Konfiguracja ustawień IPSec

Dzięki wykorzystaniu IPSec możesz zapobiec przechwyceniu lub modyfikacji przez strony trzecie pakietów IP przesyłanych przez sieć IP. Ponieważ IPSec dodaje funkcje zabezpieczające do IP, podstawowego protokołu wykorzystywanego w Internecie, może zapewnić bezpieczeństwo niezależnie od aplikacji i konfiguracji sieciowej. Aby przeprowadzić komunikację IPSec z urządzeniem, należy skonfigurować ustawienia takie jak parametry aplikacji oraz algorytm uwierzytelniania i szyfrowania. Aby skonfigurować te ustawienia, wymagane są uprawnienia administratora.

Włączanie IPSec

Rejestrowanie zasady


Tryb komunikacji To urządzenie obsługuje wyłącznie tryb transportu dla komunikacji IPSec. Z tego powodu, uwierzytelnianie i szyfrowanie dotyczy wyłącznie części danych pakietów IP. Protokół wymiany kluczy To urządzenie obsługuje IKEv1 (Internet Key Exchange version 1) dla wymian kluczy w oparciu o ISAKMP (Internet Security Association oraz Key Management Protocol). Dla metody uwierzytelniania, ustaw metodę wstępnie udostępnianego klucza lub podpis cyfrowy. Jeżeli ustawisz metodę wstępnie udostępnianego klucza, musisz wcześniej określić tekst szyfrujący (hasło dla wstępnie udostępnianego klucza) wykorzystywane w komunikacji pomiędzy tym urządzeniem i drugim urządzeniem wykorzystującym komunikację IPSec. Jeżeli ustawisz metodę podpisu cyfrowego, użyj certyfikatu CA i klucza formatu PKCS#12 oraz certyfikatu, aby przeprowadzić wzajemne uwierzytelnianie pomiędzy tym urządzeniem i drugim urządzeniem wykorzystującym komunikację IPSec. Aby uzyskać więcej informacji na temat rejestrowania certyfikatów CA lub kluczy/certyfikatów, patrz Rejestrowanie klucza i certyfikatu dla komunikacji sieciowej. Należy pamiętać, że SNTP musi być skonfigurowane w urządzeniu przed rozpoczęciem korzystania z tej metody. Konfiguracja ustawień SNTP

Tryb komunikacji

To urządzenie obsługuje wyłącznie tryb transportu dla komunikacji IPSec. Z tego powodu, uwierzytelnianie i szyfrowanie dotyczy wyłącznie części danych pakietów IP.

Protokół wymiany kluczy

To urządzenie obsługuje IKEv1 (Internet Key Exchange version 1) dla wymian kluczy w oparciu o ISAKMP (Internet Security Association oraz Key Management Protocol). Dla metody uwierzytelniania, ustaw metodę wstępnie udostępnianego klucza lub podpis cyfrowy.

Jeżeli ustawisz metodę wstępnie udostępnianego klucza, musisz wcześniej określić tekst szyfrujący (hasło dla wstępnie udostępnianego klucza) wykorzystywane w komunikacji pomiędzy tym urządzeniem i drugim urządzeniem wykorzystującym komunikację IPSec.

Jeżeli ustawisz metodę podpisu cyfrowego, użyj certyfikatu CA i klucza formatu PKCS#12 oraz certyfikatu, aby przeprowadzić wzajemne uwierzytelnianie pomiędzy tym urządzeniem i drugim urządzeniem wykorzystującym komunikację IPSec. Aby uzyskać więcej informacji na temat rejestrowania certyfikatów CA lub kluczy/certyfikatów, patrz Rejestrowanie klucza i certyfikatu dla komunikacji sieciowej. Należy pamiętać, że SNTP musi być skonfigurowane w urządzeniu przed rozpoczęciem korzystania z tej metody. Konfiguracja ustawień SNTP


Niezależnie od ustawienia [Format. Metody Szyfrowania na FIPS 140-2] dla komunikacji IPSec, zostanie użyty moduł szyfrowania, który uzyskał już certyfikat FIPS140-2. Aby komunikacja IPSec spełniała normę FIPS 140-2, musisz ustawić długość klucza zarówno DH, jak i RSA dla komunikacji IPSec na 2048-bitową lub dłuższą w środowisku sieciowym, do którego należy urządzenie. Tylko długość klucza dla DH można określić z poziomu urządzenia. Zapisz podczas konfigurowania środowiska sieciowego, ponieważ nie ma ustawień dla RSA w urządzeniu. Można zarejestrować do 10 zasad bezpieczeństwa.

