IPSec-protokolli seadete konfigureerimine

IPSec-protokolli kasutamisel ei saa kõrvalised isikud üle IP-võrgu saadetavaid IP-pakette häirida ega muuta. Kuna IPSec suurendab interneti baasprotokolli IP turvalisust, tagab see rakendustest ja võrgukonfiguratsioonist sõltumatu turvalisuse. Selle seadmega IPSec-ühenduse loomiseks peate konfigureerima sätted, näiteks rakenduse parameetrid, autentimise ja krüptimise algoritmi. Nende sätete muutmiseks on vaja administraatori õigusi.

IPSec lubamine

Reegli salvestamine


Siderežiim IPSec-side korral toetab seade vaid transpordirežiimi Tänu sellele autenditakse ja krüptitakse ainult IP-pakettide andmeosi. Võtmevahetuse protokoll See seade toetab Internet Key Exchange’i versiooni 1 (IKEv1), mis võimaldab võtmete vahetamist protokolli Internet Security Association and Key Management Protocol (ISAKMP) alusel. Autentimismeetodiks saate valida eeljagatud võtme meetodi või digiallkirja meetodi. Eeljagatud võtme meetodi määramisel peate eelnevalt seadma parooli (eeljagatud võtme), mida masina ja IPSec-sidepunkti suhtlusel kasutatakse. Digitaalsignatuuri meetodi määramisel kasutage masina ja IPSEC-sidepunkti vastastikuseks autentimiseks CA sertifikaati ja PKCS#12 formaadivõtit ning sertifikaati. Täpsemat teavet uute CA-sertifikaatide või võtmete/sertifikaatide registreerimise kohta vaadake lõigust Võrguside võtme ja sertifikaadi registreerimine. Arvestage, et enne selle meetodi kasutamist tuleks masinal konfigureerida SNTP. SNTP seadete muutmine

Siderežiim

IPSec-side korral toetab seade vaid transpordirežiimi Tänu sellele autenditakse ja krüptitakse ainult IP-pakettide andmeosi.

Võtmevahetuse protokoll

See seade toetab Internet Key Exchange’i versiooni 1 (IKEv1), mis võimaldab võtmete vahetamist protokolli Internet Security Association and Key Management Protocol (ISAKMP) alusel. Autentimismeetodiks saate valida eeljagatud võtme meetodi või digiallkirja meetodi.

Eeljagatud võtme meetodi määramisel peate eelnevalt seadma parooli (eeljagatud võtme), mida masina ja IPSec-sidepunkti suhtlusel kasutatakse.

Digitaalsignatuuri meetodi määramisel kasutage masina ja IPSEC-sidepunkti vastastikuseks autentimiseks CA sertifikaati ja PKCS#12 formaadivõtit ning sertifikaati. Täpsemat teavet uute CA-sertifikaatide või võtmete/sertifikaatide registreerimise kohta vaadake lõigust Võrguside võtme ja sertifikaadi registreerimine. Arvestage, et enne selle meetodi kasutamist tuleks masinal konfigureerida SNTP. SNTP seadete muutmine


Sõltumata IPSec-ühenduse [Format Encryption Method to FIPS 140-2] väärtusest, kasutatakse krüptimismoodulit, millel juba on FIPS140-2 sertifikaat. Selleks, et IPSec-side vastaks standardile FIPS 140-2, peate seadma IPSec-sides kasutatavate DH ja RSA võtmete pikkuseks selles võrgus, kuhu masin kuulub, vähemalt 2048 bitti. Seadmest saab määrata ainult DH-võtme pikkuse. Keskkonna konfigureerimisel kirjutage vajalikud andmed üles, sest RSA sätted masinas pole Saate salvestada kuni 10 turbereeglistikku.

Sõltumata IPSec-ühenduse [Format Encryption Method to FIPS 140-2] väärtusest, kasutatakse krüptimismoodulit, millel juba on FIPS140-2 sertifikaat.

Selleks, et IPSec-side vastaks standardile FIPS 140-2, peate seadma IPSec-sides kasutatavate DH ja RSA võtmete pikkuseks selles võrgus, kuhu masin kuulub, vähemalt 2048 bitti.

Seadmest saab määrata ainult DH-võtme pikkuse.

Keskkonna konfigureerimisel kirjutage vajalikud andmed üles, sest RSA sätted masinas pole

Saate salvestada kuni 10 turbereeglistikku.

IPSec lubamine

Käivitage Remote UI (Kaugkasutajaliides). Remote UI (Kaugkasutajaliidese) käivitamine

Klõpsake avalehel valikut [Settings/Registration]. Tarkvara Remote UI (Kaugkasutajaliides) kuva

Klõpsake valikutel [Network Settings]

[IPSec Settings].

Valige [Use IPSec] ja klõpsake [OK].

Ainult turvapoliitikale vastavate pakettide vastuvõtmiseks valige [Reject] [Receive Non-Policy Packets] jaoks.

