IPSec parametrų konfigūravimas

Naudodami IPSec galite užkirsti kelią trečiosioms šalims perimti ar piktavališkai pakeisti duomenis IP paketų, kurie perduodami IP tinklu. Kadangi IPSec suteikia saugos funkcijų IP (įprastiniam protokolų rinkiniui, naudojamam internete), jis gali suteikti nuo programų ar tinklo konfigūracijos nepriklausomos saugos. Norėdami su šiuo aparatu vykdyti IPSec ryšį, turite taip sukonfigūruoti parametrus, kad jie atitiktų programos parametrus ir algoritmą, naudojamus tapatybės nustatymui ir šifravimui. Norint konfigūruoti šiuos parametrus, būtinos „Administrator“ (administratoriaus) teisės.

„IPSec“ įjungimas

Strategijos registravimas


Ryšio režimas Šis aparatas IPSec ryšiui palaiko tik transportavimo režimą. Todėl autentifikavimas ir šifravimas taikomi tik IP paketų duomenų porcijoms. Raktų mainų protokolas Šis aparatas palaiko interneto raktų mainų 1 versiją (IKEv1) raktų mainams pagal Interneto saugos asociacijos ir raktų valdymo protokolą (ISAKMP). Autentifikavimo metodui nustatykite arba iš anksto bendrinamo rakto metodą, arba skaitmeninio parašo metodą. Nustatant iš anksto bendrinamo rakto metodą turite iš anksto parinkti praleidimo terminą (iš anksto bendrinamą raktą), kuris naudojamas tarp aparato ir IPSec ryšio kolegos. Nustatydami skaitmeninio parašo metodą, naudokite CA sertifikatą bei PKCS#12 formato raktą ir sertifikatą, kad atliktumėte abipusį autentifikavimą tarp aparato ir IPSec ryšio kolegos. Daugiau informacijos apie naujų CA sertifikatų arba raktų / sertifikatų registravimą rasite skyriuje „Tinklo ryšio rakto ir sertifikato registravimas“. Atkreipkite dėmesį, kad prieš aparaatui naudojant šį metodą jame būtina sukonfigūruoti SNTP. SNTP parametrų nustatymas

Ryšio režimas

Šis aparatas IPSec ryšiui palaiko tik transportavimo režimą. Todėl autentifikavimas ir šifravimas taikomi tik IP paketų duomenų porcijoms.

Raktų mainų protokolas

Šis aparatas palaiko interneto raktų mainų 1 versiją (IKEv1) raktų mainams pagal Interneto saugos asociacijos ir raktų valdymo protokolą (ISAKMP). Autentifikavimo metodui nustatykite arba iš anksto bendrinamo rakto metodą, arba skaitmeninio parašo metodą.

Nustatant iš anksto bendrinamo rakto metodą turite iš anksto parinkti praleidimo terminą (iš anksto bendrinamą raktą), kuris naudojamas tarp aparato ir IPSec ryšio kolegos.

Nustatydami skaitmeninio parašo metodą, naudokite CA sertifikatą bei PKCS#12 formato raktą ir sertifikatą, kad atliktumėte abipusį autentifikavimą tarp aparato ir IPSec ryšio kolegos. Daugiau informacijos apie naujų CA sertifikatų arba raktų / sertifikatų registravimą rasite skyriuje „Tinklo ryšio rakto ir sertifikato registravimas“. Atkreipkite dėmesį, kad prieš aparaatui naudojant šį metodą jame būtina sukonfigūruoti SNTP. SNTP parametrų nustatymas


Nepriklausomai nuo IPSec ryšio parametro [Format Encryption Method to FIPS 140-2], bus naudojamas šifravimo modulis, kuris jau sertifikuotas pagal FIPS140-2. Kad IPSec ryšys atitiktų FIPS 140-2, turite nustatyti ir DH, ir RSA rakto ilgį IPSec ryšiui į 2048 bitų ar ilgesnį tinklo aplinkoje, kuriai priklauso aparatas. Iš aparato galima nustatyti tik DH rakto ilgį. Konfigūruodami savo aplinką būkite atidūs, nes aparate nėra RSA parametrų. Galite registruoti iki 10 saugos strategijų.

