KommunikationsstatusDenne maskine understøtter kun transporttilstand for IPSec-kommunikation. Som et resultat heraf anvendes godkendelse og kryptering kun til datadelene af IP-pakkerne. NøgleudvekslingsprotokolDenne maskine understøtter Internet Key Exchange version 1 (IKEv1) til udveksling af nøgler baseret på Internet Sikkerhed Association and Key Management Protocol (ISAKMP). For godkendelsesmetoden skal du angive enten metoden med forhåndsdelt nøgle eller metoden med digital signatur. Ved indstilling af metoden med forhåndsdelt nøgle skal du på forhånd vælge et kodeord (en forhåndsdelt nøgle), der anvendes mellem maskinen og IPSec-kommunikationspartneren. Ved indstilling af metoden med digital signatur skal du anvende et CA-certifikat og en nøgle i PKCS#12-format samt et certifikat for at udføre gensidig godkendelse mellem maskinen og IPSec-kommunikationspartneren. For flere informationer om at registrere nye CA-certifikater eller nøgler/certifikater kan du se Registrering af en nøgle og et certifikat til netværkskommunikation. Bemærk, at SNTP skal konfigureres for maskinen, før den anvender denne metode. Udførelse af SNTP-indstillinger |
Uanset indstillingen af <Formatkrypteringsmetode til FIPS 140-2> til IPSec-kommunikation, vil der benyttes et krypteringsmodul, som allerede har opnået FIPS140-2-certificeringen. For at få IPSec-kommunikation til at overholde FIPS 140-2 skal du indstille nøglelængden for både DH og RSA for IPSec-kommunikation til 2048-bit eller længere i det netværksmiljø, som maskinen hører til. Det er kun nøglelængden for DH, der kan angives fra maskinen. Vær opmærksom, når du konfigurerer dit miljø, da der ikke er nogen indstillinger for RSA i maskinen. Du kan registrere op til 10 sikkerhedspolitikker. |
1 | Tryk på <Indstillinger for vælger>. | ||||||||||||||
2 | Angiv IP-adressen, som IPSec-politikken skal anvendes på. Angiv IP-adressen på denne maskine i <Lokal adresse>, og angiv IP-adressen for kommunikationspartneren i <Fjernadresse>.
| ||||||||||||||
3 | Angiv den port, IPSec skal anvendes på. Tryk på <Sortér efter portnummer> for at bruge portnumre ved angivelse af de porte, IPSec skal anvendes på. Vælg <Alle porte> for at anvende IPSec på alle portnumre. For at anvende IPSec på et bestemt portnummer skal du trykke på <Enkelt port> og indtaste portnummeret. Efter angivelse af portene skal du trykke på <OK>. Angiv porten på denne maskine i <Lokal port>, og angiv porten for kommunikationspartneren i <Fjernport>. Tryk på <Specificer efter servicenavn> for at bruge tjenestenavne ved angivelse af de porte, IPSec skal anvendes på. Vælg tjenesten på listen, tryk på <Service Til/Fra> for at indstille den til <Til>, og tryk på <OK>. | ||||||||||||||
4 | Tryk på <OK>. |
1 | Tryk på <Indstillinger for IKE>. | ||||||||||
2 | Konfigurér de nødvendige indstillinger. <IKE-tilstand> Vælg driftsstatussen for nøgleudvekslingsprotokollen. Når handlingstilstanden er indstillet til <Normal>, er sikkerheden forbedret, fordi selve IKE-sessionen er krypteret, men der placeres en større byrde på kommunikationen sammenlignet med <Aggressiv>, der ikke udfører kryptering. <Gyldighed> Indstil udløbsperioden for det genererede IKE SA. <Godkendelsesmetode> Vælg en af godkendelsesmetoderne, der er beskrevet herunder.
<Godkendelses-/krypteringsalgoritme> Vælg enten <Auto> eller <Manuelle indstillinger> for at indstille, hvordan godkendelses- og krypteringsalgoritmen indstilles for IKE phase 1. Hvis du vælger <Auto>, indstilles automatisk en algoritme, der kan anvendes med både denne maskine og kommunikationspartneren. Hvis du vil angive en bestemt algoritme, skal du vælge <Manuelle indstillinger> og konfigurere indstillingerne herunder.
| ||||||||||
3 | Tryk på <OK>. |
Når <IKE-tilstand> er indstillet til <Normal> på skærmen <Indstillinger for IKE>, og <Godkendelsesmetode> er indstillet til <Pre-Shared Key-metode>, gælder følgende restriktioner ved registrering af flere sikkerhedspolitikker. Metoden Forhåndsdelt nøgle: Ved angivelse af flere fjerne IP-adresser, til hvilke en sikkerhedspolitik skal tilknyttes, er alle delte nøgler for denne sikkerhedspolitik identiske (dette gælder ikke, når der angives en enkelt adresse). Prioritet: Ved angivelse af flere fjerne IP-adresser, til hvilke en sikkerhedspolitik skal tilknyttes, er prioriteten for denne sikkerhedspolitik lavere end for sikkerhedspolitikker for hvilke en enkelt adresse er indstillet. |
1 | Tryk på <IPSec-netværksindstillng.>. | ||||||
2 | Konfigurér de nødvendige indstillinger. <Gyldighed> Indstil udløbsperioden for det genererede IPSec SA. Sørg for at indstille enten <Tid> eller <Format>. Hvis du indstiller begge, bliver den indstilling, der nås først, anvendt. <PFS> Hvis du indstiller funktionen PFS (Perfect Forward Secrecy) til <Til>, forøges hemmeligholdelsen af krypteringsnøglen, men kommunikationshastigheden er lavere. Herudover skal funktionen PFS være aktiveret på enheden hos kommunikationspartneren. <Godkendelses-/krypteringsalgoritme> Vælg enten <Auto> eller <Manuelle indstillinger> for at indstille, hvordan godkendelses- og krypteringsalgoritmen indstilles for IKE phase 2. Hvis du vælger <Auto>, indstilles ESP-godkendelses- og krypteringsalgoritmen automatisk. Hvis du vil angive en bestemt godkendelsesmetode, skal du trykke på <Manuelle indstillinger> og vælge en af godkendelsesmetoderne herunder.
| ||||||
3 | Tryk på <OK> <OK>. |
Administration af IPSec-politikkerDu kan registrere politikker på det skærmbillede, der blev vist trin 3. For at redigere detaljerne for en politik skal du vælge politikken på listen og trykke på <Redigér>. For at deaktivere en politik skal du vælge politikken på listen og trykke på <Policy Til/Fra>. For at slette en politik skal du vælge politikken på listen og trykke på <Slet> <Ja>. |