IPSec-protokolli seadete konfigureerimine

IPSEC-protokolli kasutamisel ei saa kõrvalised isikud üle IP-võrgu saadetavaid IP-pakette häirida ega muuta. Kuna IPSec suurendab interneti baasprotokolli IP turvalisust, tagab see rakendustest ja võrgukonfiguratsioonist sõltumatu turvalisuse. IPSec-side loomiseks selle masina abil peate seadmed konfigureerima rakenduse parameetritena. Lisaks peate seadistama ka autentimis- ja krüptimisalgoritmi. Nende sätete muutmiseks on vaja administraatoriõigusi või võrguadministraatori õigusi.


Siderežiim IPSec-side korral toetab seade vaid transpordirežiimi Tänu sellele autenditakse ja krüptitakse ainult IP-pakettide andmeosi. Võtmevahetuse protokoll See seade toetab Internet Key Exchange'i versiooni 1 (IKEv1), mis võimaldab võtmete vahetamist protokolli Internet Security Association ja Key Management Protocol (ISAKMP) alusel. Autentimismeetodiks saate valida eeljagatud võtme meetodi või digiallkirja meetodi. Eeljagatud võtme meetodi määramisel peate eelnevalt seadma parooli (eeljagatud võtme), mida masina ja IPSec-sidepunkti suhtlusel kasutatakse. Digitaalsignatuuri meetodi määramisel kasutage masina ja IPSEC-sidepunkti vastastikuseks autentimiseks CA sertifikaati ja PKCS#12 formaadivõtit ning sertifikaati. Täpsemat teavet uute CA-sertifikaatide või võtmete/sertifikaatide registreerimise kohta vaadake lõigust Võrguside võtme ja serdi registreerimine. Arvestage, et enne selle meetodi kasutamist tuleks masinal konfigureerida SNTP. SNTP seadete muutmine

Siderežiim

IPSec-side korral toetab seade vaid transpordirežiimi Tänu sellele autenditakse ja krüptitakse ainult IP-pakettide andmeosi.

Võtmevahetuse protokoll

See seade toetab Internet Key Exchange'i versiooni 1 (IKEv1), mis võimaldab võtmete vahetamist protokolli Internet Security Association ja Key Management Protocol (ISAKMP) alusel. Autentimismeetodiks saate valida eeljagatud võtme meetodi või digiallkirja meetodi.

Eeljagatud võtme meetodi määramisel peate eelnevalt seadma parooli (eeljagatud võtme), mida masina ja IPSec-sidepunkti suhtlusel kasutatakse.

Digitaalsignatuuri meetodi määramisel kasutage masina ja IPSEC-sidepunkti vastastikuseks autentimiseks CA sertifikaati ja PKCS#12 formaadivõtit ning sertifikaati. Täpsemat teavet uute CA-sertifikaatide või võtmete/sertifikaatide registreerimise kohta vaadake lõigust Võrguside võtme ja serdi registreerimine. Arvestage, et enne selle meetodi kasutamist tuleks masinal konfigureerida SNTP. SNTP seadete muutmine


Sõltumata IPSec-side sätte <Vormindamise krüpt. meetodiks FIPS 140-2> väärtusest, kasutatakse krüptimismoodulit, millel juba on FIPS140-2 sertifikaat. Selleks, et IPSec-side vastaks standardile FIPS 140-2, peate seadma IPSec-sides kasutatavate DH ja RSA võtmete pikkuseks selles võrgus, kuhu masin kuulub, vähemalt 2048 bitti. Seadmest saab määrata ainult DH-võtme pikkuse. Keskkonna konfigureerimisel kirjutage vajalikud andmed üles, sest RSA sätted masinas pole Saate salvestada kuni 10 turbereeglistikku.

Sõltumata IPSec-side sätte <Vormindamise krüpt. meetodiks FIPS 140-2> väärtusest, kasutatakse krüptimismoodulit, millel juba on FIPS140-2 sertifikaat.

Selleks, et IPSec-side vastaks standardile FIPS 140-2, peate seadma IPSec-sides kasutatavate DH ja RSA võtmete pikkuseks selles võrgus, kuhu masin kuulub, vähemalt 2048 bitti.

Seadmest saab määrata ainult DH-võtme pikkuse.

Keskkonna konfigureerimisel kirjutage vajalikud andmed üles, sest RSA sätted masinas pole

Saate salvestada kuni 10 turbereeglistikku.

Vajutage nuppu

(Seaded/salvestus).

Valige <Eelistused>

<Võrk>

<IP turvalisuse (IPSec) seaded>.

Määrake seade <IPSec kasutus> olekusse <Sees> ja vajutage klahvi <Salvesta>.

Sisestage eeskirja nimi.

Vajutage valikul <Reegli nimi>, sisestage nimi ja vajutage <OK>.