Nepriklausomai nuo IPSec ryšio parametro [Format Encryption Method to FIPS 140-2], bus naudojamas šifravimo modulis, kuris jau sertifikuotas pagal FIPS140-2.

Kad IPSec ryšys atitiktų FIPS 140-2, turite nustatyti ir DH, ir RSA rakto ilgį IPSec ryšiui į 2048 bitų ar ilgesnį tinklo aplinkoje, kuriai priklauso aparatas.

Iš aparato galima nustatyti tik DH rakto ilgį.

Konfigūruodami savo aplinką būkite atidūs, nes aparate nėra RSA parametrų.

Galite registruoti iki 10 saugos strategijų.

„IPSec“ įjungimas

Paleiskite „Remote UI“ (Nuotolinė naudotojo sąsaja). „Remote UI“ (Nuotolinė naudotojo sąsaja) paleidimas

Portalo puslapyje spustelėkite [Settings/Registration]. Priemonės „Remote UI“ (Nuotolinė naudotojo sąsaja) ekranas

Spustelėkite [Network Settings]

[IPSec Settings].

Pasirinkite [Use IPSec] ir spustelėkite [OK].

Norėdami gauti tik saugos strategiją atitinkančius paketus, pasirinkite parametro [Receive Non-Policy Packets] reikšmę [Reject].

Strategijos registravimas

Paleiskite „Remote UI“ (Nuotolinė naudotojo sąsaja). „Remote UI“ (Nuotolinė naudotojo sąsaja) paleidimas

Portalo puslapyje spustelėkite [Settings/Registration]. Priemonės „Remote UI“ (Nuotolinė naudotojo sąsaja) ekranas

Spustelėkite [Network Settings]

[IPSec Policy List].

Spustelėkite [Register New IPSec Policy].

Nustatykite strategiją.

[Policy Name]

Įveskite strategijos pavadinimą, kad ją būtų galima identifikuoti.

[Policy On/Off]

Pasirinkite [On], kad įgalintumėte užregistruotą strategiją.

[Only Allow 256-bit for AES Key Length]

Pasirinkite šį žymės langelį, kad apribotumėte AES šifravimo metode naudojamo rakto ilgį iki 256 bitų, atitinkančio CC autentifikavimo standartus.

Sukonfigūruokite IPSec programos parametrus.

Spustelėkite [Selector Settings].

Nurodykite IP adresą, kuriam bus taikoma IPSec strategija.

Šio aparato IP adresą nurodykite parametre [Local Address], o ryšio kolegos IP adresą nurodykite parametre [Remote Address].

[All IP Addresses]	IPSec taikoma visiems siunčiamiems ir gaunamiems IP paketams.
[IPv4 Address]	IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio aparato IPv4 adresų.
[IPv6 Address]	IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio aparato IPv6 adresų.
[All IPv4 Addresses]	IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio ryšio kolegos IPv4 adresų.
[All IPv6 Addresses]	IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio ryšio kolegos IPv6 adresų.
[IPv4 Manual Settings]	Nurodykite IPv4 adresą, kuriam bus taikoma IPSec strategija. Pasirinkite [Single Address], jei norite įvesti atskirą IPv4 adresą. Pasirinkite [Range Address], jei norite nurodyti IPv4 adresų diapazoną. Įveskite atskirus adresus į laukelius [First Address] ir [Last Address]. Pasirinkite [Subnet Settings], jei norite nurodyti IPv4 adresų diapazoną naudodami potinklio šabloną. Įveskite atskiras vertes į laukelius [First Address] ir [Subnet Settings].
[IPv6 Manual Settings]	Nurodykite IPv6 adresą, kuriam bus taikoma IPSec strategija. Pasirinkite [Single Address], jei norite įvesti atskirą IPv6 adresą. Pasirinkite [Range Address], jei norite nurodyti IPv6 adresų diapazoną. Įveskite atskirus adresus į laukelius [First Address] ir [Last Address]. Pasirinkite [Prefix Address], jei norite nurodyti IPv6 adresų diapazoną naudodami prefiksą. Įveskite atskiras vertes į laukelius [First Address] ir [Prefix Length].

