Konfiguration af IPSec-indstillingerne

Ved at bruge IPSec kan du forhindre, at tredjeparter opsnapper eller piller ved IP-pakker, der transporteres over IP-netværket. Da IPSec føjer sikkerhedsfunktioner til IP, en grundlæggende protokolsuite, der anvendes på internettet, kan det give sikkerhed, der er uafhængig af applikationer eller netværkskonfiguration. For at udføre IPSec-kommunikation med denne maskine skal du konfigurere indstillinger, som f.eks. applikationsparametrene og algoritmen til godkendelse og kryptering. Administratorrettigheder er nødvendige for at kunne konfigurere disse indstillinger.

Aktivering af IPSec

Registrering af politik


Kommunikationsstatus Denne maskine understøtter kun transporttilstand for IPSec-kommunikation. Som et resultat heraf anvendes godkendelse og kryptering kun til datadelene af IP-pakkerne. Nøgleudvekslingsprotokol Denne maskine understøtter Internet Key Exchange version 1 (IKEv1) til udveksling af nøgler baseret på Internet Sikkerhed Association and Key Management Protocol (ISAKMP). For godkendelsesmetoden skal du angive enten metoden med forhåndsdelt nøgle eller metoden med digital signatur. Ved indstilling af metoden med forhåndsdelt nøgle skal du på forhånd vælge et kodeord (en forhåndsdelt nøgle), der anvendes mellem maskinen og IPSec-kommunikationspartneren. Ved indstilling af metoden med digital signatur skal du anvende et CA-certifikat og en nøgle i PKCS#12-format samt et certifikat for at udføre gensidig godkendelse mellem maskinen og IPSec-kommunikationspartneren. For flere informationer om at registrere nye CA-certifikater eller nøgler/certifikater kan du se Registrering af en nøgle og et certifikat til netværkskommunikation. Bemærk, at SNTP skal konfigureres for maskinen, før den anvender denne metode. Udførelse af SNTP-indstillinger

Kommunikationsstatus

Denne maskine understøtter kun transporttilstand for IPSec-kommunikation. Som et resultat heraf anvendes godkendelse og kryptering kun til datadelene af IP-pakkerne.

Nøgleudvekslingsprotokol

Denne maskine understøtter Internet Key Exchange version 1 (IKEv1) til udveksling af nøgler baseret på Internet Sikkerhed Association and Key Management Protocol (ISAKMP). For godkendelsesmetoden skal du angive enten metoden med forhåndsdelt nøgle eller metoden med digital signatur.

Ved indstilling af metoden med forhåndsdelt nøgle skal du på forhånd vælge et kodeord (en forhåndsdelt nøgle), der anvendes mellem maskinen og IPSec-kommunikationspartneren.

Ved indstilling af metoden med digital signatur skal du anvende et CA-certifikat og en nøgle i PKCS#12-format samt et certifikat for at udføre gensidig godkendelse mellem maskinen og IPSec-kommunikationspartneren. For flere informationer om at registrere nye CA-certifikater eller nøgler/certifikater kan du se Registrering af en nøgle og et certifikat til netværkskommunikation. Bemærk, at SNTP skal konfigureres for maskinen, før den anvender denne metode. Udførelse af SNTP-indstillinger


Uanset indstillingen af [Formatkrypteringsmetode til FIPS 140-2] til IPSec-kommunikation, vil der benyttes et krypteringsmodul, som allerede har opnået FIPS140-2-certificeringen. For at få IPSec-kommunikation til at overholde FIPS 140-2 skal du indstille nøglelængden for både DH og RSA for IPSec-kommunikation til 2048-bit eller længere i det netværksmiljø, som maskinen hører til. Det er kun nøglelængden for DH, der kan angives fra maskinen. Vær opmærksom, når du konfigurerer dit miljø, da der ikke er nogen indstillinger for RSA i maskinen. Du kan registrere op til 10 sikkerhedspolitikker.

