پیکربندی تنظیمات IPSec

با استفاده از IPSec، می‌توانید مانع از رهگیری یا دستکاری بسته‌های IP منتقل شده ازطریق شبکه IP توسط اشخاص ثالث شوید. از آنجایی که IPSec عملکردهای امنیتی به IP اضافه می‌کنند (مجموعه پروتکل پایه استفاده شده برای اینترنت)، می‌تواند امنیتی ارائه دهد که مستقل از پیکربندی برنامه‌ها یا شبکه است. برای برقراری ارتباط IPSec با این دستگاه، باید تنظیماتی مانند پارامترهای برنامه و الگوریتم برای تأیید اعتبار و رمزگذاری را پیکربندی کنید. جهت پیکربندی این تنظیمات، امتیازات سرپرست مورد نیاز است.
فعال کردن IPSec
ثبت سیاست
حالت ارتباط
این دستگاه فقط از حالت انتقال برای ارتباط IPSec پشتیبانی می‌کند. در نتیجه، تأیید اعتبار و رمزگذاری فقط بر بخش‌های داده مربوط به بسته‌های IP اعمال می‌شود.
پروتکل تبادل کلید
این دستگاه از تبادل کلید اینترنت نسخه 1 (IKEv1) برای تبادل کلیدها براساس انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP) پشتیبانی می‌کند. برای روش تأیید اعتبار، روش کلید از قبل به اشتراک گذاشته شده یا روش امضای دیجیتال را تنظیم کنید.
هنگام تنظیم روش کلید از قبل به اشتراک گذاشته شده، باید از قبل عبارت عبوری (کلید از قبل به اشتراک گذاشته شده) در نظر بگیرید که بین جفت ارتباط دستگاه و IPSec استفاده می‌شود.
هنگام تنظیم روش امضای دیجیتال، از کلید و گواهی قالب گواهی CA و PKCS#12 استفاده کنید تا تأیید اعتبار دوجانبه‌ای بین جفت ارتباط دستگاه و IPSec انجام شود. برای اطلاعات بیشتر درباره ثبت گواهی‌های CA جدید یا کلیدها/گواهی‌ها، به ثبت یک کلید و گواهی برای ارتباط شبکه بروید. توجه داشته باشید که قبل از استفاده از این روش، باید SNTP برای دستگاه پیکربندی شود. انجام تنظیمات SNTP
صرف‌نظر از تنظیم [Format Encryption Method to FIPS 140-2] برای ارتباط IPSec، از ماژول رمزگذاری که قبلاً گواهی FIPS140-2 را کسب کرده است، استفاده خواهد شد.
برای اینکه ارتباط IPSec را به گونه‌ای تنظیم کنید که از FIPS 140-2 پیروی کند، باید طول کلید DH و RSA را برای ارتباط IPSec تا 2048 بیت یا بیشتر در محیط شبکه که دستگاه به آن تعلق دارد، تنظیم کنید.
فقط طول کلید برای DH را می‌توان از دستگاه مشخص کرد.
هنگام پیکربندی محیط مراقب باشید زیرا هیچ تنظیمی برای RSA در دستگاه وجود ندارد.
می‌توانید تا 10 خط مشی امنیتی ثبت کنید.

فعال کردن IPSec

1
Remote UI (واسطه کاربر از راه دور) را راه‌اندازی کنید. راه‌اندازی Remote UI (واسطه کاربر از راه دور)
2
در صفحه پورتال، روی [Settings/Registration] کلیک کنید. صفحه Remote UI (واسطه کاربر از راه دور)
3
روی [Network Settings]‏  [IPSec Settings] کلیک کنید.
4
[Use IPSec] را انتخاب و روی [OK] کلیک کنید.
برای دریافت فقط بسته‌هایی که مطابق با سیاست امنیتی هستند، [Reject] را برای [Receive Non-Policy Packets] انتخاب کنید.

