קביעת תצורת ההגדרות של IPSec

על ידי שימוש ב- IPSec, אתה יכול למנוע מגורמים שלישיים ללכוד או לשנות בצורה לא חוקית חבילות IP המועברות דרך רשת ה- IP. מכיוון ש- IPSec מוסיף פונקציות אבטחה ל- IP, חבילת פרוטוקול בסיסית המשמשת לאינטרנט, הוא יכול לספק אבטחה שאינה תלויה ביישומים או בתצורת הרשת. כדי לבצע תקשורת IPSec עם מכשיר זה, עליך לקבוע הגדרות כגון פרמטרים של היישום והאלגוריתם לאימות והצפנה. הרשאות מנהל נחוצות כדי לקבוע את התצורה של הגדרות אלה.
הפעלת IPSec
רישום מדיניות
מצב תקשורת
מכשיר זה תומך רק במצב תעבורה לתקשורת IPSec. כתוצאה מכך, אימות והצפנה מוחלים רק על חלקי הנתונים של מנות IP.
פרוטוקול Key Exchange
מכשיר זה תומך ב- Internet Key Exchange גרסה 1 (IKEv1) להחלפת מפתחות על סמך איגוד אבטחת האינטרנט ופרוטוקול ניהול המפתחות (ISAKMP). קבע את שיטת המפתח המשותף מראש או את שיטת החתימה הדיגיטלית עבור שיטת האימות.
בעת הגדרה מראש של שיטת המפתח המשותף, עליכם להחליט מראש על ביטוי סיסמה (מפתח משותף מראש) המשמש בין המכשיר לבין עמית התקשורת IPSec.
בעת הגדרת שיטת החתימה הדיגיטלית, השתמש באישור CA ובתצורת מפתח ותעודת PKCS # 12 כדי לבצע אימות הדדי בין המכשיר לבין עמית התקשורת IPSec. למידע נוסף על רישום אישורי CA חדשים או מפתחות / אישורים, ראה רישום מפתח ואישור עבור תקשורת רשת. שים לב כי יש להגדיר את SNTP עבור המכשיר לפני שהוא משתמש בשיטה זו. קביעת הגדרות SNTP
ללא קשר להגדרת [Format Encryption Method to FIPS 140-2] מודול הצפנה שכבר השיג אישור FIPS140-2 ישמש לתקשורת IPSec.
על מנת שתקשורת IPSec תעמוד בדרישה של FIPS 140-2, עליך להגדיר את אורך המפתח של DH וגם של RSA עבור תקשורת IPSec ל -2048 סיביות או יותר בסביבת הרשת שאליה שייך המכשיר.
ניתן לציין רק את אורך המפתח עבור DH מהמכשיר.
שים לב בעת קביעת התצורה של הסביבה שלך, מכיוון שאין הגדרות ל- RSA במכשיר.
אתה יכול לאחסן עד 10 מדיניות אבטחה.

הפעלת IPSec

1
הפעל את ‏ Remote UI (ממשק משתמש מרוחק). הפעלת ממשק המשתמש המרוחק
2
לחץ על [Settings/Registration] בדף הפורטל. מסך ממשק המשתמש המרוחק
3
לחץ על [Network Settings]‏  [IPSec Settings].
4
בחר [Use IPSec] ולחץ על [OK].
על-מנת לקבל חבילות התואמות למדיניות האבטחה, בחר [Reject] עבור [Receive Non-Policy Packets].

