Konfigurácia nastavení IPSec

Používaním rozšírenia IPSec môžete predísť zachyteniu paketov IP prenášaných v sieti IP tretími osobami a manipulácii s nimi. Keďže rozšírenie IPSec dopĺňa funkcie zabezpečenia do základného súboru protokolov používaných pre internet (IP), poskytuje zabezpečenie nezávislé od aplikácií či sieťovej konfigurácie. Ak chcete v tomto zariadení využívať komunikáciu cez IPSec, je potrebné nakonfigurovať nastavenia, ako sú parametre aplikácií a algoritmus na overovanie a šifrovanie. Na konfiguráciu týchto nastavení sú potrebné oprávnenia správcu.

Aktivovanie protokolu IPSec

Registrácia politiky


Režim komunikácie Toto zariadenie podporuje len transportný režim komunikácie IPSec. V dôsledku toho sa overovanie a šifrovanie uplatňuje len na dátové úseky paketov IP. Protokol výmeny kľúča Toto zariadenie podporuje verziu 1 protokolu Internet Key Exchange (IKEv1) na výmenu kľúčov na základe protokolu Internet Security Association and Key Management Protocol (ISAKMP). Ako metódu overovania nastavte buď metódu predzdieľaného kľúča, alebo metódu digitálneho podpisu. Keď chcete nastaviť metódu predzdieľaného kľúča, je potrebné dopredu si premyslieť prístupovú frázu (predzdieľaný kľúč), ktorý sa bude používať medzi zariadením a komunikačným partnerom IPSec. Keď chcete nastaviť metódu digitálneho podpisu, na vykonávanie vzájomného overovania medzi zariadením a komunikačným partnerom IPSec použite CA certifikát a kľúč s certifikátom vo formáte PKCS#12. Viac informácií o registrácii nových CA certifikátov alebo kľúčov s certifikátmi nájdete v časti Registrácia kľúča a certifikátu pre sieťovú komunikáciu. Pozor, pred použitím tejto metódy je nutné v zariadení nakonfigurovať protokol SNTP. Nastavenia protokolu SNTP

Režim komunikácie

Toto zariadenie podporuje len transportný režim komunikácie IPSec. V dôsledku toho sa overovanie a šifrovanie uplatňuje len na dátové úseky paketov IP.

Protokol výmeny kľúča

Toto zariadenie podporuje verziu 1 protokolu Internet Key Exchange (IKEv1) na výmenu kľúčov na základe protokolu Internet Security Association and Key Management Protocol (ISAKMP). Ako metódu overovania nastavte buď metódu predzdieľaného kľúča, alebo metódu digitálneho podpisu.

Keď chcete nastaviť metódu predzdieľaného kľúča, je potrebné dopredu si premyslieť prístupovú frázu (predzdieľaný kľúč), ktorý sa bude používať medzi zariadením a komunikačným partnerom IPSec.

Keď chcete nastaviť metódu digitálneho podpisu, na vykonávanie vzájomného overovania medzi zariadením a komunikačným partnerom IPSec použite CA certifikát a kľúč s certifikátom vo formáte PKCS#12. Viac informácií o registrácii nových CA certifikátov alebo kľúčov s certifikátmi nájdete v časti Registrácia kľúča a certifikátu pre sieťovú komunikáciu. Pozor, pred použitím tejto metódy je nutné v zariadení nakonfigurovať protokol SNTP. Nastavenia protokolu SNTP


Bez ohľadu na nastavenie položky [Format Encryption Method to FIPS 140-2] sa bude pre potreby komunikácie cez protokol IPSec používať šifrovací modul, ktorý už získal certifikáciu podľa normy FIPS 140-2. Na zabezpečenie zhody komunikácie IPSec s normou FIPS 140-2 je potrebné v sieťovom prostredí, do ktorého zariadenie patrí, nastaviť dĺžku kľúča DH aj RSA pre potreby komunikácie IPSec na 2048 bitov alebo viac. Zo zariadenia možno špecifikovať len dĺžku kľúča DH. Konfiguráciu prostredia si poznačte, lebo v zariadení nie sú žiadne nastavenia RSA. Je možné zaregistrovať až 10 politík zabezpečenia.

Bez ohľadu na nastavenie položky [Format Encryption Method to FIPS 140-2] sa bude pre potreby komunikácie cez protokol IPSec používať šifrovací modul, ktorý už získal certifikáciu podľa normy FIPS 140-2.