ثبت سیاست

1
Remote UI (واسطه کاربر از راه دور) را راه‌اندازی کنید. راه‌اندازی Remote UI (واسطه کاربر از راه دور)
2
در صفحه پورتال، روی [Settings/Registration] کلیک کنید. صفحه Remote UI (واسطه کاربر از راه دور)
3
روی [Network Settings]‏  [IPSec Policy List] کلیک کنید.
4
روی [Register New IPSec Policy] کلیک کنید.
5
یک سیاست انتخاب کنید.
[Policy Name]
نامی برای تشخیص آن وارد کنید.
[Policy On/Off]
برای فعال کردن سیاست ثبت‌شده، [On] را انتخاب کنید.
[Only Allow 256-bit for AES Key Length]
برای محدود کردن طول کلید روش رمزگذاری AES روی 256 بیت و پیروی از استانداردهای تأیید اعتبار، این کادر انتخاب را علامت بزنید.
6
پارامترهای برنامه IPSec را پیکربندی کنید.
1
روی [Selector Settings] کلیک کنید.
2
آدرس IP را مشخص کنید تا خط مشی IPSec را روی آن اعمال کنید.
آدرس IP این دستگاه را در [Local Address] مشخص کنید و آدرس IP جفت ارتباط را در [Remote Address] مشخص کنید.
[All IP Addresses‎]
IPSec را روی همه بسته‌های IP ارسال شده و دریافت شده اعمال می‌شود.
[IPv4 Address‎]
IPSec روی بسته‌های IP ارسال شده به و دریافت شده از آدرس IPv4 این دستگاه اعمال می‌شود.
[IPv6 Address‎]
IPSec روی بسته‌های IP ارسال شده به و دریافت شده از آدرس IPv6 این دستگاه اعمال می‌شود.
[All IPv4 Addresses‎]
IPSec روی بسته‌های IP ارسال شده به و دریافت شده از آدرس IPv4 جفت ارتباط اعمال می‌شود.
[All IPv6 Addresses‎]
IPSec روی بسته‌های IP ارسال شده به و دریافت شده از آدرس IPv6 جفت ارتباط اعمال می‌شود.
[IPv4 Manual Settings‎]
آدرس IPv4 را مشخص کنید تا IPSec را روی آن اعمال کنید.
[Single Address] را برای وارد کردن آدرس IPv4 مجزا انتخاب کنید.
برای مشخص کردن محدوده‌ای از آدرس‌های IPv4، ‏[Range Address] را انتخاب کنید. آدرس مجزایی برای [First Address] و [Last Address] وارد کنید.
برای مشخص کردن محدوده‌ای ازآدرس‌های IPv4 با استفاده از پوشش شبکه فرعی، [Subnet Settings] را انتخاب کنید. مقادیر مجزایی برای [First Address] و [Subnet Settings] وارد کنید.
[IPv6 Manual Settings‎]
آدرس IPv6 را مشخص کنید تا IPSec را روی آن اعمال کنید.
[Single Address] را برای وارد کردن آدرس IPv6 مجزا انتخاب کنید.
برای مشخص کردن محدوده‌ای از آدرس‌های IPv6، ‏[Range Address] را انتخاب کنید. آدرس مجزایی برای [First Address] و [Last Address] وارد کنید.
برای مشخص کردن محدوده‌ای ازآدرس‌های IPv6 با استفاده از با استفاده از پیشوند، [Prefix Address] را انتخاب کنید. مقادیر مجزایی برای [First Address] و [Prefix Length] وارد کنید.
3
درگاه را مشخص کنید تا IPSec را روی آن اعمال کنید.
[Specify by Port Number] را انتخاب کنید تا هنگام مشخص کردن درگاه‌هایی که IPSec روی آنها اعمال می‌شود، از شماره درگاه استفاده کنید. برای اعمال IPSec روی همه شماره درگاه‌ها، [All Ports] را انتخاب کنید. برای اعمال IPSec روی شماره درگاهی خاص، [Single Port] را انتخاب کنید و شماره درگاه را وارد کنید. درگاه این دستگاه را در [Local Port] مشخص کنید و درگاه جفت ارتباط را در [Remote Port]مشخص کنید.