רישום מדיניות

1
הפעל את ‏ Remote UI (ממשק משתמש מרוחק). הפעלת ממשק המשתמש המרוחק
2
לחץ על [Settings/Registration] בדף הפורטל. מסך ממשק המשתמש המרוחק
3
לחץ על [Network Settings]‏  [IPSec Policy List].
4
לחץ על [Register New IPSec Policy].
5
הגדר מדיניות.
[Policy Name]
הזן שם לצורך זיהוי המדיניות.
[Policy On/Off]
בחר [On] כדי להפעיל את המדיניות שנרשמה.
[Only Allow 256-bit for AES Key Length]
סמן תיבת סימון זו כדי להגביל את אורך המפתח של שיטת ההצפנה AES ל-256 סיביות וכדי לעמוד בתקני אימות CC.
6
קבע את התצורה של הפרמטרים של היישום IPSec.
1
לחץ על [Selector Settings].
2
ציין את כתובת ה-IP על מנת להחיל את מדיניות ה- IPSec.
ציין את כתובת ה-IP של מכשיר זה תחת [Local Address], וציין את כתובת ה-IP של התקשורת עם העמית תחת [Remote Address].
[All IP Addresses]
IPSec מיושם על כל מנות ה- IP שנשלחו והתקבלו.
[IPv4 Address]
IPSec מיושם על מנות IP שנשלחות אל כתובת IPv4 של מכשיר זה ומתקבלות ממנה.
[IPv6 Address]
IPSec מיושם על מנות IP שנשלחות אל כתובת IPv6 של מכשיר זה ומתקבלות ממנה.
[All IPv4 Addresses]
IPSec מיושם על מנות IP שנשלחות אל ומתקבלות מכתובת IPv4 של עמית התקשורת.
[All IPv6 Addresses]
IPSec מיושם על מנות IP שנשלחות אל ומתקבלות מכתובת IPv6 של עמית התקשורת.
[IPv4 Manual Settings]
ציין את כתובת ה- IPv4 על מנת להחיל אליה את IPSec.
בחר [Single Address] כדי להזין כתובת IPv4 אישית.
בחר [Range Address] כדי לציין טווח כתובות IPv4. הזן כתובת נפרדת עבור [First Address] ועבור [Last Address].
בחר [Subnet Settings] כדי לציין טווח כתובות IPv4 באמצעות מסיכת רשת משנה. הזן ערכים נפרדים עבור [First Address] ועבור [Subnet Settings].
[IPv6 Manual Settings]
ציין את כתובת ה- IPv6 על מנת להחיל אליה את IPSec.
בחר ב-[Single Address] כדי להזין כתובת IPv6 אישית.
בחר ב-[Range Address] כדי לציין טווח כתובות IPv6. הזן כתובת נפרדת עבור [First Address] ועבור [Last Address].
בחר [Prefix Address] כדי לציין טווח כתובות IPv6 באמצעות תחילית. הזן ערכים נפרדים עבור [First Address] ועבור [Prefix Length].
3
ציין את היציאה אשר לה יש להחיל IPSec.
בחר [Specify by Port Number] כדי להשתמש במספרי היציאות בעת ציון היציאות שבהן יוחל ה-IPSec. בחר [All Ports] כדי להחיל IPSec על כל מספרי היציאות. כדי להחיל IPSec על מספר יציאה ספציפי [Single Port] והזן את מספר היציאה. ציין את היציאה של מכשיר זה תחת [Local Port], וציין את היציאה של התקשורת עם העמית תחת [Remote Port].
כדי לציין את היציאות שיש להחיל עליהן IPSec לפי שם שירות, בחר [Specify by Service Name] ובחר בשירותים שברצונך להשתמש בהם.
4
לחץ על [OK].
7
קביעת תצורת הגדרות אימות והצפנה.
1
לחץ על [IKE Settings].
2
קבע את ההגדרות הדרושות.
[IKE Mode]
בחר את מצב ההפעלה עבור פרוטוקול החלפת מפתחות. יהיה שיפור באבטחה אם תבחר באפשרות [Main] משום שהפעלת IKE עצמה מוצפנת, אך מהירות ההפעלה תהיה אטית יותר מאשר האפשרות [Aggressive], שאינה מצפינה את ההפעלה כולה.
[Validity]
הגדר את תאריך התפוגה של ה-IKE SA שהופק.
[Authentication Method]
בחר באחת משיטות האימות המתוארות בהמשך.
[Pre-Shared Key Method]
הגדר את ביטוי הסיסמה (מפתח ששותף מראש) שמוגדר עבור התקשורת עם העמית. בחר [Shared Key Settings], הזן את מחרוזת התווים שתשמש בתור מפתח משותף, ובחר [OK].
[Digital Signature Method]
