Bruke IPSec
Bruk IP sikkerhetsprotokoll (IPSec) når du vil hindre avlytting og manipulering av IP-pakker som sendes og mottas over et IP-nettverk. Dette utfører kryptering på IP-protokollnivå for å sørge for sikkerhet uten å stole på en applikasjon eller nettverkskonfigurasjon.
Egnede betingelser og støttede moduser for IPSec
Pakker der IPsec ikke gjelder
Pakker som angir tilbakekoblings-, multikasting- eller kringkastingadresser
IKE-pakker sendt fra UDP-port 500
ICMPv6-pakker for nabooppfordring og -markedsføring
Bruksmodus for nøkkelutvekslingprotokoll (IKE-modus)
IKE-modus som støttes av maskinen er kun hovedmodusen som brukes til å kryptere pakker. Aggressiv modus som ikke krypterer, støttes ikke.
Kommunikasjonmodus
Kommunikasjonmodus som støttes av maskinen er kun transportmodus, som kun krypterer den delen som ekskluderer IP-overskriften. Tunnelmodus, som krypterer hele IP-pakken, støttes ikke.
Bruke IPSec sammen med IP-adressefiltrering
Innstillingene for IP-adressefiltrering brukes først. Stille inn brannmuren
Konfigurasjon av IPSec-policy
Når du vil utføre IPsec-kommunikasjon på maskinen, må du opprette en IPsec-policy som omfatter gjeldende område og algoritmer for godkjenning og kryptering. Policyen består i hovedsak av følgende elementer.
Velger
Angi hvilke IP-pakker som det skal brukes IPsec på. I tillegg til å angi IP-adressen for maskinen og de kommuniserende enhetene, kan du også angi portnumrene deres.
IKE
Protokollen for nøkkelutveksling støtter Internet Key Exchange Version 1 (IKEv1). Velg metode for den forhåndsdelte nøkkelen eller digital signatur som godkjenningsmetode.
Forhåndsdelt nøkkel-metode:
Denne godkjenningsmetoden bruker et vanlig nøkkelord, kalt delt nøkkel, til kommunisering mellom maskinen og andre enheter.
Denne godkjenningsmetoden bruker et vanlig nøkkelord, kalt delt nøkkel, til kommunisering mellom maskinen og andre enheter.
Digital signatur-metode
Maskinen og de andre enhetene godkjenner hverandre ved å gjensidig godkjenne hverandres signaturer.
Maskinen og de andre enhetene godkjenner hverandre ved å gjensidig godkjenne hverandres signaturer.
ESP/AH
Angi innstillinger for ESP/AH, som er protokollen som brukes for IPsec-kommunikasjon. ESP og AH kan brukes samtidig. Bruk Perfect Forward Secrecy (PFS) for enda større sikkerhet.
Stille inn IPSec
Aktiver bruk av IPSec og opprett og registrer så IPSec-policyen. Hvis det er opprettet flere policyer, må du angi rekkefølgen for når de skal tre i kraft.
Denne delen beskriver hvordan du konfigurerer innstillingene fra en datamaskin ved bruk av Fjernkontroll.
På betjeningspanelet velger du [Meny] på skjermbildet [Hjem] og deretter [Preferanser] når du vil konfigurere innstillingene. Betjeningspanelet kan imidlertid kun brukes til å aktivere eller deaktivere IPsec. [Bruk IPSec]
Administratorrettigheter påkreves. Maskinen må startes på nytt for at innstillingene skal tre i kraft.
På betjeningspanelet velger du [Meny] på skjermbildet [Hjem] og deretter [Preferanser] når du vil konfigurere innstillingene. Betjeningspanelet kan imidlertid kun brukes til å aktivere eller deaktivere IPsec. [Bruk IPSec]
Administratorrettigheter påkreves. Maskinen må startes på nytt for at innstillingene skal tre i kraft.
Påkrevde forberedelser |
Koble maskinen direkte til en datamaskin på samme, virtuelle private nettverk (VPN) som maskinen. Bekreft bruksbetingelsene og fullfør innstillingene på datamaskinen, på forhånd. IPSec Forbered følgende i henhold til IKE-godkjenningsmetode: Når du bruker forhåndsdelt nøkkel-metoden, aktiverer du TLS for Fjernkontrollkommunikasjon. Bruke TLS Når du bruker digital signatur-metoden, forbereder du nøkkelen og sertifikatet som skal brukes. Håndtere og verifisere nøkkel og sertifikat Når du bruker PFS, sjekker du at PFS er aktivert på den kommuniserende enheten. |
1
Logg inn på Fjernkontroll i Systemstyrermodus. Starte Fjernkontroll
2
På portalsiden i Fjernkontroll klikker du på [Innstillinger/lagring]. Portalside for Fjernkontroll
3
Klikk på [Nettverksinnstillinger] 
[IPSec-innstillinger] [Rediger].
[IPSec-innstillinger] [Rediger].Skjermbildet [Rediger IPSec-innstillinger] vises.
4
Merk av i boksen [Bruk IPSec] og klikk på [OK].
Hvis du vil kun motta pakker som oppfyller policyen, må du fjerne merket i boksen [Motta ikke-policypakker].
5
Klikk på [Lagre ny policy].
Skjermbildet [Lagre ny IPSec-policy] vises.
6
Skriv inn policynavn i [Policyinnstillinger] og merk av i boksen [Aktiver policy].
