Upotreba protokola IPSec

IP Security Protocol (IPSec) upotrebljavajte da biste spriječili prisluškivanje i uplitanje u IP pakete koji se šalju i primaju putem IP mreže. Na taj se način provodi šifriranje na razini protokola IP radi uspostavljanja zaštite bez oslanjanja na konfiguraciju aplikacije ili mreže.

Uvjeti u kojima se može koristiti IPSec i podržani načini rada

Paketi za koje IPSec nije primjenjiv
Paketi u kojima se navode adrese za povratno, višesmjerno ili široko emitiranje
IKE paketi poslani s UDP priključka 500
ICMPv6 Neighbor Solicitation i Neighbor Advertisement paketi
Način rada za protokol razmjene ključeva (način rada IKE)
Na ovom uređaju podržan je samo glavni način rada IKE, koji se koristi za šifriranje paketa. Nije podržan agresivni način rada bez šifriranja.
Komunikacijski način rada
Na ovom uređaju podržana je samo transportna varijanta komunikacijskog načina rada, u kojoj se šifrira samo dio koji ne obuhvaća IP zaglavlje. Tunelska varijanta, u kojoj se šifrira cijeli IP paket, nije podržana.
Upotreba protokola IPSec u kombinaciji s filtriranjem IP adresa
Prvo se primjenjuju postavke filtra IP adresa. Postavljanje vatrozida

Konfiguriranje pravila za IPSec

Za IPSec komunikaciju na ovom uređaju morate stvoriti pravila za IPSec koja obuhvaćaju upotrebljivi raspon i algoritme za provjeru autentičnosti i šifriranje. Pravila su obično sastavljena od sljedećih stavki.
Alat za odabir
Definirajte na koje će se IP pakete primjenjivati IPSec komunikacija. Osim navođenja IP adrese ovog uređaja i drugih uređaja s kojima on komunicira možete navesti i njihove brojeve priključaka.
IKE
Protokol razmjene ključeva podržava Internet Key Exchange Version 1 (IKEv1). Kao metodu provjere autentičnosti odaberite unaprijed razmijenjeni ključ ili digitalni potpis.
Metoda unaprijed razmijenjenog ključa
Ta metoda provjere autentičnosti za komunikaciju između ovog i drugih uređaja koristi zajedničku ključnu riječ, koja se naziva razmijenjenim ključem.
Metoda digitalnog potpisa
Ovaj uređaj i drugi uređaji uzajamno provjeravaju autentičnost međusobnom verifikacijom digitalnih potpisa.
ESP/AH
Definirajte postavke za ESP/AH, protokol koji se koristi za IPSec komunikaciju. ESP i AH mogu se koristiti istodobno. Za još bolju zaštitu upotrebljavajte Perfect Forward Secrecy (PFS).

