IPSec-instellingen configureren

Door het gebruik van IPSec kunt u voorkomen dat derden IP-pakketten die via een IP-netwerk worden getransporteerd, onderscheppen of ermee knoeien. Omdat IPSec beveiligingsfuncties aan IP, een basisprotocollenpakket dat voor het internet wordt gebruikt, toevoegt, kan het beveiliging bieden die losstaat van toepassingen of netwerkconfiguraties. Om IPSec-communicatie met deze machine tot stand te brengen, moet u instellingen configureren, zoals de parameters van de toepassing, en het algoritme voor verificatie en versleuteling. Beheerdersbevoegdheden zijn nodig om deze instellingen te kunnen configureren.
Communicatiemodus
Deze machine ondersteunt alleen de transportmodus voor IPSec-communicatie. Daarom worden verificatie en versleuteling alleen toegepast op de datagedeeltes van de IP-pakketten.
Protocol voor uitwisselen van sleutels
Deze machine ondersteunt IKEv1 (Internet Key Exchange versie 1) voor het uitwisselen van sleutels op basis van ISAKMP (Internet Security Association en Key Management Protocol). Bij de verificatiemethode stelt u de vooraf gedeelde sleutelmethode of de digitale-handtekeningenmethode in.
Bij instelling van de vooraf gedeelde sleutelmethode moet u van tevoren een beslissing nemen over een wachtwoordzin (vooraf gedeelde sleutel), die wordt gebruikt tussen de machine en de IPSec-communicatie-evenknie.
Bij instelling van de digitale-handtekeningenmethode gebruikt u een CA-certificaat en een sleutel en certificaat met PKCS#12-indeling voor wederzijdse verificatie tussen de machine en de IPSec-communicatie-evenknie. Voor meer informatie over het registreren van nieuwe certificaten of sleutels/certificaten raadpleegt u Een sleutel en certificaat voor netwerkcommunicatie registreren. Merk op dat SNTP eerst op de machine moet worden geconfigureerd, voordat van deze methode gebruik gemaakt kan worden. SNTP-instellingen doorvoeren
Ongeacht de instelling van [Stel de encryptiemethode in op FIPS 140-2] voor IPSec-communicatie, wordt een versleutelingsmodule gebruikt die de FIPS140-2-certificering al heeft verkregen.
Om ervoor te zorgen dat IPSec-communicatie voldoet aan FIPS 140-2, moet u de sleutellengte van zowel DH als RSA voor IPSec-communicatie instellen op 2048-bits of langer in de netwerkomgeving waartoe de machine behoort.
Alleen de sleutellengte voor DH kan worden opgegeven vanuit de machine.
Maak notities bij het configureren van uw omgeving, want er zijn geen instellingen voor RSA in de machine.
U kunt maximaal 10 beveiligingsbeleidsregels registreren.

IPSec inschakelen

1
Start de UI op afstand. De Remote UI (UI op afstand) starten
2
Klik op [Instellingen/Registratie] op de portaalpagina. Remote UI (UI op afstand)-scherm
3
Klik op [Netwerkinstellingen]  [IPSec instellingen].
4
Selecteer [Gebruik IPSec] en klik op [OK].
Om alleen pakketten te ontvangen die overeenkomen met het beveiligingsbeleid, selecteert u [Weigeren] voor [Ontvangst non-policy pakketten].

Een beleid registreren

1
Start de UI op afstand. De Remote UI (UI op afstand) starten
2
Klik op [Instellingen/Registratie] op de portaalpagina. Remote UI (UI op afstand)-scherm
3
Klik op [Netwerkinstellingen]  [IPSec policylijst].
4
Klik op [Nieuw IPSec-beleid registreren].
5
Een beleid instellen.
[Policy-naam]
Voer een naam in om het beleid te identificeren.
[Policy Aan/Uit]
Selecteer [Aan] om het geregistreerde beleid in te schakelen.
[Alleen 256-bits toestaan voor AES-sleutellengte]
Schakel dit selectievakje in om de sleutellengte van de AES-versleutelingsmethode te beperken tot 256 bits en te voldoen aan CC-verificatienormen.
6
Configureer de IPSec-toepassingsparameters.
1
Klik op [Instellingen Keuzeschakelaar].
2
Geef het IP-adres waar u het IPSec-beleid op wilt toepassen, op.
Geef het IP-adres van deze machine op bij [Lokaal adres] en van de communicatie-evenknie bij [Adres op afstand].

