Konfigurera IPSec-inställningar

Genom att använda IPSec kan du hindra tredje part från att avlyssna eller ändra IP-paket som transporteras över IP-nätverket. Eftersom IPSec lägger till säkerhetsfunktioner till IP, som är en grundläggande protokollsvit för Internet, kan det ge säkerhet som är oberoende av tillämpningar eller nätverkskonfiguration. För att kunna utnyttja IPSec-kommunikation med denna maskin, måste du konfigurera inställningar som t.ex. tillämpningsparametrar och algoritmer för autentisering och kryptering. Administratörsbehörighet krävs för att konfigurera dessa inställningar.
Aktivera IPSec
Registrera en policy
Kommunikationsläge
Den här maskinen bara har stöd för transportläge för IPSec-kommunikation. Därför används bara autentisering och kryptering för datadelar av IP-paket.
Nyckelutbytesprotokoll
Den här enheten har stöd för Internet Key Exchange version 1 (IKEv1) för utbyte av nycklar baserat på Internet Security Association and Key Management Protocol (ISAKMP). För autentiseringsmetod anger du antingen i förväg delad nyckel eller metod för digital signatur.
När du anger i förväg delad nyckel, måste du ange en lösenordsfras (i förväg delad nyckel) i förväg. Den används mellan maskinen och IPSec-kommunikationspeers.
Om du väljer metoden digital signatur, använder du ett CA-certifikat och en PKCS#12-formatnyckel och certifikat att utföra ömsesidig autentisering mellan maskinen och IPSec-kommunikationspeers. För mer information om hur du registrerar nya CA-certifikat eller nycklar/certifikat, se Registrera en nyckel och ett certifikat för nätverkskommunikation. Observera att du måste konfigurera SNTP för maskinen innan du använder den här metoden. Göra SNTP-inställningar
Oavsett inställningarna för [Formatkrypteringsmetod till FIPS 140-2] för IPSec-kommunikation, kommer en krypteringsmodul som redan har hämtat FIPS140-2-certifiering att användas.
Du måste, för att få IPSec-kommunikationen att överensstämma med FIPS 140-2, ställa in nyckellängden för både DH och RSA för IPSec-kommunikation på 2048-bitar eller längre i den nätverksmiljö som maskinen ingår i.
Endast nyckellängden för DH kan anges från maskinen.
Anteckna när du konfigurerar miljön, eftersom det inte finns några inställningar för RSA i maskinen.
Du kan registrera upp till 10 säkerhetspolicys.

Aktivera IPSec

1
Starta fjärrgränssnittet. Starta Remote UI (Fjärranvändargränssnittet)
2
Klicka på [Inställningar/Registrering] på portalsidan. Remote UI (Fjärranvändargränssnittet) skärm
3
Klicka på [Nätverksinställningar]  [IPSec-inställningar].
4
Välj [Använd IPSec] och klicka på [OK].
För att endast ta emot paket som motsvarar säkerhetspolicyn, välj [Neka] för [Ta emot paket utan principer].

Registrera en policy

1
Starta fjärrgränssnittet. Starta Remote UI (Fjärranvändargränssnittet)
2
Klicka på [Inställningar/Registrering] på portalsidan. Remote UI (Fjärranvändargränssnittet) skärm
3
Klicka på [Nätverksinställningar]  [IPSec-principlista].
4
Klicka på [Registrera ny IPSec-princip].
5
Ställ in en policy.
[Policy-namn]
Ange ett namn för att identifiera policyn.
[Princip på/av]
Välj [På] för att aktivera den registrerade policyn.
[Tillåt endast 256 bitars AES-nyckellängd]
Markera den här kryssrutan för att begränsa nyckellängden för AES-krypteringsmetoden till 256 bitar och uppfylla CC-autentiseringsstandarderna.
6
Konfigurera IPSec-tillämpningsparametrar.
1
Klicka på [Manövreringsinställningar].
2
Ange IP-adressen att tillämpa IPSec-policyn för.
Ange IP-adressen för den här maskinen i [Lokal adress] och ange IP-adressen för aktuell kommunikationspeer i [Fjärradress].