Reegli salvestamine

Käivitage Remote UI (Kaugkasutajaliides). Remote UI (Kaugkasutajaliidese) käivitamine

Klõpsake avalehel valikut [Settings/Registration]. Tarkvara Remote UI (Kaugkasutajaliides) kuva

Klõpsake valikutel [Network Settings]

[IPSec Policy List].

Klõpsake [Register New IPSec Policy].

Määrake reegel.

[Policy Name]

Sisestage reegli tuvastamiseks nimi.

[Policy On/Off]

Valige [On] salvestatud reegli lubamiseks.

[Only Allow 256-bit for AES Key Length]

Valige see märkeruut, et piirata AES krüpteerimismeetodi võtme pikkuse 256-bitiseks ja vastata CC autentimisstandarditele.

Konfigureerige IPSeci rakendusparameetrid.

Klõpsake [Selector Settings].

Määrake IP-aadress, millele IPSeci reegleid rakendatakse.

Määrake selle seadme IP-aadress väljal [Local Address], ja määrake sidepartneri IP-aadress väljal [Remote Address].

[All IP Addresses]	IPSeci rakendatakse kõigile saadetud ja vastuvõetud IP-pakettidele.
[IPv4 Address]	IPSeci rakendatakse selle seadme IPv4-aadressilt saadetud ja vastuvõetud IP-pakettidele.
[IPv6 Address]	IPSeci rakendatakse selle seadme IPv6-aadressilt saadetud ja vastuvõetud IP-pakettidele.
[All IPv4 Addresses]	IPSeci rakendatakse sidepunkti IPv4-aadressilt saadetud ja vastuvõetud IP-pakettidele.
[All IPv6 Addresses]	IPSeci rakendatakse sidepunkti IPv6-aadressilt saadetud ja vastuvõetud IP-pakettidele.
[IPv4 Manual Settings]	Määrake IPv4-aadress, millele IPSeci rakendatakse. Valige [Single Address] individuaalse IPv4 aadressi sisestamiseks. IPv4 aadresside vahemiku määramiseks valige [Range Address]. Sisestage eraldi aadressid väljadele [First Address] ja [Last Address]. Valige [Subnet Settings] IPv4 aadresside vahemiku määramiseks kasutades alamvõrgu maski. Sisestage eraldi väärtused väljadele [First Address] ja [Subnet Settings].
[IPv6 Manual Settings]	Määrake IPv6-aadress, millele IPSeci rakendatakse. Valige [Single Address] individuaalse IPv6-aadressi sisestamiseks. IPv6 aadresside vahemiku määramiseks valige [Range Address]. Sisestage eraldi aadressid väljadele [First Address] ja [Last Address]. Valige [Prefix Address] IPv6 aadresside vahemiku määramiseks kasutades prefiksit. Sisestage eraldi väärtused väljadele [First Address] ja [Prefix Length].

Määrake port, millele IPSeci rakendatakse.

Valige [Specify by Port Number], et kasutada pordinumbreid nende portide määramisel, millele IPSeci rakendatakse. Valige [All Ports], et rakendada IPSeci kõigile pordinumbritele. IPSeci kindlale pordinumbrile rakendamiseks valige [Single Port] ja sisestage vastava pordi number. Määrake selle seadme pordinumber väljal [Local Port] ja sidepartneri port väljal [Remote Port].

Portide määramiseks, millele IPSec rakendatakse teenuse nime järgi, valige [Specify by Service Name] ja valige kasutatavad teenused.

Klõpsake [OK].

Konfigureerige autentimise ja krüpteerimise seaded.

Klõpsake [IKE Settings].

Seadistage vajalikud sätted.

[IKE Mode]

Valige võtmevahetuse protokolli töörežiim. Kui teete valiku [Main], on kasutamine turvalisem, sest IKE-seanss ise on krüptitud, aga seanss on aeglasem kui režiimi [Aggressive] puhul, kus kogu seanssi ei krüptita.

[Validity]

Seadke genereeritud IKE SA aegumisperiood.

[Authentication Method]

Valige üks allkirjeldatud autentimismeetoditest.

[Pre-Shared Key Method]	Määrake sama parool (eeljagatud võti), mis on määratud sidepartneri jaoks. Valige [Shared Key Settings], sisestage jagatud võtmena kasutatav märgistring ja valige [OK].
[Digital Signature Method]	Määrake võti ja sertifikaat, mida kasutada sidepartneriga vastastikusel autentimisel. Klõpsake [Key and Certificate], ning klõpsake [Use] kasutatava võtme jaoks.

[Authentication/Encryption Algorithm]

IKE 1. faasi autentimis- ja krüpteerimisalgoritmi määramisviisi seadmiseks valige [Auto] või [Manual Settings]. Kui valite [Auto], määratakse automaatselt algoritm, mida saab kasutada nii selle masina kui ka sidepartneri jaoks. Kui soovite valida mõne konkreetse algoritmi, tehke valik [Manual Settings] ja konfigureerige alltoodud seaded.

[Authentication]	Valige räsialgoritm.
[Encryption]	Valige krüptimisalgoritm.
[DH Group]	Valige rühm, mille jaoks Diffie-Hellmani võtmevahetusmeetod võtme tugevuse määrab.

