IPSec-asetusten koostaminen

Käyttämällä IPSec-järjestelmää, voidaan estää kolmansia osapuolia sieppaamasta tai peukaloimasta IP-verkossa liikkuvia IP-paketteja. Koska IPSec lisää turvaominaisuuksia IP:hen eli internetissä käytettävään perusprotokollaperheeseen, se tuottaa turvallisuutta, joka ei ole sovelluksista ja verkkokokoonpanosta riippuvaista. Jotta IPSec-tietoliikennettä voidaan toteuttaa tällä laitteella, on konfiguroitava asetukset, kuten sovelluksen parametrit ja todennuksen ja salauksen algoritmit. Näiden asetusten konfiguroimiseen tarvitaan pääkäyttäjän oikeudet.

IPSecin käyttöön ottaminen

Käytännön rekisteröiminen


Liikennöintitapa Tämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin. Avaimenvaihtoprotokolla Tämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä. Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken. Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja Varmenteen rekisteröinti Verkkoliikennöintiin. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten tekeminen

Liikennöintitapa

Tämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin.

Avaimenvaihtoprotokolla

Tämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä.

Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken.

Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja Varmenteen rekisteröinti Verkkoliikennöintiin. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten tekeminen


Salausmoduulia, joka on jo saanut FIPS140-2-sertifioinnin, käytetään IPSec-tiedonsiirron [Alusta salausmenetelmä FIPS 140-2:lle] -asetuksesta riippumatta. Jotta IPSec-tietonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu. Vain DH:n avaimen pituus voidaan määrittää laitteessa. Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia. Voit tallentaa enintään 10 suojauskäytäntöä.

Salausmoduulia, joka on jo saanut FIPS140-2-sertifioinnin, käytetään IPSec-tiedonsiirron [Alusta salausmenetelmä FIPS 140-2:lle] -asetuksesta riippumatta.

Jotta IPSec-tietonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu.

Vain DH:n avaimen pituus voidaan määrittää laitteessa.

Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia.

Voit tallentaa enintään 10 suojauskäytäntöä.

IPSecin käyttöön ottaminen

Käynnistä Etäkäyttöliittymä. Remote UI (Etäkäyttöliittymä) -sovelluksen käynnistys

Valitse portaalisivulla [Asetukset/Tallennus]. Remote UI (Etäkäyttöliittymä) -sovelluksen ikkuna

Valitse [Verkkoasetukset]

[IPSec-asetukset].

Valitse [Käytä IPSec-muotoa] ja napsauta [OK]:ta.

Jos haluat vastaanottaa vain suojauskäytäntöä vastaavat paketit, valitse [Hylkää] kohtaan [Epätavallisten pakettien vastaanotto].

Käytännön rekisteröiminen

Käynnistä Etäkäyttöliittymä. Remote UI (Etäkäyttöliittymä) -sovelluksen käynnistys

Valitse portaalisivulla [Asetukset/Tallennus]. Remote UI (Etäkäyttöliittymä) -sovelluksen ikkuna

Valitse [Verkkoasetukset]

[IPSec-toimintaohjelista].

Valitse [Tallenna uusi IPSec-toimintaohje].

Aseta käytäntö.

[Toimintaohjeen nimi]

Syötä nimi käytännön tunnistamista varten.

[Toimintaohje Kyllä/Ei]

Ota rekisteröity käytäntö käyttöön valitsemalla [Kyllä].

[Salli AES-avaimen pituudeksi vain 256-bittiä]

Rastita tämä valintaruutu, jotta voit rajoittaa AES-salausmenetelmän avaimen pituudeksi 256 bittiä ja täyttää CC-todennuksen standardit.

Koosta IPSec-sovelluksen parametrit.

Valitse [Valitsimen asetukset].

Määritä IP-osoite jota sovelletaan IPSec-käytännössä.

Määrittele tämän laitteen IP-osoite kohtaan [Paikallinen osoite] ja määrittele tietoliikenteen vertaisjärjestelmän IP-osoite kohtaan [Etäosoite].

