Конфигуриране на IPSec настройки

С използването на IPSec можете да предотвратите получаване или фалшифициране от трети страни на IP пакети, изпратени през IP мрежата. Тъй като IPSec добавя функции за защита към IP, основен набор от протоколи, използван за интернет, това може да даде защитеност независимо от приложенията или конфигурацията на мрежата. За извършване на IPSec комуникация с тази машина трябва да конфигурирате настройките, като параметри на приложението и алгоритъм за удостоверяване и шифроване. Нужни са привилегии на администратор, за да се конфигурират тези настройки.

Разрешаване на IPSec

Регистриране на правила


Режим на комуникация Тази машина поддържа само транспортен режим за IPSec комуникация. В резултат на това удостоверяване и шифроване се прилагат само към частите от данни на IP пакетите. Протокол за обмен на ключове Тази машина поддържа Internet Key Exchange version 1 (IKEv1) за обмен на ключове, базирани на Internet Security Association and Key Management Protocol (ISAKMP). За метода за удостоверяване задайте метод на предварително споделен ключ или метод на цифров подпис. Когато задавате метод на предварително споделен ключ, вие трябва да определите предварително парола (предварително споделен ключ), която да се използва между машината и партньора за IPSec комуникация. Когато задавате метод на цифров подпис, използвайте СА сертификат и ключ и сертификат в PKCS#12 формат за извършване на взаимно удостоверяване между машината и партньора за IPSec комуникация. За повече информация относно регистрирането на нови СА сертификати или ключове/сертификати вж. Регистриране на ключ и сертификат за мрежова комуникация. Отбележете, че SNTP трябва да се конфигурира за машината, преди да се използва този метод. Извършване на настройки за SNTP

Режим на комуникация

Тази машина поддържа само транспортен режим за IPSec комуникация. В резултат на това удостоверяване и шифроване се прилагат само към частите от данни на IP пакетите.

Протокол за обмен на ключове

Тази машина поддържа Internet Key Exchange version 1 (IKEv1) за обмен на ключове, базирани на Internet Security Association and Key Management Protocol (ISAKMP). За метода за удостоверяване задайте метод на предварително споделен ключ или метод на цифров подпис.

Когато задавате метод на предварително споделен ключ, вие трябва да определите предварително парола (предварително споделен ключ), която да се използва между машината и партньора за IPSec комуникация.

Когато задавате метод на цифров подпис, използвайте СА сертификат и ключ и сертификат в PKCS#12 формат за извършване на взаимно удостоверяване между машината и партньора за IPSec комуникация. За повече информация относно регистрирането на нови СА сертификати или ключове/сертификати вж. Регистриране на ключ и сертификат за мрежова комуникация. Отбележете, че SNTP трябва да се конфигурира за машината, преди да се използва този метод. Извършване на настройки за SNTP


Независимо от настройката на [Format Encryption Method to FIPS 140-2] за IPSec комуникация, ще се използва модул за шифроване, който вече е получил FIPS140-2 сертифициране. За да може IPSec комуникацията да съответства с FIPS 140-2, трябва да зададете дължината на DH и RSA за IPSec комуникацията на 2048 бита или повече в мрежовата среда, към която машината принадлежи. Само дължина на ключа за DH може да се посочи от машината. Имайте предвид при конфигуриране на средата си, че няма настройки за RSA в машината. Можете да регистрирате до 10 правила за защита.

Независимо от настройката на [Format Encryption Method to FIPS 140-2] за IPSec комуникация, ще се използва модул за шифроване, който вече е получил FIPS140-2 сертифициране.

За да може IPSec комуникацията да съответства с FIPS 140-2, трябва да зададете дължината на DH и RSA за IPSec комуникацията на 2048 бита или повече в мрежовата среда, към която машината принадлежи.

Само дължина на ключа за DH може да се посочи от машината.

Имайте предвид при конфигуриране на средата си, че няма настройки за RSA в машината.

Можете да регистрирате до 10 правила за защита.

Разрешаване на IPSec

Стартирайте Remote UI (Потребителски интерфейс за отдалечено управление). Стартиране на Remote UI (Потребителски интерфейс за отдалечено управление)

Щракнете върху [Settings/Registration] в страницата на портала. Екран на Remote UI (Потребителски интерфейс за отдалечено управление)

Щракнете върху [Network Settings]

[IPSec Settings].

Изберете [Use IPSec] и щракнете върху [OK].

За получаване само на пакети, които отговарят на правилата за защита, изберете [Reject] за [Receive Non-Policy Packets].

Регистриране на правила

Щракнете върху [Network Settings]

[IPSec Policy List].

Щракнете върху [Register New IPSec Policy].

Задайте правила.