הגדר את המפתח ואת האישור לשימוש עבור ביצוע אימות הדדי עם עמית התקשורת. לחץ על [Key and Certificate], ולחץ על [Use] עבור המפתח שברצונך להשתמש בו.
[Authentication/Encryption Algorithm]
בחר [Auto] או [Manual Settings] כדי להגדיר כיצד לציין את אלגוריתם האימות וההצפנה עבור שלב 1 של IKE. אם תבחר [Auto], אלגוריתם שניתן להשתמש בו במכשיר זה וגם בעמית התקשורת יוגדר אוטומטית. אם ברצונך לציין אלגוריתם מסוים, בחר [Manual Settings] וקבע את תצורת ההגדרות להלן.
[Authentication]
בחר את אלגוריתם Hash.
[Encryption]
בחר את אלגוריתם ההצפנה.
[DH Group]
בחר את הקבוצה עבור שיטת החלפת המפתחות Diffie-Hellman כדי להגדיר את עוצמת המפתח.
3
לחץ על [OK].
כאשר [IKE Mode] מוגדר לאפשרות [Main] במסך [IKE] וכאשר [Authentication Method]מוגדרת לאפשרות [Pre-Shared Key Method], ההגבלות הבאות יחולו בעת רישום מספר קווי מדיניות אבטחה.
שיטת מפתח של מפתח ששותף מראש: בעת הגדרת כתובות IP מרוחקות מרובות שעליהן תחול מדיניות אבטחה, כל המפתחות ששותפו עבור אותה מדיניות אבטחה יהיו זהים (דבר זה לא יחול כאשר מוגדרת כתובת יחידה).
עדיפות: בעת ציון כתובות IP מרוחקות מרובות שעליהן תחול מדיניות אבטחה, העדיפות של אותה מדיניות נמוכה יותר מאשר סוגי מדיניות אבטחה שעבורן צוינה כתובת אחת.
8
קביעת תצורה של הגדרות תקשורת IPSec.
1
לחץ על [IPSec Network Settings].
2
קבע את ההגדרות הדרושות.
[Validity]
הגדר את תאריך התפוגה של ה- IPSec SA שהופק. הקפד להגדיר את האפשרות [Time] או את האפשרות [Size]. אם תגדיר את שניהם, ההגדרה עם הערך שהושג קודם לכן תיושם.
[PFS]
אם תבחר [Use PFS], סודיות מפתח ההצפנה תגדל אך מהירות התקשורת תהיה אטית יותר. בנוסף, יש לאפשר את פונקציית סודיות מושלמת קדימה (PFS) בהתקן התקשורת עם העמית.
[Authentication/Encryption Algorithm]
בחר [Auto] או [Manual Settings] כדי להגדיר כיצד לציין את אלגוריתם האימות וההצפנה עבור IKE phase 2. אם תבחר [Auto], אלגוריתם אימות והצפנת ESP יוגדר אוטומטית. אם תהיה מעוניין לציין שיטת אימות מסוימת, בחר באפשרות [Manual Settings] ובחר באחת משיטות האימות המתוארות להלן.
[ESP]
בוצע אימות והצפנה. בחר את האלגוריתם עבור [ESP Authentication] ועבור [ESP Encryption]. בחר [NULL] אם אינך מעוניין להגדיר אלגוריתם אימות או הצפנה.
[ESP (AES-GCM)]
AES-GCM משמש כאלגוריתם ESP, ומבוצעים אימות והצפנה.
[AH (SHA1)]
מבוצע אימות, אך הנתונים לא מוצפנים. SHA1 משמש כאלגוריתם.
3
לחץ על [OK].
9
לחץ על [OK].
10
אפשר את סוגי המדיניות הרשומים ובדוק את סדר העדיפויות.
קווי המדיניות מוחלים לפי מיקומם ברשימה, החל מלמעלה. אם ברצונך לשנות את סדר העדיפויות, בחר מדיניות מתוך הרשימה ולחץ על [Raise Priority] או על [Lower Priority].
ניהול פריטי מדיניות IPSec
ניתן לערוך פריטי מדיניות במסך שהוצג בשלב 4.
כדי לערוך פרטים של מדיניות, לחץ על שם המדיניות מתוך הרשימה.
כדי להשבית מדיניות, לחץ על שם המדיניות מתוך הרשימה בחר [Off] עבור [Policy On/Off]‏ לחץ על [OK].
כדי למחוק מדיניות, בחר את המדיניות מתוך הרשימה לחץ על [Delete]‏ [OK].
שימוש בלוח הבקרה
ניתן גם להפעיל או להשבית תקשורת IPSec מתוך <Set> במסך <Home>. <IPSec Settings>
ייבוא באצווה/ייצוא באצווה
ניתן לייבא/לייצא הגדרות אלה מול מודלים שתומכים בייבוא אצווה של הגדרות אלה. ייבוא/ייצוא של נתוני ההגדרות
הגדרה זו כלולה בתוך [Settings/Registration Basic Information] בעת ייצוא אצווה. ייבוא/ייצוא כל ההגדרות
A150-05Y