IPSec-asetusten koostaminen

Käyttämällä IPSec-järjestelmää, voidaan estää kolmansia osapuolia sieppaamasta tai peukaloimasta IP-verkossa liikkuvia IP-paketteja. Koska IPSec lisää turvaominaisuuksia IP:hen eli internetissä käytettävään perusprotokollaperheeseen, se tuottaa turvallisuutta, joka ei ole sovelluksista ja verkkokokoonpanosta riippuvaista. Jotta IPSec-tietoliikennettä voidaan toteuttaa tällä laitteella, on konfiguroitava asetukset, kuten sovelluksen parametrit ja todennuksen ja salauksen algoritmit. Näiden asetusten konfiguroimiseen tarvitaan pääkäyttäjän oikeudet.
Liikennöintitapa
Tämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin.
Avaimenvaihtoprotokolla
Tämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä.
Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken.
Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja Varmenteen rekisteröinti Verkkoliikennöintiin. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten tekeminen
Salausmoduulia, joka on jo saanut FIPS140-2-sertifioinnin, käytetään IPSec-tiedonsiirron [Alusta salausmenetelmä FIPS 140-2:lle] -asetuksesta riippumatta.
Jotta IPSec-tietonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu.
Vain DH:n avaimen pituus voidaan määrittää laitteessa.
Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia.
Voit tallentaa enintään 10 suojauskäytäntöä.

IPSecin käyttöön ottaminen

1
Käynnistä Etäkäyttöliittymä. Remote UI (Etäkäyttöliittymä) -sovelluksen käynnistys
2
Valitse portaalisivulla [Asetukset/Tallennus]. Remote UI (Etäkäyttöliittymä) -sovelluksen ikkuna
3
Valitse [Verkkoasetukset]  [IPSec-asetukset].
4
Valitse [Käytä IPSec-muotoa] ja napsauta [OK]:ta.
Jos haluat vastaanottaa vain suojauskäytäntöä vastaavat paketit, valitse [Hylkää] kohtaan [Epätavallisten pakettien vastaanotto].

Käytännön rekisteröiminen

1
Käynnistä Etäkäyttöliittymä. Remote UI (Etäkäyttöliittymä) -sovelluksen käynnistys
2
Valitse portaalisivulla [Asetukset/Tallennus]. Remote UI (Etäkäyttöliittymä) -sovelluksen ikkuna
3
Valitse [Verkkoasetukset]  [IPSec-toimintaohjelista].
4
Valitse [Tallenna uusi IPSec-toimintaohje].
5
Aseta käytäntö.
[Toimintaohjeen nimi]
Syötä nimi käytännön tunnistamista varten.
[Toimintaohje Kyllä/Ei]
Ota rekisteröity käytäntö käyttöön valitsemalla [Kyllä].
[Salli AES-avaimen pituudeksi vain 256-bittiä]
Rastita tämä valintaruutu, jotta voit rajoittaa AES-salausmenetelmän avaimen pituudeksi 256 bittiä ja täyttää CC-todennuksen standardit.
6
Koosta IPSec-sovelluksen parametrit.
1
Valitse [Valitsimen asetukset].
2
Määritä IP-osoite jota sovelletaan IPSec-käytännössä.
Määrittele tämän laitteen IP-osoite kohtaan [Paikallinen osoite] ja määrittele tietoliikenteen vertaisjärjestelmän IP-osoite kohtaan [Etäosoite].