[Alla IP-adresser]
IPSec används för alla IP-paket som skickas och tas emot.
[IPv4-adress]
IPSec används för IP-paket som skickas till och från IPv4-adresser för den här maskinen.
[IPv6-adress]
IPSec används för IP-paket som skickas till och från IPv6-adresser för den här maskinen.
[Alla IPv4-adresser]
IPSec används för IP-paket som skickas till och från IPv4-adressen för aktuell kommunikationspeer.
[Alla IPv6-adresser]
IPSec används för IP-paket som skickas till och från IPv6-adressen för aktuell kommunikationspeer.
[Manuella IPv4-inst.]
Ange IPv4-adressen att tillämpa IPSec för.
Välj [En adress] för att ange en enskild IPv4-adress.
Välj [Flera adresser] för att ange ett urval av IPv4-adresser. Ange en separat adress för [Första adress] och [Sista adress].
Välj [Subnät-inställningar] för att ange ett urval av IPv4-adresser med hjälp av en nätmask. Ange separata värden för [Första adress] och [Subnät-inställningar].
[Manuella IPv6-inst.]
Ange IPv6-adressen att tillämpa IPSec för.
Välj [En adress] för att ange en enskild IPv6-adress.
Välj [Flera adresser] för att ange ett urval av IPv6-adresser. Ange en separat adress för [Första adress] och [Sista adress].
Välj [Prefix-adress] för att ange ett urval av IPv6-adresser med hjälp av ett prefix. Ange separata värden för [Första adress] och [Prefixlängd].
3
Ange porten att tillämpa IPSec för.
Välj [Ange efter portnummer] för att använda portnummer när du anger portar som IPSec tillämpas för. Välj [Alla portar] för att tillämpa IPSec för alla portnummer. För att tillämpa IPSec för ett visst portnummer, tryck på [Enkel port] och ange portnumret. Ange porten för den här maskinen i [Lokal port] och ange porten för kommunikationspeeren i [Fjärrport].
För att ange vilka portar som ska tillämpas IPSec efter servicenamn, välj [Ange efter tjänstenamn] och välj de tjänster som ska användas.
4
Klicka på [OK].
7
Konfigurera autentisering och kryptering.
1
Klicka på [IKE-inställningar].
2
Konfigurera de inställningar som behövs.
[IKE-läge]
Välj läge för nyckelutbytesprotokollet. Säkerheten förbättras om du väljer [Huvud] eftersom IKE-sessionen i sig är krypterad, men hastigheten för sessionen blir långsammare än med [Aggressiv], som inte krypterar hela sessionen.
[Giltighet]
Ställ in utgångsdatum för skapat IKE SA.
[Autentiseringsmetod]
Välj en av autentiseringsmetoderna som beskrivs nedan.
[Förutdelad nyckel]
Ange samma lösenordsfras (i förväg delad nyckel) som har angetts för aktuell kommunikationspeer. Välj [Inställningar för delad nyckel], ange teckensträngen som ska användas som delad nyckel och välj [OK].
[Digital signaturmetod]
Ange nyckeln och certifikatet som ska användas för ömsesidig autentisering med kommunikationspeer. Klicka på [Nyckel och certifikat] och klicka på [Använd] för den nyckel du vill använda.
[Autentiserings-/krypteringsalgoritm]
Välj antingen [Auto] eller [Manuella inställningar] för att ställa in hur inställningar för autentisering och krypteringsalgoritm ska anges för IKE fas 1. Om du väljer [Auto], anges automatiskt en algoritm som kan användas av både den här maskinen och aktuell kommunikationspeer. Om du vill välja en viss algoritm, välj [Manuella inställningar] och konfigurera inställningarna nedan.
[Autentisering]
Välj hash-algoritm.
[Kryptering]
Välj krypteringsalgoritm.
[DH-grupp]
Välj grupp för Diffie-Hellman nyckelutbytesmetod för att ange nyckelstyrka.
3
Klicka på [OK].
Om [IKE-läge] är inställt på [Huvud] på skärmen [IKE] och [Autentiseringsmetod] är inställt på [Förutdelad nyckel], tillämpas följande begränsningar vid registrering av flera säkerhetspolicys.
Metod med i förväg delad nyckel: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är alla delade nycklar för säkerhetspolicyn identiska (detta gäller inte om enstaka adresser har angetts).
Prioritet: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är prioriteten för den säkerhetspolicyn lägre än säkerhetspolicys för vilka specifika adresser har angetts.
8
Konfigurera inställningarna för IPSec-kommunikation.
1
Klicka på [IPSec-nätverksinställningar].
2
Konfigurera de inställningar som behövs.
[Giltighet]
Ställ in utgångsdatum för skapat IPSec SA. Se till att ställa in antingen [Tid] eller [Format]. Om du ställer in båda gäller det värde som uppnås först.
[PFS]
Om du väljer [Använd PFS] ökar krypteringsnyckelns sekretess, men kommunikationshastigheten minskar. Dessutom måste funktionen Perfect Forward Secrecy (PFS) vara aktiverad på kommunikationshastighetsenheten.
[Autentiserings-/krypteringsalgoritm]
Välj antingen [Auto] eller [Manuella inställningar] för att ange inställningar för autentisering och krypteringsalgoritm för IKE fas 2. Om du väljer [Auto], ställs ESP-autentisering och krypteringsalgoritm in automatiskt. Om du vill ange en viss autentiseringsmetod väljer du [Manuella inställningar] och väljer en av autentiseringsmetoderna nedan.
[ESP]
Både autentisering och kryptering utförs. Välj algoritm för [ESP-autentisering] och [ESP-kryptering]. Välj [NULL] om du inte vill ange autentisering eller krypteringsalgoritm.
[ESP (AES-GCM)]
AES-GCM används som ESP-algoritm och autentisering och kryptering utförs.
[AH (SHA1)]
Autentisering utförs, men data krypteras inte. SHA1 används som algoritm.
3
Klicka på [OK].
9
Klicka på [OK].
10
Aktivera registrerade policyer och kontrollera prioriteringsordningen.
Policyer tillämpas i den ordning de visas, med start överst. Om du vill ändra prioritetsordningen, välj en policy i listan och klicka på [Öka prioritet] eller [Lägre prioritet].
Hantera IPSec-policyer
Du kan redigera policyer på den skärm som visas i steg 4.
Klicka på policynamnet i listan för att redigera detaljerna för en policy.
För att avaktivera en policy klickar du på policynamnet i listan och väljer [Av] för [Princip på/av] klicka på [OK].
För att radera en policy, välj policyn i listan klicka på [Radera] [OK].
Använda manöverpanelen
Du kan även aktivera eller inaktivera IPSec-kommunikation från <Ställ in> på <Hem>-skärmen. <IPSec-inställningar>
Satsvis import/satsvis export
Inställningen kan importeras/exporteras med modeller som har stöd för satsvis import av den här inställningen. Importera/exportera inställningsdata
Inställningen ingår i [Grundläggande information om Inställningar/Registrering] vid satsexport. Importera/exportera alla inställningar
93X2-04S