IPSec-beállítások megadása

Az IPSec használatával megakadályozhatja, hogy harmadik felek lehallgassák vagy illetéktelenül módosítsák az IP-hálózaton továbbított IP-csomagokat. Az IPSec az interneten is alkalmazott, alapszintű IP protokollcsomagot egészíti ki biztonsági funkciókkal, így alkalmazásoktól és hálózati konfigurációktól függetlenül képes növelni a biztonságot. Ahhoz, hogy a készülékkel IPSec-kommunikációt folytathasson, olyan beállításokat kell megadnia, mint az alkalmazás paraméterei, valamint a hitelesítéshez és titkosításhoz használt algoritmus. Ezeknek a beállításoknak a megadásához rendszergazdai jogosultságok szükségesek.

Az IPSec engedélyezése

Házirend regisztrálása


Kommunikációs mód A készülék csak az IPSec-kommunikáció szállítási módját támogatja. Ebből következően a hitelesítés és titkosítás csak az IP-csomagok adatrészére érvényesül. Kulcscsere-protokoll A készülék a kulcsok internetes biztonsági kapcsolat- és kulcskezelő protokollon (Internet Security Association and Key Management Protocol, ISAKMP) alapuló cseréjéhez az internetes kulcscsere (Internet Key Exchange) 1-es verzióját (IKEv1) támogatja. Hitelesítési módként az előmegosztott kulcs módot vagy a digitális aláírás módot választhatja. Az előmegosztott kulcs mód beállítása esetében előzetesen meg kell határoznia a készülék és az IPSec-kommunikációs partner között használandó jelszót (előmegosztott kulcs). A digitális aláírás mód beállítása esetében a készülék és az IPSec-kommunikációs partner közötti kölcsönös hitelesítést CA tanúsítvánnyal, valamint PKCS#12 formátumú kulccsal és tanúsítvánnyal tudja lebonyolítani. Az új CA tanúsítványok, illetve kulcsok/tanúsítványok bejegyzésével kapcsolatos információkat lásd: Kulcs és tanúsítvány bejegyzése hálózati kommunikációhoz. Ügyeljen rá, hogy az SNTP protokollt be kell állítani a készüléken ahhoz, hogy ezt a módot használni tudja. SNTP-beállítások elvégzése

Kommunikációs mód

A készülék csak az IPSec-kommunikáció szállítási módját támogatja. Ebből következően a hitelesítés és titkosítás csak az IP-csomagok adatrészére érvényesül.

Kulcscsere-protokoll

A készülék a kulcsok internetes biztonsági kapcsolat- és kulcskezelő protokollon (Internet Security Association and Key Management Protocol, ISAKMP) alapuló cseréjéhez az internetes kulcscsere (Internet Key Exchange) 1-es verzióját (IKEv1) támogatja. Hitelesítési módként az előmegosztott kulcs módot vagy a digitális aláírás módot választhatja.

Az előmegosztott kulcs mód beállítása esetében előzetesen meg kell határoznia a készülék és az IPSec-kommunikációs partner között használandó jelszót (előmegosztott kulcs).

A digitális aláírás mód beállítása esetében a készülék és az IPSec-kommunikációs partner közötti kölcsönös hitelesítést CA tanúsítvánnyal, valamint PKCS#12 formátumú kulccsal és tanúsítvánnyal tudja lebonyolítani. Az új CA tanúsítványok, illetve kulcsok/tanúsítványok bejegyzésével kapcsolatos információkat lásd: Kulcs és tanúsítvány bejegyzése hálózati kommunikációhoz. Ügyeljen rá, hogy az SNTP protokollt be kell állítani a készüléken ahhoz, hogy ezt a módot használni tudja. SNTP-beállítások elvégzése


A készülék a [FIPS 140-2 titkosítási módszer kialakítása] lehetőség IPSec-kommunikációra vonatkozó beállításától függetlenül FIPS140-2 tanúsítvánnyal már rendelkező titkosítási modult fog használni. Ahhoz, hogy az IPSec-kommunikáció megfeleljen az FIPS 140-2 szabványnak, az IPSec-kommunikációra vonatkozóan a DH és az RSA kulcshosszát is legalább 2048 bitesre kell állítania abban a hálózati környezetben, amelyhez a készülék tartozik. A készülékről csak a DH kulcshosszát lehet megadni. Jegyezze fel az adatokat a környezet beállításakor, mivel a készülékben az RSA rendszerre vonatkozóan nincsenek beállítások. Legfeljebb 10 biztonsági házirendet jegyezhet be.

