IPSec gebruiken
Gebruik IP Security Protocol (IPSec) om spionage van en knoeien met IP-pakketten te verhinderen die via een IP-netwerk worden verzonden en ontvangen. Dit past versleuteling op IP-protocolniveau toe om beveiliging te garanderen zonder dat u vertrouwt op een toepassing of netwerkconfiguratie.
Toepasbare condities en ondersteunde modi voor IPSec
Pakketten waar IPSec niet geldt
Pakketten die een loopback-, multicast- en broadcastadres opgeven
IKE-pakketten die vanaf UDP-poort 500 zijn verzonden
Pakketten voor 'neighbor solicitation' en 'neighbor advertisement' van ICMPv6
Bedieningsmodus van het protocol voor uitwisselen van sleutels (IKE-modus. IKE = Internet Key Exchange)
De door het apparaat ondersteunde IKE-modus is uitsluitend de hoofdmodus die wordt gebruikt om pakketten te versleutelen. De agressieve modus die niet versleutelt, wordt niet ondersteund.
Communicatiemodus
De door het apparaat ondersteunde communicatiemodus is slechts de transportmodus, die uitsluitend het gedeelte zonder de IP-koptekst versleutelt. De tunnelmodus, die het hele IP-pakket versleutelt, wordt niet ondersteund.
IPSec samen met IP-adresfiltering gebruiken
De instellingen voor het IP-adresfilter worden eerst toegepast. De firewall instellen
IPSec-beleidsconfiguratie
Om IPSec-communicatie op het apparaat toe te passen, moet u een IPSec-beleid creëren dat het toepasbare bereik en algoritmes voor verificatie en versleuteling omvat. Het beleid wordt uitsluitend samengesteld uit de volgende items.
Selector
Geef op welke IP-pakketten worden toegepast voor IPSec-communicatie. Naast het opgeven van het IP-adres van het apparaat en communicerende apparaten kunt u ook hun poortnummers opgeven.
IKE
Het protocol voor sleuteluitwisseling ondersteunt IKEv1 (Internet Key Exchange Version 1). Bij de verificatiemethode selecteert u de vooraf gedeelde sleutelmethode of de digitale-handtekeningenmethode.
Gedeelde-sleutelmethode:
Deze verificatiemethode gebruikt een algemeen sleutelwoord, genaamd Gedeelde sleutel, voor communicatie tussen het apparaat en andere apparaten.
Deze verificatiemethode gebruikt een algemeen sleutelwoord, genaamd Gedeelde sleutel, voor communicatie tussen het apparaat en andere apparaten.
Digitale-handtekeningmethode
Het apparaat en andere apparaten verifiëren elkaar door wederzijds hun digitale handtekeningen te controleren.
Het apparaat en andere apparaten verifiëren elkaar door wederzijds hun digitale handtekeningen te controleren.
ESP/AH
Kies de instellingen voor ESP/AH, het protocol dat wordt gebruikt voor IPSec-communicatie. U kunt ESP en AH gelijktijdig gebruiken. Gebruik Perfect Forward Secrecy (PFS) voor nog betere beveiliging.
IPSec instellen
Schakel het gebruik van IPSec in. Creëer en registreer het IPSec beleid. Als er meer dan één beleid is gecreëerd, geef dan de volgorde op waarin ze worden toegepast.
In deze sectie leert u hoe u met UI op afstand vanaf een computer de instellingen kiest.
Selecteer op het bedieningspaneel [Menu] in het scherm [Start] en selecteer [Voorkeuren] om de instellingen te configureren. U kunt het bedieningspaneel echter uitsluitend gebruiken om IPSec in of uit te schakelen. [Gebruik IPSec]
Beheerdersrechten zijn vereist. De machine moet opnieuw worden opgestart om de geïmporteerde instellingen toe te passen.
