Configurarea setărilor IPSec

Utilizând IPSec, puteţi împiedica terţii să intercepteze sau să modifice pachetele IP transportate prin reţeaua IP. Deoarece IPSec adaugă funcţii de securitate la IP (o suită de protocoale de bază folosite pentru Internet), poate oferi o securitate care este independentă de aplicaţii sau de configuraţia reţelei. Pentru a efectua comunicarea prin IPSec cu acest aparat, trebuie să configuraţi setări precum parametrii de aplicaţie şi algoritmul pentru autentificare şi criptare. Pentru configurarea acestor setări sunt necesare privilegii de administrator.

Activarea protocolului IPSec

Înregistrarea unei politici


Modul de comunicare Acest aparat acceptă doar modul de transport pentru comunicarea IPSec. Drept urmare, autentificarea şi criptarea se aplică numai porţiunilor de date ale pachetelor IP. Protocol schimbare parolă Acest aparat acceptă Internet Key Exchange versiunea 1 (IKEv1) pentru schimbul de chei bazat pe Internet Security Association and Key Management Protocol (ISAKMP). Pentru metoda de autentificare, setaţi metoda cheii pre-partajate sau metoda semnăturii digitale. Când setaţi metoda cheii pre-partajate, trebuie să stabiliţi în prealabil o expresie de acces (cheie pre-partajată), care este utilizată între aparat şi perechea de comunicare IPSec. Când setaţi metoda semnăturii digitale, utilizaţi un certificat CA şi o cheie şi un certificat de format PKCS#12 pentru a efectua autentificarea reciprocă între aparat şi perechea de comunicare IPSec. Pentru mai multe informaţii despre înregistrarea de noi certificate CA sau chei/certificate, consultaţi Înregistrarea unei chei şi a unui certificat pentru comunicarea în reţea. Reţineţi că SNTP trebuie configurat pentru aparat înainte de a utiliza această metodă. Efectuarea setărilor SNTP

Modul de comunicare

Acest aparat acceptă doar modul de transport pentru comunicarea IPSec. Drept urmare, autentificarea şi criptarea se aplică numai porţiunilor de date ale pachetelor IP.

Protocol schimbare parolă

Acest aparat acceptă Internet Key Exchange versiunea 1 (IKEv1) pentru schimbul de chei bazat pe Internet Security Association and Key Management Protocol (ISAKMP). Pentru metoda de autentificare, setaţi metoda cheii pre-partajate sau metoda semnăturii digitale.

Când setaţi metoda cheii pre-partajate, trebuie să stabiliţi în prealabil o expresie de acces (cheie pre-partajată), care este utilizată între aparat şi perechea de comunicare IPSec.

Când setaţi metoda semnăturii digitale, utilizaţi un certificat CA şi o cheie şi un certificat de format PKCS#12 pentru a efectua autentificarea reciprocă între aparat şi perechea de comunicare IPSec. Pentru mai multe informaţii despre înregistrarea de noi certificate CA sau chei/certificate, consultaţi Înregistrarea unei chei şi a unui certificat pentru comunicarea în reţea. Reţineţi că SNTP trebuie configurat pentru aparat înainte de a utiliza această metodă. Efectuarea setărilor SNTP


Indiferent de setarea opţiunii [Format Encryption Method to FIPS 140-2] pentru comunicaţia prin IPSec, va fi utilizat un modul de criptare care a obţinut deja certificarea FIPS140-2. Pentru a face comunicaţia IPSec conformă cu FIPS 140-2, trebuie să setaţi lungimea cheii atât pentru DH cât şi pentru RSA pentru comunicaţia IPSec la 2048 de biţi sau mai mult în mediul de reţea căruia îi aparţine aparatul. Doar lungimea cheii pentru DH poate fi specificată de la aparat. Ţineţi cont de acest lucru când configuraţi mediul dumneavoastră, deoarece în aparat nu există setări pentru RSA. Puteţi să înregistraţi până la 10 politici de securitate.