Na zabezpečenie zhody komunikácie IPSec s normou FIPS 140-2 je potrebné v sieťovom prostredí, do ktorého zariadenie patrí, nastaviť dĺžku kľúča DH aj RSA pre potreby komunikácie IPSec na 2048 bitov alebo viac.

Zo zariadenia možno špecifikovať len dĺžku kľúča DH.

Konfiguráciu prostredia si poznačte, lebo v zariadení nie sú žiadne nastavenia RSA.

Je možné zaregistrovať až 10 politík zabezpečenia.

Aktivovanie protokolu IPSec

Spustite Remote UI (Vzdialené PR). Spustenie vzdialeného užívateľského rozhrania

Na stránke portálu kliknite na položku [Settings/Registration]. Obrazovka Remote UI (Vzdialené UR)

Kliknite na [Network Settings]

[IPSec Settings].

Vyberte položku [Use IPSec], a kliknite na možnosť [OK].

Ak chcete prijímať len pakety zodpovedajúce politike zabezpečenia, pod položkou [Receive Non-Policy Packets] vyberte možnosť [Reject].

Registrácia politiky

Spustite Remote UI (Vzdialené PR). Spustenie vzdialeného užívateľského rozhrania

Na stránke portálu kliknite na položku [Settings/Registration]. Obrazovka Remote UI (Vzdialené UR)

Kliknite na [Network Settings]

[IPSec Policy List].

Kliknite na položku [Register New IPSec Policy].

Nastavte politiku.

[Policy Name]

Zadajte identifikačný názov politiky.

[Policy On/Off]

Ak chcete aktivovať zaregistrovanú politiku, vyberte možnosť [On].

[Only Allow 256-bit for AES Key Length]

Začiarknite toto políčko, ak chcete obmedziť dĺžku kľúča metódy šifrovania na 256 bitov a splniť normy overovania CC.

Nakonfigurujte parametre aplikácie IPSec.

Kliknite na položku [Selector Settings].

Zadajte adresu IP, na ktorú chcete uplatňovať politiku IPSec.

Pod položkou [Local Address] špecifikujte IP adresu tohto zariadenia a pod položkou [Remote Address] IP adresu komunikačného partnera.

[All IP Addresses]	IPSec sa uplatňuje na všetky odoslané a prijaté pakety IP.
[IPv4 Address]	IPSec sa uplatňuje na pakety IP odoslané na adresu IPv4 tohto zariadenia a prijaté z nej.
[IPv6 Address]	IPSec sa uplatňuje na pakety IP odoslané na adresu IPv6 tohto zariadenia a prijaté z nej.
[All IPv4 Addresses]	IPSec sa uplatňuje na pakety IP odoslané na adresu IPv4 komunikačného partnera a prijaté z nej.
[All IPv6 Addresses]	IPSec sa uplatňuje na pakety IP odoslané na adresu IPv6 komunikačného partnera a prijaté z nej.
[IPv4 Manual Settings]	Zadajte adresu IPv4, na ktorú chcete uplatňovať IPSec. Ak chcete zadať individuálnu adresu IPv4, vyberte možnosť [Single Address]. Ak chcete zadať rozsah adries IPv4, vyberte možnosť [Range Address]. Zadajte adresy do polí [First Address] a [Last Address]. Ak chcete zadať rozsah adries IPv4 pomocou masky podsiete, vyberte možnosť [Subnet Settings]. Zadajte do polí [First Address] a [Subnet Settings] samostatné hodnoty.
[IPv6 Manual Settings]	Zadajte adresu IPv6, na ktorú chcete uplatňovať IPSec. Ak chcete zadať individuálnu adresu IPv6, vyberte možnosť [Single Address]. Ak chcete zadať rozsah adries IPv6, vyberte možnosť [Range Address]. Zadajte adresy do polí [First Address] a [Last Address]. Ak chcete zadať rozsah adries IPv6 pomocou predpony, vyberte možnosť [Prefix Address]. Zadajte do polí [First Address] a [Prefix Length] samostatné hodnoty.

Špecifikujte port, na ktorý chcete uplatňovať IPSec.

