استفاده از IPSec
برای جلوگیری از لو رفتن و دستکاری بستههای IP ارسالی و دریافتی از طریق شبکه IP، از پروتکل امنیتی IP (IPSec) استفاده کنید. این مورد رمزگذاری را در سطح پروتکل IP انجام میدهد، تا بدون وابستگی به پیکربندی برنامه یا شبکه، امنیت را تضمین کند.
شرایط کاربردی و حالتهای پشتیبانی IPSec
بستههایی که IPSec در آنها کاربرد ندارد
بستههای تعیینکننده آدرس حلقه برگشت، چندتایی یا پخش
بستههای IKE ارسالی از درگاه 500 UDP
بستههای تبلیغات مجاور و درخواست مجاور ICMPv6
حالت عملیات پروتکل تبادل کلید (حالت IKE)
حالت IKE پشتیبانی شده توسط دستگاه، تنها حالت اصلی است که برای رمزگذاری بستهها استفاده میشود. حالت تهاجمی رمزگذارینشده پشتیبانی نمیشود.
حالت ارتباط
حالت ارتباط پشتیبانی شده توسط دستگاه صرفاً حالت انتقال است، که فقط قسمت مورد نظر را به استثناء عنوان IP، رمزگذاری میکند. از حالت تونل که کل بسته IP را رمزگذاری میکند، پشتیبانی نمیشود.
استفاده از IPSec همراه با فیلتر کردن آدرس IP
ابتدا تنظیمات فیلتر کردن آدرس IP اعمال میشوند. تنظیم دیوار آتش
پیکربندی سیاست IPSec
برای انجام ارتباط IPSec در دستگاه، شما باید یک سیاست IPSec ایجاد کنید که شامل محدوده کاربردی و الگوریتمهای تأیید اعتبار و رمزگذاری باشد. این سیاست معمولاً از موارد زیر تشکیل میشود.
انتخاب کننده
بستههای IP که میخواهید ارتباط IPSec در آنها اعمال شوند را مشخص کنید. علاوه بر مشخص کردن آدرس IP این دستگاه و دستگاههای ارتباطی، شما همچنین میتوانید شمارههای درگاه آنها را نیز تعیین کنید.
IKE
پروتکل تبادل کلید، از نسخه تبادل کلید اینترنتی 1 (IKEv1)، پشتیبانی میکند. برای روش تأیید اعتبار، روش کلید از قبل مشترک یا روش امضای دیجیتالی را انتخاب کنید.
روش کلید از قبل به اشتراک گذاشته شده:
این روش تأیید اعتبار از یک کلمه کلیدی مشترک، که کلید مشترک نامیده میشود، برای ارتباط بین این دستگاه و سایر دستگاهها استفاده میکند.
این روش تأیید اعتبار از یک کلمه کلیدی مشترک، که کلید مشترک نامیده میشود، برای ارتباط بین این دستگاه و سایر دستگاهها استفاده میکند.
روش امضای دیجیتالی
این دستگاه و سایر دستگاهها با تأیید متقابل امضاهای دیجیتالی خود، یکدیگر را تأیید اعتبار میکنند.
این دستگاه و سایر دستگاهها با تأیید متقابل امضاهای دیجیتالی خود، یکدیگر را تأیید اعتبار میکنند.
ESP/AH
تنظیمات ESP/AH، که پروتکل مورد استفاده برای ارتباط IPSec است را مشخص کنید. میتوان از ESP و AH به صورت همزمان استفاده کرد. برای داشتن امنیت بیشتر، از محرمانگی کامل ارسال (PFS) استفاده کنید.
تنظیم IPSec
استفاده از IPSec را فعال کنید و سپس سیاست IPSec را ایجاد و ثبت کنید. اگر چندین سیاست ایجاد شده است، ترتیب اعمال آنها را مشخص کنید.
این بخش نحوه پیکربندی تنظیمات با استفاده از Remote UI (واسطه کاربر از راه دور) از طریق رایانه را شرح میدهد.
در پنل کنترل، گزینه [Menu] را در صفحه [Home] انتخاب، و سپس برای پیکربندی تنظیمات، گزینه [Preferences] را انتخاب کنید. هرچند، از پنل کنترل فقط میتوان برای فعال یا غیرفعال کردن IPSec استفاده کرد. [Use IPSec]
امتیازات سرپرست لازم است. برای اعمال این تنظیمات باید دستگاه را مجدداً راهاندازی کرد.