Canoni multifunktsionaalsetes printerites saab AES-krüptimismeetodi jaoks kasutada kaht võtmepikkust – 128-bitist ja 256-bitist. Kui soovite lubada vaid 256-bitised võtmed ja töötada kooskõlas CC-standarditega, määrake sätte <Luba AES-võtme pikkuseks ainult 256 bitti> väärtuseks <Sees>.

Konfigureerige IPSeci rakendusparameetrid.

Vajutage nuppu <Valija seaded>.

Määrake IP-aadress, millele IPSeci reegleid rakendatakse.

Sisestage selle seadme IP-aadress väljale <Kohalik aadress>, ja sidepunkti aadress väljale <Kaugaadress>.

<Kõik IPaadressid>	IPSeci rakendatakse kõigile saadetud ja vastuvõetud IP-pakettidele.
<IPv4 aadress>	IPSeci rakendatakse selle seadme IPv4-aadressilt saadetud ja vastuvõetud IP-pakettidele.
<IPv6 aadress>	IPSeci rakendatakse selle seadme IPv6-aadressilt saadetud ja vastuvõetud IP-pakettidele.
<Kõik IPv4aadressid>	IPSeci rakendatakse sidepunkti IPv4-aadressilt saadetud ja vastuvõetud IP-pakettidele.
<Kõik IPv6aadressid>	IPSeci rakendatakse sidepunkti IPv6-aadressilt saadetud ja vastuvõetud IP-pakettidele.
<IPv4 käsiseaded>	Määrake IPv4-aadress, millele IPSeci rakendatakse. Ühe IPv4-aadressi sisestamiseks valige <Üksik aadress>. IPv4-aadresside vahemiku muutmiseks valige <Aadressivahemik>. Sisestage erinevad aadressid väljadele <Esimene aadress> ja <Viimane aadress>. Alamvõrgu maskiga IPv4-aadresside vahemiku määramiseks valige <Alamvõrgu seaded>. Sisestage erinevad väärtused väljadele <Aadress> ja <Alamvõrgu mask>.
<IPv6 käsiseaded>	Määrake IPv6-aadress, millele IPSeci rakendatakse. Ühe IPv6-aadressi sisestamiseks valige <Üksik aadress>. IPv6-aadresside vahemiku muutmiseks valige <Aadressivahemik>. Sisestage erinevad aadressid väljadele <Esimene aadress> ja <Viimane aadress>. Prefiksikoodiga IPv6-aadresside vahemiku määramiseks valige <Määra prefiks>. Sisestage erinevad väärtused väljadele <Aadress> ja <Prefiksi pikkus>.

Määrake port, millele IPSeci rakendatakse.

Vajutage <Määra pordi numbri järgi>, et kasutada pordinumbreid, kui valite neid porte, millele IPSeci rakendatakse. Valige <Kõik pordid>, et rakendada IPSeci kõigile pordinumbritele. IPSeci kindlale pordinumbrile rakendamiseks vajutage valikul <Üksik port> ja sisestage pordi number. Pärast portide valimist vajutage <OK>. Sisestage selle seadme port väljale <Lokaalne port>, ja sidepunkti port väljale <Kaugport>.

Vajutage valikul <Määra teenuse nime järgi>, et määrata teenusenimed, kui valite neid porte, millele IPSeci rakendatakse. Valige loendist teenus, vajutage <Teenus Sees/Väljas>, valige <Sees> ja vajutage <OK>.

Vajutage nuppu <OK>.

Konfigureerige autentimise ja krüpteerimise seaded.

Vajutage nuppu <IKE seaded>.

Seadistage vajalikud sätted.

Valige võtmevahetuse protokolli töörežiim. Kui töörežiimiks on määratud <Põhi>, on turbetase kõrgem, sest IKE-seanss ise on krüptitud, aga sidekoormus on suurem võrreldes töörežiimiga <Agressiivne>, mille puhul krüptimine puudub.

Seadke genereeritud IKE SA aegumisperiood.

Valige üks allkirjeldatud autentimismeetoditest.

<Avaliku võtme meetod>	Seadke sama parool (eelnevalt jaotatud võti), mille seadsite sidepunktile. Vajutage <Jagatud võti>, sisestage jagatud võtmena kasutatav tähemärgistring ja vajutage valikut <OK>.
<Digitaalsign. meetod>	Määrake võti ja sert, mida kasutatakse sidepartneriga suhtlemisel vastastikuseks autentimiseks. Vajutage nuppu <Võti ja sertifikaat>, valige kasutatav võti ja sert ning valige <Määra vaikevõtmeks> <Jah> <OK>.