Uanset indstillingen af [Formatkrypteringsmetode til FIPS 140-2] til IPSec-kommunikation, vil der benyttes et krypteringsmodul, som allerede har opnået FIPS140-2-certificeringen.

For at få IPSec-kommunikation til at overholde FIPS 140-2 skal du indstille nøglelængden for både DH og RSA for IPSec-kommunikation til 2048-bit eller længere i det netværksmiljø, som maskinen hører til.

Det er kun nøglelængden for DH, der kan angives fra maskinen.

Vær opmærksom, når du konfigurerer dit miljø, da der ikke er nogen indstillinger for RSA i maskinen.

Du kan registrere op til 10 sikkerhedspolitikker.

Aktivering af IPSec

Start Remote UI (Brugerinterface til fjernbetjening). Start af Remote UI (Brugerinterface til fjernbetjening)

Klik på [Indstillinger/Registr.] på portalsiden. Skærmbilledet Remote UI (Brugerinterface til fjernbetjening)

Klik på [Netværksindstillinger]

[Indstillinger for IPSec].

Vælg [Brug IPSec], og klik på [OK].

For kun at modtage pakker, der svarer til sikkerhedspolitikken, skal du vælge [Afvis] for [Modtag Non-policy-pakker].

Registrering af politik

Start Remote UI (Brugerinterface til fjernbetjening). Start af Remote UI (Brugerinterface til fjernbetjening)

Klik på [Indstillinger/Registr.] på portalsiden. Skærmbilledet Remote UI (Brugerinterface til fjernbetjening)

Klik på [Netværksindstillinger]

[IPSec-policy-liste].

Klik på [Registrér ny IPSec-politik].

Indstil en politik.

[Policy-navn]

Indtast et navn til identifikation af politikken.

[Policy Til/Fra]

Vælg [Til] for at aktivere den registrerede politik.

[Tillad kun 256-bit for AES-nøglelængde]

Vælg flueben i dette afkrydsningsfelt for at begrænse nøglelængden på AES-krypteringsmetoden til 256 bit og opfylde CC-godkendelsesstandarderne.

Konfigurér IPSec-applikationsparametrene.

Klik på [Indstillinger for Vælger].

Angiv IP-adressen, som IPSec-politikken skal anvendes på.

Angiv IP-adressen på denne maskine i [Lokal adresse], og angiv IP-adressen for kommunikationspartneren i [Fjernadresse].

[Alle IP-adresser]	IPSec anvendes på alle sendte og modtagne IP-pakker.
[IPv4-adresse]	IPSec anvendes på IP-pakker, der sendes til og modtages fra denne maskines IPv4-adresse.
[IPv6-adresse]	IPSec anvendes på IP-pakker, der sendes til og modtages fra denne maskines IPv6-adresse.
[Alle IPv4-adresser]	IPSec anvendes på IP-pakker, der sendes til og modtages fra kommunikationspartnerens IPv4-adresse.
[Alle IPv6-adresser]	IPSec anvendes på IP-pakker, der sendes til og modtages fra kommunikationspartnerens IPv6-adresse.
[Manuelle indstillinger for IPv4]	Angiv den IPv4-adresse, IPSec skal anvendes på. Vælg [Enkelt adresse] for at indtaste en individuel IPv4-adresse. Vælg [Flere adresser] for at angive et IPv4-adresseområde. Indtast en separat adresse for [Første adresse] og [Sidste adresse]. Vælg [Subnet-indstillinger] for at angive en række IPv4-adresser ved hjælp af en undernetmaske. Indtast separate værdier for [Første adresse] og [Subnet-indstillinger].
[Manuelle indstillinger for IPv6]	Angiv den IPv6-adresse, IPSec skal anvendes på. Vælg [Enkelt adresse] for at indtaste en individuel IPv6-adresse. Vælg [Flere adresser] for at angive et IPv6-adresseområde. Indtast en separat adresse for [Første adresse] og [Sidste adresse]. Vælg [Præfiksadresse] for at angive en række IPv6-adresser ved hjælp af et præfiks. Indtast separate værdier for [Første adresse] og [Præfiks-længde].