Indiferent de setarea opţiunii [Format Encryption Method to FIPS 140-2] pentru comunicaţia prin IPSec, va fi utilizat un modul de criptare care a obţinut deja certificarea FIPS140-2.

Pentru a face comunicaţia IPSec conformă cu FIPS 140-2, trebuie să setaţi lungimea cheii atât pentru DH cât şi pentru RSA pentru comunicaţia IPSec la 2048 de biţi sau mai mult în mediul de reţea căruia îi aparţine aparatul.

Doar lungimea cheii pentru DH poate fi specificată de la aparat.

Ţineţi cont de acest lucru când configuraţi mediul dumneavoastră, deoarece în aparat nu există setări pentru RSA.

Puteţi să înregistraţi până la 10 politici de securitate.

Activarea protocolului IPSec

Porniţi IU la distanţă. Pornirea instrumentului IU la distanţă

Faceţi clic pe [Settings/Registration] de pe pagina portalului. Ecranul IU la distanţă

Faceţi clic pe [Network Settings]

[IPSec Settings].

Selectaţi [Use IPSec] şi faceţi clic pe [OK].

Pentru a recepţiona numai pachete care corespund politicii de securitate, selectaţi [Reject] pentru [Receive Non-Policy Packets].

Înregistrarea unei politici

Porniţi IU la distanţă. Pornirea instrumentului IU la distanţă

Faceţi clic pe [Settings/Registration] de pe pagina portalului. Ecranul IU la distanţă

Faceţi clic pe [Network Settings]

[IPSec Policy List].

Faceţi clic pe [Register New IPSec Policy].

Setaţi o politică.

[Policy Name]

Introduceţi un nume pentru identificarea politicii.

[Policy On/Off]

Selectaţi [On] pentru a activa politica înregistrată.

[Only Allow 256-bit for AES Key Length]

Selectaţi această casetă pentru a restricţiona lungimea cheii pentru metoda de criptare AES la 256 de biţi şi a îndeplini cerinţele standardului de autentificare CC.

Configuraţi parametrii de aplicaţie IPSec.

Faceţi clic pe [Selector Settings].

Specificaţi adresa IP la care să se aplice politica IPSec.

Specificaţi adresa IP a acestui aparat în [Local Address] şi specificaţi adresa IP a perechii de comunicare în [Remote Address].

[All IP Addresses]	IPSec se aplică tuturor pachetelor IP trimise şi primite.
[IPv4 Address]	IPSec se aplică pachetelor IP trimise către şi primite de la adresa IPv4 a acestui aparat.
[IPv6 Address]	IPSec se aplică pachetelor IP trimise către şi primite de la adresa IPv6 a acestui aparat.
[All IPv4 Addresses]	IPSec se aplică pachetelor IP trimise către şi primite de la adresa IPv4 a perechii de comunicare.
[All IPv6 Addresses]	IPSec se aplică pachetelor IP trimise către şi primite de la adresa IPv6 a perechii de comunicare.
[IPv4 Manual Settings]	Specificaţi adresa IPv4 la care să se aplice IPSec. Selectaţi [Single Address] pentru a introduce o adresă IPv4 individuală. Selectaţi [Range Address] pentru a specifica un interval de adrese IPv4. Introduceţi câte o adresă separată pentru [First Address] şi [Last Address]. Selectaţi [Subnet Settings] pentru a specifica un interval de adrese IPv4 utilizând o mască de subreţea. Introduceţi valori separate pentru [First Address] şi [Subnet Settings].
[IPv6 Manual Settings]	Specificaţi adresa IPv6 la care să se aplice IPSec. Selectaţi [Single Address] pentru a introduce o adresă IPv6 individuală. Selectaţi [Range Address] pentru a specifica un interval de adrese IPv6. Introduceţi câte o adresă separată pentru [First Address] şi [Last Address]. Selectaţi [Prefix Address] pentru a specifica un interval de adrese IPv6 utilizând un prefix. Introduceţi valori separate pentru [First Address] şi [Prefix Length].