Selecteer op het bedieningspaneel [Menu] in het scherm [Start] en selecteer [Voorkeuren] om de instellingen te configureren. U kunt het bedieningspaneel echter uitsluitend gebruiken om IPSec in of uit te schakelen. [Gebruik IPSec]
Beheerdersrechten zijn vereist. De machine moet opnieuw worden opgestart om de geïmporteerde instellingen toe te passen.
|
Vereiste voorbereidingen
|
|
Verbind het apparaat rechtstreeks met een computer op hetzelfde virtual private network (VPN) als het apparaat. Bevestig de condities van de bewerking, en realiseer vooraf de instellingen op de computer.
Bereid het volgende voor in overeenstemming met de IKE-verificatiemethode:
Als u de gedeelde-sleutelmethode gebruikt, schakel dan TLS in voor communicatie via UI op afstand. TLS gebruiken
Als u de digitale-handtekeningmethode gebruikt, bereid dan de te gebruiken sleutel en certificaat voor. Sleutel en certificaat beheren en verifiëren
Bij gebruik van PFS: controleer dat PFS is ingeschakeld op het communicerende apparaat.
|
1
Meld u in de systeembeheerdersmodus aan bij de UI op afstand. De UI op afstand starten
2
Klik op de Portal-pagina van UI op afstand op [Instellingen/registratie]. Portalpagina van UI op afstand
3
Klik op [Netwerkinstellingen] 
[IPSec-instellingen] [Bewerken].
[IPSec-instellingen] [Bewerken].Het scherm [IPSec-instellingen bewerken] wordt weergegeven.
4
Schakel het selectievakje [Gebruik IPSec] in en klik op [OK].
Als u uitsluitend pakketten wilt ontvangen die aan het beleid voldoen, schakelt u het selectievakje [Pakketten zonder beleid ontvangen] uit.
5
Klik op [Nieuw beleid registreren].
Het scherm [Nieuw IPSec-beleid registreren] wordt weergegeven.
6
In [Beleidsinstellingen] voert u de naam van het beleid in en schakelt u het selectievakje [Beleid inschakelen] in.
Geef het beleid een naam die het identificeert. Gebruik single-byte alfanumerieke tekens.
7
In [Selector-instellingen] stelt u de selector in.
[Plaatselijke adresinstellingen]
Selecteer het type IP-adres van het apparaat waarvoor het beleid geldt.
Als u IPSec op alle IP-pakketten wilt toepassen, selecteert u [Alle IP-adressen].
Als u IPSec wilt toepassen op IP-pakketten die zijn verzonden/ontvangen met behulp van een IPv4- of IPv6-adres, selecteert u [IPv4-adres] of [IPv6-adres].
[Instellingen extern adres]
Selecteer het type IP-adres van het communicerende apparaat waarvoor het beleid geldt.
Als u IPSec op alle IP-pakketten wilt toepassen, selecteert u [Alle IP-adressen].
Als u IPSec wilt toepassen op IP-pakketten die zijn verzonden/ontvangen met behulp van een IPv4- of IPv6-adres, selecteert u [Alle IPv4-adressen] of [Alle IPv6-adressen].
Als u een IPv4- of IPv6-adres wilt opgeven waarop IPSec wordt toegepast, selecteert u [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen].
[Adressen om handmatig in te stellen]
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd, voert u het IP-adres in. U kunt ook een reeks IP-adressen opgeven met behulp van een afbreekstreepje (-).
Voorbeeld:
Eén IPv4 address
192.168.0.10
192.168.0.10
Eén IPv6 address
fe80::10
fe80::10
Bereik opgeven
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnetinstellingen]
Als [Handmatige IPv4-instellingen] is geselecteerd, kunt u een subnetmasker gebruiken om het bereik van IPv4-adressen op te geven.
Invoervoorbeeld:
255.255.255.240
255.255.255.240
[Prefixlengte]
Als [Handmatige IPv6-instellingen] is geselecteerd, kunt u een voorvoegsellengte gebruiken om het bereik van de IPv6-adressen op te geven. Voer de voorvoegsellengte in met een bereik tussen 0 en 128.