Ak chcete špecifikovať porty, na ktoré sa má uplatňovať protokol IPSec, podľa čísel, vyberte možnosť [Specify by Port Number]. Ak chcete protokol IPSec uplatňovať na všetky čísla portov, vyberte možnosť [All Ports]. Ak chcete protokol IPSec uplatňovať na port s konkrétnym číslom, vyberte možnosť [Single Port] a zadajte číslo portu. Pod položkou [Local Port] špecifikujte port tohto zariadenia a pod položkou [Remote Port] port komunikačného partnera.

Ak chcete špecifikovať porty, na ktoré sa má uplatňovať protokol IPSec, podľa názvu služby, vyberte možnosť [Specify by Service Name] a zvoľte služby, ktoré chcete používať.

Kliknite na položku [OK].

Nakonfigurujte nastavenia overovania a šifrovania.

Kliknite na položku [IKE Settings].

Nakonfigurujte potrebné nastavenia.

[IKE Mode]

Vyberte prevádzkový režim pre protokol výmeny kľúča. Zabezpečenie zvýšite výberom položky [Main], keďže v takom prípade sa šifruje aj samotná relácia IKE, ale rýchlosť relácie je nižšia v porovnaní s nastavením [Aggressive], pri ktorom sa nešifruje celá relácia.

[Validity]

Nastavte obdobie platnosti vygenerovaného kľúča IKE SA.

[Authentication Method]

Vyberte jednu z metód overovania opísaných nižšie.

[Pre-Shared Key Method]	Nastavte tú istú prístupovú frázu (predzdieľaný kľúč), ktorá je nastavená pre komunikačného partnera. Vyberte položku [Shared Key Settings], zadajte reťazec znakov, ktorý chcete použiť ako spoločný kľúč, a vyberte položku [OK].
[Digital Signature Method]	Vyberte kľúč a certifikát, ktorý chcete používať na vzájomné overovanie s komunikačným partnerom. Kliknite na položku [Key and Certificate] a potom na položku [Use] pri kľúči, ktorý chcete použiť.

[Authentication/Encryption Algorithm]

Ako spôsob nastavenia overovacieho a šifrovacieho algoritmu pre 1. fázu IKE vyberte možnosť [Auto] alebo [Manual Settings]. Ak vyberiete možnosť [Auto], automaticky sa nastaví algoritmus, ktorý môže používať aj zariadenie, aj komunikačný partner. Ak chcete špecifikovať konkrétny algoritmus, vyberte možnosť [Manual Settings] a nakonfigurujte nižšie uvedené nastavenia.

[Authentication]	Vyberte transformačný algoritmus.
[Encryption]	Vyberte algoritmus šifrovania.
[DH Group]	Vyberte skupinu pre metódu výmeny kľúča Diffie-Hellman na nastavenie sily kľúča.

Kliknite na položku [OK].


Keď je pod položkou [IKE Mode] na obrazovke [IKE] nastavená možnosť [Main] a pod položkou [Authentication Method] je nastavená možnosť [Pre-Shared Key Method], platia pri registrácii viacerých politík zabezpečenia nasledujúce obmedzenia. Kľúč pre metódu predzdieľaného kľúča: pri zadávaní viacerých adries IP, na ktoré sa má politika zabezpečenia uplatňovať, sú všetky zdieľané kľúče pre danú politiku zabezpečenia totožné (to neplatí, keď je zadaná jedna adresa). Priorita: ak zadáte viacero vzdialených adries IP, na ktoré sa má politika zabezpečenia vzťahovať, priorita takejto politiky zabezpečenia je nižšia ako priorita politík zabezpečenia s jednou špecifikovanou adresou.

Keď je pod položkou [IKE Mode] na obrazovke [IKE] nastavená možnosť [Main] a pod položkou [Authentication Method] je nastavená možnosť [Pre-Shared Key Method], platia pri registrácii viacerých politík zabezpečenia nasledujúce obmedzenia.

Kľúč pre metódu predzdieľaného kľúča: pri zadávaní viacerých adries IP, na ktoré sa má politika zabezpečenia uplatňovať, sú všetky zdieľané kľúče pre danú politiku zabezpečenia totožné (to neplatí, keď je zadaná jedna adresa).

Priorita: ak zadáte viacero vzdialených adries IP, na ktoré sa má politika zabezpečenia vzťahovať, priorita takejto politiky zabezpečenia je nižšia ako priorita politík zabezpečenia s jednou špecifikovanou adresou.