[Policy Name]

Въведете име за идентифициране на правилата.

[Policy On/Off]

Изберете [On], за да разрешите регистрирането на правилата.

[Only Allow 256-bit for AES Key Length]

Поставете отметката в полето, за да ограничите дължината на ключа на метода на шифроване AES до 256 бита и той да отговаря на стандарта за удостоверяване CC.

Конфигурирайте параметри на IPSec приложението.

Щракнете върху [Selector Settings].

Посочете IP адреса, към който ще се прилагат IPSec правилата.

Посочете IP адреса на тази машина в [Local Address] и посочете IP адреса на партньора за комуникация в [Remote Address].

[All IP Addresses]	IPSec се прилага към всички изпратени и получени IP пакети.
[IPv4 Address]	IPSec се прилага към IP пакети, изпратени от и получени от IPv4 адреса на тази машина.
[IPv6 Address]	IPSec се прилага към IP пакети, изпратени от и получени от IPv6 адреса на тази машина.
[All IPv4 Addresses]	IPSec се прилага към IP пакети, изпратени от и получени от IPv4 адреса на партньора за комуникация.
[All IPv6 Addresses]	IPSec се прилага към IP пакети, изпратени от и получени от IPv6 адреса на партньора за комуникация.
[IPv4 Manual Settings]	Посочете IPv4 адрес за прилагане на IPSec. Изберете [Single Address] за въвеждане на индивидуален IPv4 адрес. Изберете [Range Address] за посочване на набор от IPv4 адреси. Въведете отделен адрес за [First Address] и [Last Address]. Изберете [Subnet Settings] за посочване на набор от IPv4 адреси с използване на подмрежова маска. Въведете отделни стойности за [First Address] и [Subnet Settings].
[IPv6 Manual Settings]	Посочете IPv6 адрес за прилагане на IPSec. Изберете [Single Address] за въвеждане на индивидуален IPv6 адрес. Изберете [Range Address] за посочване на набор от IPv6 адреси. Въведете отделен адрес за [First Address] и [Last Address]. Изберете [Prefix Address] за посочване на набор от IPv6 адреси с използване на префикс. Въведете отделни стойности за [First Address] и [Prefix Length].

Посочете порта за прилагане на IPSec.

Изберете [Specify by Port Number] за използване на номера на портове при посочване на портовете, към които IPSec се прилага. Изберете [All Ports] за прилагане на IPSec към всички номера на портове. За прилагане на IPSec към специфичен номер на порт натиснете [Single Port] и въведете номера на порта. Посочете порта на тази машина в [Local Port] и посочете порта на партньора за комуникация в [Remote Port].

За да укажете на портовете, на които да се приложи IPSec по име на услуга, изберете [Specify by Service Name] и изберете услугите, които ще се използват.

Щракнете върху [OK].

Конфигурирайте настройките за удостоверяване и шифроване.

Щракнете върху [IKE Settings].

Конфигурирайте необходимите настройки.

[IKE Mode]

Изберете режим за работа за протокола за обмен на ключове. Защитата е подобрена, ако изберете [Main], защото IKE сесията е шифрована, но скоростта на сесията е по-ниска отколкото с [Aggressive], което не шифрова цялата сесия.

[Validity]

Настройте срока за изтичане на генерирания IKE SA.

[Authentication Method]

Изберете един от описаните по-долу методи за удостоверяване.

[Pre-Shared Key Method]	Настройте същата парола (предварително споделен ключ), която е зададена за партньора в комуникацията. Изберете [Shared Key Settings], въведете низ от символи за използване като споделен ключ и изберете [OK].
[Digital Signature Method]	Задайте ключа и сертификата, за да използвате за взаимно удостоверяване чрез партньора в комуникацията. Щракнете върху [Key and Certificate], след което щракнете върху [Use] за използвания бутон.

[Authentication/Encryption Algorithm]

Изберете [Auto] или [Manual Settings], за да зададете как да се посочва алгоритъм за удостоверяване и кодиране за IKE фаза 1. Ако изберете [Auto], автоматично се задава алгоритъм, който може да се използва от тази машина и от партньора в комуникацията. Ако искате да посочите конкретен алгоритъм, изберете [Manual Settings] и конфигурирайте настройките по-долу.

[Authentication]	Изберете хаш алгоритъм.
[Encryption]	Изберете алгоритъм за шифроване.
[DH Group]	Изберете групата за метода на обмен на ключове Diffie-Hellman, за да зададете силата на ключа.

Щракнете върху [OK].