[Kaikki IP-osoitteet]	IPSec:iä sovelletaan kaikkiin lähetettäviin ja vastaanotettaviin IP-paketteihin.
[IPv4 osoite]	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv4-osoitteeseen.
[IPv6 osoite]	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv6-osoitteeseen.
[Kaikki IPv4-osoitteet]	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv4-osoitteesta.
[Kaikki IPv6-osoitteet]	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv6-osoitteeseen.
[IPv4:n manuaaliset asetukset]	Määritä IPv4-osoitteet joihin IPSec:iä käytetään. Syötä erillinen IPv4-osoite valitsemalla [Yksi osoite]. Määrittele IPv4-osoitteiden alue valitsemalla [Useat osoitteet]. Syötä erillinen osoite kohtiin [Ensimmäinen osoite] ja [Viimeinen osoite]. Määrittele aliverkon peitettä käyttävä IPv4-osoitteiden alue valitsemalla [Aliverkon asetukset]. Syötä erilliset arvot kohtiin [Ensimmäinen osoite] ja [Aliverkon asetukset].
[IPv6:n manuaaliset asetukset]	Määritä IPv6-osoite johon sovelletaan IPSec:iä. Syötä erillinen IPv6-osoite valitsemalla [Yksi osoite]. Määrittele IPv6-osoitteiden alue valitsemalla [Useat osoitteet]. Syötä erillinen osoite kohtiin [Ensimmäinen osoite] ja [Viimeinen osoite]. Määrittele etuliitettä käyttävien IPv6-osoitteiden valikoima valitsemalla [Osoitteen etuliite]. Syötä erilliset arvot kohtiin [Ensimmäinen osoite] ja [Etuliitteen pituus].

Määritä portti johon IPSec:iä käytetään.

Valitse [Määritä porttinumeron mukaan], jos haluat käyttää porttinumeroita määritellessäsi portteja, joissa käytetään IPSec-järjestelmää. Käytä IPSeciä kaikissa porttinumeroissa valitsemalla [Kaikki portit]. Jos haluat käyttää IPSeciä tietyssä porttinumerossa, valitse [Yksi portti] ja syötä porttinumero. Määrittele tämän laitteen portti kohdassa [Paikallinen portti] ja tietoliikenteen vertaisjärjestelmän portti kohdassa [Etäportti].

Määrittele IPSec-protokollaa käyttävät portit palvelun nimen mukaan valitsemalla [Määritä palvelunimen mukaan] ja valitsemalla käytettävät palvelut.

Valitse [OK].

Koosta autentikointi- ja salausasetukset.

Valitse [IKE-asetukset].

Koosta tarvittavat asetukset.

[IKE-tila]

Valitse avaintenvaihtoprotokollan toimintatapa. Suojausta voi parantaa valitsemalla [Pää], sillä itse IKE-istunto salataan, mutta istunto on hitaampi kuin vaihtoehdon [Haastava] kanssa, mikä ei salaa koko istuntoa.

[Voimassaolo]

Aseta luodun IKE SA:n vanhenemisaika.

[Autentikointitapa]

Valitse yksi allakuvatuista autentikointitavoista.

[Esijaettu avain-menet.]	Aseta sama salauslause (esijaettu avain), joka on asetettu tietoliikenteen vertaisjärjestelmälle. Valitse [Jaetut avainasetukset], syötä jaettuna avaimena käytettävä merkkijono ja valitse [OK].
[Digitaalinen allekirjoitus -menetelmä]	Aseta avain ja varmenne, joita käytetään molemminpuoliseen todennukseen tietoliikenteen vertaisjärjestelmän kanssa. Napsauta kohtaa [Avain ja varmenne] ja sitten käytettävän avaimen kohtaa [Käytä].

[Autentikointi/Salausalgoritmi]

Valitse joko [Aut.] tai [Manuaaliset asetukset] ja aseta IKE-vaiheen 1 todennuksen ja salausalgoritmin määrittelytapa. Jos valitset [Aut.], sekä tämän laitteen että tietoliikenteen vertaisjärjestelmän käytettävissä oleva algoritmi asetetaan automaattisesti. Jos haluat määritellä tietyn algoritmin, valitse [Manuaaliset asetukset] ja konfiguroi alla olevat asetukset.

[Autentikointi]	Valitse hajautusalgoritmi.
[Salaus]	Valitse salausalgoritmi.
[DH-ryhmä]	Valitse ryhmä Diffie-Hellman -avaimenvaihtomenetelmästä asettaaksesi avaimen vahvuuden.

Valitse [OK].


Kun [IKE]-näkymän kohdan [IKE-tila] asetuksena on [Pää] ja kohdan [Autentikointitapa] asetuksena on [Esijaettu avain-menet.], seuraavat rajoitukset ovat käytössä, kun rekisteröidään useita suojauskäytäntöjä. Jaettu avain -menetelmä: kun määrität useita etä-IP-osoitteita, joihin turvatoimintoja sovelletaan, kaikki tämän turvatoiminnon jaetut avaimet ovat identtisiä (tämä ei pidä paikaansa, kun vain yksi osoite on määritetty). Etusija: kun määritetään useita etä-IP-osoitteita, joihin suojauskäytäntöä sovelletaan, tämän suojauskäytännön prioriteetti on alempi kuin suojauskäytäntöjen, joille on määritetty vain yksi osoite.

Kun [IKE]-näkymän kohdan [IKE-tila] asetuksena on [Pää] ja kohdan [Autentikointitapa] asetuksena on [Esijaettu avain-menet.], seuraavat rajoitukset ovat käytössä, kun rekisteröidään useita suojauskäytäntöjä.