A készülék a [FIPS 140-2 titkosítási módszer kialakítása] lehetőség IPSec-kommunikációra vonatkozó beállításától függetlenül FIPS140-2 tanúsítvánnyal már rendelkező titkosítási modult fog használni.

Ahhoz, hogy az IPSec-kommunikáció megfeleljen az FIPS 140-2 szabványnak, az IPSec-kommunikációra vonatkozóan a DH és az RSA kulcshosszát is legalább 2048 bitesre kell állítania abban a hálózati környezetben, amelyhez a készülék tartozik.

A készülékről csak a DH kulcshosszát lehet megadni.

Jegyezze fel az adatokat a környezet beállításakor, mivel a készülékben az RSA rendszerre vonatkozóan nincsenek beállítások.

Legfeljebb 10 biztonsági házirendet jegyezhet be.

Az IPSec engedélyezése

Indítsa el a Távoli felhasználói felületet. A Távoli felhasználói felület elindítása

A portáloldalon kattintson a [Beállítás/Bejegyzés] lehetőségre. A Távoli felhasználói felület képernyője

Kattintson a [Hálózati beállítások]

[IPSec beállítás] lehetőségre.

Válassza az [IPSec használata] lehetőséget, majd kattintson az [OK] gombra.

A csak a biztonsági házirendnek megfelelő csomagok fogadásához válassza az [Elvet] lehetőséget a [Házirendnek nem megfelelő csomagok vétele] opciónál.

Házirend regisztrálása

Indítsa el a Távoli felhasználói felületet. A Távoli felhasználói felület elindítása

A portáloldalon kattintson a [Beállítás/Bejegyzés] lehetőségre. A Távoli felhasználói felület képernyője

Kattintson a [Hálózati beállítások]

[IPSec házirend lista] lehetőségre.

Kattintson a [Új IPSec-házirend bejegyzése] lehetőségre.

Állítson be egy házirendet.

[Házirend neve]

Adja meg a házirendet azonosító nevet.

[Házirend Be/Ki]

A regisztrált házirend engedélyezéséhez válassza a [Be] lehetőséget.

[Csak 256-bites AES kulcshossz]

Az AES titkosítási mód kulcshosszának 256 bitre történő korlátozásához, valamint a CC hitelesítési szabványoknak való megfeleléshez jelölje be ezt a jelölőnégyzetet.

Adja meg az IPSec alkalmazás-paramétereit.

Kattintson a [Választó beállításai] lehetőségre.

Adja meg, milyen IP-címre kívánja alkalmazni az IPSec-házirendet.

A [Helyi cím] mezőben adja meg a készülék IP-címét, a [Távoli cím] mezőben pedig a kommunikációs partner IP-címét.

[Minden IP cím]	Az IPSec minden küldött és fogadott IP-csomagra érvényes lesz.
[IPv4 cím]	Az IPSec a készülék IPv4-címére küldött és onnan fogadott IP-csomagokra lesz érvényes.
[IPv6 cím]	Az IPSec a készülék IPv6-címére küldött és onnan fogadott IP-csomagokra lesz érvényes.
[Minden IPv4 cím]	Az IPSec a kommunikációs partner IPv4-címére küldött és onnan fogadott IP-csomagokra lesz érvényes.
[Minden IPv6 cím]	Az IPSec a kommunikációs partner IPv6-címére küldött és onnan fogadott IP-csomagokra lesz érvényes.
[IPv4 kézi beállítás]	Megadhatja, milyen IPv4-címre kívánja alkalmazni az IPSec-házirendet. Önálló IPv4-cím beírásához válassza az [Egyetlen cím] lehetőséget. IPv4-címek tartományának megadásához válassza a [Címtartomány] lehetőséget. Írjon be egy-egy címet az [Első cím] és az [Utolsó cím] mezőbe. IPv4-címek tartományának alhálózati maszkkal való megadásához válassza az [Alhálózat beállítás] lehetőséget. Külön-külön írja be az [Első cím] és az [Alhálózat beállítás] értékét.
[IPv6 kézi beállítás]	Megadhatja, milyen IPv6-címre kívánja alkalmazni az IPSec-házirendet. Egy önálló IPv6-cím beírásához válassza az [Egyetlen cím] lehetőséget. IPv6-címek tartományának megadásához válassza a [Címtartomány] lehetőséget. Írjon be egy-egy címet az [Első cím] és az [Utolsó cím] mezőbe. IPv6-címek tartományának előtaggal való megadásához válassza az [Előtag cím] lehetőséget. Külön-külön írja be az [Első cím] és az [Előtag hossz] értékét.

Adja meg, melyik portra kívánja alkalmazni az IPSec-házirendet.

