Коришћење IPSec-а
Користите IP Security Protocol (IPSec) да спречите прислушкивање и манипулисање IP пакетима који се шаљу и примају преко IP мреже. Овим се врши шифровање на нивоу IP протокола како би се осигурала сигурност без ослањања на апликацију или мрежну конфигурацију.
IPSec – применљиви услови и подржани режими
Пакети на које се IPSec не примењује
Пакети који наводе адресу за враћање, вишеструко емитовање или емитовање
IKE пакети послати са UDP порта 500
ICMPv6 Neighbor Solicitation и Neighbor Advertisement пакети
Режим рада протокола за размену кључева (IKE режим)
IKE режим који машина подржава само је главни режим који се користи за шифровање пакета. Агресивни режим без шифровања није подржан.
Режим комуникације
Режим комуникације који подржава машина је само транспортни режим, који шифрује само део искључујући IP заглавље. Режим тунела, који шифрује цео IP пакет, није подржан.
Коришћење IPSec-а заједно са филтрирањем IP адреса
Прво се примењују подешавања филтера IP адресе. Подешавање заштитног зида
Конфигурација IPSec смерница
Да бисте обавили IPSec комуникацију на машини, морате креирати IPSec политику која укључује применљиви опсег и алгоритме за потврду идентитета и шифровање. Смернице се углавном састоје од следећих ставки.
Бирач
Одредите које IP пакете да примените IPSec комуникацију. Поред навођења IP адресе машине и комуникационих уређаја, можете одредити и њихове бројеве портова.
IKE
Протокол за размену кључева подржава Internet Key Exchange Version 1 (IKEv1). За метод потврде идентитета изаберите метод унапред дељеног кључа или метод дигиталног потписа.
Метод унапред дељеног кључа:
Овај метод потврде идентитета користи заједничку кључну реч, названу Дељени кључ, за комуникацију између машине и других уређаја.
Овај метод потврде идентитета користи заједничку кључну реч, названу Дељени кључ, за комуникацију између машине и других уређаја.
Метод дигиталног потписа
Машина и други уређаји се међусобно потврђују међусобном провером својих дигиталних потписа.
Машина и други уређаји се међусобно потврђују међусобном провером својих дигиталних потписа.
ESP/AH
Одредите подешавања за ESP/AH, који је протокол који се користи за IPSec комуникацију. ESP и AH се могу користити истовремено. Користите Perfect Forward Secrecy (PFS) за још већу сигурност.
Подешавање IPSec-а
Омогућите употребу IPSec-а, а затим креирајте и региструјте IPSec смернице. Ако је креирано више смерница, наведите редослед којим се примењују.
Овај одељак описује како да конфигуришете подешавања користећи Remote UI (Удаљени кориснички интерфејс) са рачунара.
На контролној табли изаберите [Menu] на екрану [Home], а затим изаберите [Preferences] да бисте конфигурисали подешавања. Међутим, контролна табла се може користити само за омогућавање или онемогућавање IPSec-а. [Use IPSec]
Потребне су привилегије администратора. Машина се мора поново покренути да би се подешавања применила.
На контролној табли изаберите [Menu] на екрану [Home], а затим изаберите [Preferences] да бисте конфигурисали подешавања. Међутим, контролна табла се може користити само за омогућавање или онемогућавање IPSec-а. [Use IPSec]
Потребне су привилегије администратора. Машина се мора поново покренути да би се подешавања применила.
|
Потребне припреме
|
|
Повежите машину директно са рачунаром на истој виртуелној приватној мрежи (VPN) као и машина. Потврдите услове рада и унапред завршите подешавања на рачунару.
Припремите следеће у складу са IKE методом потврде идентитета:
Када користите метод унапред дељеног кључа, омогућите TLS за Remote UI (Удаљени кориснички интерфејс) комуникацију. Коришћење TLS-а
Када користите метод дигиталног потписа, припремите кључ и сертификат за употребу. Контрола и верификација кључа и сертификата
Када користите PFS, проверите да ли је PFS омогућен на уређају за комуникацију.
|
1
Пријавите се на Remote UI (Удаљени кориснички интерфејс) у режиму управљања системом. Покретање интерфејса Remote UI (Удаљени кориснички интерфејс)
2
На страници портала Remote UI (Удаљени кориснички интерфејс) кликните на [Settings/Registration]. Страница портала Remote UI (Удаљени кориснички интерфејс)
3
Кликните на [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].Приказан је екран [Edit IPSec Settings].
4
Означите поље за потврду [Use IPSec] и кликните на [OK].
Да бисте примали само пакете који су у складу са смерницама, опозовите избор у пољу за потврду [Receive Non-Policy Packets].
5
Кликните на [Register New Policy].
Приказан је екран [Register New IPSec Policy].
6
У [Policy Settings] унесите назив политике и изаберите поље за потврду [Enable Policy].