Jaettu avain -menetelmä: kun määrität useita etä-IP-osoitteita, joihin turvatoimintoja sovelletaan, kaikki tämän turvatoiminnon jaetut avaimet ovat identtisiä (tämä ei pidä paikaansa, kun vain yksi osoite on määritetty).

Etusija: kun määritetään useita etä-IP-osoitteita, joihin suojauskäytäntöä sovelletaan, tämän suojauskäytännön prioriteetti on alempi kuin suojauskäytäntöjen, joille on määritetty vain yksi osoite.

Koosta IPSec-liikennöintiasetukset.

Valitse [IPSec-verkkoasetukset].

Koosta tarvittavat asetukset.

[Voimassaolo]

Aseta luodun IPSec SA:n vanhenemisaika. Muista asettaa joko [Aika] tai [Koko]. Jos asetat molemmat, asetusta, jonka arvo saavutetaan ensin, käytetään.

[PFS]

Jos valitset [Käytä PFS:ää], salausavaimen salaus paranee, mutta tietoliikenteen nopeus hidastuu. Tämän lisäksi Perfect Forward Secrecy (PFS, täydellinen edelleenlähetyksen salaus) on otettava käyttöön tietoliikenteen vertaisjärjestelmässä.

[Autentikointi/Salausalgoritmi]

Valitse joko [Aut.] tai [Manuaaliset asetukset] ja aseta IKE-vaiheen 2 todennus ja salausalgoritmi määrittelytapa. Jos valitset [Aut.], ESP-todennus ja salausalgoritmi asetetaan automaattisesti. Jos haluat määritellä tietyn todennustavan, valitse [Manuaaliset asetukset] ja valitse jokin alla olevista todennustavoista.

[ESP]	Sekä todennus että salaus suoritetaan. Valitse algoritmi kohtiin [ESP-autentikointi] ja [ESP-salaus] Valitse [NOLLA], jos et halua asettaa todennusta tai salausalgoritmia.
[ESP (AES-GCM)]	AES-GCM:tä käytetään ESP-algoritmina, ja sekä autentikointi että salaus suoritetaan.
[AH (SHA1)]	Autrentikointi suoritetaan mutta dataa ei salata. SHA1:tä käytetään algoritmina.

Napsauta [OK]:ta.

Valitse [OK].

Salli rekisteröidyt käytännöt ja tarkista tärkeysjärjestys.

Käytäntöjä sovelletaan siinä järjetyksessä kuin ne ovat luettelossa alkaen ylhäältä. Jos haluat muuttaa ensisijaisuusjärjestystä, valitse käytäntö luettelosta ja napsauta kohtaa [Kohota etusijaa] tai [Matala etusija].


IPSec-käytäntöjen hallinta Voit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 4. Voit muokata tarkempia käytäntötietoja napsauttamalla käytännön nimeä luettelossa. Poista käytäntö käytöstä napsauttamalla käytännön nimeä listassa valitse [Ei] kohtaan [Toimintaohje Kyllä/Ei] napsauta [OK]:ta. Poista käytäntö valitsemalla se luettelosta napsauta kohtaa [Poista] [OK]. Ohjauspaneelin käyttäminen Voit myös ottaa käyttöön tai poistaa käytöstä IPSec-tietoliikenteen <Päävalikko>-näkymän kohdassa <Aseta>. <IPSec-asetukset> Erätuonti/erävienti Tämä asetus voidaan tuoda/viedä malleissa, jotka tukevat tämän asetuksen erätuontia. Asetustietojen tuonti/vienti Tämä asetus sisältyy eräviennin kohtaan [Asetukset/tallennuksen perustiedot]. Kaikkien asetusten tuonti/vienti

IPSec-käytäntöjen hallinta

Voit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 4.

Voit muokata tarkempia käytäntötietoja napsauttamalla käytännön nimeä luettelossa.

Poista käytäntö käytöstä napsauttamalla käytännön nimeä listassa

valitse [Ei] kohtaan [Toimintaohje Kyllä/Ei]

napsauta [OK]:ta.

Poista käytäntö valitsemalla se luettelosta

napsauta kohtaa [Poista]

[OK].

Ohjauspaneelin käyttäminen

Voit myös ottaa käyttöön tai poistaa käytöstä IPSec-tietoliikenteen <Päävalikko>-näkymän kohdassa <Aseta>. <IPSec-asetukset>

Erätuonti/erävienti

Tämä asetus voidaan tuoda/viedä malleissa, jotka tukevat tämän asetuksen erätuontia. Asetustietojen tuonti/vienti

Tämä asetus sisältyy eräviennin kohtaan [Asetukset/tallennuksen perustiedot]. Kaikkien asetusten tuonti/vienti