[Alle IP-adressen]
IPSec wordt toegepast op alle verzonden en ontvangen IP-pakketten.
[IPv4-adres]
IPSec wordt toegepast op IP-pakketten die worden verzonden naar en ontvangen van de IPv4-adressen op deze machine.
[IPv6-adres]
IPSec wordt toegepast op IP-pakketten die worden verzonden naar en ontvangen van de IPv6-adressen op deze machine.
[Alle IPv4-adressen]
IPSec wordt toegepast op IP-pakketten die worden verzonden naar en ontvangen van de IPv4-adressen van de communicatie-evenknie.
[Alle IPv6-adressen]
IPSec wordt toegepast op IP-pakketten die worden verzonden naar en ontvangen van de IPv6-adressen van de communicatie-evenknie.
[IPv4 handmatige instellingen]
Geef het IPv4-adres waarop u IPSec wilt toepassen, op.
Selecteer [Enkelvoudig adres] om een individueel IPv4-adres in te voeren.
Selecteer [Adressenbereik] om een bereik van IPv4-adressen op te geven. Voer een apart adres in voor [Eerste adres] en [Laatste adres].
Selecteer [Subnetinstellingen] om een bereik van IPv4-adressen met een subnetmasker op te geven. Voer afzonderlijke waarden in voor [Eerste adres] en [Subnetinstellingen].
[IPv6 handmatige instellingen]
Geef het IPv6-adres waarop u IPSec wilt toepassen, op.
Selecteer [Enkelvoudig adres] om een individueel IPv6-adres in te voeren.
Selecteer [Adressenbereik] om een bereik van IPv6-adressen op te geven. Voer een apart adres in voor [Eerste adres] en [Laatste adres].
Selecteer [Prefixadres] om een bereik van IPv6-adressen met een voorvoegsel op te geven. Voer afzonderlijke waarden in voor [Eerste adres] en [Prefixlengte].
3
Geef de poort waarop u IPSec wilt toepassen, op.
Druk op [Aangeven met poortnummer] om poortnummers te gebruiken bij het opgeven van de poorten waarop IPSec van toepassing is. Selecteer [Alle poorten] om IPSec op alle poortnummers toe te passen. Om IPSec op een specifiek poortnummer toe te passen, drukt u op [Enkelv. poort] en voert u het poortnummer in. Geef de poort van deze machine op bij [Lokale poort] en van de communicatie-evenknie bij [Poort op afstand].
Als u de poorten wilt opgeven waarop IPSec op servicenaam moet worden toegepast, selecteert u [Aangeven met servicenaam] en selecteert u de te gebruiken diensten.
4
Klik op [OK].
7
Configureer de verificatie- en versleutelingsinstellingen.
1
Klik op [IKE-instellingen].
2
Configureer de noodzakelijke instellingen.
[IKE-modus]
Selecteer de bewerkingsmodus voor het protocol voor het uitwisselen van sleutels. Beveiliging wordt verbeterd als u [Hoofd] selecteert, omdat de IKE-sessie zelf is versleuteld, maar de snelheid van de sessie is trager dan met [Agressief], waarmee niet de hele sessie wordt versleuteld.
[Geldigheid]
Stel de verloopperiode van de gegenereerde IKE SA in.
[Authentificatiemethode]
Selecteer een van de onderstaande verificatiemethodes.
[Gedeelde sleutelmethode]
Stel dezelfde wachtwoordzin (vooraf gedeelde sleutel) in die is ingesteld voor de communicatie-evenknie. Selecteer [Instellingen Gedeelde sleutel], voer de tekenreeks die u wilt gebruiken als de gedeelde sleutel, in en selecteer [OK].
[Methode digitale handtekening]
Stel de sleutel en certificaat in die u wilt gebruiken voor wederzijdse verificatie met de communicatie-evenknie. Klik op [Sleutel en certificaat] en klik op [Gebruik] voor de sleutel die u wilt gebruiken.
[Authentificatie/Encryptie algoritme]
Selecteer [Auto] of [Handmatige instellingen] om in te stellen hoe het verificatie- en versleutelingsalgoritme voor IKE-fase 1 moet worden opgegeven. Als u [Auto] selecteert, wordt een algoritme dat door zowel deze machine als de communicatie-evenknie kan worden gebruikt, automatisch ingesteld. Als u een specifiek algoritme wilt opgeven, selecteert u [Handmatige instellingen] en configureert u onderstaande instellingen.