За назив политике унесите име да бисте идентификовали смернице помоћу једнобајтних алфанумеричких знакова.
7
У [Selector Settings] подесите бирач.
[Local Address Settings]
Изаберите тип IP адресе машине на коју се политика примењује.
Да бисте применили IPSec на све IP пакете, изаберите [All IP Addresses].
Да бисте применили IPSec на IP пакете послате и примљене помоћу IPv4 или IPv6 адресе, изаберите [IPv4 Address] или [IPv6 Address].
[Remote Address Settings]
Изаберите тип IP адресе комуникационог уређаја на који се примењује политика.
Да бисте применили IPSec на све IP пакете, изаберите [All IP Addresses].
Да бисте применили IPSec на IP пакете послате и примљене помоћу IPv4 или IPv6 адресе, изаберите [All IPv4 Addresses] или [All IPv6 Addresses].
Да бисте одредили IPv4 или IPv6 адресу на коју се примењује IPSec, изаберите [IPv4 Manual Settings] или [IPv6 Manual Settings].
[Addresses to Set Manually]
Када је изабрано [IPv4 Manual Settings] или [IPv6 Manual Settings], унесите IP адресу. Такође можете да наведете опсег IP адреса коришћењем цртице (-).
Пример уноса:
Једна IPv4 адреса
192.168.0.10
192.168.0.10
Једна IPv6 адреса
fe80::10
fe80::10
Навођење опсега
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Када је изабрано [IPv4 Manual Settings], можете користити маску подмреже да бисте одредили опсег IPv4 адреса.
Пример уноса:
255.255.255.240
255.255.255.240
[Prefix Length]
Када је изабрано [IPv6 Manual Settings], можете користити дужину префикса да бисте одредили опсег IPv6 адреса. Унесите дужину префикса у опсегу од 0 до 128.
[Port Settings]
Подесите порт на који се примењује IPSec у [Local Port] на машини и [Remote Port] на уређају за комуникацију.
Да бисте применили IPSec на све бројеве портова, изаберите [All Ports].
Да бисте применили IPSec на одређени протокол као што је HTTP или WSD, изаберите [Single Port] и унесите порт број протокола.
8
У оквиру [IKE Settings], подесите IKE.
[IKE Mode]
Машина подржава само главни режим.
[Authentication Method]
Изаберите метод потврде идентитета машине.
Када се изабере [Pre-Shared Key Method], кликните на [Shared Key Settings] унесите низ који ће се користити као заједнички кључ користећи једнобајтне алфанумеричке знакове кликните на [OK].
унесите низ који ће се користити као заједнички кључ користећи једнобајтне алфанумеричке знакове кликните на [OK].Када се изабере [Digital Signature Method], кликните на [Key and Certificate] [Register Default Key] десно од кључа и сертификата који ћете користити.
[Register Default Key] десно од кључа и сертификата који ћете користити.
[Validity]
Унесите важећи период IKE SA (ISAKMP SA) који ће се користити као контролна комуникациона путања у минутима.
[Authentication/Encryption Algorithm]
Изаберите алгоритам који ћете користити за размену кључева.
9
У [IPSec Network Settings] конфигуришите мрежна подешавања за IPSec.
[Use PFS]
Означите ово поље за потврду да бисте конфигурисали PFS за кључ сесије.
[Validity]
Наведите важећи период IPSec SA који ће се користити као путања за комуникацију података према времену, величини или обоје.
Када је означено поље за потврду [Specify by Time], унесите важећи период у минутима.
Када је означено поље за потврду [Specify by Size], унесите важећи период у мегабајтима.
Када су оба изабрана, примењује се ставка чија је наведена вредност прва достигнута.
[Authentication/Encryption Algorithm]
Означите ово поље за потврду у складу са IPSec заглављем (ESP и AH) које ћете користити и његовим алгоритмом.
[ESP Authentication]
Када је изабран [ESP], изаберите алгоритам за потврду идентитета. Да бисте извршили ESP потврду идентитета, изаберите [SHA1]. У супротном, изаберите [Do Not Use].
[ESP Encryption]
Када је изабран [ESP], изаберите алгоритам шифровања. Ако не желите да наведете алгоритам, изаберите [NULL]. Да бисте онемогућили шифровање, изаберите [Do Not Use].
[Connection Mode]
Машина подржава само режим транспорта.
10
Кликните на [OK].
Новорегистрована политика је додата у [Registered IPSec Policies] на екрану [IPSec Settings].
Када је регистровано више политика
Кликните на [Up] или [Down] десно од назива политике да бисте поставили приоритет. Политике вишег нивоа имају приоритет у примени на IPSec комуникацију.
11
Рестартујте апарат. Поновно покретање машине
Подешавања су примењена.
|
Уређивање регистрованих смерницаДа бисте изменили регистроване информације, кликните на име политике коју желите да измените у [Registered IPSec Policies] на екрану [IPSec Settings].
|