در پنل کنترل، گزینه [Menu] را در صفحه [Home] انتخاب، و سپس برای پیکربندی تنظیمات، گزینه [Preferences] را انتخاب کنید. هرچند، از پنل کنترل فقط میتوان برای فعال یا غیرفعال کردن IPSec استفاده کرد. [Use IPSec]
امتیازات سرپرست لازم است. برای اعمال این تنظیمات باید دستگاه را مجدداً راهاندازی کرد.
|
مقدمات ضروری
|
|
دستگاه را به صورت مستقیم به رایانهای که در همان شبکه خصوصی مجازی (VPN) قرار دارد، وصل کنید. شرایط عملیات را تأیید، و از قبل تنظیمات را روی رایانه تکمیل کنید.
موارد زیر را مطابق با روش تأیید اعتبار IKE آماده کنید:
هنگام استفاده از روش کلید از قبل اشتراک گذاری شده، TLS را برای ارتباط Remote UI (واسطه کاربر از راه دور)، فعال کنید. استفاده از TLS
هنگام استفاده از روش امضای دیجیتالی، کلید و گواهی مورد استفاده را آماده کنید. مدیریت و تأیید اعتبار یک کلید و گواهی
هنگام استفاده از PFS، بررسی کنید که PFS رو دستگاه ارتباطی فعال شده باشد.
|
1
در "حالت مدیر سیستم" به Remote UI (واسطه کاربر از راه دور) وارد شوید. راهاندازی Remote UI (واسطه کاربر از راه دور)
2
در صفحه پورتال Remote UI (واسطه کاربر از راه دور)، روی [Settings/Registration] کلیک کنید. صفحه پورتال Remote UI (واسطه کاربر از راه دور)
3
روی [Network Settings] 
[IPSec Settings] [Edit] کلیک کنید.
[IPSec Settings] [Edit] کلیک کنید.صفحه [Edit IPSec Settings] نمایش داده میشود.
4
کادر انتخاب [Use IPSec] را علامت بزنید و روی [OK] کلیک کنید.
برای آنکه فقط بستههایی را دریافت کنید که با این سیاست منطبق هستند، علامت کادر انتخاب [Receive Non-Policy Packets] را پاک کنید.
5
روی [Register New Policy] کلیک کنید.
صفحه [Register New IPSec Policy] نمایش داده میشود.
6
در [Policy Settings]، نام سیاست را وارد کنید، و کادر انتخاب [Enable Policy] را علامت بزنید.
برای نام سیاست، با استفاده از نویسههای حرفی عددی تکبایتی، نامی را برای شناسایی سیاست وارد کنید.
7
در [Selector Settings]، انتخابکننده را تنظیم کنید.
[Local Address Settings]
نوع آدرس IP دستگاه که قرار است سیاست روی آن اعمال شود را انتخاب کنید.
برای اعمال IPSec به همه بستههای IP، گزینه [All IP Addresses] را انتخاب کنید.
برای اعمال IPSec به بستههای IP ارسال و دریافت شده از طریق آدرسهای IPv4 یا IPv6، گزینه [IPv4 Address] یا [IPv6 Address] را انتخاب کنید.
[Remote Address Settings]
نوع آدرس IP دستگاه ارتباطی که قرار است سیاست روی آن اعمال شود را انتخاب کنید.
برای اعمال IPSec به همه بستههای IP، گزینه [All IP Addresses] را انتخاب کنید.
برای اعمال IPSec به بستههای IP ارسال و دریافت شده از طریق آدرسهای IPv4 یا IPv6، گزینه [All IPv4 Addresses] یا [All IPv6 Addresses] را انتخاب کنید.
برای مشخص کردن آدرس IPv4 یا IPv6 که IPSec روی آن اعمال میشود، گزینه [IPv4 Manual Settings] یا [IPv6 Manual Settings] را انتخاب کنید.
[Addresses to Set Manually]
وقتی [IPv4 Manual Settings] یا [IPv6 Manual Settings] انتخاب شده است، آدرس IP را وارد کنید. شما همچنین میتوانید با استفاده از خط تیره (-)، محدودهای از آدرسهای IP را مشخص کنید.
نمونه ورودی:
یک آدرس IPv4
192.168.0.10
192.168.0.10
یک آدرس IPv6
fe80::10
fe80::10
تعیین محدوده
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
وقتی [IPv4 Manual Settings] انتخاب شده باشد، میتوانید از یک پوشش زیر شبکه برای تعیین محدوده آدرسهای IPv4 استفاده کنید.
