Konfigurace nastavení IPSec

Při použití IPSec, bezpečnostního rozšíření IP protokolu, lze zabránit třetím stranám, aby neoprávněně zadržovaly nebo manipulovaly s IP pakety přemísťovanými v IP síti. Jelikož IPSec rozšiřuje o bezpečnostní funkce IP protokol, základní protokol používaný pro internet, poskytuje zabezpečení, které je nezávislé na aplikacích nebo na konfiguraci sítě. Chcete-li na tomto stroji spustit komunikaci s IPSec, musíte zadat nastavení, jako jsou parametry aplikace a algoritmus pro ověřování a šifrování. Pro zadání těchto nastavení jsou vyžadována přístupová práva administrátora (správce).
Povolení protokolu IPSec
Uložení zásad
Režim komunikace
Pro komunikaci s IPSec tento stroj podporuje pouze transportní režim. Jsou tak ověřovány a šifrovány pouze datové části IP paketů.
Protokol výměny klíčů
Tento stroj podporuje IKEv1 (Internet Key Exchange version 1) pro výměnu klíčů na základě ISAKMP (Internet Security Association and Key Management Protocol). Jako ověřovací metodu zadejte metodu předsdíleného klíče nebo metodu digitálního podpisu.
Při nastavování metody předsdíleného klíče se musíte předem rozhodnout pro přístupové heslo (předsdílený klíč), používané mezi strojem a komunikačním partnerem IPSec.
Při nastavování metody digitálního podpisu použijte pro provádění vzájemného ověření mezi strojem a komunikačním partnerem IPSec certifikát CA a klíč a certifikát formátu PKCS#12. Bližší informace o ukládání nových certifikátů CA nebo klíčů/certifikátů viz v Uložení klíče a certifikátu pro síťovou komunikaci. Upozornění. Před použitím této metody se musí pro stroj nastavit SNTP. Nastavení SNTP
Bez ohledu na nastavení [Formátovat způsob šifrování na FIPS 140-2] pro komunikaci IPSec se použije šifrovací modul, který již získal certifikaci FIPS140-2.
Aby komunikace IPSec vyhovovala standardu FIPS 140-2, musíte nastavit délku klíče DH a RSA pro komunikaci IPSec na 2 048 bitů nebo více v síťovém prostředí, do kterého stroj náleží.
Ze stroje lze zadat pouze délku klíče pro DH.
Při konfiguraci svého prostředí si dělejte poznámky, protože ve stroji nejsou nastavení pro RSA.
Registrovat můžete až 10 bezpečnostních postupů.

Povolení protokolu IPSec

1
Spusťte Remote UI (Vzdálené UR). Spuštění funkce Remote UI (Vzdálené UR)
2
Klikněte na [Nastavení/Uložení] na stránce portálu. Obrazovka Vzdáleného uživatelského rozhraní
3
Klikněte na [Nastavení sítě]  [Nastavení IPSec].
4
Vyberte možnost [Použít IPSec] a klikněte na tlačítko [OK].
Chcete-li přijímat pouze pakety, které odpovídají zásadám zabezpečení, vyberte v položce [Přijmout pakety bez zásad zabezpečení] možnost [Odmítnout].