Angiv den port, IPSec skal anvendes på.

Vælg [Sortér efter portnummer] for at bruge portnumre ved angivelse af de porte, IPSec skal anvendes på. Vælg [Alle porte] for at anvende IPSec på alle portnumre. For at anvende IPSec på et bestemt portnummer [Enkelt port] og indtaste portnummeret. Angiv porten på denne maskine i [Lokal port], og angiv porten for kommunikationspartneren i [Fjernport].

For at angive de porte, der skal anvendes IPSec til efter servicenavn, skal du vælge [Specificer efter servicenavn] og vælge de tjenester, der skal anvendes.

Klik på [OK].

Konfigurér indstillingerne for godkendelse og kryptering.

Klik på [IKE-indstillinger].

Konfigurér de nødvendige indstillinger.

[IKE-tilstand]

Vælg driftsstatussen for nøgleudvekslingsprotokollen. Sikkerheden forbedres, hvis du vælger [Hoved], fordi selve IKE-sessionen er krypteret, men sessionens hastighed er langsommere end med [Aggressiv], der ikke krypterer hele sessionen.

[Gyldighed]

Indstil udløbsperioden for det genererede IKE SA.

[Godkendelsesmetode]

Vælg en af godkendelsesmetoderne, der er beskrevet herunder.

[Pre-Shared Key-metode]	Angiv det samme kodeord (forhåndsdelt nøgle), som er indstillet for kommunikationspartneren. Vælg [Indstillinger for delt nøgle], indtast tegnstrengen, der skal anvendes som den delte nøgle, og vælg [OK].
[Digital signaturmetode]	Indstil den nøgle og det certifikat, der skal anvendes, for gensidig godkendelse med kommunikationspartneren. Klik på [Nøgle og certifikat], og klik på [Brug] for den nøgle, der skal anvendes.

[Godkendelses-/krypteringsalgoritme]

Vælg enten [Auto] eller [Manuelle indstillinger] for at indstille, hvordan godkendelses- og krypteringsalgoritmen indstilles for IKE-fase 1. Hvis du vælger [Auto], indstilles automatisk en algoritme, der kan anvendes med både denne maskine og kommunikationspartneren. Hvis du vil angive en bestemt algoritme, skal du vælge [Manuelle indstillinger] og konfigurere indstillingerne herunder.

[Godkendelse]	Vælg hashalgoritmen.
[Kryptering]	Vælg krypteringsalgoritmen.
[DH-gruppe]	Vælg gruppen for nøgleudvekslingsmetoden Diffie-Hellman for at angive nøglens styrke.

Klik på [OK].


Når [IKE-tilstand] er indstillet til [Hoved] på skærmen [IKE], og [Godkendelsesmetode] er indstillet til [Pre-Shared Key-metode], gælder følgende restriktioner ved registrering af flere sikkerhedspolitikker. Metoden Forhåndsdelt nøgle: Ved angivelse af flere fjerne IP-adresser, til hvilke en sikkerhedspolitik skal tilknyttes, er alle delte nøgler for denne sikkerhedspolitik identiske (dette gælder ikke, når der angives en enkelt adresse). Prioritet: Ved angivelse af flere fjerne IP-adresser, til hvilke en sikkerhedspolitik skal tilknyttes, er prioriteten for denne sikkerhedspolitik lavere end for sikkerhedspolitikker for hvilke en enkelt adresse er indstillet.

Når [IKE-tilstand] er indstillet til [Hoved] på skærmen [IKE], og [Godkendelsesmetode] er indstillet til [Pre-Shared Key-metode], gælder følgende restriktioner ved registrering af flere sikkerhedspolitikker.

Metoden Forhåndsdelt nøgle: Ved angivelse af flere fjerne IP-adresser, til hvilke en sikkerhedspolitik skal tilknyttes, er alle delte nøgler for denne sikkerhedspolitik identiske (dette gælder ikke, når der angives en enkelt adresse).