Ha azokat a portokat, amelyekre az IPSec-házirendet alkalmazni kívánja, portszámmal szeretné megadni, válassza a [Megadás port számával] lehetőséget. Ha az összes portszámra alkalmazni kívánja az IPSec-házirendet, válassza a [Minden port] lehetőséget. Ha az IPSec-házirendet egy bizonyos portszámra kívánja alkalmazni, válassza az [Egyetlen port] lehetőséget, és írja be a portszámot. A [Helyi port] mezőben adja meg a készülék portját, a [Távoli port] mezőben pedig a kommunikációs partner portját.

Ha a szolgáltatás neve alapján szeretné meghatározni, hogy mely portokra kívánja alkalmazni az IPSec-házirendet, válassza a [Megadás szolgáltatásnévvel] lehetőséget, és válassza ki a használni kívánt szolgáltatásokat.

Kattintson a [OK] lehetőségre.

Adja meg a hitelesítési és titkosítási beállításokat.

Kattintson a [IKE beállításai] lehetőségre.

Adja meg a szükséges beállításokat.

[IKE mód]

A kulcscsere-protokoll működési módját választhatja ki. A [Fő] lehetőség kiválasztása növeli a biztonságot, mivel maga az IKE-munkamenet van titkosítva, a munkamenet sebessége azonban kisebb, mint az [Agresszív] lehetőség esetében, mely esetben nincs titkosítva a teljes munkamenet.

[Érvényesség]

Itt állíthatja be a létrehozott IKE SA érvényességét.

[Hitelesítési mód]

Az alábbiakban bemutatott hitelesítési módok valamelyikét választhatja ki.

[Előmegsztott kulcs mód]	Állítsa be ugyanazt a jelszót (előmegosztott kulcs), ami a kommunikációs partnernél is be van állítva. Válassza a [Megosztott kulcs beállításai] lehetőséget, írja be a megosztott kulcsként használandó karakterláncot, és nyomja meg az [OK] gombot.
[Digitális aláírás mód]	Adja meg a kommunikációs partnerrel való kölcsönös hitelesítéshez használandó kulcsot és tanúsítványt. Kattintson a [Kulcs és tanúsítvány] lehetőségre, majd kattintson a [Használja] lehetőségre a használni kívánt kulcsnál.

[Hitelesítési/Titkosítási algoritmus]

Az [Autom.] vagy [Kézi beállítás] lehetőségek valamelyikét kiválasztva beállíthatja, hogyan kívánja megadni a hitelesítési és titkosítási algoritmust az IKE 1. fázisához. Az [Autom.] lehetőség kiválasztása esetén a rendszer automatikusan beállít egy olyan algoritmust, amelyet a készülék és a kommunikációs partner is tud használni. Ha egy konkrét algoritmust szeretne megadni, válassza a [Kézi beállítás] lehetőséget, és adja meg az alábbi beállításokat.

[Hitelesítés]	Válasszon tördelő algoritmust.
[Titkosítás]	Válasszon titkosítási algoritmust.
[DH csoport]	A Diffie-Hellman kulcscseremódszerhez tartozó csoportot választhatja ki a kulcs erősségének beállításához.

Kattintson a [OK] lehetőségre.


Ha az [IKE mód] beállítása [Fő] az [IKE] képernyőn, a [Hitelesítési mód] beállítása pedig [Előmegsztott kulcs mód], akkor több biztonsági házirend bejegyzése esetében az alábbi korlátozások lesznek érvényesek. Előmegosztott kulcs mód kulcsa: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az ahhoz a biztonsági házirendhez tartozó összes megosztott kulcs azonos lesz (ez nem vonatkozik arra az esetre, ha csak egy cím van megadva). Elsőbbség: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az a biztonsági házirend alacsonyabb elsőbbségű azoknál, amelyekhez csak egy cím van megadva.

Ha az [IKE mód] beállítása [Fő] az [IKE] képernyőn, a [Hitelesítési mód] beállítása pedig [Előmegsztott kulcs mód], akkor több biztonsági házirend bejegyzése esetében az alábbi korlátozások lesznek érvényesek.

Előmegosztott kulcs mód kulcsa: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az ahhoz a biztonsági házirendhez tartozó összes megosztott kulcs azonos lesz (ez nem vonatkozik arra az esetre, ha csak egy cím van megadva).

Elsőbbség: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az a biztonsági házirend alacsonyabb elsőbbségű azoknál, amelyekhez csak egy cím van megadva.

Adja meg az IPSec-kommunikációs beállításokat.

Kattintson a [IPSec hálózati beállítások] lehetőségre.