برای مشخص کردن درگاه‌هایی که باید IPSec براساس نام بر آن‌ها اعمال شود، [Specify by Service Name] و سپس سرویس‌های مورد نظر جهت استفاده را انتخاب کنید.
4
روی [OK] کلیک کنید.
7
تنظیمات تأیید اعتبار و رمزگذاری را پیکربندی کنید.
1
روی [IKE Settings] کلیک کنید.
2
تنظیمات لازم را پیکربندی کنید.
[IKE Mode]
حالت عملیات را برای پروتکل تبادل انتخاب کنید. اگر [Main] را انتخاب کنید، امنیت بهبود می‌یابد زیرا جلسه IKE خود رمزگذاری می‌شود اما سرعت جلسه با [Aggressive] کمتر می‌شود که این کار کل جلسه را رمزگذاری نمی‌کند.
[Validity]
دوره انقضای IKE SA ایجادشده را وارد کنید.
[Authentication Method]
یکی از روش‌های تأیید اعتبار توضیح داده شده در زیر را انتخاب کنید.
[Pre-Shared Key Method‎]
همان عبارت عبوری را (کلید از قبل به اشتراک گذاشته شده) تنظیم کنید که برای جفت ارتباط تنظیم شده است. [Shared Key Settings] را انتخاب کنید، رشته نویسه را برای استفاده به‌عنوان کلید به اشتراک‌گذاشته‌شده وارد کنید و [OK] را انتخاب کنید.
[Digital Signature Method‎]
کلید و گواهی را تنظیم کنید تا برای تأیید اعتبار دوجانبه با جفت ارتباط استفاده شود. روی [Key and Certificate] کلیک کنید و سپس روی [Use] برای کلید مورد نظر جهت استفاده کلیک کنید.
[Authentication/Encryption Algorithm]
[Auto] یا [Manual Settings] را انتخاب کنید تا نحوه مشخص کردن الگوریتم تأیید اعتبار و رمزگذاری برای فاز 1 IKE را مشخص کنید. اگر [Auto] را انتخاب کنید، الگوریتمی که می‌توان با این دستگاه و جفت ارتباط استفاده کرد، به‌طور خودکار تنظیم می‌شود. اگر می‌خواهید الگوریتم خاصی را مشخص کنید، [Manual Settings] را انتخاب کنید و تنظیمات زیر را پیکربندی کنید.
[Authentication‎]
الگوریتم هش را انتخاب کنید.
[Encryption‎]
الگوریتم رمزگذاری را انتخاب کنید.
[DH Group‎]
گروه را برای روش تبادل کلید Diffie-Hellman انتخاب کنید تا طول کلید را تنظیم کنید.
3
روی [OK] کلیک کنید.
وقتی [IKE Mode] روی [Main] در صفحه [IKE] تنظیم می‌شود و [Authentication Method] روی [Pre-Shared Key Method] تنظیم می‌شود، محدودیت‌های زیر هنگام ثبت چند سیاست امنیتی اعمال می‌شوند.
کلید روش کلید از قبل به اشتراک گذاشته شده: هنگام مشخص کردن چند آدرس IP از راه دور که خط مشی امنیتی روی آن اعمال می‌شود، همه کلیدهای به اشتراک گذاشته شده برای آن خط مشی امنیتی مشابه هستند (این مورد هنگام مشخص کردن یک آدرس اعمال نمی‌شود).
اولویت: هنگام مشخص کردن چند آدرس IP از راه دور که خط مشی امنیتی روی آن اعمال می‌شود، اولویت آن خط مشی امنیتی زیر خط مشی‌های امنیتی است که تک آدرسی برای آن مشخص می‌شود.
