Configurarea setărilor IPSec

Utilizând IPSec, puteți împiedica terții să intercepteze sau să modifice pachetele IP transportate prin rețeaua IP. Deoarece IPSec adaugă funcții de securitate la IP (o suită de protocoale de bază folosite pentru Internet), poate oferi o securitate care este independentă de aplicații sau de configurația rețelei. Pentru a efectua comunicarea prin IPSec cu acest aparat, trebuie să configurați setări precum parametrii de aplicație și algoritmul pentru autentificare și criptare. Pentru configurarea acestor setări sunt necesare privilegii de administrator.

Activarea protocolului IPSec

Înregistrarea unei politici


Modul de comunicație Acest aparat acceptă doar modul de transport pentru comunicarea IPSec. Drept urmare, autentificarea și criptarea se aplică numai porțiunilor de date ale pachetelor IP. Protocol schimbare parolă Acest aparat acceptă Internet Key Exchange versiunea 1 (IKEv1) pentru schimbul de chei bazat pe Internet Security Association and Key Management Protocol (ISAKMP). Pentru metoda de autentificare, setați metoda cheii pre-partajate sau metoda semnăturii digitale. Când setați metoda cheii pre-partajate, trebuie să stabiliți în prealabil o expresie de acces (cheie pre-partajată), care este utilizată între aparat și perechea de comunicare IPSec. Când setați metoda semnăturii digitale, utilizați un certificat CA și o cheie și un certificat de format PKCS#12 pentru a efectua autentificarea reciprocă între aparat și perechea de comunicare IPSec. Pentru mai multe informații despre înregistrarea de noi certificate CA sau chei/certificate, consultați Înregistrarea unei chei și a unui certificat pentru comunicarea în rețea. Rețineți că SNTP trebuie configurat pentru aparat înainte de a utiliza această metodă. Efectuarea setărilor SNTP

Modul de comunicație

Acest aparat acceptă doar modul de transport pentru comunicarea IPSec. Drept urmare, autentificarea și criptarea se aplică numai porțiunilor de date ale pachetelor IP.

Protocol schimbare parolă

Acest aparat acceptă Internet Key Exchange versiunea 1 (IKEv1) pentru schimbul de chei bazat pe Internet Security Association and Key Management Protocol (ISAKMP). Pentru metoda de autentificare, setați metoda cheii pre-partajate sau metoda semnăturii digitale.

Când setați metoda cheii pre-partajate, trebuie să stabiliți în prealabil o expresie de acces (cheie pre-partajată), care este utilizată între aparat și perechea de comunicare IPSec.

Când setați metoda semnăturii digitale, utilizați un certificat CA și o cheie și un certificat de format PKCS#12 pentru a efectua autentificarea reciprocă între aparat și perechea de comunicare IPSec. Pentru mai multe informații despre înregistrarea de noi certificate CA sau chei/certificate, consultați Înregistrarea unei chei și a unui certificat pentru comunicarea în rețea. Rețineți că SNTP trebuie configurat pentru aparat înainte de a utiliza această metodă. Efectuarea setărilor SNTP


Indiferent de setarea opțiunii [Format Encryption Method to FIPS 140-2] pentru comunicația prin IPSec, va fi utilizat un modul de criptare care a obținut deja certificarea FIPS140-2. Pentru a face comunicația IPSec conformă cu FIPS 140-2, trebuie să setați lungimea cheii atât pentru DH cât și pentru RSA pentru comunicația IPSec la 2048 de biți sau mai mult în mediul de rețea căruia îi aparține aparatul. Doar lungimea cheii pentru DH poate fi specificată de la aparat. Țineți cont de acest lucru când configurați mediul dumneavoastră, deoarece în aparat nu există setări pentru RSA. Puteți să înregistrați până la 10 politici de securitate.

Indiferent de setarea opțiunii [Format Encryption Method to FIPS 140-2] pentru comunicația prin IPSec, va fi utilizat un modul de criptare care a obținut deja certificarea FIPS140-2.

Pentru a face comunicația IPSec conformă cu FIPS 140-2, trebuie să setați lungimea cheii atât pentru DH cât și pentru RSA pentru comunicația IPSec la 2048 de biți sau mai mult în mediul de rețea căruia îi aparține aparatul.

Doar lungimea cheii pentru DH poate fi specificată de la aparat.

Țineți cont de acest lucru când configurați mediul dumneavoastră, deoarece în aparat nu există setări pentru RSA.

Puteți să înregistrați până la 10 politici de securitate.

Activarea protocolului IPSec

Porniți Remote UI (IU la distanță). Pornirea Remote UI (IU la distanță)

Faceți clic pe [Settings/Registration] de pe pagina portalului. Ecranul Remote UI (IU la distanță)

Faceți clic pe [Network Settings]

[IPSec Settings].

Selectați [Use IPSec] și faceți clic pe [OK].

Pentru a recepționa numai pachete care corespund politicii de securitate, selectați [Reject] pentru [Receive Non-Policy Packets].