Prioritet: Ved angivelse af flere fjerne IP-adresser, til hvilke en sikkerhedspolitik skal tilknyttes, er prioriteten for denne sikkerhedspolitik lavere end for sikkerhedspolitikker for hvilke en enkelt adresse er indstillet.

Konfigurér IPSec-kommunikationsindstillingerne.

Klik på [IPSec-netværksindstillinger].

Konfigurér de nødvendige indstillinger.

[Gyldighed]

Indstil udløbsperioden for det genererede IPSec SA. Sørg for at indstille enten [Tid] eller [Format]. Hvis du indstiller begge, bliver den indstilling, der nås først, anvendt.

[PFS]

Hvis du vælger [Brug PFS], forøges hemmeligholdelsen af krypteringsnøglen, men kommunikationshastigheden er lavere. Herudover skal funktionen Perfect Forward Secrecy (PFS) være aktiveret på enheden hos kommunikationspartneren.

[Godkendelses-/krypteringsalgoritme]

Vælg enten [Auto] eller [Manuelle indstillinger] for at indstille, hvordan godkendelses- og krypteringsalgoritmen indstilles for IKE-fase 2. Hvis du vælger [Auto], indstilles ESP-godkendelses- og krypteringsalgoritmen automatisk. Hvis du vil angive en bestemt godkendelsesmetode, skal du vælge [Manuelle indstillinger] og vælge en af godkendelsesmetoderne herunder.

[ESP]	Både godkendelse og kryptering bliver udført. Vælg algoritmen for [ESP-godkendelse] og [ESP-kryptering]. Vælg [NUL], hvis du ikke vil indstille godkendelses- eller krypteringsalgoritmen.
[ESP (AES-GCM)]	AES-GCM anvendes som ESP-algoritmen, og både godkendelse og kryptering udføres.
[AH (SHA1)]	Godkendelse udføres, men data krypteres ikke. SHA1 anvendes som algoritmen.

Klik på [OK].

Aktivér de registrerede politikker, og tjek prioritetsrækkefølgen.

Politikkerne anvendes i den rækkefølge, de er vist, startende fra toppen. Hvis du vil ændre prioritetsrækkefølgen, skal du vælge en politik på listen og klikke på [Hæv prioritet] eller [Sænk prioritet].


Administration af IPSec-politikker Du kan registrere politikker på det skærmbillede, der blev vist trin 4. For at redigere detaljerne for en politik skal du klikke på navnet på politikken på listen. For at deaktivere en politik skal du klikke på navnet på poltikken på listen vælg [Fra] for [Policy Til/Fra] klik på [OK]. For at slette en politik skal du vælge politikken på listen klik på [Slet] [OK]. Anvendelse af kontrolpanelet Du kan også aktivere eller deaktivere IPSec-kommunikation i <Indstil> på skærmen <Hjem>. <Indstillinger for IPSec> Import/eksport af batch Denne indstilling kan importeres/eksporteres med modeller, der understøtter batchimport af denne indstilling. Import/eksport af indstillingsdataene Denne indstilling findes i [Grundlæggende oplysninger om indstillinger/registrering] ved batcheksport. Import/eksport af alle indstillinger

Administration af IPSec-politikker

Du kan registrere politikker på det skærmbillede, der blev vist trin 4.

For at redigere detaljerne for en politik skal du klikke på navnet på politikken på listen.

For at deaktivere en politik skal du klikke på navnet på poltikken på listen

vælg [Fra] for [Policy Til/Fra]

klik på [OK].

For at slette en politik skal du vælge politikken på listen

klik på [Slet]

[OK].

Anvendelse af kontrolpanelet

Du kan også aktivere eller deaktivere IPSec-kommunikation i <Indstil> på skærmen <Hjem>. <Indstillinger for IPSec>

Import/eksport af batch

Denne indstilling kan importeres/eksporteres med modeller, der understøtter batchimport af denne indstilling. Import/eksport af indstillingsdataene

Denne indstilling findes i [Grundlæggende oplysninger om indstillinger/registrering] ved batcheksport. Import/eksport af alle indstillinger