Konfigurácia nastavení komunikácie IPSec

Kliknite na položku [IPSec Network Settings].

Nakonfigurujte potrebné nastavenia.

[Validity]

Nastavte obdobie platnosti vygenerovaného kľúča IPSec SA. Nastavte jednu z možností [Time] alebo [Size]. Ak nastavíte obe možnosti, použije sa nastavenie s tou hodnotou, ktorá sa dosiahne ako prvá.

[PFS]

Ak vyberiete možnosť [Use PFS], utajenie šifrovacieho kľúča sa posilní, ale zníži sa rýchlosť komunikácie. Okrem toho je funkciu Perfect Forward Secrecy (PFS) potrebné zapnúť aj na partnerskom komunikačnom zariadení.

[Authentication/Encryption Algorithm]

Ako spôsob nastavenia overovacieho a šifrovacieho algoritmu pre 2. fázu IKE vyberte možnosť [Auto] alebo [Manual Settings]. Ak vyberiete možnosť [Auto], overovací a šifrovací algoritmus ESP sa nastaví automaticky. Ak chcete nastaviť konkrétnu metódu overovania, zvoľte možnosť [Manual Settings] a vyberte jednu z nižšie uvedených metód overovania.

[ESP]	Vykonáva sa overenie aj šifrovanie. Vyberte algoritmus pre funkcie [ESP Authentication] a [ESP Encryption]. Ak nechcete nastaviť overovací alebo šifrovací algoritmus, vyberte možnosť [NULL].
[ESP (AES-GCM)]	Ako algoritmus ESP sa používa AES-GCM a vykonáva sa overovanie aj šifrovanie.
[AH (SHA1)]	Overovanie sa vykonáva, ale údaje sa nešifrujú. Ako algoritmus sa používať SHA1.

Kliknite na [OK].

Kliknite na položku [OK].

Aktivujte zaregistrované politiky a skontrolujte poradie ich priority.

Politiky sa uplatňujú v poradí, v akom sú uvedené, začínajúc od vrchu. Ak chcete zmeniť poradie priority, vyberte v zozname politiku a kliknite na položku [Raise Priority] alebo [Lower Priority].


Správa politík IPSec Politiky je možné upravovať na obrazovke zobrazenej v kroku 4. Ak chcete upraviť podrobnosti politiky, v zozname kliknite na názov politiky. Ak chcete politiku deaktivovať, kliknite na názov politiky v zozname pod položkou [Policy On/Off] vyberte možnosť [Off] kliknite na [OK]. Ak chcete politiku odstrániť, vyberte ju zo zoznamu a kliknite na položku [Delete] [OK]. Používanie ovládacieho panela Komunikáciu cez protokol IPSec môžete aktivovať alebo deaktivovať aj z ponuky <Nastaviť> na obrazovke <Domov>. <Nastavenia IPSec> Hromadný import/hromadný export Toto nastavenie je možné importovať alebo exportovať v prípade modelov, ktoré podporujú hromadný import tohto nastavenia. Importovanie alebo exportovanie údajov nastavení Toto nastavenie je pri hromadnom exporte zahrnuté pod položkou [Settings/Registration Basic Information]. Import a export všetkých nastavení

Správa politík IPSec

Politiky je možné upravovať na obrazovke zobrazenej v kroku 4.

Ak chcete upraviť podrobnosti politiky, v zozname kliknite na názov politiky.

Ak chcete politiku deaktivovať, kliknite na názov politiky v zozname

pod položkou [Policy On/Off] vyberte možnosť [Off]

kliknite na [OK].

Ak chcete politiku odstrániť, vyberte ju zo zoznamu

a kliknite na položku [Delete]

[OK].

Používanie ovládacieho panela

Komunikáciu cez protokol IPSec môžete aktivovať alebo deaktivovať aj z ponuky <Nastaviť> na obrazovke <Domov>. <Nastavenia IPSec>

Hromadný import/hromadný export

Toto nastavenie je možné importovať alebo exportovať v prípade modelov, ktoré podporujú hromadný import tohto nastavenia. Importovanie alebo exportovanie údajov nastavení

Toto nastavenie je pri hromadnom exporte zahrnuté pod položkou [Settings/Registration Basic Information]. Import a export všetkých nastavení