|
Mod komunikacijeUređaj podržava samo način prijenosa za IPSec komunikaciju. Rezultat toga jest da se autentikacija i enkripcija primjenjuju samo na podatkovne dijelove IP paketa.
Protokol razmjene ključevaUređaj podržava Internet Key Exchange verzije 1 (IKEv1) za razmjenu ključeva temeljem standarda ISAKMP (Internet Security Association and Key Management Protocol). Za metodu autentikacije odaberite metodu unaprijed dijeljenog ključa ili metodu digitalnog potpisa.
Prilikom postavljanja metode unaprijed dijeljenog ključa, morate unaprijed odabrati pristupni izraz (unaprijed dijeljeni ključ) koji se upotrebljava između uređaja i uređaja za IPSec komunikaciju.
Prilikom postavljanja metode digitalnog potpisa, odaberite CA certifikat i ključ u formatu PKCS#12 i certifikat za međusobnu autentikaciju između uređaja i uređaja za IPSec komunikaciju. Više informacija o registraciji novih CA certifikata ili ključeva/certifikata potražite u odjeljku Registriranje ključa i certifikata za mrežnu komunikaciju. Napominjemo kako SNTP prije upotrebe te metode mora biti konfiguriran za uređaj. Podešavanje SNTP postavki
|
|
Bez obzira na postavljanje opcije <Format metode kriptiranja na FIPS 140-2> za IPSec komunikaciju, koristit će se modul za enkripciju s postojećim FIPS140-2 certifikatom.
Kako biste osigurali usklađenost IPSec komunikacije sa standardom FIPS 140-2, u mrežnom okruženju kojemu uređaj pripada morate postaviti dužinu ključa za DH i RSA u IPSec komunikaciji na 2048 ili više bitova.
S uređaja možete odrediti samo dužinu ključa za DH.
Obratite pažnju prilikom konfiguriranja okruženja, jer uređaj ne sadrži postavke za RSA.
Možete registrirati do 10 sigurnosnih pravila.
|
1.
|
Pritisnite <Postavke selektora>.
|
||||||||||||||
2.
|
Odredite IP adresu na koju ćete primijeniti IPSec pravila.
Odredite IP adresu ovog uređaja u izborniku <Lokalna adresa> i odredite IP adresu uređaja za komunikaciju u izborniku <Udaljena adresa>.
|
||||||||||||||
3.
|
Odredite port na koji ćete primijeniti IPSec.
Pritisnite <Definiraj prema broju porta> za upotrebu brojeva portova prilikom određivanja portova na koje se IPSec odnosi. Odaberite <Svi portovi> kako biste IPSec primijenili na sve brojeve portova. Kako biste IPSec primijenili na određeni broj porta, pritisnite <Pojedinačni port> i unesite broj porta. Nakon određivanja portova pritisnite <OK>. Odredite port ovog uređaja u izborniku <Lokalni port> i odredite port uređaja za komunikaciju u izborniku <Udaljeni port>.
Pritisnite <Definiraj prema nazivu usluge> za upotrebu naziva servisa prilikom određivanja portova na koje se IPSec odnosi. Odaberite servis s popisa, pritisnite <Usluga uklj./isklj.> kako biste ga postavili na <Uključeno> i pritisnite <OK>.
|
||||||||||||||
4.
|
Pritisnite <OK>.
|
1.
|
Pritisnite <IKE postavke>.
|
||||||||||
2.
|
Konfigurirajte neophodne postavke.
<IKE mod>
Odaberite način rada za protokol razmjene ključeva. Kada je radni način postavljen na <Glavni>, sigurnost je pojačana jer je sama IKE sesija šifrirana, ali je veći teret stavljen na komunikaciju u odnosu na <Agresivni> radni način, u kojem se šifriranje ne provodi.
<Valjanost>
Postavite razdoblje isteka generiranog IKE SA.
<Metoda autentikacije>
Odaberite jednu od metoda autentikacije opisanih u nastavku.
<Algoritam za autentikaciju/kriptiriranje>
Odaberite <Auto> ili <Ručno podešavanje> i postavite kako odrediti algoritam kriptiranja i autentikacije za IKE, fazu 1. Ako odaberete <Auto>, algoritam koji može upotrebljavati ovaj uređaj i uređaj za komunikaciju postavit će se automatski. Ako želite odrediti određeni algoritam, odaberite <Ručno podešavanje> i konfigurirajte postavke u nastavku.
|
||||||||||
3.
|
Pritisnite <OK>.
|
|
Ako za <IKE mod> odaberete vrijednost <Glavni> na zaslonu <IKE postavke>, a <Metoda autentikacije> postavite na <Metoda unap. dijelj. ključa>, vrijedit će sljedeća ograničenja prilikom registracije više sigurnosnih pravila.
Metoda unap. dijelj. ključa: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, svi dijeljeni ključevi za to sigurnosno pravilo bit će identični (to se ne primjenjuje ako je određena jedna adresa).
Prioritet: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, prioritet tog sigurnosnog pravila bit će ispod sigurnosnih pravila za koja je određena jedna adresa.
|
1.
|
Pritisnite <IPSec mrežne postavke>.
|
||||||
2.
|
Konfigurirajte neophodne postavke.
<Valjanost>
Postavite razdoblje valjanosti generiranog IPSec SA. Postavite <Vrijeme> ili <Format>. Ako postavite oboje, primjenjuje se postavka s vrijednošću koja je prva dosegnuta.
<PFS>
Ako za funkciju Perfect Forward Secrecy (PFS) odaberete <Uključeno>, tajnost ključa šifriranja raste, ali brzina komunikacije opada. Osim toga, funkciju PFS morate omogućiti na uređaju za komunikaciju.
<Algoritam za autentikaciju/kriptiriranje>
Odaberite <Auto> ili <Ručno podešavanje> i postavite kako odrediti algoritam kriptiranja i autentikacije za IKE, fazu 2. Ako odaberete <Auto>, ESP algoritam kriptiranja i autentikacije postavit će se automatski. Ako želite odrediti konkretnu metodu autentikacije, pritisnite <Ručno podešavanje> i odaberite jednu od metoda autentikacije u nastavku.
|
||||||
3.
|
Pritisnite <OK> <OK>.
|
|
Upravljanje IPSec pravilimaMožete uređivati pravila na zaslonu koji je prikazan u 3. koraku.
Kako biste uredili pojedinosti pravila, odaberite pravilo s popisa i pritisnite <Uredi>.
Kako biste onemogućili pravilo, odaberite pravilo s popisa i pritisnite <Pravilo uklj./isklj.>.
Da biste izbrisali pravilo, odaberite ga na popisu pa pritisnite <Izbriši> <Da>.
|