Postavljanje protokola IPSec

Omogućite upotrebu protokola IPSec, a zatim stvorite i registrirajte pravila za IPSec. Ako ste stvorili više pravila, definirajte redoslijed kojim se primjenjuju.
U ovom se odjeljku opisuje kako konfigurirati postavke pomoću funkcije Remote UI (sučelje za daljinski pristup) na računalu.
Na upravljačkoj ploči odaberite [Izbornik] na zaslonu [Početni zaslon] pa odaberite [Osobne postavke] da biste konfigurirali postavke. Upravljačka se ploča, međutim, može koristiti samo za omogućivanje ili onemogućivanje protokola IPSec. [Koristi IPSec]
Potrebne su administratorske ovlasti. Potrebno je ponovno pokrenuti uređaj da bi se postavke primijenile.
Potrebne pripreme
Izravno povežite uređaj s računalom u istoj virtualnoj privatnoj mreži (VPN) s kojom je povezan i uređaj. Potvrdite da je sve funkcionalno i unaprijed dovršite postavljanje na računalu. IPSec
U skladu s metodom provjere autentičnosti za IKE pripremite sljedeće:
Kada koristite metodu unaprijed razmijenjenog ključa, omogućite TLS za komunikaciju putem sučelja Remote UI (Udaljeni UI). Upotreba TLS-a
Kada koristite metodu digitalnog potpisa, pripremite ključ i certifikat koje želite koristiti. Upravljanje ključem i certifikatom te njihova verifikacija
Kada koristite PFS, provjerite je li PFS omogućen na uređaju s kojim komunicirate.
1
Prijavite se u Remote UI (korisničko sučelje u daljinski pristup) u načinu rada za upravitelja sustava. Pokretanje sučelja Remote UI (Udaljeni UI)
2
Na stranici portala sučelja Remote UI kliknite [Settings/Registration]. Stranica portala sučelja Remote UI (Udaljeni UI)
3
Kliknite [Network Settings] [IPSec Settings] [Edit].
Prikazuje se zaslon [Edit IPSec Settings].
4
Potvrdite okvir [Use IPSec] i kliknite [OK].
Da biste primali samo pakete koji udovoljavaju pravilima, poništite odabir okvira [Receive Non-Policy Packets].
5
Kliknite [Register New Policy].
Prikazuje se zaslon [Register New IPSec Policy].
6
U polje [Policy Settings] upišite naziv pravila i potvrdite okvir [Enable Policy].
Kao naziv pravila unesite naziv za identifikaciju pravila sastavljen od jednobajtnih alfanumeričkih znakova.
7
U polju [Selector Settings] definirajte alat za odabir.
[Local Address Settings]
Odaberite vrstu IP adrese uređaja na koji se pravila primjenjuju.
Da biste primijenili IPSec na sve IP pakete, odaberite [All IP Addresses].
Da biste primijenili IPSec na IP pakete koji su poslani i primljeni pomoću odabira IPv4 i IPv6 adrese, odaberite [IPv4 Address] ili [IPv6 Address].
[Remote Address Settings]
Odaberite vrstu IP adrese komunicirajućeg uređaja na koji se pravila primjenjuju.
Da biste primijenili IPSec na sve IP pakete, odaberite [All IP Addresses].
Da biste primijenili IPSec na IP pakete koji su poslani i primljeni pomoću odabira IPv4 i IPv6 adrese, odaberite [All IPv4 Addresses] ili [All IPv6 Addresses].
Da biste odredili IPv4 ili IPv6 adresu na koju se primjenjuje IPSec, odaberite [IPv4 Manual Settings] ili [IPv6 Manual Settings].
[Addresses to Set Manually]
Kada je odabrano [IPv4 Manual Settings] ili [IPv6 Manual Settings], unesite IP adresu. Možete i navesti raspon IP adresa koristeći crticu (-).
Primjer unosa:
Jedna IPv4 adresa
192.168.0.10
Jedna IPv6 adresa
fe80:: 10
Definicija raspona
192.168.0.10-192.168.0.20
[Subnet Settings]
Kad je odabrano [IPv4 Manual Settings], za definiranje raspona IPv4 adresa možete koristiti masku podmreže.
Primjer unosa:
255.255.255.240
[Prefix Length]
Kad je odabrano [IPv6 Manual Settings], za definiranje raspona IPv6 adresa možete koristiti duljinu prefiksa. Unesite duljinu prefiksa u rasponu od 0 do 128.
[Port Settings]
U poljima [Local Port] na ovom uređaju i [Remote Port] na uređaju s kojim vaš uređaj komunicira definirajte priključak na koji se primjenjuje IPSec.
Da bi se IPSec primjenjivao na sve brojeve priključaka, odaberite [All Ports].
Da bi se IPSec primjenjivao na određeni protokol, kao što je HTTP ili WSD, odaberite [Single Port], i unesite broj priključka za taj protokol.
8
U odjeljku [IKE Settings] postavite IKE.
[IKE Mode]
Ovaj uređaj podržava samo glavni način rada.
[Authentication Method]
Odaberite način provjere autentičnosti na uređaju.
Kad je odabrano [Pre-Shared Key Method], kliknite [Shared Key Settings] upotrebljavajući jednobajtne alfanumeričke znakove unesite niz koji želite koristiti kao razmijenjeni ključ kliknite [OK].
Kad je odabrano [Digital Signature Method], kliknite [Key and Certificate] [Register Default Key] s desne strane ključa i certifikata koje želite koristiti.
[Validity]
Unesite u minutama izraženo valjano razdoblje za IKE SA (ISAKMP SA) koje želite koristiti kao kontrolni komunikacijski kanal.
[Authentication/Encryption Algorithm]
Odaberite algoritam koji će se koristiti za razmjenu ključeva.
9
U odjeljku [IPSec Network Settings] konfigurirajte mrežne postavke za IPSec.
[Use PFS]
Potvrdite ovaj okvir da biste konfigurirali PFS za ključ sesije.
[Validity]
Definirajte valjano razdoblje za IPSec SA koje želite koristiti kao kanal za podatkovnu komunikaciju, izraženo kao vrijeme, veličina ili oboje.
Kad je potvrđen okvir [Specify by Time], unesite valjano razdoblje u minutama.
Kad je potvrđen okvir [Specify by Size], unesite valjano razdoblje u megabajtima.
Kad je potvrđeno oboje, primjenjuje se stavka čija se navedena vrijednost prva dosegne.
[Authentication/Encryption Algorithm]
Potvrdite ovaj okvir u skladu s IPSec zaglavljem (ESP i AH) koje želite koristiti i njegovim algoritmom.
[ESP Authentication]
Kad je odabrano [ESP], odaberite algoritam za provjeru autentičnosti. Za provedbu ESP provjere autentičnosti odaberite [SHA1]. U suprotnom odaberite [Do Not Use].
[ESP Encryption]
Kad je odabrano [ESP], odaberite algoritam šifriranja. Ako ne želite definirati algoritam, odaberite [NULL]. Da biste onemogućili šifriranje, odaberite [Do Not Use].
[Connection Mode]
Ovaj uređaj podržava samo transportni način rada.
10
Kliknite [OK].
Novoregistrirana pravila dodaju se u [Registered IPSec Policies] na zaslonu [IPSec Settings].
Kad je registrirano više pravila
Kliknite [Up] ili [Down] desno od naziva pravila da biste postavili njihov prioritet. Pravila više razine imaju prednost u primjeni na IPSec komunikaciju.
11
Ponovno pokrenite uređaj. Ponovno pokretanje uređaja
Postavke su primijenjene.
Uređivanje registriranih pravila
Da biste uređivali registrirane informacije, u odjeljku [Registered IPSec Policies] na zaslonu [IPSec Settings] kliknite naziv pravila koja želite uređivati.
9076-088