Înregistrarea unei politici

Porniți Remote UI (IU la distanță). Pornirea Remote UI (IU la distanță)

Faceți clic pe [Settings/Registration] de pe pagina portalului. Ecranul Remote UI (IU la distanță)

Faceți clic pe [Network Settings]

[IPSec Policy List].

Faceți clic pe [Register New IPSec Policy].

Setați o politică.

[Policy Name]

Introduceți un nume pentru identificarea politicii.

[Policy On/Off]

Selectați [On] pentru a activa politica înregistrată.

[Only Allow 256-bit for AES Key Length]

Selectați această casetă pentru a restricționa lungimea cheii pentru metoda de criptare AES la 256 de biți și a îndeplini cerințele standardului de autentificare CC.

Configurați parametrii de aplicație IPSec.

Faceți clic pe [Selector Settings].

Specificați adresa IP la care să se aplice politica IPSec.

Specificați adresa IP a acestui aparat în [Local Address] și specificați adresa IP a perechii de comunicare în [Remote Address].

[All IP Addresses]	IPSec se aplică tuturor pachetelor IP trimise și primite.
[IPv4 Address]	IPSec se aplică pachetelor IP trimise către și primite de la adresa IPv4 a acestui aparat.
[IPv6 Address]	IPSec se aplică pachetelor IP trimise către și primite de la adresa IPv6 a acestui aparat.
[All IPv4 Addresses]	IPSec se aplică pachetelor IP trimise către și primite de la adresa IPv4 a perechii de comunicare.
[All IPv6 Addresses]	IPSec se aplică pachetelor IP trimise către și primite de la adresa IPv6 a perechii de comunicare.
[IPv4 Manual Settings]	Specificați adresa IPv4 la care să se aplice IPSec. Selectați [Single Address] pentru a introduce o adresă IPv4 individuală. Selectați [Range Address] pentru a specifica un interval de adrese IPv4. Introduceți câte o adresă separată pentru [First Address] și [Last Address]. Selectați [Subnet Settings] pentru a specifica un interval de adrese IPv4 utilizând o mască de subrețea. Introduceți valori separate pentru [First Address] și [Subnet Settings].
[IPv6 Manual Settings]	Specificați adresa IPv6 la care să se aplice IPSec. Selectați [Single Address] pentru a introduce o adresă IPv6 individuală. Selectați [Range Address] pentru a specifica un interval de adrese IPv6. Introduceți câte o adresă separată pentru [First Address] și [Last Address]. Selectați [Prefix Address] pentru a specifica un interval de adrese IPv6 utilizând un prefix. Introduceți valori separate pentru [First Address] și [Prefix Length].

Specificați portul la care să se aplice IPSec.

Selectați [Specify by Port Number] pentru a utiliza numerele de porturi când specificați porturile la care se aplică IPSec. Selectați [All Ports] pentru a aplica IPSec la toate numerele de porturi. Pentru a aplica IPSec la un anumit număr de port, selectați [Single Port] și introduceți numărul portului. Specificați portul acestui aparat în [Local Port] și specificați portul perechii de comunicare în [Remote Port].

Pentru a specifica porturile la care să se aplice IPSec după numele serviciului, selectați [Specify by Service Name] și selectați serviciile de utilizat.

Faceți clic pe [OK].

Configurați setările de autentificare și de criptare.

Faceți clic pe [IKE Settings].

Configurați setările necesare.

[IKE Mode]

Selectați modul de operare pentru protocolul de schimbare a cheilor. Securitatea este îmbunătățită dacă selectați [Main], deoarece sesiunea IKE însăși este criptată, dar viteza sesiunii este mai mică decât cu [Aggressive], care nu criptează întreaga sesiune.

[Validity]

Setați perioada de expirare pentru valorile IKE SA generate.

[Authentication Method]

Selectați una dintre metodele de autentificare descrise mai jos.

[Pre-Shared Key Method]	Setați aceeași expresie de acces (cheie pre-partajată) care este setată pentru perechea de comunicare. Selectați [Shared Key Settings], introduceți șirul de caractere de utilizat drept cheie partajată și selectați [OK].
[Digital Signature Method]	Setați cheia și certificatul de utilizat pentru autentificarea reciprocă cu perechea de comunicare. Faceți clic pe [Key and Certificate], apoi faceți clic pe [Use] pentru cheia de utilizat.

[Authentication/Encryption Algorithm]

Selectați fie [Auto], fie [Manual Settings] pentru a seta modul de specificare a algoritmului de autentificare și criptare pentru IKE faza 1. Dacă selectați [Auto], este setat automat un algoritm care poate fi utilizat atât de aparat, cât și de perechea de comunicare. Dacă doriți să specificați un algoritm particular, selectați [Manual Settings] și configurați setările de mai jos.

[Authentication]	Selectați algoritmul hash.
[Encryption]	Selectați algoritmul de criptare.
[DH Group]	Selectați grupul pentru metoda Diffie-Hellman de schimbare a cheilor pentru a seta puterea cheii.

Faceți clic pe [OK].