Niezależnie od ustawienia [Format. Metody Szyfrowania na FIPS 140-2] dla komunikacji IPSec, zostanie użyty moduł szyfrowania, który uzyskał już certyfikat FIPS140-2.

Aby komunikacja IPSec spełniała normę FIPS 140-2, musisz ustawić długość klucza zarówno DH, jak i RSA dla komunikacji IPSec na 2048-bitową lub dłuższą w środowisku sieciowym, do którego należy urządzenie.

Tylko długość klucza dla DH można określić z poziomu urządzenia.

Zapisz podczas konfigurowania środowiska sieciowego, ponieważ nie ma ustawień dla RSA w urządzeniu.

Można zarejestrować do 10 zasad bezpieczeństwa.

Włączanie IPSec

Uruchom interfejs Remote UI (Zdalny interfejs użytkownika). Uruchamianie interfejsu Remote UI (Zdalny interfejs użytkownika)

Naciśnij na [Ustawienia/Rejestracja] na stronie portalu. Główny ekran Zdalnego interfejsu użytkownika

Kliknij [Ustawienia Sieciowe]

[Ustawienia IPSec].

Wybierz [Użyj IPSec], a następnie kliknij na [OK].

Aby odbierać tylko pakiety spełniające wymagania zasad bezpieczeństwa, wybierz opcję [Odrzuć] dla ustawienia [Odbiór Pakietów Bez Polityki].

Rejestrowanie zasady

Uruchom interfejs Remote UI (Zdalny interfejs użytkownika). Uruchamianie interfejsu Remote UI (Zdalny interfejs użytkownika)

Naciśnij na [Ustawienia/Rejestracja] na stronie portalu. Główny ekran Zdalnego interfejsu użytkownika

Kliknij [Ustawienia Sieciowe]

[Lista Polityki IPSec].

Kliknij [Zarejestruj nową zasadę IPSec].

Ustaw zasadę.

[Nazwa Polityki]

Wprowadź nazwę zasady.

[Polityka Włą./Wył.]

Wybierz [Włącz], aby włączyć zarejestrowaną zasadę.

[Dla długości klucza AES dozwo. tylko 256-bitów]

Zaznacz to pole wyboru, aby ograniczyć długość klucza metody szyfrowania AES do 256 bitów i spełnić standardy uwierzytelniania CC.

Skonfiguruj parametry aplikacji IPSec.

Kliknij [Ustawienia selektora].

Określ adres IP, dla którego zasady IPSec mają być zastosowane.

Określ adres IP tego urządzenia w polu [Adres Lokalny] oraz określ adres IP drugiego urządzenia do komunikacji w polu [Zdalny Adres].

[Wszystkie Adresy IP]	IPSec dotyczy wszystkich przesłanych i odebranych pakietów IP.
[Adres IPv4]	IPSec stosuje się dla pakietów IP przesyłanych i odbieranych z adresu IPv4 tego urządzenia.
[Adres IPv6]	IPSec stosuje się dla pakietów IP przesyłanych i odbieranych z adresu IPv6 tego urządzenia.
[Wszystkie Adresy IPv4]	IPSec stosuje się dla pakietów IP przesyłanych i odbieranych z adresu IPv4 of drugiego urządzenia do komunikacji.
[Wszystkie Adresy IPv6]	IPSec stosuje się dla pakietów IP przesyłanych i odbieranych z adresu IPv6 of drugiego urządzenia do komunikacji.
[Ręczne Ust. dla IPv4]	Wprowadź adres IPv4, dla którego mają być zastosowane zasady IPSec. Wybierz [Pojedyńczy Adres], aby wprowadzić pojedynczy adres IPv4. Wybierz [Zakres Adresów], aby zdefiniować zakres adresów IPv4. Wprowadź osobny adres dla [Pierwszy Adres] oraz [Ostatni Adres]. Wybierz [Ustawienia Podsieci], aby określić zakres adresów IPv4 za pomocą maski podsieci. Wprowadź osobne wartości dla [Pierwszy Adres] oraz [Ustawienia Podsieci].
[Ręczne Ust. dla IPv6]	Wprowadź adres IPv6, dla którego mają być zastosowane zasady IPSec. Wybierz [Pojedyńczy Adres], aby wprowadzić pojedynczy adres IPv6. Wybierz [Zakres Adresów], aby zdefiniować zakres adresów IPv6. Wprowadź osobny adres dla [Pierwszy Adres] oraz [Ostatni Adres]. Wybierz [Adres Prefiks], aby określić zakres adresów IPv6 za pomocą prefiksu. Wprowadź osobne wartości dla [Pierwszy Adres] oraz [Dług. Prefiksu].

