Použití IPSec
Protokol IPSec (IP Security Protocol) použijte, abyste zabránili odposlouchávání a manipulaci s IP pakety odeslanými a přijatými přes IP síť. Tato funkce provádí šifrování na úrovni protokolu IP, čímž zajišťuje bezpečnost, aniž by bylo zapotřebí spoléhat se na aplikaci nebo konfiguraci sítě.
Použitelné podmínky a podporované režimy protokolu IPSec
Pakety, kde IPSec neplatí
Pakety, které specifikují adresu zpětné smyčky, vícesměrového a všesměrového vysílání
Pakety IKE odeslané z protokolu UDP na portu 500
Pakety oslovení souseda a inzerování souseda ICMPv6
Provozní režim protokolu výměny klíčů (režim IKE)
Režim IKE podporovaný zařízením je pouze hlavní režim, který se používá k šifrování paketů. Nešifrující agresivní režim není podporován.
Režim komunikace
Komunikační režim podporovaný zařízením je pouze transportní režim, který šifruje pouze část kromě IP hlavičky. Tunelový režim, který šifruje celý IP paket, není podporován.
Použití protokolu IPSec společně s filtrováním IP adres
Nejprve se použijí nastavení filtru IP adres. Nastavení brány firewall
Konfigurace zásad IPSec
Chcete-li na zařízení provádět komunikaci IPSec, musíte vytvořit zásady IPSec, které zahrnují příslušný rozsah a algoritmy pro ověřování a šifrování. Zásady jsou hlavně sestaveny z následujících položek.
Selektor
Zadejte, na které IP pakety se použije komunikace IPSec. Kromě zadání IP adresy zařízení a komunikujících zařízení můžete také zadat jejich čísla portů.
IKE
Protokol výměny klíčů podporuje verzi IKEv1 (Internet Key Exchange Version 1). Jako metodu ověřování vyberte metodu předsdíleného klíče nebo metodu digitálního podpisu.
Metoda předsdíleného klíče:
Tato metoda ověřování využívá ke komunikaci mezi tímto zařízením a dalšími zařízeními společné slovo, nazývané sdílený klíč.
Tato metoda ověřování využívá ke komunikaci mezi tímto zařízením a dalšími zařízeními společné slovo, nazývané sdílený klíč.
Metoda digitálního podpisu
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů.
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů.
ESP/AH
Zadejte nastavení pro hlavičky ESP/AH, což je protokol používaný pro komunikaci IPSec. Hlavičky ESP a AH lze používat současně. Pro ještě větší zabezpečení použijte funkci Dopředná bezpečnost (Perfect Forward Secrecy, PFS).
Nastavení IPSec
Povolte používání protokolu IPSec a pak vytvořte a uložte zásady IPSec. Jestliže je vytvořeno více zásad, zadejte pořadí, v jakém mají být použity.
V této části je popsán způsob konfigurace nastavení pomocí Vzdáleného UR z počítače.
Na ovládacím panelu vyberte položku [Nabídka] na obrazovce [Domů] a pak vyberte položku [Možnosti] a nakonfigurujte nastavení. Ovládací panel lze použít pouze k povolení nebo zakázání IPSec. [Použít IPSec]
Jsou vyžadována oprávnění správce. Aby se nastavení použila, je zařízení nutné restartovat.
Na ovládacím panelu vyberte položku [Nabídka] na obrazovce [Domů] a pak vyberte položku [Možnosti] a nakonfigurujte nastavení. Ovládací panel lze použít pouze k povolení nebo zakázání IPSec. [Použít IPSec]
Jsou vyžadována oprávnění správce. Aby se nastavení použila, je zařízení nutné restartovat.
|
Nutná příprava
|
|
Připojte zařízení přímo k počítači ve stejné virtuální privátní síti (VPN), jako je zařízení. Potvrďte provozní podmínky a předem dokončete nastavení v počítači. IPSec
Podle metody ověřování IKE si připravte následující:
Při použití metody předsdíleného klíče povolte TLS pro komunikaci vzdáleného uživatelského rozhraní. Používání TLS
Při použití metody digitálního podpisu si připravte klíč a certifikát k použití. Správa a ověřování klíče a certifikátu
Při použití PFS ověřte, zda je PFS povoleno na komunikujícím zařízení.
|
1
Přihlaste se do vzdáleného uživatelského rozhraní v režimu správce systému. Spuštění vzdáleného uživatelského rozhraní
2
Na stránce portálu vzdáleného uživatelského rozhraní klikněte na možnost [Nastavení/Uložení]. Stránka portálu vzdáleného uživatelského rozhraní
3
Klikněte na položku [Nastavení sítě] 
[Nastavení IPSec] [Editovat].
[Nastavení IPSec] [Editovat].Zobrazí se obrazovka [Editovat nastavení IPSec].
4
Zaškrtněte políčko [Použít IPSec] a klikněte na tlačítko [OK].
Chcete-li přijímat pouze pakety, které splňují tyto zásady, zrušte zaškrtnutí políčka [Přijmout pakety bez zásad].
5
Klikněte na tlačítko [Uložit nové zásady].
Zobrazí se obrazovka [Uložit nové zásady IPSec].
6
Do položky [Nastavení zásad zabezpečení] zadejte název zásad a zaškrtněte políčko [Umožnit zásady zabezpečení].
Jako název zásad zadejte pomocí jednobajtových alfanumerických znaků název pro identifikaci zásad.
7
V položce [Nastavení voliče] nastavte selektor.
