IPSec iestatījumu konfigurēšana

Izmantojot IPSec, jūs varat novērst trešo personu IP tīklā pārvadāto IP pakešu pārtveršanu vai to sabojāšanu. Tā kā IPSec pievieno drošības funkcijas IP, pamata protokolu komplektam, ko izmanto internetā, tas var sniegt drošību neatkarīgi no lietojumprogrammām vai tīkla konfigurācijas. Lai veiktu IPSec komunikāciju ar šo iekārtu, jums jākonfigurē tādi iestatījumi kā lietojumprogrammas parametri, kā arī autentifikācijas un šifrēšanas algoritms. Lai konfigurētu šos iestatījumus, nepieciešamas administratora tiesības.

IPSec iespējošana

Politikas reģistrēšana


Sakaru režīms Šī iekārta IPSec sakariem atbalsta tikai transportēšanas režīmu. Tā rezultātā autentifikāciju un šifrēšanu piemēro tikai IP pakešu datu daļām. Atslēgu apmaiņas protokols Šī iekārta atbalsta interneta atslēgu apmaiņas 1. versiju (IKEv1) atslēgu apmaiņai, pamatojoties uz interneta drošības asociāciju un atslēgu pārvaldības protokolu (ISAKMP). Autentifikācijas metodei iestatiet sākotnēji koplietotās atslēgas metodi vai digitālā paraksta metodi. Iestatot sākotnēji koplietotās atslēgas metodi, jums iepriekš jāizlemj par ieejas frāzi (sākotnēji koplietotu atslēgu), kas tiek izmantota starp iekārtu un IPSec sakaru partneri. Iestatot digitālā paraksta metodi, izmantojiet CA sertifikātu un PKCS # 12 formāta atslēgu un sertifikātu savstarpējai autentifikācijai starp iekārtu un IPSec sakaru partneri. Vairāk informācijas par jaunu CA sertifikātu vai atslēgtu/sertifikātu reģistrēšanu skatīt Tīkla saziņas atslēgas un sertifikāta reģistrēšana. Atcerieties, ka pirms šīs metodes izmantošanas iekārtai jābūt konfigurētam SNTP. SNTP iestatījumu veikšana

Sakaru režīms

Šī iekārta IPSec sakariem atbalsta tikai transportēšanas režīmu. Tā rezultātā autentifikāciju un šifrēšanu piemēro tikai IP pakešu datu daļām.

Atslēgu apmaiņas protokols

Šī iekārta atbalsta interneta atslēgu apmaiņas 1. versiju (IKEv1) atslēgu apmaiņai, pamatojoties uz interneta drošības asociāciju un atslēgu pārvaldības protokolu (ISAKMP). Autentifikācijas metodei iestatiet sākotnēji koplietotās atslēgas metodi vai digitālā paraksta metodi.

Iestatot sākotnēji koplietotās atslēgas metodi, jums iepriekš jāizlemj par ieejas frāzi (sākotnēji koplietotu atslēgu), kas tiek izmantota starp iekārtu un IPSec sakaru partneri.

Iestatot digitālā paraksta metodi, izmantojiet CA sertifikātu un PKCS # 12 formāta atslēgu un sertifikātu savstarpējai autentifikācijai starp iekārtu un IPSec sakaru partneri. Vairāk informācijas par jaunu CA sertifikātu vai atslēgtu/sertifikātu reģistrēšanu skatīt Tīkla saziņas atslēgas un sertifikāta reģistrēšana. Atcerieties, ka pirms šīs metodes izmantošanas iekārtai jābūt konfigurētam SNTP. SNTP iestatījumu veikšana


Neatkarīgi no [Format Encryption Method to FIPS 140-2] iestatījuma IPSec sakariem, tiks izmantots šifrēšanas modulis, kuram jau ir saņemts FIPS140-2 sertifikāts. Lai IPSec sakari atbilstu FIPS 140-2 prasībām, tīkla vidē, kurai iekārta pieder, IPSec sakaros gan DH, gan RSA atslēgas garums ir jāiestata uz 2048 bitiem vai vairāk. Tikai DH atslēgas garumu var norādīt, izmantojot iekārtu. Konfigurējot apkārtējo vidi, ņemiet to vērā, jo iekārtā nav RSA iestatījumu. Jūs varat reģistrēt līdz pat 10 drošības politikām.