Określ port, dla którego zasady IPSec mają być zastosowane.

Wybierz [Określ Numer Portu], aby wykorzystać numery portów podczas określania portów, do których IPSec ma zastosowanie. Wybierz [Wszystkie Porty], aby zastosować IPSec do wszystkich portów. Aby zastosować IPSec do danego numeru portu, wybierz [Pojedyńczy Port] i wprowadź numer portu. Określ porty tego urządzenia w polu [Port Lokalny] oraz określ adres port drugiego urządzenia do komunikacji w polu [Zdalny port].

Aby określić porty, do których ma być stosowany protokół IPSec według nazwy usługi, wybierz [Określ Nazwę Usługi] i wybierz usługi, których chcesz używać.

Kliknij [OK].

Skonfiguruj ustawienia uwierzytelniania i szyfrowania.

Kliknij [Ustawienia IKE].

Skonfiguruj niezbędne ustawienia.

[Tryb IKE]

Wybierz tryb pracy protokołu wymiany klucza. Bezpieczeństwo zostanie zwiększone, jeżeli wybierzesz [Główny], ponieważ sesja IKE zostanie zaszyfrowana, jednakże prędkość sesji będzie wolniejsza niż w trybie [Agresywny], który nie szyfruje całej sesji.

[Ważność]

Ustaw okres ważności wygenerowanego IKE SA.

[Metoda Uwierzytelniania]

Wybierz jedną z opisanych poniżej metod uwierzytelniania.

[Met. klucza współdz. PSK]	Ustaw ten sam tekst szyfrujący (hasło dla wstępnie udostępnianego klucza), który został ustawiony dla urządzenia do komunikacji. Wybierz [Ustawienia klucza dzielonego], wprowadź ciąg znaków do wykorzystania jako klucz współdzielony i wybierz [OK].
[Metoda podpisu cyfrowego]	Ustaw klucz i certyfikat do wykorzystania przez wzajemne uwierzytelnianie z urządzeniem do komunikacji. Kliknij [Klucz i certyfikat], a następnie kliknij [Użyj], aby użyć danego klucza.

[Algorytm Uwierz./Szyfrowania]

Wybierz [Aut.] lub [Ustawienia Podręcznika], aby ustawić sposób określania uwierzytelniania i algorytmu szyfrowania dla IKE w fazie 1. Jeżeli wybierzesz [Aut.], algorytm, który może być wykorzystywany zarówno przez to urządzenie, jak i urządzenie do komunikacji zostanie ustawiony automatycznie. Jeżeli chcesz określić specjalny algorytm, wybierz [Ustawienia Podręcznika] i skonfiguruj poniższe ustawienia.

[Uwierzytel.]	Wybór algorytmu hashowania.
[Szyfrowanie]	Wybór algorytmu szyfrowania.
[Grupa DH]	Wybierz grupę dla metody wymiany klucza Diffie-Hellman, aby ustawić siłę klucza.

Kliknij [OK].


Jeśli ustawiono [Tryb IKE] na [Główny] na ekranie [IKE] i [Metoda Uwierzytelniania] ustawiono na [Met. klucza współdz. PSK], następujące ograniczenia mają zastosowanie podczas rejestrowania wielu zasad bezpieczeństwa. Metoda klucza wstępnie udostępnianego: podczas określania wielu adresów IP do których ma zastosowanie polityka zabezpieczeń, wszystkie udostępniane klucze dla danej polityki są identyczne (nie dotyczy to sytuacji, w której określono pojedynczy adres). Priorytet: podczas określania wielu adresów IP do których ma zastosowanie polityka zabezpieczeń, priorytet danej polityki jest poniżej polityk, dla których określono pojedynczy adres.

Jeśli ustawiono [Tryb IKE] na [Główny] na ekranie [IKE] i [Metoda Uwierzytelniania] ustawiono na [Met. klucza współdz. PSK], następujące ograniczenia mają zastosowanie podczas rejestrowania wielu zasad bezpieczeństwa.

Metoda klucza wstępnie udostępnianego: podczas określania wielu adresów IP do których ma zastosowanie polityka zabezpieczeń, wszystkie udostępniane klucze dla danej polityki są identyczne (nie dotyczy to sytuacji, w której określono pojedynczy adres).

Priorytet: podczas określania wielu adresów IP do których ma zastosowanie polityka zabezpieczeń, priorytet danej polityki jest poniżej polityk, dla których określono pojedynczy adres.