[Kaikki IP-osoitteet]
IPSec:iä sovelletaan kaikkiin lähetettäviin ja vastaanotettaviin IP-paketteihin.
[IPv4 osoite]
IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv4-osoitteeseen.
[IPv6 osoite]
IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv6-osoitteeseen.
[Kaikki IPv4-osoitteet]
IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv4-osoitteesta.
[Kaikki IPv6-osoitteet]
IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv6-osoitteeseen.
[IPv4:n manuaaliset asetukset]
Määritä IPv4-osoitteet joihin IPSec:iä käytetään.
Syötä erillinen IPv4-osoite valitsemalla [Yksi osoite].
Määrittele IPv4-osoitteiden alue valitsemalla [Useat osoitteet]. Syötä erillinen osoite kohtiin [Ensimmäinen osoite] ja [Viimeinen osoite].
Määrittele aliverkon peitettä käyttävä IPv4-osoitteiden alue valitsemalla [Aliverkon asetukset]. Syötä erilliset arvot kohtiin [Ensimmäinen osoite] ja [Aliverkon asetukset].
[IPv6:n manuaaliset asetukset]
Määritä IPv6-osoite johon sovelletaan IPSec:iä.
Syötä erillinen IPv6-osoite valitsemalla [Yksi osoite].
Määrittele IPv6-osoitteiden alue valitsemalla [Useat osoitteet]. Syötä erillinen osoite kohtiin [Ensimmäinen osoite] ja [Viimeinen osoite].
Määrittele etuliitettä käyttävien IPv6-osoitteiden valikoima valitsemalla [Osoitteen etuliite]. Syötä erilliset arvot kohtiin [Ensimmäinen osoite] ja [Etuliitteen pituus].
3
Määritä portti johon IPSec:iä käytetään.
Valitse [Määritä porttinumeron mukaan], jos haluat käyttää porttinumeroita määritellessäsi portteja, joissa käytetään IPSec-järjestelmää. Käytä IPSeciä kaikissa porttinumeroissa valitsemalla [Kaikki portit]. Jos haluat käyttää IPSeciä tietyssä porttinumerossa, valitse [Yksi portti] ja syötä porttinumero. Määrittele tämän laitteen portti kohdassa [Paikallinen portti] ja tietoliikenteen vertaisjärjestelmän portti kohdassa [Etäportti].
Määrittele IPSec-protokollaa käyttävät portit palvelun nimen mukaan valitsemalla [Määritä palvelunimen mukaan] ja valitsemalla käytettävät palvelut.
4
Valitse [OK].
7
Koosta autentikointi- ja salausasetukset.
1
Valitse [IKE-asetukset].
2
Koosta tarvittavat asetukset.
[IKE-tila]
Valitse avaintenvaihtoprotokollan toimintatapa. Suojausta voi parantaa valitsemalla [Pää], sillä itse IKE-istunto salataan, mutta istunto on hitaampi kuin vaihtoehdon [Haastava] kanssa, mikä ei salaa koko istuntoa.
[Voimassaolo]
Aseta luodun IKE SA:n vanhenemisaika.
[Autentikointitapa]
Valitse yksi allakuvatuista autentikointitavoista.
[Esijaettu avain-menet.]
Aseta sama salauslause (esijaettu avain), joka on asetettu tietoliikenteen vertaisjärjestelmälle. Valitse [Jaetut avainasetukset], syötä jaettuna avaimena käytettävä merkkijono ja valitse [OK].
[Digitaalinen allekirjoitus -menetelmä]
Aseta avain ja varmenne, joita käytetään molemminpuoliseen todennukseen tietoliikenteen vertaisjärjestelmän kanssa. Napsauta kohtaa [Avain ja varmenne] ja sitten käytettävän avaimen kohtaa [Käytä].
[Autentikointi/Salausalgoritmi]
Valitse joko [Aut.] tai [Manuaaliset asetukset] ja aseta IKE-vaiheen 1 todennuksen ja salausalgoritmin määrittelytapa. Jos valitset [Aut.], sekä tämän laitteen että tietoliikenteen vertaisjärjestelmän käytettävissä oleva algoritmi asetetaan automaattisesti. Jos haluat määritellä tietyn algoritmin, valitse [Manuaaliset asetukset] ja konfiguroi alla olevat asetukset.