Neatkarīgi no [Format Encryption Method to FIPS 140-2] iestatījuma IPSec sakariem, tiks izmantots šifrēšanas modulis, kuram jau ir saņemts FIPS140-2 sertifikāts.

Lai IPSec sakari atbilstu FIPS 140-2 prasībām, tīkla vidē, kurai iekārta pieder, IPSec sakaros gan DH, gan RSA atslēgas garums ir jāiestata uz 2048 bitiem vai vairāk.

Tikai DH atslēgas garumu var norādīt, izmantojot iekārtu.

Konfigurējot apkārtējo vidi, ņemiet to vērā, jo iekārtā nav RSA iestatījumu.

Jūs varat reģistrēt līdz pat 10 drošības politikām.

IPSec iespējošana

Startējiet attālo interfeisu. Remote UI (Attālais lietotāja interfeiss) startēšana

Portāla lapā noklikšķiniet uz [Settings/Registration]. Remote UI (Attālais lietotāja interfeiss) ekrāns

Noklikšķiniet uz [Network Settings]

[IPSec Settings].

Izvēlieties [Use IPSec] un noklikšķiniet uz [OK].

Lai saņemtu tikai tās paketes, kas atbilst drošības politikai, atlasiet [Reject], kas paredzēts[Receive Non-Policy Packets].

Politikas reģistrēšana

Startējiet attālo interfeisu. Remote UI (Attālais lietotāja interfeiss) startēšana

Portāla lapā noklikšķiniet uz [Settings/Registration]. Remote UI (Attālais lietotāja interfeiss) ekrāns

Noklikšķiniet uz [Network Settings]

[IPSec Policy List].

Noklikšķiniet uz [Register New IPSec Policy].

Iestatiet politiku.

[Policy Name]

Ievadiet nosaukumu, lai identificētu politiku.

[Policy On/Off]

Atlasiet[On], lai iespējotu reģistrēto politiku.

[Only Allow 256-bit for AES Key Length]

Atzīmējiet šo izvēles rūtiņu, lai AES šifrēšanas metodes atslēgas garumu ierobežotu līdz 256 bitiem un atbilstu CC autentifikācijas standartiem.

Konfigurējiet IPSec lietotnes parametrus.

Noklikšķiniet uz [Selector Settings].

Norādiet IP adresi, kurai tiks piemērots IPSec politika.

Norādiet šīs iekārtas IP adresi sadaļā [Local Address] un norādiet saziņas vienādranga IP adresi [Remote Address].

[All IP Addresses]	IPSec tiek piemērots visām nosūtītājam un saņemtajām IP paketēm.
[IPv4 Address]	IPSec piemēro IP paketēm, kas nosūtītas un saņemtas no šīs iekārtas IPv4 adreses.
[IPv6 Address]	IPSec piemēro IP paketēm, kas nosūtītas un saņemtas no šīs iekārtas IPv6 adreses.
[All IPv4 Addresses]	IPSec piemēro IP paketēm, kas nosūtītas un saņemtas no sakaru partnera IPv4 adreses.
[All IPv6 Addresses]	IPSec piemēro IP paketēm, kas nosūtītas un saņemtas no sakaru partnera IPv6 adreses.
[IPv4 Manual Settings]	Norādiet IPv4 adresi, kurai tiks piemērots IPSec politika. Atlasiet [Single Address], lai ievadītu atsevišķu IPv4 adresi. Atlasiet [Range Address], lai norādītu IPv4 adrešu diapazonu. Ievadiet atsevišķu adresi [First Address] un [Last Address]. Atlasiet [Subnet Settings], lai norādītu to IPv4 adrešu diapazonu, kuras izmanto apakštīkla masku. Ievadiet atsevišķas vērtības sadaļām [First Address] un [Subnet Settings].
[IPv6 Manual Settings]	Norādiet IPv6 adresi, kurai tiks piemērots IPSec politika. Atlasiet [Single Address], lai ievadītu atsevišķu IPv6 adresi. Atlasiet [Range Address], lai norādītu IPv6 adrešu diapazonu. Ievadiet atsevišķu adresi [First Address] un [Last Address]. Atlasiet [Prefix Address], lai norādītu to IPv6 adrešu diapazonu, kuras izmanto prefiksu. Ievadiet atsevišķas vērtības sadaļām [First Address] un [Prefix Length].

Norādiet portu, kuram tiks piemērots IPSec politika.

