|
Režim komunikacePro komunikaci s IPSec tento stroj podporuje pouze transportní režim. Jsou tak ověřovány a šifrovány pouze datové části IP paketů.
Protokol výměny klíčůTento stroj podporuje IKEv1 (Internet Key Exchange version 1) pro výměnu klíčů na základě ISAKMP (Internet Security Association and Key Management Protocol). Jako ověřovací metodu zadejte metodu předsdíleného klíče nebo metodu digitálního podpisu.
Při nastavování metody předsdíleného klíče se musíte předem rozhodnout pro přístupové heslo (předsdílený klíč), používané mezi strojem a komunikačním partnerem IPSec.
Při nastavování metody digitálního podpisu použijte pro provádění vzájemného ověření mezi strojem a komunikačním partnerem IPSec certifikát CA a klíč a certifikát formátu PKCS#12. Bližší informace o ukládání nových certifikátů CA nebo klíčů/certifikátů viz v Uložení klíče a certifikátu pro síťovou komunikaci. Upozornění. Před použitím této metody se musí pro stroj nastavit SNTP. Nastavení SNTP
|
|
Bez ohledu na nastavení <Formátovat způsob šifrování na FIPS 140-2> bude pro komunikaci IPSec bude šifrovací modul, který již získal certifikaci FIPS140-2.
Aby komunikace IPSec vyhovovala standardu FIPS 140-2, musíte nastavit délku klíče DH a RSA pro komunikaci IPSec na 2 048 bitů nebo více v síťovém prostředí, do kterého stroj náleží.
Ze stroje lze zadat pouze délku klíče pro DH.
Při konfiguraci svého prostředí si dělejte poznámky, protože ve stroji nejsou nastavení pro RSA.
Registrovat můžete až 10 bezpečnostních postupů.
|
1
|
Stiskněte <Nastavení voliče>.
|
||||||||||||||
2
|
Zadejte IP adresu, pro kterou se má použít zásada IPSec.
Zadejte IP adresu tohoto stroje v <Lokální adresa> zadejte IP adresu komunikačního partnera v <Vzdálená adresa>.
|
||||||||||||||
3
|
Zadejte port, pro který se má použít IPSec.
Stiskněte <Zadat podle čísla portu>, chcete-li používat čísla portů při zadávání portů, pro něž se má používat IPSec. Vyberte <Všechny porty>, chcete-li používat IPSec pro všechna čísla portů. Chcete-li IPSec používat pro určité číslo portu, stiskněte <Jeden port> a zadejte číslo portu. Po zadání portů stiskněte <OK>. Zadejte port tohoto stroje v <Lokální port> a zadejte port komunikačního partnera v <Vzdálený port>.
Stiskněte <Zadat podle názvu služby>, chcete-li používat názvy služeb při zadávání portů, pro něž se má používat IPSec. Vyberte službu v seznamu, stisknutím <Služba Zap/Vyp> ji nastavte na <Zap> a stiskněte <OK>.
|
||||||||||||||
4
|
Stiskněte <OK>.
|
1
|
Stiskněte <Nastavení IKE>.
|
||||||||||
2
|
Zadejte potřebná nastavení.
<Režim IKE>
Zde vyberte operační režim pro protokol výměny klíčů. Když je operační režim nastaven na <Hlavní>, vede to ke zvýšení bezpečnosti, protože samostatná relace IKE je zašifrována, ale na komunikaci je kladeno vyšší břemeno ve srovnání s <Agresivní>, která šifrování neprovádí.
<Platnost>
Nastavte dobu uplynutí platnosti generované IKE SA.
<Způsob ověření>
Zde vyberte jednu z níže uvedených metod ověřování.
<Algoritmus ověření/šifrování>
Zde výběrem <Auto> nebo <Ruční nastavení> nastavte způsob zadávání algoritmu ověřování a šifrování pro IKE fáze 1. Jestliže vyberete <Auto>, algoritmus, který může používat jak stroj, tak komunikační partner, se nastaví automaticky. Chcete-li zadat konkrétní algoritmus, vyberte <Ruční nastavení> a proveďte níže uvedená nastavení.
|
||||||||||
3
|
Stiskněte <OK>.
|
|
Pokud je <Režim IKE> nastaveno <Hlavní> na obrazovce <Nastavení IKE> a <Způsob ověření> na <Metoda předsd. klíče>, používají se následující omezení, při registraci několikanásobných bezpečnostních postupů.
Klíč metody předsdíleného klíče: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, jsou všechny sdílené klíče pro tuto zásadu zabezpečení identické (to neplatí, když je zadána jediná adresa).
Priorita: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, je priorita této zásady zabezpečení nižší než u zásad zabezpečení, pro něž je zadána jediná adresa.
|
1
|
Stiskněte <Nastavení sítě IPSec>.
|
||||||
2
|
Zadejte potřebná nastavení.
<Platnost>
Nastavte dobu uplynutí platnosti generované IPSec SA. Je třeba vybrat buď <Čas>, nebo <Velikost>. Pokud nastavíte oboje, použije se nastavení s hodnotou, jíž je dosaženo jako provní.
<PFS>
Nastavíte-li funkci PFS (Perfect Forward Secrecy) na <Zap>, tajnost šifrovacího klíče se zvýší, ale komunikační rychlost bude nižší. Funkci PFS je navíc třeba aktivovat na zařízení komunikačního partnera.
<Algoritmus ověření/šifrování>
Zde výběrem <Auto> nebo <Ruční nastavení> nastavte způsob zadávání algoritmu ověřování a šifrování pro IKE fáze 2. Vyberete-li <Auto>, algoritmus ověřování a šifrování ESP se nastaví automaticky. Chcete-li zadat konkrétní ověřovací metodu, stiskněte <Ruční nastavení> a vyberte jednu z níže uvedených ověřovacích metod.
|
||||||
3
|
Stiskněte <OK> <OK>.
|
|
Správa zásad IPSecZásady můžete měnit obrazovce uvedené v kroku 3.
Chcete-li změnit detaily zásady, vyberte zásadu v seznamu a stiskněte <Editovat>.
Chcete-li zásadu deaktivovat, vyberte zásadu v seznamu a stiskněte <Zásady zab. Zap/Vyp>.
Chcete-li zásadu odstranit, vyberte zásadu v seznamu a stiskněte <Smazat> <Ano>.
|