Skonfiguruj ustawienia komunikacji IPSec.

Kliknij [Ustawienia sieci IPSec].

Skonfiguruj niezbędne ustawienia.

[Ważność]

Ustaw okres ważności wygenerowanego IPSec SA. Upewnij się, że ustawiono opcję [Czas] lub [Rozmiar]. W przypadku ustawienia obu wartości zastosowane zostanie ustawienie z wartością, która zostanie osiągnięta jako pierwsza.

[PFS]

W przypadku wybrania opcji [Użyj PFS] zwiększa się tajność klucza szyfrującego, ale zmniejsza się prędkość komunikacji. Dodatkowo funkcja PFS (doskonałe utajnienie przekazywania) musi być włączona w urządzeniu do komunikacji.

[Algorytm Uwierz./Szyfrowania]

Wybierz [Aut.] lub [Ustawienia Podręcznika], aby ustawić sposób określania uwierzytelniania i algorytmu szyfrowania dla IKE w fazie 2. Jeżeli wybierzesz [Aut.], uwierzytelnianie ESP i algorytm szyfrowania zostaną ustawione automatycznie. Jeżeli chcesz określić konkretną metodę uwierzytelniania, wybierz [Ustawienia Podręcznika] i wybierz jedną z poniższych metod.

[ESP]	Wykonywane jest uwierzytelnianie oraz szyfrowanie. Wybierz algorytm dla [Uwierzytelnianie ESP] oraz [Szyfrowanie ESP]. Wybierz [ZERO], jeżeli nie chcesz ustawiać algorytmu uwierzytelniania lub szyfrowania.
[ESP (AES-GCM)]	AES-GCM jest wykorzystywane jako algorytm ESP, a uwierzytelnianie i szyfrowanie są przeprowadzane.
[AH (SHA1)]	Uwierzytelnianie jest przeprowadzane, jednakże dane nie są szyfrowane. Jako algorytm, wykorzystywane jest SHA1.

Kliknij [OK].

Aktywuje zarejestrowane zasady i sprawdza nadane im priorytety.

Zasady zostaną zastosowane w kolejności, w której znajdują się na liście, rozpoczynając od góry. Jeżeli chcesz zmienić priorytety, wybierz zasadę z listy i kliknij [Podnieść Priorytet] lub [Obniżyć Priorytet].


Zarządzanie zasadami IPSec Możesz edytować zasady na ekranie wyświetlanym w punkcie 4. Aby edytować szczegóły zasady, kliknij nazwę zasady na liście. Aby wyłączyć daną zasadę, kliknij jej nazwę na liście wybierz [Wyłącz] dla opcji [Polityka Włą./Wył.] kliknij [OK]. Aby usunąć zasadę, wybierz zasadę z listy kliknij [Usuń] [OK]. Korzystanie z Panelu sterowania Komunikację szyfrowaną z użyciem protokołu IPSec można również włączyć albo wyłączyć z poziomu <Ustaw> na ekranie <Ekran główny>. <Ustawienia IPSec> Importowanie wsadowe/eksportowanie wsadowe To ustawienie można zaimportować/wyeksportować w przypadku tych modeli, które obsługują funkcję grupowego importowania tego ustawienia. Importowanie/eksportowanie danych ustawień To ustawienie jest dostępne w pozycji [Podstawowe informacje o ustawieniach/rejestracji] podczas eksportu wsadowego. Import/eksport wszystkich ustawień

Zarządzanie zasadami IPSec

Możesz edytować zasady na ekranie wyświetlanym w punkcie 4.

Aby edytować szczegóły zasady, kliknij nazwę zasady na liście.

Aby wyłączyć daną zasadę, kliknij jej nazwę na liście

wybierz [Wyłącz] dla opcji [Polityka Włą./Wył.]

kliknij [OK].

Aby usunąć zasadę, wybierz zasadę z listy

kliknij [Usuń]

[OK].

Korzystanie z Panelu sterowania

Komunikację szyfrowaną z użyciem protokołu IPSec można również włączyć albo wyłączyć z poziomu <Ustaw> na ekranie <Ekran główny>. <Ustawienia IPSec>

Importowanie wsadowe/eksportowanie wsadowe

To ustawienie można zaimportować/wyeksportować w przypadku tych modeli, które obsługują funkcję grupowego importowania tego ustawienia. Importowanie/eksportowanie danych ustawień

To ustawienie jest dostępne w pozycji [Podstawowe informacje o ustawieniach/rejestracji] podczas eksportu wsadowego. Import/eksport wszystkich ustawień