[Nastavení lokální adresy]
Vyberte typ IP adresy zařízení, na kterou se zásady použijí.
Chcete-li na všechny IP pakety použít protokol IPSec, vyberte možnost [Všechny adresy IP].
Chcete-li použít protokol IPSec na IP pakety odeslané a přijaté pomocí adresy IPv4 nebo IPv6, vyberte možnost [Adresa IPv4] nebo [Adresa IPv6].
[Nastavení vzdálené adresy]
Vyberte typ IP adresy komunikujícího zařízení, na kterou se zásady použijí.
Chcete-li na všechny IP pakety použít protokol IPSec, vyberte možnost [Všechny adresy IP].
Chcete-li použít protokol IPSec na IP pakety odeslané a přijaté pomocí adresy IPv4 nebo IPv6, vyberte možnost [Všechny adresy IPv4] nebo [Všechny adresy IPv6].
Pokud chcete zadat adresu IPv4 nebo IPv6, na kterou se použije IPSec, vyberte položku [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6].
[Adresy k ručnímu nastavení]
Po výběru položky [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6] zadejte IP adresu. Můžete také zadat rozsah IP adres s použitím pomlčky (-).
Příklad zadání:
Jedna adresa IPv4
192.168.0.10
192.168.0.10
Jedna adresa IPv6
fe80::10
fe80::10
Zadání rozsahu
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Nastavení podsítě]
Při výběru položky [Ruční nastavení IPv4] můžete použít masku podsítě a zadat rozsah adres IPv4.
Příklad zadání:
255.255.255.240
255.255.255.240
[Délka prefixu]
Při výběru položky [Ruční nastavení IPv6] můžete použít délku prefixu a zadat rozsah adres IPv6. Zadejte délku prefixu pomocí rozsahu od 0 do 128.
[Nastavení portu]
V položce [Lokální port] nastavte port, na který se používá IPSec na zařízení, a v položce [Vzdálený port] na komunikujícím zařízení.
Chcete-li použít protokol IPSec na všechna čísla portů, vyberte možnost [Všechny porty].
Jestliže chcete použít IPSec na specifický protokol jako HTTP nebo WSD, vyberte možnost [Jeden port] a zadejte číslo portu protokolu.
8
V položce [Nastavení IKE] nastavte IKE.
[Režim IKE]
Zařízení podporuje pouze hlavní režim.
[Způsob ověření]
Z vyberte metodu ověřování zařízení.
Při výběru možnosti [Metoda předsdíleného klíče] klikněte na tlačítko [Nastavení sdíleného klíče] pomocí jednobajtových alfanumerických znaků zadejte řetězec, který se bude používat jako sdílený klíč klikněte na tlačítko [OK].
pomocí jednobajtových alfanumerických znaků zadejte řetězec, který se bude používat jako sdílený klíč klikněte na tlačítko [OK].Při výběru možnosti [Metoda digitálního podpisu] klikněte na tlačítko [Klíč a certifikát] [Uložit výchozí klíč] napravo od klíče a certifikátu, který se má používat.
[Uložit výchozí klíč] napravo od klíče a certifikátu, který se má používat.
[Platnost]
Zadejte v minutách platnou dobu IKE SA (ISAKMP SA), která se má použít jako řídicí komunikační cesta.
[Algoritmus ověření/šifrování]
Vyberte algoritmus, který se má používat pro výměnu klíčů.
9
V položce [Nastavení sítě IPSec] nakonfigurujte nastavení sítě IPSec.
[Použít PFS]
Zaškrtněte toto políčko a nakonfigurujte PFS pro klíč relace.
[Platnost]
Zadejte platnou dobu IPSec SA, která se má používat jako cesta datové komunikace, podle času, velikosti nebo obojího.
Je-li zaškrtnuto políčko [Zadat dle času], zadejte platnou dobu v minutách.
Je-li zaškrtnuto políčko [Zadat dle velikosti], zadejte platnou dobu v megabytech.
Pokud jsou zaškrtnuta obě, použije se položka, jejíž zadaná hodnota je dosažena první.
[Algoritmus ověření/šifrování]
Zaškrtněte toto políčko podle hlavičky IPSec (ESP a AH), která se má používat, a jeho algoritmu.
[Ověření ESP]
Zaškrtnete-li možnost [ESP], vyberte algoritmus ověřování. Pokud chcete provádět ověřování ESP, vyberte možnost [SHA1]. Jinak vyberte možnost [Nepoužít].
[Šifrování ESP]
Zaškrtnete-li možnost [ESP], vyberte algoritmus šifrování. Pokud nechcete zadat algoritmus, vyberte možnost [NULL]. Jestliže chcete zakázat šifrování, vyberte možnost [Nepoužít].
[Režim připojení]
Zařízení podporuje pouze transportní režim.
10
Klikněte na tlačítko [OK].
Nově uložená zásada je přidána do nabídky [Uložené zásady IPSec] na obrazovce [Nastavení IPSec].
Při uložení více zásad
Kliknutím na tlačítko [Nahoru] nebo [Dolů] napravo od názvu zásady nastavíte prioritu. Zásady s vyšší úrovní mají prioritu při použití na komunikaci IPSec.
11
Restartujte zařízení. Restartování zařízení
Nastavení se použijí.
|
Úprava uložených zásadChcete-li upravit uložené informace, klikněte v nabídce [Uložené zásady IPSec] na obrazovce [Nastavení IPSec] na název zásady, kterou chcete upravit.
|