Nurodykite prievadą, kuriam bus taikoma IPSec strategija.

Pasirinkite [Specify by Port Number], jei nurodydami prievadus, kuriems taikoma „IPSec“, norite naudoti prievadų numerius. Pasirinkite [All Ports], jei norite „IPSec“ taikyti visiems prievadų numeriams. Norėdami „IPSec“ taikyti konkrečiam prievado numeriui, pasirinkite [Single Port] ir įveskite prievado numerį. Šio aparato prievadą nurodykite [Local Port], o ryšio kolegos prievadą nurodykite [Remote Port].

Norėdami nurodyti prievadus, kuriems „IPSec“ strategija bus taikoma pagal paslaugos pavadinimą, spustelėkite [Specify by Service Name] ir pasirinkite norimą naudoti paslaugą.

Spustelėkite [OK].

Sukonfigūruokite autentifikavimo ir šifravimo parametrus.

Spustelėkite [IKE Settings].

Konfigūruokite reikiamus parametrus.

[IKE Mode]

Pasirinkite raktų mainų protokolo veikimo režimą. Sauga pagerinama pasirinkus parinktį [Main], nes šifruojamas pats IKE seansas, tačiau seanso sparta yra mažesnė nei naudojant parinktį [Aggressive], kurią pasirinkus visas seansas nešifruojamas.

[Validity]

Nustatykite sugeneruoto IKE SA galiojimo pabaigos datą.

[Authentication Method]

Pasirinkite vieną iš toliau aprašomų autentifikavimo būdų.

[Pre-Shared Key Method]	Nustatykite tokį patį praleidimo terminą (iš anksto bendrinamą raktą), kuris nustatytas ryšio kolegai. Pasirinkite [Shared Key Settings], įveskite simbolių eilutę, kuri bus naudojama kaip bendrinamas raktas, ir pasirinkite [OK].
[Digital Signature Method]	Nustatykite raktą ir sertifikatą, kurie bus naudojami abipusiam autentifikavimui su ryšio kolega. Spustelėkite [Key and Certificate], tada spustelėkite [Use], pasirinkę norimą naudoti raktą.

[Authentication/Encryption Algorithm]

Pasirinkite [Auto] arba [Manual Settings], kad nustatytumėte 1 IKE etapo autentifikavimo ir šifravimo algoritmą. Pasirinkus [Auto], automatiškai nustatomas algoritmas, kurį gali naudoti ir šis aparatas, ir įrenginys, su kuriuo palaikomas ryšys. Jei norite nurodyti konkretų algoritmą, pasirinkite [Manual Settings] ir sukonfigūruokite toliau pateiktus parametrus.

[Authentication]	Pasirinkite maišos algoritmą.
[Encryption]	Pasirinkite šifravimo algoritmą.
[DH Group]	Pasirinkite grupę Diffie-Hellman raktų mainų būdui, kad nustatytumėte rakto stiprumą.

Spustelėkite [OK].


Kai [IKE Mode] nustatytas į [Main] [IKE] ekrane, o [Authentication Method] nustatytas į [Pre-Shared Key Method], registruojant kelias saugos strategijas galioja toliau pateikti apribojimai. Iš anksto bendrinamo rakto metodas: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, visi tai saugos politikai taikomi bendrinami raktai yra identiški (tai netaikoma, kai nurodytas tik vienas adresas). Pirmenybė: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, jos pirmenybiškumas yra žemiau saugos strategijos, kuriai nurodytas tik vienas adresas.

Kai [IKE Mode] nustatytas į [Main] [IKE] ekrane, o [Authentication Method] nustatytas į [Pre-Shared Key Method], registruojant kelias saugos strategijas galioja toliau pateikti apribojimai.

Iš anksto bendrinamo rakto metodas: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, visi tai saugos politikai taikomi bendrinami raktai yra identiški (tai netaikoma, kai nurodytas tik vienas adresas).

Pirmenybė: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, jos pirmenybiškumas yra žemiau saugos strategijos, kuriai nurodytas tik vienas adresas.

IPSec ryšio parametrų konfigūravimas.

Spustelėkite [IPSec Network Settings].

Konfigūruokite reikiamus parametrus.