Когато [IKE Mode] е зададено на [Main] в екрана [IKE] и [Authentication Method] е зададено на [Pre-Shared Key Method], се прилагат следните ограничения при регистриране на няколко групи правила за защита. Ключ за метод за предварително споделен ключ: когато се посочват няколко отдалечени IP адреса, към които трябва да се приложат правила за защита, всички споделени ключове за тези правила за защита са идентични (това не се прилага при посочен един адрес). Приоритет: когато се посочват няколко отдалечени IP адреса, към които трябва да се приложат правила за защита, приоритетът на тези правила за защита е по-нисък от този на правилата за защита, за които е посочен единичен адрес.

Когато [IKE Mode] е зададено на [Main] в екрана [IKE] и [Authentication Method] е зададено на [Pre-Shared Key Method], се прилагат следните ограничения при регистриране на няколко групи правила за защита.

Ключ за метод за предварително споделен ключ: когато се посочват няколко отдалечени IP адреса, към които трябва да се приложат правила за защита, всички споделени ключове за тези правила за защита са идентични (това не се прилага при посочен един адрес).

Приоритет: когато се посочват няколко отдалечени IP адреса, към които трябва да се приложат правила за защита, приоритетът на тези правила за защита е по-нисък от този на правилата за защита, за които е посочен единичен адрес.

Конфигурирайте настройките за IPSec комуникация.

Щракнете върху [IPSec Network Settings].

Конфигурирайте необходимите настройки.

[Validity]

Настройте периода на изтичане на генерирания IPSec SA. Уверете се, че задавате или [Time], или [Size]. Ако зададете и двете настройки, се прилага настройката със стойността, достигната първа.

[PFS]

Ако изберете [Use PFS], секретността на ключа за кодиране се увеличава, но скоростта на комуникация е по-бавна. Освен това, функцията Perfect Forward Secrecy (PFS) трябва да е разрешена на устройството на партньора в комуникацията.

[Authentication/Encryption Algorithm]

Изберете или [Auto], или [Manual Settings], за да зададете как да се посочва алгоритъм за удостоверяване и кодиране за IKE фаза 2. Ако изберете [Auto], алгоритъмът за ESP удостоверяване и шифриране се задава автоматично. Ако искате да посочите конкретен метод за удостоверяване, изберете [Manual Settings] и изберете един от методите за удостоверяване по-долу.

[ESP]	Извършват се и удостоверяване, и шифриране. Изберете алгоритъма за [ESP Authentication] и [ESP Encryption]. Изберете [NULL], ако не искате да зададете алгоритъма за удостоверяване или шифриране.
[ESP (AES-GCM)]	AES-GCM се използва като ESP алгоритъм и се извършват както удостоверяване, така и шифроване.
[AH (SHA1)]	Удостоверяване се извършва, но данните не се шифроват. SHA1 се използва за алгоритъм.

Щракнете върху [OK].

Активирайте регистрираните правила и проверете реда на приоритет.

Правилата се прилагат по реда, в който са посочени, като се започва от най-горното. Ако искате да промените реда на приоритет, изберете правила в списъка и щракнете върху [Raise Priority] или [Lower Priority].


Управляване на IPSec правила Можете да редактирате правилата на екрана, показан на стъпка 4. За редактиране на детайли за правила щракнете върху името на правилата в списъка. За да деактивирате дадени правила, щракнете върху името на правилата в списъка, изберете [Off] за [Policy On/Off] щракнете върху [OK]. За изтриване на правила изберете правилата в списъка и щракнете върху [Delete] [OK]. Използване на контролния панел Можете също да активирате или деактивирате комуникационната форма на IPSec <Задав.> на екрана <Начало>. <IPSec настройки> Партидно импортиране/партидно експортиране Тази настройка може да се импортира/експортира с модели, които поддържат партидно импортиране на тази настройка. Импортиране/експортиране на данни за настройки Тази настройка е включена в [Settings/Registration Basic Information] при групово експортиране. Импортиране/експортиране на всички настройки

Управляване на IPSec правила

Можете да редактирате правилата на екрана, показан на стъпка 4.

За редактиране на детайли за правила щракнете върху името на правилата в списъка.

За да деактивирате дадени правила, щракнете върху името на правилата в списъка,

изберете [Off] за [Policy On/Off]

щракнете върху [OK].

За изтриване на правила изберете правилата в списъка

и щракнете върху [Delete]

[OK].

Използване на контролния панел

Можете също да активирате или деактивирате комуникационната форма на IPSec <Задав.> на екрана <Начало>. <IPSec настройки>

Партидно импортиране/партидно експортиране

Тази настройка може да се импортира/експортира с модели, които поддържат партидно импортиране на тази настройка. Импортиране/експортиране на данни за настройки

Тази настройка е включена в [Settings/Registration Basic Information] при групово експортиране. Импортиране/експортиране на всички настройки