Atlasiet [Specify by Port Number], lai izmantotu portu numurus, norādot portus, kuriem piemēro IPSec. Atlasiet [All Ports], lai lietotu IPsec visiem portu numuriem. Lai lietotu IPsec konkrētam porta numuram [Single Port] un ievadiet porta numuru. Norādiet šīs iekārtas portu sadaļā [Local Port], un norādiet saziņas vienādranga portu [Remote Port].

Lai norādītu portus, kuriem lietot IPsec pēc pakalpojuma nosaukuma, atlasiet [Specify by Service Name] un izvēlieties lietojamos pakalpojumus.

Noklikšķiniet uz [OK].

Konfigurējiet autentifikācijas un šifrēšanas iestatījumus.

Noklikšķiniet uz [IKE Settings].

Konfigurējiet nepieciešamos iestatījumus.

[IKE Mode]

Izvēlieties darbības režīmu atslēgu apmaiņas protokolam. Ja izvēlaties [Main], drošība ir uzlabota, jo IKE sesija pati par sevi ir šifrēta, taču sesijas ātrums ir mazāks nekā, izmantojot [Aggressive], kas nešifrē visu sesiju.

[Validity]

Iestatiet ģenerētā IKE SA derīguma termiņu.

[Authentication Method]

Atzīmējiet vienu no turpmāk aprakstītajām autentifikācijas metodēm.

[Pre-Shared Key Method]	Uzstādiet to pašu ievades frāzi (sākotnēji koplietojama atslēga), kas ir uzstādīta sakaru partnerim. Atlasiet [Shared Key Settings], ievadiet rakstzīmju virkni, kas tiks izmantota kā koplietojama atslēga, un nospiediet [OK].
[Digital Signature Method]	Uzstādiet atslēgu un sertifikātu, kas tiks izmantots savstarpējai autentifikācijai ar sakaru partneri. Noklikšķiniet uz [Key and Certificate] un noklikšķiniet uz [Use], lai lietotu atslēgu.

[Authentication/Encryption Algorithm]

Atlasiet [Auto] vai [Manual Settings], lai iestatītu, kādā veidā norādīt autentifikācijas un šifrēšanas algoritmu IKE 1. fāzei. Ja atlasāt [Auto], automātiski tiek iestatīts algoritms, kuru var izmantot gan šī iekārta, gan vienādranga ierīce. Ja vēlaties norādīt konkrētu algoritmu, izvēlieties [Manual Settings] un konfigurējiet tālāk norādītos iestatījumus.

[Authentication]	Izvēlieties jaucējalgoritmu.
[Encryption]	Izvēlieties šifrēšanas algoritmu.
[DH Group]	Izvēlieties grupu Diffie-Hellman atslēgu apmaiņas metodei, lai iestatītu atslēgas stiprumu.

Noklikšķiniet uz [OK].


Ja [IKE Mode] ir iestatīts uz [Main] ekrānā [IKE] un [Authentication Method] ir iestatīts uz [Pre-Shared Key Method], reģistrējot vairākas drošības politikas, tiek piemēroti šādi ierobežojumi. Sākotnēji koplietotas atmiņas metode: norādot vairākas attālas IP adreses, kurām jāpiemēro drošības politika, visas koplietotās atslēgas šai drošības politikai ir identiskas (tas neattiecas uz gadījumiem, kad ir norādīta viena adrese). Prioritāte: norādot vairākas attālas IP adreses, kurām jāpiemēro drošības politika, šīs drošības politikas prioritāte ir zemāka par drošības politikām, kurām ir norādīta viena adrese.

Ja [IKE Mode] ir iestatīts uz [Main] ekrānā [IKE] un [Authentication Method] ir iestatīts uz [Pre-Shared Key Method], reģistrējot vairākas drošības politikas, tiek piemēroti šādi ierobežojumi.

Sākotnēji koplietotas atmiņas metode: norādot vairākas attālas IP adreses, kurām jāpiemēro drošības politika, visas koplietotās atslēgas šai drošības politikai ir identiskas (tas neattiecas uz gadījumiem, kad ir norādīta viena adrese).

Prioritāte: norādot vairākas attālas IP adreses, kurām jāpiemēro drošības politika, šīs drošības politikas prioritāte ir zemāka par drošības politikām, kurām ir norādīta viena adrese.

Konfigurējiet IPSec sakaru iestatījumus.

Noklikšķiniet uz [IPSec Network Settings].