[Validity]

Nustatykite sugeneruoto „IPSec SA“ galiojimo pabaigos datą. Būtinai nustatykite [Time] arba [Size]. Jei nustatėte abu, bus taikomas parametras, kurio vertė pasiekiama pirmiau.

[PFS]

Pasirinkus [Use PFS], šifravimo rakto slaptumas padidinamas, tačiau sumažėja ryšio greitis. Be to, „Perfect Forward Secrecy“ (PFS) funkciją būtina įjungti ir kitame ryšio įrenginyje.

[Authentication/Encryption Algorithm]

Pasirinkite [Auto] arba [Manual Settings], kad nustatytumėte 2 IKE etapo autentifikavimo ir šifravimo algoritmą. Pasirinkus [Auto], ESP autentifikavimo ir šifravimo algoritmas nustatomas automatiškai. Jei norite nurodyti konkretų autentifikavimo metodą, spustelėkite [Manual Settings] ir pasirinkite vieną iš toliau pateiktų autentifikavimo metodų.

[ESP]	Atliekamas ir autentifikavimas, ir šifravimas. Pasirinkite [ESP Authentication] ir [ESP Encryption] algoritmą. Pasirinkite [NULL], jei nenorite nustatyti autentifikavimo arba šifravimo algoritmo.
[ESP (AES-GCM)]	Kaip ESP algoritmas naudojamas AES-GCM, atliekamas ir autentifikavimas, ir šifravimas.
[AH (SHA1)]	Autentifikavimas vykdomas, bet duomenys nešifruojami. Kaip algoritmas naudojamas SHA1.

Spustelėkite [OK].

Įjunkite registruotas strategijas ir patikrinkite pirmenybiškumo tvarką.

Strategijos pritaikomos tokia tvarka, kokia jos surašytos, pradedant nuo viršaus. Jei norite pakeisti pirmumo tvarką, sąraše pasirinkite strategiją ir spustelėkite [Raise Priority] arba [Lower Priority].


IPSec strategijų valdymas Strategijas galite redaguoti ekrane, kuris rodomas 4 veiksme. Norėdami redaguoti išsamią strategijos informaciją, spustelėkite strategijos pavadinimą sąraše. Norėdami išjungti strategiją, sąraše spustelėkite strategijos pavadinimą pasirinkite parametro [Policy On/Off] reikšmę [Off] spustelėkite [OK]. Norėdami panaikinti strategiją, pasirinkite ją sąraše spustelėkite [Delete] [OK]. Valdymo skydo naudojimas Taip pat galite įgalinti arba išjungti „IPSec“ ryšį <Nustatyti> srityje ekrane <Pagrindinis>. <IPSec parametrai> Grupinis importavimas / grupinis eksportavimas Šį parametrą galima importuoti / eksportuoti su modeliais, kurie palaiko grupinį šio parametro importavimą. Parametro duomenų importavimas/eksportavimas Šis parametras per grupinį eksportavimą įtraukiamas į [Settings/Registration Basic Information]. Visų parametrų importavimas / eksportavimas

IPSec strategijų valdymas

Strategijas galite redaguoti ekrane, kuris rodomas 4 veiksme.

Norėdami redaguoti išsamią strategijos informaciją, spustelėkite strategijos pavadinimą sąraše.

Norėdami išjungti strategiją, sąraše spustelėkite strategijos pavadinimą

pasirinkite parametro [Policy On/Off] reikšmę [Off]

spustelėkite [OK].

Norėdami panaikinti strategiją, pasirinkite ją sąraše

spustelėkite [Delete]

[OK].

Valdymo skydo naudojimas

Taip pat galite įgalinti arba išjungti „IPSec“ ryšį <Nustatyti> srityje ekrane <Pagrindinis>. <IPSec parametrai>

Grupinis importavimas / grupinis eksportavimas

Šį parametrą galima importuoti / eksportuoti su modeliais, kurie palaiko grupinį šio parametro importavimą. Parametro duomenų importavimas/eksportavimas

Šis parametras per grupinį eksportavimą įtraukiamas į [Settings/Registration Basic Information]. Visų parametrų importavimas / eksportavimas