[Autentikointi]
Valitse hajautusalgoritmi.
[Salaus]
Valitse salausalgoritmi.
[DH-ryhmä]
Valitse ryhmä Diffie-Hellman -avaimenvaihtomenetelmästä asettaaksesi avaimen vahvuuden.
3
Valitse [OK].
Kun [IKE]-näkymän kohdan [IKE-tila] asetuksena on [Pää] ja kohdan [Autentikointitapa] asetuksena on [Esijaettu avain-menet.], seuraavat rajoitukset ovat käytössä, kun rekisteröidään useita suojauskäytäntöjä.
Jaettu avain -menetelmä: kun määrität useita etä-IP-osoitteita, joihin turvatoimintoja sovelletaan, kaikki tämän turvatoiminnon jaetut avaimet ovat identtisiä (tämä ei pidä paikaansa, kun vain yksi osoite on määritetty).
Etusija: kun määritetään useita etä-IP-osoitteita, joihin suojauskäytäntöä sovelletaan, tämän suojauskäytännön prioriteetti on alempi kuin suojauskäytäntöjen, joille on määritetty vain yksi osoite.
8
Koosta IPSec-liikennöintiasetukset.
1
Valitse [IPSec-verkkoasetukset].
2
Koosta tarvittavat asetukset.
[Voimassaolo]
Aseta luodun IPSec SA:n vanhenemisaika. Muista asettaa joko [Aika] tai [Koko]. Jos asetat molemmat, asetusta, jonka arvo saavutetaan ensin, käytetään.
[PFS]
Jos valitset [Käytä PFS:ää], salausavaimen salaus paranee, mutta tietoliikenteen nopeus hidastuu. Tämän lisäksi Perfect Forward Secrecy (PFS, täydellinen edelleenlähetyksen salaus) on otettava käyttöön tietoliikenteen vertaisjärjestelmässä.
[Autentikointi/Salausalgoritmi]
Valitse joko [Aut.] tai [Manuaaliset asetukset] ja aseta IKE-vaiheen 2 todennus ja salausalgoritmi määrittelytapa. Jos valitset [Aut.], ESP-todennus ja salausalgoritmi asetetaan automaattisesti. Jos haluat määritellä tietyn todennustavan, valitse [Manuaaliset asetukset] ja valitse jokin alla olevista todennustavoista.
[ESP]
Sekä todennus että salaus suoritetaan. Valitse algoritmi kohtiin [ESP-autentikointi] ja [ESP-salaus] Valitse [NOLLA], jos et halua asettaa todennusta tai salausalgoritmia.
[ESP (AES-GCM)]
AES-GCM:tä käytetään ESP-algoritmina, ja sekä autentikointi että salaus suoritetaan.
[AH (SHA1)]
Autrentikointi suoritetaan mutta dataa ei salata. SHA1:tä käytetään algoritmina.
3
Napsauta [OK]:ta.
9
Valitse [OK].
10
Salli rekisteröidyt käytännöt ja tarkista tärkeysjärjestys.
Käytäntöjä sovelletaan siinä järjetyksessä kuin ne ovat luettelossa alkaen ylhäältä. Jos haluat muuttaa ensisijaisuusjärjestystä, valitse käytäntö luettelosta ja napsauta kohtaa [Kohota etusijaa] tai [Matala etusija].
IPSec-käytäntöjen hallinta
Voit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 4.
Voit muokata tarkempia käytäntötietoja napsauttamalla käytännön nimeä luettelossa.
Poista käytäntö käytöstä napsauttamalla käytännön nimeä listassa valitse [Ei] kohtaan [Toimintaohje Kyllä/Ei] napsauta [OK]:ta.
Poista käytäntö valitsemalla se luettelosta napsauta kohtaa [Poista] [OK].
Ohjauspaneelin käyttäminen
Voit myös ottaa käyttöön tai poistaa käytöstä IPSec-tietoliikenteen <Päävalikko>-näkymän kohdassa <Aseta>. <IPSec-asetukset>
Erätuonti/erävienti
Tämä asetus voidaan tuoda/viedä malleissa, jotka tukevat tämän asetuksen erätuontia. Asetustietojen tuonti/vienti
Tämä asetus sisältyy eräviennin kohtaan [Asetukset/tallennuksen perustiedot]. Kaikkien asetusten tuonti/vienti
9Y8K-05X