IKE 1. faasi autentimis- ja krüptimisalgoritmi määramisviisi seadmiseks valige <Aut.> või <Käsitsi seaded>. Kui valite <Aut.>, määratakse automaatselt algoritm, mida saab kasutada nii selle masina kui ka sidepunkti jaoks. Kui soovite valida mõne konkreetse algoritmi, tehke valik <Käsitsi seaded> ja konfigureerige alltoodud seaded.

<Autentimine>	Valige räsialgoritm.
<Krüpteerimine>	Valige krüptimisalgoritm.
<DH rühm>	Valige rühm, mille jaoks Diffie-Hellmani võtmevahetusmeetod võtme tugevuse määrab.

Vajutage nuppu <OK>.


Kui sätte <IKE režiim> väärtuseks on seatud <Põhi> kuval <IKE seaded> ja seade <Autentimise meetod> väärtuseks on <Avaliku võtme meetod>, kehtivad mitme turbereeglistiku rakendamisel järgmised piirangud. Eeljagatud võtme meetod: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on kõik selle turbereerglistiku võtmed identsed (see ei kehti juhul, kui määrate vaid ühe aadressi). Prioriteet: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on selle turbereeglistiku prioriteet madalam neist turbereeglistikest, mida on rakendatud vaid ühele aadressile.

Kui sätte <IKE režiim> väärtuseks on seatud <Põhi> kuval <IKE seaded> ja seade <Autentimise meetod> väärtuseks on <Avaliku võtme meetod>, kehtivad mitme turbereeglistiku rakendamisel järgmised piirangud.

Eeljagatud võtme meetod: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on kõik selle turbereerglistiku võtmed identsed (see ei kehti juhul, kui määrate vaid ühe aadressi).

Prioriteet: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on selle turbereeglistiku prioriteet madalam neist turbereeglistikest, mida on rakendatud vaid ühele aadressile.

Konfigureerige IPSec-protokolli seaded.

Vajutage nuppu <IPSec võrgu seaded>.

Seadistage vajalikud sätted.

Seadke genereeritud IPSec SA aegumisperiood. Määrake kindlasti kas <Aeg> või <Suurus>. Kui seate mõlemad, rakendatakse esimesena saadud väärtusega seade.

<PFS>

Kui määrate PFS-funktsiooni olekuks <Sees>, on krüptimisvõti salastatum, aga side on aeglasem. Lisaks peate PFS-funktsiooni lubama ka sidepunkti seadmes.

IKE 2. faasi autentimis- ja krüptimisalgoritmi määramisviisi seadmiseks valige <Aut.> või <Käsitsi seaded>. Kui valite viisiks <Aut.>, määratakse ESP autentimis- ja krüptimisalgoritm automaatselt. Konkreetse autentimisviisi määramiseks vajutage valikul <Käsitsi seaded> ja valige üks allpool loetletud autentimismeetoditest.

<ESP>	Teostatakse nii autentimine kui ka krüptimine. Valige funktsioonide <ESP-autentimine> ja <ESP krüpteerimine> jaoks kasutatav algoritm. Valige <NULL>, kui te ei soovi autentimis- või krüptimisalgoritmi valida.
<ESP (AES-GCM)>	Algoritmi AES-GCM kasutatakse ESP-algoritmina ja teostatakse nii autentimine kui ka krüptimine.
<AH (SHA1)>	Autentimine teostatakse, aga andmeid ei krüptita. Kasutatakse SHA1-algoritmi.

Vajutage nuppu <OK>

<OK>.

Lubage registreeritud reeglid ja kontrollige prioriteetide järjekorda.

Valige loendist registreeritud eeskirjad ja vajutage valikut <Reegel Sisse/Välja>, et muuta nende olekuks <Sees>.

Eeskirju rakendatakse loendatud järjekorras, alates ülevalt. Prioriteetsuse muutmiseks valige loendist soovitud eeskiri ja vajutage <Tõsta priorit.> või <Madalam prioriteet>.

Kui te ei soovi reeglitele mittevastavaid pakette saata ega vastu võtta, valige <Keela> kuval <Mitte-reeglipäraste paket. VV>.

Vajutage nuppu <OK>.

Valige

(Seaded/salvestus)

<Rak. sea. muudat.>

<Jah>.


IPSeci eeskirjade haldamine Eeskirju saate muuta 3. toimingus kuvatud seadistuskuval. Eeskirja üksikasjade muutmiseks valige loendist soovitud eeskiri ja vajutage valikut <Muuda>. Eeskirja keelamiseks valige loendist soovitud eeskiri ja vajutage valikut <Reegel Sisse/Välja>. Eeskirja kustutamiseks valige loendist soovitud eeskiri ja vajutage <Kustuta> <Jah>.

IPSec-protokolli seadete konfigureerimine

Siderežiim

Võtmevahetuse protokoll

IPSeci eeskirjade haldamine