Adja meg a szükséges beállításokat.

[Érvényesség]

Itt állíthatja be a létrehozott IPSec SA érvényességét. Vagy az [Idő] vagy a [Méret] lehetőséget be kell állítania. Ha mindkettőt beállítja, az a beállítás kerül alkalmazásra, amely előbb teljesül.

[PFS]

A [PFS használata] lehetőség kiválasztása esetén a titkosítási kulcs tikossága magasabb szintű, a kommunikáció sebessége azonban alacsonyabb lesz. Emellett a PFS (Perfect Forward Secrecy) funkciót a kommunikációs partnereszközön is engedélyezni kell.

[Hitelesítési/Titkosítási algoritmus]

Az [Autom.] vagy [Kézi beállítás] lehetőségek valamelyikét kiválasztva beállíthatja, hogyan kívánja megadni a hitelesítési és titkosítási algoritmust az IKE 2. fázisához. Az [Autom.] lehetőség kiválasztása esetén a rendszer automatikusan beállítja az ESP hitelesítési és titkosítási algoritmust. Ha egy konkrét hitelesítési módot szeretne megadni, válassza a [Kézi beállítás] lehetőséget, és válassza ki az alábbi hitelesítési módok valamelyikét.

[ESP]	A rendszer hitelesítést és titkosítást is végez. Válassza ki az algoritmust az [ESP hitelesítés] és [ESP titkosítás] opcióhoz. Ha nem szeretne megadni hitelesítési vagy a titkosítási algoritmust, válassza a [NULL] lehetőséget.
[ESP (AES-GCM)]	A rendszer ESP-algoritmusként az AES-GCM módot alkalmazza, és hitelesítést és titkosítást is végez.
[AH (SHA1)]	A rendszer hitelesítést végez, de az adatok nem lesznek titkosítva. A hitelesítés SHA1 algoritmussal történik.

Kattintson a [OK] gombra.

Kattintson a [OK] lehetőségre.

Engedélyezze a bejegyzett házirendeket, és ellenőrizze az elsőbbségi sorrendet.

A házirendek a felsorolásuk sorrendjében kerülnek alkalmazásra, felülről kezdve. Az elsőbbségi sorrend megváltoztatásához válasszon ki egy házirendet a listából, és válassza ki a [Prioritást növel] vagy [Prioritást csökkent] lehetőséget.


IPSec-házirendek kezelése A házirendeket a 4. lépésben megjelenő képernyőn tudja szerkeszteni. A házirend részleteinek szerkesztéséhez kattintson a listában a házirend nevére. Házirend letiltásához kattintson a házirend nevére a listában válassza a [Ki] lehetőséget a [Házirend Be/Ki] opciónál kattintson az [OK] gombra. Házirend törléséhez válassza ki a törlendő házirendet a listából kattintson a [Töröl] [OK] lehetőségre. A kezelőpanel használata Az IPSec-kommunikációt a <Főmenü> felületén, a <Beállítás> részben is engedélyezheti vagy letilthatja. <IPSec beállítás> Kötegelt importálás/kötegelt exportálás Ezt a beállítást olyan modellekbe/modellekből importálhatja/exportálhatja, amelyek támogatják ennek a beállításnak a kötegelt importálását. Beállításadatok importálása/exportálása Kötegelt exportálás végrehajtásakor ez a beállítás a [Beállításokra/bejegyzésre vonatkozó alapvető információk] részben szerepel. Az összes beállítás importálása/exportálása

IPSec-házirendek kezelése

A házirendeket a 4. lépésben megjelenő képernyőn tudja szerkeszteni.

A házirend részleteinek szerkesztéséhez kattintson a listában a házirend nevére.

Házirend letiltásához kattintson a házirend nevére a listában

válassza a [Ki] lehetőséget a [Házirend Be/Ki] opciónál

kattintson az [OK] gombra.

Házirend törléséhez válassza ki a törlendő házirendet a listából

kattintson a [Töröl]

[OK] lehetőségre.

A kezelőpanel használata

Az IPSec-kommunikációt a <Főmenü> felületén, a <Beállítás> részben is engedélyezheti vagy letilthatja. <IPSec beállítás>

Kötegelt importálás/kötegelt exportálás

Ezt a beállítást olyan modellekbe/modellekből importálhatja/exportálhatja, amelyek támogatják ennek a beállításnak a kötegelt importálását. Beállításadatok importálása/exportálása

Kötegelt exportálás végrehajtásakor ez a beállítás a [Beállításokra/bejegyzésre vonatkozó alapvető információk] részben szerepel. Az összes beállítás importálása/exportálása