Uložení zásad

1
Spusťte Remote UI (Vzdálené UR). Spuštění funkce Remote UI (Vzdálené UR)
2
Klikněte na [Nastavení/Uložení] na stránce portálu. Obrazovka Vzdáleného uživatelského rozhraní
3
Klikněte na [Nastavení sítě]  [Seznam zásad zabezpečení IPSec].
4
Klikněte na [Uložit nové zásady IPSec…].
5
Nastavte zásady.
[Název zásad zabezpečení]
Zadejte název sloužící k identifikaci zásad.
[Zásady zabezpečení Zap/Vyp]
Výběrem možnosti [Zap] povolte uložené zásady.
[Pouze Povolit 256-bit pro délku klíče AES]
Políčko zaškrtněte, chcete-li délku klíče metody šifrování AES omezit na 256 bitů a splnit standardy ověřování CC.
6
Nastavte parametry aplikace IPSec.
1
Klikněte na [Nastavení voliče…].
2
Zadejte IP adresu, pro kterou se má použít zásada IPSec.
Zadejte IP adresu tohoto zařízení v položce [Lokální adresa] a zadejte IP adresu komunikačního partnera v položce [Vzdálená adresa].
[Všechny IP adresy]
IPSec se použije na všechny odeslané a přijaté IP pakety.
[Adresa IPv4]
IPSec se použije na IP pakety odeslané na a přijaté z adresy IPv4 tohoto stroje.
[Adresa IPv6]
IPSec se použije na IP pakety odeslané na a přijaté z adresy IPv6 tohoto stroje.
[Všechny adresy IPv4]
IPSec se použije na IP pakety odeslané na a přijaté z adresy IPv4 komunikačního partnera.
[Všechny adresy IPv6]
IPSec se použije na IP pakety odeslané na a přijaté z adresy IPv6 komunikačního partnera.
[Ruční nastavení IPv4]
Zadejte adresu IPv4, pro kterou se má použít zásada IPSec.
Vyberte možnost [Jedna adresa], chcete-li zadat individuální adresu IPv4.
Vyberte možnost [Více adres], chcete-li zadat rozsah adres IPv4. Zadejte samostatnou adresu v položce [První adresa] a [Poslední adresa].
Vyberte možnost [Nastavení podsítě], chcete-li zadat rozsah adres IPv4 s použitím masky podsítě. Zadejte samostatné hodnoty do položek [První adresa] a [Nastavení podsítě].
[Ruční nastavení IPv6]
Zadejte adresu IPv6, pro kterou se má použít zásada IPSec.
Vyberte možnost [Jedna adresa], chcete-li zadat individuální adresu IPv6.
Vyberte možnost [Více adres], chcete-li zadat rozsah adres IPv6. Zadejte samostatnou adresu v položce [První adresa] a [Poslední adresa].
Vyberte možnost [Adresa prefixu], chcete-li zadat rozsah adres IPv6 s použitím předpony. Zadejte samostatné hodnoty do položek [První adresa] a [Délka prefixu].
3
Zadejte port, pro který se má použít IPSec.
Vyberte možnost [Zadat podle čísla portu], chcete-li používat čísla portů při zadávání portů, pro něž se má používat protokol IPSec. Vyberte možnost [Všechny porty], chcete-li používat protokol IPSec pro všechna čísla portů. Chcete-li protokol IPSec používat pro konkrétní číslo portu, vyberte možnost [Jeden port] a zadejte číslo portu. Zadejte port tohoto zařízení do položky [Lokální port] a zadejte port komunikačního partnera do položky [Vzdálený port].
Chcete-li zadat porty, na které chcete použít protokol IPSec, podle názvu služby, vyberte možnost [Zadat podle názvu služby] a vyberte služby, které chcete použít.
4
Klikněte na [OK].
7
Zadejte nastavení ověřování a šifrování.
1
Klikněte na [Nastavení IKE…].
2
Zadejte potřebná nastavení.
[Režim IKE]
Zde vyberte operační režim pro protokol výměny klíčů. Úroveň zabezpečení zvýšíte výběrem možnosti [Hlavní], protože relace s protokolem IKE je šifrovaná sama o sobě, ale rychlost relace je nižší než při výběru možnosti [Agresivní], při níž se nešifruje celá relace.
[Platnost]
Nastavte dobu uplynutí platnosti vygenerovaného klíče IKE SA.
[Způsob ověření]
Zde vyberte jednu z níže uvedených metod ověřování.
[Metoda předsdíleného klíče]
Nastavte stejné přístupové heslo (předsdílený klíč), které je nastaveno pro komunikačního partnera. Vyberte [Nastavení sdíleného klíče…], zadejte řetězec znaků, který se má používat jako sdílený klíč, a vyberte [OK].