[Poortinstellingen]
Stel de poort waarop IPSec wordt toegepast, in [Lokale poort] in op de machine en in [Externe poort] op het communicerende apparaat.
Als u IPSec op alle poortnummers wilt toepassen, selecteert u [Alle poorten].
Als u IPSec op een specifiek protocol wilt toepassen, zoals HTTP of WSD, selecteert u [Eén poort] en voert u het poortnummer van het protocol in.
8
In [IKE-instellingen] stelt u IKE in.
[IKE-modus]
Het apparaat ondersteunt uitsluitend de hoofdmodus.
[Authenticatiemethode]
Selecteer de verificatiemethode van het apparaat.
Als [Methode gedeelde sleutel] is geselecteerd, klikt u op [Instellingen gedeelde sleutel] voer de reeks in die u wilt gebruiken als gedeelde sleutel met single-byte alfanumerieke tekens klik op [OK].
voer de reeks in die u wilt gebruiken als gedeelde sleutel met single-byte alfanumerieke tekens klik op [OK].Als [Methode digitale handtekening] is geselecteerd, klikt u op [Sleutel en certificaat] [Registreer standaardsleutel] rechts van sleutel en certificaat die u wilt gebruiken.
[Registreer standaardsleutel] rechts van sleutel en certificaat die u wilt gebruiken.
[Geldigheid]
Voer (in minuten) de geldige periode van IKE SA (ISAKMP SA) in die u wilt gebruiken als het pad voor de besturingscommunicatie.
[Authenticatie-/encryptie-algoritme]
Selecteer het algoritme dat u wilt gebruiken voor sleuteluitwisseling.
9
In [IPSec-netwerkinstellingen] configureert u de IPSec-netwerkinstellingen.
[Gebruik PFS]
Selecteer dit selectievakje om PFS voor de sessiesleutel te configureren.
[Geldigheid]
Geef de geldige periode van IPSec SA op die u wilt gebruiken als het gegevenscommunicatiepad, op basis van tijd, formaat, of beide.
Als het selectievakje [Geef tijd op] is ingeschakeld, voert u de geldige periode in minuten in.
Als het selectievakje [Geef formaat op] is ingeschakeld, voert u de geldige periode in megabytes in.
Als beiden zijn geselecteerd, wordt het item toegepast waarvan de opgegeven waarde het eerst wordt bereikt.
[Authenticatie-/encryptie-algoritme]
Selecteer dit selectievakje volgens de te gebruiken IPSec koptekst (ESP en AH) en diens algoritme.
[ESP-authenticatie]
Als [ESP] is geselecteerd, selecteert u het verificatiealgoritme. Als u ESP-verificatie wilt uitvoeren, selecteert u [SHA1]. Selecteer anders [Niet gebruiken].
[ESP-encryptie]
Als [ESP] is geselecteerd, selecteert u het versleutelingsalgoritme. Als u de het algoritme niet wilt opgeven, selecteert u [NULL]. Als u versleuteling wilt uitschakelen, selecteert u [Niet gebruiken].
[Verbindingsmodus]
Het apparaat ondersteunt uitsluitend de transportmodus.
10
Klik op [OK].
Het nieuw geregistreerde beleid wordt toegevoegd aan [Geregistreerd IPSec-beleid] op het scherm [IPSec-instellingen].
Als er meer dan één beleid is geregistreerd
Klik op [Omhoog] of [Omlaag] rechts van de beleidsnaam om de prioriteit in te stellen. Een beleid met hoger niveau heeft prioriteit bij toepassing voor IPSec-communicatie.
11
Start de machine opnieuw op. Herstarten van de machine
De instellingen worden toegepast.
|
Een geregistreerd beleid bewerkenOm de geregistreerde informatie te bewerken klikt u op de beleidsnaam die u wilt bewerken in [Geregistreerd IPSec-beleid] op het scherm [IPSec-instellingen].
|