نمونه ورودی:
255.255.255.240
255.255.255.240
[Prefix Length]
وقتی [IPv6 Manual Settings] انتخاب شده باشد، میتوانید از یک طول پیشوند برای تعیین محدوده آدرسهای IPv6 استفاده کنید. طول پیشوند را با محدودهای بین 0 تا 128 وارد کنید.
[Port Settings]
در این دستگاه در بخش [Local Port]، و در دستگاه ارتباطی در بخش [Remote Port]، درگاهی که IPSec روی آن اعمال میشود را تنظیم کنید.
برای اعمال IPSec در تمام شمارههای درگاه، گزینه [All Ports] را انتخاب کنید.
برای اعمال IPSec در یک پروتکل خاص مثل HTTP یا WSD، گزینه [Single Port] را انتخاب، و شماره درگاه پروتکل را وارد کنید.
8
در [IKE Settings]، IKE را وارد کنید.
[IKE Mode]
این دستگاه فقط از حالت اصلی پشتیبانی میکند.
[Authentication Method]
روش تأیید اعتبار دستگاه را انتخاب کنید.
وقتی [Pre-Shared Key Method] انتخاب شده است، روی [Shared Key Settings] کلیک کنید، رشته نویسه مورد استفاده برای کلید مشترک را با استفاده از نویسههای حرفی عددی تکبایتی وارد کنید روی [OK] کلیک کنید.
کلیک کنید، رشته نویسه مورد استفاده برای کلید مشترک را با استفاده از نویسههای حرفی عددی تکبایتی وارد کنید روی [OK] کلیک کنید.وقتی [Digital Signature Method] انتخاب شده است، در سمت راست کلید و گواهی مورد استفاده، روی [Key and Certificate] [Register Default Key] کلیک کنید.
[Register Default Key] کلیک کنید.
[Validity]
مدت معتبر IKE SA (ISAKMP SA) را وارد کنید، تا در مسیر ارتباط کنترل برحسب دقیقه استفاده شود.
[Authentication/Encryption Algorithm]
الگوریتم مورد استفاده برای تبادل کلید را انتخاب کنید.
9
در [IPSec Network Settings]، تنظیمات شبکه IPSec را پیکربندی کنید.
[Use PFS]
جهت پیکربندی PFS برای کلید جلسه، این کادر انتخاب را علامت بزنید.
[Validity]
مدت معتبر IPSec SA را مشخص کنید تا به عنوان مسیر ارتباط داده براساس زمان، اندازه یا هر دو، استفاده شود.
وقتی کادر انتخاب [Specify by Time] علامت زده شده است، مدت معتبر را برحسب دقیقه وارد کنید.
وقتی کادر انتخاب [Specify by Size] علامت زده شده است، مدت معتبر را برحسب مگابایت وارد کنید.
وقتی هر دوی آنها انتخاب شده باشند، موردی که مقدار آن زودتر حاصل شود، اعمال خواهد شد.
[Authentication/Encryption Algorithm]
این کادر انتخاب را براساس عنوان IPSec (ESP و AH) مورد استفاده و الگوریتم آن، علامت بزنید.
[ESP Authentication]
وقتی [ESP] انتخاب شده است، الگوریتم تأیید اعتبار را انتخاب کنید. برای انجام تأیید اعتبار ESP، گزینه [SHA1] را انتخاب کنید. در غیر این صورت، [Do Not Use] را انتخاب کنید.
[ESP Encryption]
وقتی [ESP] انتخاب شده است، الگوریتم رمزگذاری را انتخاب کنید. در صورتی که نمیخواهید الگوریتم تعیین شود، گزینه [NULL] را انتخاب کنید. برای غیرفعال کردن رمزگذاری، گزینه [Do Not Use] را انتخاب کنید.
[Connection Mode]
این دستگاه فقط از حالت انتقال پشتیبانی میکند.
10
روی [OK] کلیک کنید.
سیاست تازه ثبت شده به [Registered IPSec Policies] در صفحه [IPSec Settings] اضافه میشود.
وقتی چندین سیاست ثبت میشوند
برای تنظیم اولویت، در سمت راست نام سیاست، روی [Up] یا [Down] کلیک کنید. سیاستهای سطح بالاتر، دارای اولویت بیشتری برای اعمال در ارتباط IPSec هستند.
11
دستگاه را دوباره راهاندازی کنید. نحوه راهاندازی مجدد دستگاه
تنظیمات اعمال شدهاند.
|
ویرایش سیاستهای ثبت شدهبرای ویرایش اطلاعات ثبت شده، در [Registered IPSec Policies] در صفحه [IPSec Settings]، روی نام سیاستی که مایل به ویرایش آن هستید، کلیک کنید.
|