[Metoda digitálního podpisu]
Nastavte klíč a certifikát, který se má používat pro vzájemné ověřování s komunikačním partnerem. Klikněte na [Klíč a certifikát…] a klikněte na [Použít] u klíče, který chcete použít.
[Algoritmus ověření/šifrování]
Výběrem možnosti [Auto] nebo [Ruční nastavení] nastavte způsob zadávání algoritmu ověřování a šifrování pro IKE fáze 1. Jestliže vyberete možnost [Auto], automaticky se nastaví algoritmus, který může používat jak zařízení, tak komunikační partner. Chcete-li zadat konkrétní algoritmus, vyberte možnost [Ruční nastavení] a proveďte níže uvedená nastavení.
[Ověření]
Vyberte hashovací algoritmus.
[Šifrování]
Vyberte algoritmus šifrování.
[DH Group]
Vyberte skupinu pro Diffieho-Hellmanovu metodu výměny klíčů pro nastavení síly klíčů.
3
Klikněte na [OK].
Pokud je [Režim IKE] nastaven na [Hlavní] na obrazovce [IKE] a [Způsob ověření] je nastaven na [Metoda předsdíleného klíče], při uložení více zásad zabezpečení se použijí následující omezení.
Klíč metody předsdíleného klíče: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, jsou všechny sdílené klíče pro tuto zásadu zabezpečení identické (to neplatí, když je zadána jediná adresa).
Priorita: při zadávání více vzdálených IP adres, na něž se má uplatnit zásada zabezpečení, je priorita této zásady zabezpečení nižší než u zásad zabezpečení, pro něž je zadána jediná adresa.
8
Proveďte nastavení komunikace s IPSec.
1
Klikněte na [Nastavení sítě IPSec…].
2
Zadejte potřebná nastavení.
[Platnost]
Nastavte dobu uplynutí platnosti generované IPSec SA. Je nutné vybrat buď [Čas], nebo [Velikost]. Pokud nastavíte oboje, použije se nastavení s hodnotou, jíž je dosaženo jako provní.
[PFS]
Pokud vyberete možnost [Použít PFS], zvýší se utajení šifrovacího klíče, ale rychlost komunikace bude pomalejší. Funkci PFS (Perfect Forward Secrecy) je navíc nutné povolit na zařízení komunikačního partnera.
[Algoritmus ověření/šifrování]
Výběrem možnosti [Auto] nebo [Ruční nastavení] nastavte způsob zadávání algoritmu ověřování a šifrování pro IKE fáze 2. Vyberete-li možnost [Auto], algoritmus ověřování a šifrování ESP se nastaví automaticky. Chcete-li zadat konkrétní metodu ověřování, vyberte možnost [Ruční nastavení] a vyberte jednu z níže uvedených metod ověřování.
[ESP]
Provádí se ověřování i šifrování. Vyberte algoritmus pro [Ověření ESP] a [Šifrování ESP]. Vyberte možnost [NULL], nechcete-li nastavit algoritmus pro ověřování nebo šifrování.
[ESP (AES-GCM)]
Jako algoritmus ESP se použije AES-GCM a provádí se ověřování i šifrování.
[AH (SHA1)]
Provádí se ověřování, ale data nejsou šifrována. Jako algoritmus se používá SHA1.
3
Klikněte na [OK].
9
Klikněte na [OK].
10
Aktivujte uložené zásady zkontrolujte pořadí priority.
Zásady se používají v pořadí, v jakém jsou uvedeny v seznamu počínaje zásadou nahoře. Chcete-li pořadí priority změnit, vyberte zásadu v seznamu a klikněte na [Zvýšit prioritu] nebo [Snížit prioritu].
Správa zásad IPSec
Zásady můžete měnit obrazovce uvedené v kroku 4.
Chcete-li upravit podrobnosti zásady, klikněte v seznamu na název příslušné zásady.
Chcete-li zásadu zakázat, klikněte v seznamu na název zásady vyberte [Vyp] v položce [Zásady zabezpečení Zap/Vyp] klikněte na [OK].
Chcete-li zásadu odstranit, vyberte zásadu v seznamu klikněte na [Smazat] [OK].
Používání ovládacího panelu
Komunikaci IPSec lze také povolit či zakázat z položky <Nastavit> na obrazovce <Hlavní obrazovka>. <Nastavení IPSec>
Import dávky / Export dávky
Toto nastavení lze importovat/exportovat u modelů, které podporují dávkový import tohoto nastavení. Import/export dat nastavení
Toto nastavení je zahrnuto v [Nastavení/Uložení základních informací] při exportu dávky. Import/export všech nastavení
A14J-05X