέξτε [All Ports].
Για να εφαρμοστεί το IPSec σε ένα συγκεκριμένο πρωτόκολλο, όπως το HTTP ή το WSD, επιλέξτε [Single Port] και εισαγάγετε τον αριθμό θύρας του πρωτοκόλλου.
8
Στην περιοχή [IKE Settings], ορίστε IKE.
[IKE Mode]
Η συσκευή υποστηρίζει μόνο την κύρια κατάσταση.
[Authentication Method]
Επιλέξτε τη μέθοδο ελέγχου ταυτότητας της συσκευής.
Όταν έχετε επιλέξει [Pre-Shared Key Method], κάντε κλικ στην επιλογή [Shared Key Settings] εισαγάγετε τη συμβολοσειρά που θα χρησιμοποιηθεί ως κοινόχρηστο κλειδί χρησιμοποιώντας αλφαριθμητικούς χαρακτήρες ενός byte κάντε κλικ στο [OK].
εισαγάγετε τη συμβολοσειρά που θα χρησιμοποιηθεί ως κοινόχρηστο κλειδί χρησιμοποιώντας αλφαριθμητικούς χαρακτήρες ενός byte κάντε κλικ στο [OK].Όταν έχετε επιλέξει [Digital Signature Method], κάντε κλικ στην επιλογή [Key and Certificate] [Register Default Key] στα δεξιά του κλειδιού και πιστοποιητικού που πρόκειται να χρησιμοποιήσετε.
[Register Default Key] στα δεξιά του κλειδιού και πιστοποιητικού που πρόκειται να χρησιμοποιήσετε.
[Validity]
Εισαγάγετε σε λεπτά την περίοδο ισχύος για το IKE SA (ISAKMP SA) που θα χρησιμοποιηθεί ως διαδρομή επικοινωνίας ελέγχου.
[Authentication/Encryption Algorithm]
Επιλέξτε τον αλγόριθμο που θα χρησιμοποιηθεί για την ανταλλαγή κλειδιών.
9
Στην περιοχή [IPSec Network Settings], διαμορφώστε τις ρυθμίσεις δικτύου IPSec.
[Use PFS]
Επιλέξτε αυτό το πλαίσιο ελέγχου, για να διαμορφώσετεε το PFS για το κλειδί της περιόδου λειτουργίας.
[Validity]
Καθορίστε την περίοδο ισχύος για το IPSec SA που θα χρησιμοποιηθεί ως διαδρομή επικοινωνίας ελέγχου ανά χρόνο, μέγεθος ή και τα δύο.
Όταν είναι επιλεγμένο το πλαίσιο ελέγχου [Specify by Time], εισαγάγετε την περίοδο ισχύος σε λεπτά.
Όταν είναι επιλεγμένο το πλαίσιο ελέγχου [Specify by Size], εισαγάγετε την περίοδο ισχύος σε megabyte.
Όταν είναι επιλεγμένα και τα δύο πλαίσια ελέγχου, εφαρμόζεται το στοιχείο του οποίου η καθορισμένη τιμή επιτυγχάνεται πρώτη.
[Authentication/Encryption Algorithm]
Επιλέξτε αυτό το πλαίσιο ελέγχου, σύμφωνα με την κεφαλίδα IPSec (ESP και AH) που θα χρησιμοποιηθεί και σύμφωνα με τον αλγόριθμό του.
[ESP Authentication]
Εάν έχει επιλεγεί [ESP], επιλέξτε τον αλγόριθμο ελέγχου ταυτότητας. Για να εκτελεστεί έλεγχος ταυτότητας ESP, επιλέξτε [SHA1]. Διαφορετικά, επιλέξτε [Do Not Use].
[ESP Encryption]
Εάν έχει επιλεγεί [ESP], επιλέξτε τον αλγόριθμο κρυπτογράφησης. Εάν δεν θέλετε να καθορίσετε αλγόριθμο, επιλέξτε [NULL]. Για να απενεργοποιηθεί η κρυπτογράφηση, επιλέξτε [Do Not Use].
[Connection Mode]
Η συσκευή υποστηρίζει μόνο την κατάσταση μεταφοράς.
10
Κάντε κλικ στην επιλογή [OK].
Η πολιτική που μόλις καταχωρίστηκε προστίθεται στο [Registered IPSec Policies], στην οθόνη [IPSec Settings].
Όταν καταχωρίζονται πολλές πολιτικές
Κάντε κλικ στην επιλογή [Up] ή [Down] στα δεξιά του ονόματος της πολιτικής, για να ορίσετε την προτεραιότητα. Οι πολιτικές υψηλότερου επιπέδου εφαρμόζονται κατά προτεραιότητα στην επικοινωνία IPSec.
11
Επανεκκινήστε τη συσκευή. Επανεκκινήστε τη συσκευή
Οι ρυθμίσεις εφαρμόζονται.
|
Επεξεργασία καταχωρισμένων πολιτικώνΓια να επεξεργαστείτε τις καταχωρισμένες πληροφορίες, κάντε κλικ στο όνομα της πολιτικής που θέλετε να επεξεργαστείτε στην περιοχή [Registered IPSec Policies] της οθόνης [IPSec Settings].
|