Konfigurējiet nepieciešamos iestatījumus.

[Validity]

Iestatiet ģenerētā IPSec SA derīguma termiņu. Noteikti iestatiet vai nu [Time] vai [Size]. Ja iestatīsit abus, tiks piemērots iestatījums ar vērtību, kas tiks sasniegta pirmā.

[PFS]

Ja atlasāt [Use PFS], šifrēšanas atslēgas slepenība ir palielināta, bet sakaru ātrums ir lēnāks. Turklāt pārsūtīšanas slepenības funkcijai (Perfect Forward Secrecy, PFS) ir jābūt iespējotai sakaru partnera ierīcē.

[Authentication/Encryption Algorithm]

Atlasiet [Auto] vai [Manual Settings], lai iestatītu, kādā veidā norādīt autentifikācijas un šifrēšanas algoritmu IKE 2. fāzei. Ja izvēlaties [Auto], ESP autentifikācija un šifrēšanas algoritms tiek uzstādīti automātiski. Ja vēlaties norādīt konkrētu autentifikācijas metodi, nospiediet [Manual Settings] un atlasiet vienu no tālāk norādītajām autentifikācijas metodēm.

[ESP]	Tiek veikta gan autentifikācija, gan šifrēšana. Izvēlieties algoritmu, kas paredzēts [ESP Authentication] un [ESP Encryption]. Atlasiet [NULL], ja nevēlaties iestatīt autentifikācijas vai šifrēšanas algoritmu.
[ESP (AES-GCM)]	AES-GCM tiek izmantots kā ESP algoritms, un tiek veikta gan autentifikācija, gan šifrēšana.
[AH (SHA1)]	Tiek veikta autentifikācija, taču dati nav šifrēti. SHA1 tiek lietots kā algoritms.

Noklikšķiniet uz [OK].

Iespējojiet reģistrētās politikas un pārbaudiet prioritāro secību.

Politikas piemēro sarakstā norādītajā secībā, sākot no augšas. Ja vēlaties izmainīt prioritāro secību, izvēlieties sarakstā politiku un nospiediet [Raise Priority] vai [Lower Priority].


IPSec politiku pārvaldīšana Jūs varat rediģēt politikas ekrānā, kas redzams 4. darbībā. Lai rediģētu politikas detalizēto informāciju, noklikšķiniet uz politikas nosaukuma sarakstā. Lai atspējotu politiku, noklikšķiniet uz politikas nosaukuma sarakstā atlasiet [Off] sadaļā [Policy On/Off] , noklikšķiniet [OK]. Lai dzēstu politiku, izvēlieties politiku sarakstā noklikšķiniet uz [Delete] [OK]. Vadības paneļa lietošana IPSec saziņu varat iespējot vai atspējot arī ar <Iestatīt> ekrānā <Sākums>. <IPSec iestatījumi> Veikt pakešu importēšanu/pakešu eksportēšanu Šo iestatījumu var importēt/eksportēt ar modeļiem, kuri atbalsta šī iestatījuma pakešu importēšanu. Iestatījumu datu importēšana/eksportēšana Šis iestatījums ir iekļauts [Settings/Registration Basic Information], veicot pakešu eksportu. Visu iestatījumu importēšana/eksportēšana

IPSec politiku pārvaldīšana

Jūs varat rediģēt politikas ekrānā, kas redzams 4. darbībā.

Lai rediģētu politikas detalizēto informāciju, noklikšķiniet uz politikas nosaukuma sarakstā.

Lai atspējotu politiku, noklikšķiniet uz politikas nosaukuma sarakstā

atlasiet [Off] sadaļā [Policy On/Off]

, noklikšķiniet [OK].

Lai dzēstu politiku, izvēlieties politiku sarakstā

noklikšķiniet uz [Delete]

[OK].

Vadības paneļa lietošana

IPSec saziņu varat iespējot vai atspējot arī ar <Iestatīt> ekrānā <Sākums>. <IPSec iestatījumi>

Veikt pakešu importēšanu/pakešu eksportēšanu

Šo iestatījumu var importēt/eksportēt ar modeļiem, kuri atbalsta šī iestatījuma pakešu importēšanu. Iestatījumu datu importēšana/eksportēšana

Šis iestatījums ir iekļauts [Settings/Registration Basic Information], veicot pakešu eksportu. Visu iestatījumu importēšana/eksportēšana