Specificaţi portul la care să se aplice IPSec.

Selectaţi [Specify by Port Number] pentru a utiliza numerele de porturi când specificaţi porturile la care se aplică IPSec. Selectaţi [All Ports] pentru a aplica IPSec la toate numerele de porturi. Pentru a aplica IPSec la un anumit număr de port, selectaţi [Single Port] şi introduceţi numărul portului. Specificaţi portul acestui aparat în [Local Port] şi specificaţi portul perechii de comunicare în [Remote Port].

Pentru a specifica porturile la care să se aplice IPSec după numele serviciului, selectaţi [Specify by Service Name] şi selectaţi serviciile de utilizat.

Faceţi clic pe [OK].

Configuraţi setările de autentificare şi de criptare.

Faceţi clic pe [IKE Settings].

Configuraţi setările necesare.

[IKE Mode]

Selectaţi modul de operare pentru protocolul de schimbare a cheilor. Securitatea este îmbunătăţită dacă selectaţi [Main], deoarece sesiunea IKE însăşi este criptată, dar viteza sesiunii este mai mică decât cu [Aggressive], care nu criptează întreaga sesiune.

[Validity]

Setaţi perioada de expirare pentru valorile IKE SA generate.

[Authentication Method]

Selectaţi una dintre metodele de autentificare descrise mai jos.

[Pre-Shared Key Method]	Setaţi aceeaşi expresie de acces (cheie pre-partajată) care este setată pentru perechea de comunicare. Selectaţi [Shared Key Settings], introduceţi şirul de caractere de utilizat drept cheie partajată şi selectaţi [OK].
[Digital Signature Method]	Setaţi cheia şi certificatul de utilizat pentru autentificarea reciprocă cu perechea de comunicare. Faceţi clic pe [Key and Certificate], apoi faceţi clic pe [Use] pentru cheia de utilizat.

[Authentication/Encryption Algorithm]

Selectaţi fie [Auto], fie [Manual Settings] pentru a seta modul de specificare a algoritmului de autentificare şi criptare pentru IKE faza 1. Dacă selectaţi [Auto], este setat automat un algoritm care poate fi utilizat atât de aparat, cât şi de perechea de comunicare. Dacă doriţi să specificaţi un algoritm particular, selectaţi [Manual Settings] şi configuraţi setările de mai jos.

[Authentication]	Selectaţi algoritmul hash.
[Encryption]	Selectaţi algoritmul de criptare.
[DH Group]	Selectaţi grupul pentru metoda Diffie-Hellman de schimbare a cheilor pentru a seta puterea cheii.

Faceţi clic pe [OK].


Când opţiunea [IKE Mode] este setată la [Main] pe ecranul [IKE] şi opţiunea [Authentication Method] este setată la [Pre-Shared Key Method], următoarele restricţii se aplică atunci când înregistraţi mai multe politici de securitate. Cheia la metoda cu cheie per-partajată: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, toate cheile partajate pentru acea politică de securitate sunt identice (acest lucru nu se aplică atunci când este specificată o singură adresă). Prioritate: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, prioritatea acelei politici de securitate este sub politicile de securitate pentru care este specificată o singură adresă.

Când opţiunea [IKE Mode] este setată la [Main] pe ecranul [IKE] şi opţiunea [Authentication Method] este setată la [Pre-Shared Key Method], următoarele restricţii se aplică atunci când înregistraţi mai multe politici de securitate.

Cheia la metoda cu cheie per-partajată: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, toate cheile partajate pentru acea politică de securitate sunt identice (acest lucru nu se aplică atunci când este specificată o singură adresă).

Prioritate: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, prioritatea acelei politici de securitate este sub politicile de securitate pentru care este specificată o singură adresă.