[Authentificatie]
Selecteer het hash-algoritme.
[Encryptie]
Selecteer het versleutelingsalgoritme.
[DH groep]
Selecteer de groep voor de Diffie-Hellman-sleuteluitwisselingsmethode om de sterkte van de sleutel in te stellen.
3
Klik op [OK].
Wanneer [IKE-modus] is ingesteld op [Hoofd] op het scherm [IKE] en [Authentificatiemethode] is ingesteld op [Gedeelde sleutelmethode], zijn de volgende beperkingen van toepassing bij het registreren van meerdere beveiligingsbeleidsregels.
Methode met een gedeelde sleutel: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, zijn alle gedeelde sleutels voor dat beveiligingsbeleid identiek (dit geldt niet als een enkel adres is opgegeven).
Prioriteit: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, is de prioriteit van dat beveiligingsbeleid lager dan die van het beveiligingsbeleid voor een enkel adres.
8
Configureer de IPSec-communicatie-instellingen.
1
Klik op [IPSec-netwerkinstellingen].
2
Configureer de noodzakelijke instellingen.
[Geldigheid]
Stel de verloopperiode van de gegenereerde IPSec SA in. Stel [Tijd] of [Formaat] in. Als u allebei instelt, wordt de instelling met de eerst bereikte waarde toegepast.
[PFS]
Als u [Gebruik PFS] selecteert, wordt de beveiliging van de versleutelingssleutel verhoogd, maar wordt de communicatiesnelheid trager. Daarnaast moet de Perfect Forward Secrecy (PFS)-functie op het apparaat van de communicatie-evenknie zijn ingeschakeld.
[Authentificatie/Encryptie algoritme]
Selecteer [Auto] of [Handmatige instellingen] om in te stellen hoe het verificatie- en versleutelingsalgoritme voor IKE-fase 2 moet worden opgegeven. Als u [Auto] selecteert, wordt de ESP-verificatie en het versleutelingsalgoritme automatisch ingesteld. Als u een specifieke verificatiemethode wilt opgeven, drukt u op [Handmatige instellingen] en selecteert u een van de onderstaande verificatiemethodes.
[ESP]
Verificatie en versleuteling worden beide uitgevoerd. Selecteer het algoritme voor [ESP-verificatie] en [ESP encryptie]. Selecteer [NULL] als u het verificatie- of versleutelingsalgoritme niet wilt instellen.
[ESP (AES-GCM)]
AES-GCM wordt gebruikt als het ESP-algoritme, en verificatie en versleuteling worden beide uitgevoerd.
[AH (SHA1)]
Verificatie wordt uitgevoerd, maar de gegevens worden niet versleuteld. SHA1 wordt gebruikt als het algoritme.
3
Klik op [OK].
9
Klik op [OK].
10
Schakel de geregistreerde beleidsregels in en controleer de volgorde van prioriteit.
Beleidsregels worden, bovenaan te beginnen, in de volgorde waarin ze zijn opgesomd, toegepast. Als u de volgorde van prioriteit wilt wijzigen, selecteert u een beleid uit de lijst en drukt u op [Verhoog prioriteit] of [Verlaag prioriteit].
IPSec-beleidsregels beheren
U kunt beleidsregels bewerken op het scherm dat bij stap 4 wordt weergegeven.
Om de details van een beleid te bewerken, klik op de beleidsnaam uit de lijst.
Om een beleid uit te schakelen, klikt u op de beleidsnaam in de lijst en selecteert u [Uit] bij [Policy Aan/Uit] klikt u op [OK].
Om een beleid te verwijderen, selecteert u het beleid in de lijst en klikt u op [Verwijderen] [OK].
Gebruik van het bedieningspaneel
U kunt ook de IPSec-communicatie inschakelen of uitschakelen via <Inst.> in het scherm <Home>. <IPSec instellingen>
Importeren/exporteren in batch
Deze instelling kan worden geïmporteerd/geëxporteerd met modellen die ondersteuning bieden voor het importeren in batch van deze instelling. De gegevens van instellingen importeren/exporteren
Deze instelling is opgenomen in [Basisinformatie instellingen/registratie] bij het exporteren van batches. Alle instellingen importeren/exporteren
9Y8Y-05Y