For policynavn, skriver du inn et navn til identifisering av policyen ved å bruke enkeltbyte alfanumeriske tegn.
7
Still inn velgeren i [Velgerinnstillinger].
[Lokale adresseinnstillinger]
Velg type IP-adresse til maskinen som policyen skal gjelde for.
For at alle IPSec skal gjelde for alle IP-pakker, velger du [Alle IP-adresser].
For at IPSec skal gjelde for IP-pakker som sendes og mottas ved bruk av en IPv4- eller IPv6-adresse, velger du [IPv4-adresse] eller [IPv6-adresse].
[Eksterne adresseinnstillinger]
Velg type IP-adresse til den kommuniserende enheten som policyen skal gjelde for.
For at alle IPSec skal gjelde for alle IP-pakker, velger du [Alle IP-adresser].
For at IPSec skal gjelde for IP-pakker som sendes og mottas ved bruk av en IPv4- eller IPv6-adresse, velger du [Alle IPv4-adresser] eller [Alle IPv6-adresser].
Når du vil angi en IPv4- eller IPv6-adresse som IPSec skal gjelde for, velger du [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger].
[Adresser som skal angis manuelt]
Når [IPv4 manuelle innstillinger] eller [IPv6 manuelle innstillinger] er valgt, skriver du inn IP-adressen. Du kan også angi et område med IP-adresser ved å bruke bindestrek (-).
Eksempel på inndata:
Én IPv4-adresse
192.168.0.10
192.168.0.10
Én IPv6-adresse
fe80::10
fe80::10
Områdespesifikasjon
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnettinnstillinger]
Når [IPv4 manuelle innstillinger] er valgt, kan du bruke en subnett-maske til å angi området for IPv4-adressene.
Eksempel på inndata:
255.255.255.240
255.255.255.240
[Prefikslengde]
Når [IPv6 manuelle innstillinger] er valgt, kan du bruke en prefikslengde til å angi området for IPv6-adressene. Angi prefikslengden med et område på 0 til 128.
[Portinnstillinger]
Still inn porten som IPSec skal gjelde for i [Lokal port] på maskinen og [Ekstern port] på den kommuniserende enheten.
For at IPSec skal gjelde for alle portnumre, velger du Alle porter.
For at IPSec skal gjelde for en spesifikk protokoll som HTTP eller WSD, velger du [Enkel port], og angir portnummer for protokollen.
8
Still inn IKE i [IKE-innstillinger].
[IKE-modus]
Maskinen støtter kun hovedmodus.
[Autentiseringsmetode]
Velg godkjenningsmetode for maskinen.
Når [Forhåndsdelt nøkkelmetode] er valgt, klikker du på [Delte tasteinnstillinger], angir strengen som skal brukes til delt nøkkel ved bruk av enkeltbyte alfanumeriske tegn, og klikker på [OK].
angir strengen som skal brukes til delt nøkkel ved bruk av enkeltbyte alfanumeriske tegn, og klikker på [OK].Når [Digital signaturmetode] er valgt, klikker du på [Nøkkel og sertifikat] [Lagre standardnøkkel] til høyre for nøkkel og sertifikat som skal brukes.
[Lagre standardnøkkel] til høyre for nøkkel og sertifikat som skal brukes.[Gyldighet]
Angi gyldig periode, i minutter, for IKE SA (ISAKMP SA) som skal brukes til kontrollkommunikasjonbane.
[Autent.-/krypteringsalgoritme]
Velg algoritmen som skal brukes til nøkkeldelingen.
9
Konfigurer IPsec-nettverksinnstillinger i [IPSec-nettverksinnstillinger].
[Bruk PFS]
Merk av i denne boksen når du vil konfigurere PFS for øktsnøkkel.
[Gyldighet]
Angi gyldig periode som IPsec skal brukes til datakommunikasjonbane, etter tid, størrelse eller begge.
Når det er merket av i boksen [Angi etter tid], angir du gyldig periode i minutter.
Når det er merket av i boksen [Angi etter størrelse], angir du gyldig periode i megabyte.
Når begge er valgt, gjelder det elementet som verdien først oppfylles for.
[Autent.-/krypteringsalgoritme]
IPSec overskriften (ESP og AH) som skal brukes, og dennes algoritme.
[ESP-autentisering]
Når [ESP] er valgt, velger du godkjenningalgoritme. Når du vil utføre ESP-godkjenning, velger du [SHA1]. Hvis ikke velger du [Ikke bruk].
[ESP-kryptering]
Når [ESP] er valgt, velger du krypteringsalgoritme. Hvis du ikke vil angi algoritmen, velger du [NULL]. Du kan deaktivere kryptering ved å velge [Ikke bruk].
[Tilkoblingsmodus]
Denne maskinen støtter kun transportmodus.
10
Klikk på [OK].
Den nylig registrerte Avdelings-IDen legges til i [Lagrede IPSec-policyer] på skjermbildet [IPSec-innstillinger].
Når flere policyer er registrert
Klikk på [Opp] eller [Ned] til høyre for policynavnet når du vil stille inn egenskapen. Policyer på høyere nivå har prioritet i bruk med IPSec-kommunikasjon.
11
Start maskinen på nytt. Starte maskinen på nytt
Innstillingene trer i kraft.
 |
Redigere registrerte policyerHvis du vil redigere registrert informasjon, må du klikke på policynavnet du vil redigere i [Lagrede IPSec-policyer] på skjermbildet [IPSec-innstillinger]. |