Când opțiunea [IKE Mode] este setată la [Main] pe ecranul [IKE] și opțiunea [Authentication Method] este setată la [Pre-Shared Key Method], următoarele restricții se aplică atunci când înregistrați mai multe politici de securitate. Cheia la metoda cu cheie per-partajată: atunci când specificați mai multe adrese IP la distanță la care trebuie aplicată o politică de securitate, toate cheile partajate pentru acea politică de securitate sunt identice (acest lucru nu se aplică atunci când este specificată o singură adresă). Prioritate: atunci când specificați mai multe adrese IP la distanță la care trebuie aplicată o politică de securitate, prioritatea acelei politici de securitate este sub politicile de securitate pentru care este specificată o singură adresă.

Când opțiunea [IKE Mode] este setată la [Main] pe ecranul [IKE] și opțiunea [Authentication Method] este setată la [Pre-Shared Key Method], următoarele restricții se aplică atunci când înregistrați mai multe politici de securitate.

Cheia la metoda cu cheie per-partajată: atunci când specificați mai multe adrese IP la distanță la care trebuie aplicată o politică de securitate, toate cheile partajate pentru acea politică de securitate sunt identice (acest lucru nu se aplică atunci când este specificată o singură adresă).

Prioritate: atunci când specificați mai multe adrese IP la distanță la care trebuie aplicată o politică de securitate, prioritatea acelei politici de securitate este sub politicile de securitate pentru care este specificată o singură adresă.

Configurați setările de comunicare IPSec.

Faceți clic pe [IPSec Network Settings].

Configurați setările necesare.

[Validity]

Setați perioada de expirare pentru valorile IPSec SA generate. Aveți grijă să setați fie [Time], fie [Size]. Dacă le setați pe ambele, se aplică setarea a cărei valoare este atinsă prima.

[PFS]

Dacă selectați [Use PFS], nivelul de secretizare al cheii de criptare crește, dar viteza de comunicare scade. În plus, funcția PFS (Perfect Forward Secrecy) trebuie activată pe dispozitivul de comunicare pereche.

[Authentication/Encryption Algorithm]

Selectați fie [Auto], fie [Manual Settings] pentru a seta modul de specificare a algoritmului de autentificare și criptare pentru IKE faza 2. Dacă selectați [Auto], algoritmul de autentificare și criptare ESP este setat automat. Dacă doriți să specificați o metodă de autentificare particulară, selectați [Manual Settings] și selectați una dintre metodele de autentificare de mai jos.

[ESP]	Autentificarea și criptarea sunt ambele efectuate. Selectați algoritmul pentru [ESP Authentication] și [ESP Encryption]. Selectați [NULL] dacă nu doriți să setați algoritmul de autentificare sau de criptare.
[ESP (AES-GCM)]	AES-GCM se utilizează ca algoritmul ESP și se efectuează atât autentificarea, cât și criptarea.
[AH (SHA1)]	Se efectuează autentificarea, dar datele nu sunt criptate. SHA1 se utilizează ca algoritm.

Faceți clic pe [OK].

Activați politicile înregistrate și verificați ordinea de prioritate.

Politicile sunt aplicate în ordinea în care sunt listate, începând din partea de sus. Dacă doriți să schimbați ordinea de prioritate, selectați o politică din listă și faceți clic pe [Raise Priority] sau [Lower Priority].


Gestionarea politicilor IPSec Puteți edita politicile pe ecranul afișat la pasul 4. Pentru a edita detaliile unei politici, faceți clic pe numele politicii din listă. Pentru a dezactiva o politică, faceți clic pe numele politicii din listă selectați [Off] pentru [Policy On/Off] faceți clic pe [OK]. Pentru a șterge o politică, selectați politica din listă faceți clic pe [Delete] [OK]. Utilizarea panoului de control De asemenea, puteți activa sau dezactiva comunicarea prin IPSec din <Setare> în ecranul <Acasă>. <Setări IPSec> Importul pe loturi/exportul pe loturi Această setare poate fi importată/exportată cu modelele care acceptă importul pe loturi al acestei setări. Importul/exportul setărilor Această setare este inclusă în [Settings/Registration Basic Information] când se face exportul pe loturi. Importul/exportul tuturor setărilor

Gestionarea politicilor IPSec

Puteți edita politicile pe ecranul afișat la pasul 4.

Pentru a edita detaliile unei politici, faceți clic pe numele politicii din listă.

Pentru a dezactiva o politică, faceți clic pe numele politicii din listă

selectați [Off] pentru [Policy On/Off]

faceți clic pe [OK].

Pentru a șterge o politică, selectați politica din listă

faceți clic pe [Delete]

[OK].

Utilizarea panoului de control

De asemenea, puteți activa sau dezactiva comunicarea prin IPSec din <Setare> în ecranul <Acasă>. <Setări IPSec>

Importul pe loturi/exportul pe loturi

Această setare poate fi importată/exportată cu modelele care acceptă importul pe loturi al acestei setări. Importul/exportul setărilor

Această setare este inclusă în [Settings/Registration Basic Information] când se face exportul pe loturi. Importul/exportul tuturor setărilor