8
تنظیمات ارتباط IPSec را پیکربندی کنید.
1
روی [IPSec Network Settings] کلیک کنید.
2
تنظیمات لازم را پیکربندی کنید.
[Validity]
دوره انقضای IPSec SA ایجادشده را وارد کنید. حتماً [Time] یا [Size] را تنظیم کنید. اگر هر دو را وارد کنید، تنظیماتی که تاریخ آن اول برسد، اعمال خواهد شد.
[PFS]
در صورت انتخاب [Use PFS]، امنیت کلید رمزگذاری افزایش می‌یابد اما سرعت ارتباط کمتر می‌شود. به‌علاوه، عملکرد "محرمانگی کامل ارسال" (PFS) را باید در دستگاه جفت ارتباط فعال کنید.
[Authentication/Encryption Algorithm]
[Auto] یا [Manual Settings] را انتخاب کنید تا نحوه مشخص کردن الگوریتم تأیید اعتبار و رمزگذاری برای فاز 2 IKE را مشخص کنید. اگر [Auto] را انتخاب کنید، الگوریتم تأیید اعتبار و رمزگذاری ESP به‌طور خودکار تنظیم می‌شود. اگر می‌خواهید روش تأیید اعتبار خاصی را مشخص کنید، [Manual Settings] را انتخاب کنید و یکی از روش‌های تأیید اعتبار زیر را انتخاب کنید.
[ESP‎]
تأیید اعتبار و رمزگذاری هر دو اجرا می‌شوند. الگوریتم را برای [ESP Authentication] و [ESP Encryption] انتخاب کنید. اگر نمی‌خواهید الگوریتم تأیید اعتبار و رمزگذاری را تنظیم کنید، [NULL] را انتخاب کنید.
[ESP (AES-GCM)‎]
از AES-GCM به‌عنوان الگوریتم ESP استفاده می‌شود و تأیید اعتبار و رمزگذاری هر دو اجرا می‌شوند.
[AH (SHA1)‎]
تأیید اعتبار اجرا می‌شود اما داده رمزگذاری نمی‌شود. از SHA1 به‌عنوان الگوریتم استفاده می‌شود.
3
روی [OK] کلیک کنید.
9
روی [OK] کلیک کنید.
10
سیاست‌های ثبت شده را فعال کنید و ترتیب اولویت‌ها را بررسی کنید.
سیاست‌ها به ترتیبی که لیست شده‌اند، اعمال می‌شوند که از بالای لیست شروع می‌شود. اگر می‌خواهید ترتیب اولویت‌ها را تغییر دهید، سیاستی را در لیست انتخاب کنید و [Raise Priority] یا [Lower Priority] را فشار دهید.
مدیریت کردن سیاست‌های IPSec
می‌توانید سیاست‌هایی که در صفحه مرحله 4 نشان داده می‌شوند را ویرایش کنید.
برای ویرایش جزئیات سیاست، روی نام سیاست در فهرست کلیک کنید.
برای غیرفعال کردن سیاست، روی نام سیاست در لیست کلیک کنید، [Off] را برای [Policy On/Off]‏ انتخاب کنید و سپس روی [OK] کلیک کنید.
برای حذف یک سیاست، در فهرست سیاست را انتخاب کنید روی [Delete]‏ [OK] کلیک کنید.
استفاده از پنل کنترل
همچنین می‌توانید ارتباط IPSec را از <Set> در صفحه <Home> فعال یا غیرفعال کنید. <IPSec Settings>
وارد کردن گروهی/صادر کردن گروهی
این تنظیم می‌تواند با مدل‌هایی صادر/وارد شود که از وارد کردن گروهی این تنظیم پشتیبانی می‌کنند. وارد کردن/صادر کردن داده‌های تنظیم
هنگام صادر کردن گروهی، این تنظیم در [Settings/Registration Basic Information] قرار می‌گیرد. وارد/صادر کردن تمام تنظیمات
A14X-05Y