Configuraţi setările de comunicare IPSec.

Faceţi clic pe [IPSec Network Settings].

Configuraţi setările necesare.

[Validity]

Setaţi perioada de expirare pentru valorile IPSec SA generate. Aveţi grijă să setaţi fie [Time], fie [Size]. Dacă le setaţi pe ambele, se aplică setarea a cărei valoare este atinsă prima.

[PFS]

Dacă selectaţi [Use PFS], nivelul de secretizare al cheii de criptare creşte, dar viteza de comunicare scade. În plus, funcţia PFS (Perfect Forward Secrecy) trebuie activată pe dispozitivul de comunicare pereche.

[Authentication/Encryption Algorithm]

Selectaţi fie [Auto], fie [Manual Settings] pentru a seta modul de specificare a algoritmului de autentificare şi criptare pentru IKE faza 2. Dacă selectaţi [Auto], algoritmul de autentificare şi criptare ESP este setat automat. Dacă doriţi să specificaţi o metodă de autentificare particulară, selectaţi [Manual Settings] şi selectaţi una dintre metodele de autentificare de mai jos.

[ESP]	Autentificarea şi criptarea sunt ambele efectuate. Selectaţi algoritmul pentru [ESP Authentication] şi [ESP Encryption]. Selectaţi [NULL] dacă nu doriţi să setaţi algoritmul de autentificare sau de criptare.
[ESP (AES-GCM)]	AES-GCM se utilizează ca algoritmul ESP şi se efectuează atât autentificarea, cât şi criptarea.
[AH (SHA1)]	Se efectuează autentificarea, dar datele nu sunt criptate. SHA1 se utilizează ca algoritm.

Faceţi clic pe [OK].

Activaţi politicile înregistrate şi verificaţi ordinea de prioritate.

Politicile sunt aplicate în ordinea în care sunt listate, începând din partea de sus. Dacă doriţi să schimbaţi ordinea de prioritate, selectaţi o politică din listă şi faceţi clic pe [Raise Priority] sau [Lower Priority].


Gestionarea politicilor IPSec Puteţi edita politicile pe ecranul afişat la pasul 4. Pentru a edita detaliile unei politici, faceţi clic pe numele politicii din listă. Pentru a dezactiva o politică, faceţi clic pe numele politicii din listă selectaţi [Off] pentru [Policy On/Off] faceţi clic pe [OK]. Pentru a şterge o politică, selectaţi politica din listă faceţi clic pe [Delete] [OK]. Utilizarea panoului de operare De asemenea, puteţi activa sau dezactiva comunicarea prin IPSec din <Setare> în ecranul <Acasă>. <Setări IPSec> Importul pe loturi/exportul pe loturi Această setare poate fi importată/exportată cu modelele care acceptă importul pe loturi al acestei setări. Importul/exportul setărilor Această setare este inclusă în [Settings/Registration Basic Information] când se face exportul pe loturi. Importul/exportul tuturor setărilor

Gestionarea politicilor IPSec

Puteţi edita politicile pe ecranul afişat la pasul 4.

Pentru a edita detaliile unei politici, faceţi clic pe numele politicii din listă.

Pentru a dezactiva o politică, faceţi clic pe numele politicii din listă

selectaţi [Off] pentru [Policy On/Off]

faceţi clic pe [OK].

Pentru a şterge o politică, selectaţi politica din listă

faceţi clic pe [Delete]

[OK].

Utilizarea panoului de operare

De asemenea, puteţi activa sau dezactiva comunicarea prin IPSec din <Setare> în ecranul <Acasă>. <Setări IPSec>

Importul pe loturi/exportul pe loturi

Această setare poate fi importată/exportată cu modelele care acceptă importul pe loturi al acestei setări. Importul/exportul setărilor

Această setare este inclusă în [Settings/Registration Basic Information] când se face exportul pe loturi. Importul/exportul tuturor setărilor