Klõpsake [OK].


Kui [IKE Mode] väärtuseks on seatud [Main] kuval [IKE] ja [Authentication Method] väärtuseks on määratud [Pre-Shared Key Method], kehtivad mitme turbereeglistiku rakendamisel järgmised piirangud. Eeljagatud võtme meetod: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on kõik selle turbereerglistiku võtmed identsed (see ei kehti juhul, kui määrate vaid ühe aadressi). Prioriteet: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on selle turbereeglistiku prioriteet madalam neist turbereeglistikest, mida on rakendatud vaid ühele aadressile.

Kui [IKE Mode] väärtuseks on seatud [Main] kuval [IKE] ja [Authentication Method] väärtuseks on määratud [Pre-Shared Key Method], kehtivad mitme turbereeglistiku rakendamisel järgmised piirangud.

Eeljagatud võtme meetod: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on kõik selle turbereerglistiku võtmed identsed (see ei kehti juhul, kui määrate vaid ühe aadressi).

Prioriteet: kui määrate mitu kaug-IP-aadressi, millele turbereeglistikku rakendatakse, on selle turbereeglistiku prioriteet madalam neist turbereeglistikest, mida on rakendatud vaid ühele aadressile.

Konfigureerige IPSec-protokolli seaded.

Klõpsake [IPSec Network Settings].

Seadistage vajalikud sätted.

[Validity]

Määrake genereeritud IPSec SA aegumisperiood. Seadke [Time] või [Size]. Kui seate mõlemad, rakendatakse esimesena saadud väärtusega seade.

[PFS]

Kui valite [Use PFS], suureneb krüptovõtme salastus, kuid suhtluskiirus on aeglasem. Lisaks peab suhtlusvõrguseadmes olema lubatud funktsioon Täiuslik tulevikusalastus (PFS).

[Authentication/Encryption Algorithm]

IKE 2. faasi autentimis- ja krüptimisalgoritmi määramisviisi seadmiseks valige [Auto] või [Manual Settings]. Kui valite viisiks [Auto], määratakse ESP autentimis- ja krüptimisalgoritm automaatselt. Konkreetse autentimisviisi määramiseks valige [Manual Settings] ja valige üks allpool loetletud autentimismeetoditest.

[ESP]	Teostatakse nii autentimine kui ka krüptimine. Valige funktsioonide [ESP Authentication] ja [ESP Encryption] jaoks kasutatav algoritm. Valige [NULL], kui te ei soovi autentimis- või krüptimisalgoritmi määrata.
[ESP (AES-GCM)]	Algoritmi AES-GCM kasutatakse ESP-algoritmina ja teostatakse nii autentimine kui ka krüptimine.
[AH (SHA1)]	Autentimine teostatakse, aga andmeid ei krüptita. Kasutatakse SHA1-algoritmi.

Klõpsake [OK].

Lubage registreeritud reeglid ja kontrollige prioriteetide järjekorda.

Reegleid rakendatakse loendatud järjekorras, alates ülevalt. Eelisjärjekorra muutmiseks valige loendist soovitud reegel ja vajutage [Raise Priority] või [Lower Priority].


IPSeci eeskirjade haldamine Eeskirju saate muuta 4. toimingus kuvatud seadistuskuval. Mingi reegli üksikasjade muutmiseks klõpsake loendis soovitud reegli nimel. Reegli keelamiseks klõpsake reegli nimel loendis valige [Off] [Policy On/Off] jaoks klõpsake [OK]. Mingi reegli kustutamiseks valige soovitud reegel loendist klõpsake [Delete] [OK]. Juhtpaneeli kasutamine Te saate lubada või keelata IPSec andmesidet menüüst <Määra> ekraanil <Avakuva>. <IP turvalisuse (IPSec) seaded> Hulgiimportimine/-eksportimine Selle sätte saab importida/eksportida koos mudelitega, mis toetavad selle sätte pakis importimist. Seadistusandmete importimine/eksportimine Hulgiekspordil sisaldub see seadistus jaotises [Settings/Registration Basic Information]. Kõigi sätete import/eksport

IPSeci eeskirjade haldamine

Eeskirju saate muuta 4. toimingus kuvatud seadistuskuval.

Mingi reegli üksikasjade muutmiseks klõpsake loendis soovitud reegli nimel.

Reegli keelamiseks klõpsake reegli nimel loendis

valige [Off] [Policy On/Off] jaoks

klõpsake [OK].

Mingi reegli kustutamiseks valige soovitud reegel loendist

klõpsake [Delete]

[OK].

Juhtpaneeli kasutamine

Te saate lubada või keelata IPSec andmesidet menüüst <Määra> ekraanil <Avakuva>. <IP turvalisuse (IPSec) seaded>

Hulgiimportimine/-eksportimine

Selle sätte saab importida/eksportida koos mudelitega, mis toetavad selle sätte pakis importimist. Seadistusandmete importimine/eksportimine

Hulgiekspordil sisaldub see seadistus jaotises [Settings/Registration Basic Information]. Kõigi sätete import/eksport