Používanie protokolu IPSec

Používajte protokol IPSec (IP Security Protocol), aby sa zabránilo sledovaniu a manipulácii s paketmi IP odosielanými a prijímanými cez sieť IP. Protokol IPSec vykonáva šifrovanie na úrovni protokolu IP, aby sa zaručila bezpečnosť bez spoliehania sa na aplikáciu alebo konfiguráciu siete.

Podmienky použiteľné pre protokol IPSec a podporované režimy

Pakety, pre ktoré sa protokol IPSec nedá použiť
Pakety určujúce adresu slučky, prenosu multicast alebo vysielania
Pakety IKE odoslané z protokolu UDP na porte 500
Pakety žiadosti suseda ICMPv6 a oznámenia suseda
Prevádzkový režim protokolu výmeny kľúča (režim IKE)
Režim IKE podporovaný zariadením je jediný hlavný režim, ktorý sa používa na šifrovanie paketov. Nešifrujúci agresívny režim nie je podporovaný.
Režim komunikácie
Režim komunikácie podporovaný zariadením je jediný režim prenosu, v ktorom sa šifruje iba časť bez hlavičky IP. Tunelový režim, v ktorom sa šifruje celý paket IP, nie je podporovaný.
Používanie protokolu IPSec s filtrovaním adries IP
Nastavenia filtra adries IP sa použijú prvé. Nastavenie brány firewall

Konfigurácia politiky protokolu IPSec

Ak chcete v zariadení vykonávať komunikáciu prostredníctvom protokolu IPSec, musíte vytvoriť politiku protokolu IPSec, ktorá zahŕňa príslušný rozsah a algoritmy na overovanie a šifrovanie. Politika pozostáva hlavne z nasledujúcich položiek.
Volič
Definuje podmienky pre pakety IP platné pre komunikáciu prostredníctvom protokolu IPSec. Okrem určenia adresy IP zariadenia a komunikujúcich zariadení môžete zadať aj čísla ich portov.
IKE
Protokol výmeny kľúča podporuje protokol Internet Key Exchange verzie 1 (IKEv1). Ako spôsob overovania vyberte metódu predbežne zdieľaného kľúča alebo metódu digitálneho podpisu.
Metóda predbežne zdieľaného kľúča:
Tento spôsob overovania používa bežné kľúčové slovo nazývané zdieľaný kľúč na komunikáciu medzi zariadením a ďalšími zariadeniami.
Metóda digitálneho podpisu
Zariadenie a ostatné zariadenia sa navzájom overujú vzájomným overením svojich digitálnych podpisov.
ESP/AH
Zadajte nastavenia pre ESP/AH, ESP/AH je protokol používaný na komunikáciu prostredníctvom protokolu IPSec. Protokoly ESP a AH sa môžu používať súčasne. Na ešte vyššie zabezpečenie používajte protokol PFS (Perfect Forward Secrecy).

Nastavenie protokolu IPSec

Aktivujte používanie protokolu IPSec a potom vytvorte a zaregistrujte politiku protokolu IPSec. Ak sa vytvorilo viacero politík, zadajte poradie, v ktorom sa použijú.
Táto časť popisuje, ako konfigurovať nastavenia pomocou Remote UI (Vzdialené PR) z počítača.
Na ovládacom paneli vyberte položku [Ponuka] na obrazovke [Domov] a potom vyberte položku [Predvoľby] a nakonfigurujte nastavenia. Ovládací panel však možno použiť iba na aktiváciu alebo deaktiváciu protokolu IPSec. [Použiť IPSec]
Vyžadujú sa oprávnenia správcu. Zariadenie je potrebné reštartovať, aby sa nastavenia použili.
Požadované prípravy
Pripojte zariadenie priamo k počítaču v rovnakej virtuálnej súkromnej sieti (VPN) ako zariadenie. Vopred potvrďte prevádzkové podmienky a dokončite nastavenia v počítači. IPSec
Nakonfigurujte nasledujúce nastavenia podľa spôsobu overovania IKE:
Keď sa používa metóda predbežne zdieľaného kľúča, aktivujte protokol TLS pre komunikáciu vzdialeného používateľského rozhrania. Používanie protokolu TLS
Keď sa používa metóda digitálneho podpisu, pripravte kľúč a certifikát, ktoré sa budú používať. Spravovanie a overovanie kľúča a certifikátu
Keď sa používa protokol PFS, skontrolujte, či je v komunikujúcom zariadení aktivovaný protokol PFS.
1
Prihláste sa k vzdialenému používateľskému rozhraniu v režime správcu systému. Spustenie vzdialeného používateľského rozhrania
2
Na stránke portálu vzdialeného používateľského rozhrania kliknite na položku [Settings/Registration]. Stránka portálu vzdialeného používateľského rozhrania
3
Kliknite na [Network Settings] [IPSec Settings] [Edit].
Zobrazí sa obrazovka [Edit IPSec Settings].
4
Začiarknite políčko [Use IPSec] a kliknite na tlačidlo [OK].
Ak chcete prijímať len pakety, ktoré vyhovujú politike, zrušte začiarknutie políčka [Receive Non-Policy Packets].
5
Kliknite na položku [Register New Policy].
Zobrazí sa obrazovka [Register New IPSec Policy].
6
V časti [Policy Settings] zadajte názov politiky a začiarknite políčko [Enable Policy].
Ako názov politiky zadajte názov identifikujúci politiku v jednobajtových alfanumerických znakoch.
7
V časti [Selector Settings] nastavte volič.
[Local Address Settings]
Vyberte typ adresy IP zariadenia, na ktoré sa vzťahuje politika.
Ak chcete použiť IPSec na všetky IP pakety, vyberte [All IP Addresses].
Ak chcete použiť protokol IPSec na pakety IP odoslané a prijaté pomocou adresy IPv4 alebo IPv6, vyberte [IPv4 Address] alebo [IPv6 Address].
[Remote Address Settings]
Vyberte typ adresy IP komunikujúceho zariadenia, na ktoré sa má politika vzťahovať.
Ak chcete použiť IPSec na všetky IP pakety, vyberte [All IP Addresses].
Ak chcete použiť protokol IPSec na pakety IP odoslané a prijaté pomocou adresy IPv4 alebo IPv6, vyberte [All IPv4 Addresses] alebo [All IPv6 Addresses].
Adresu IPv4 alebo IPv6, pre ktorú sa použije protokol IPSec, špecifikujte výberom možnosti [IPv4 Manual Settings] alebo [IPv6 Manual Settings].
[Addresses to Set Manually]
Keď je vybratá možnosť [IPv4 Manual Settings] alebo [IPv6 Manual Settings], zadajte IP adresu. Môžete zadať aj rozsah adries IP pomocou spojovníka (-).
Príklad vstupu:
Jedna adresa IPv4
192.168.0.10
Jedna adresa IPv6
fe80::10
Zadanie rozsahu
192.168.0.10-192.168.0.20
[Subnet Settings]
Keď je vybratá možnosť [IPv4 Manual Settings], na určenie rozsahu adries IPv4 môžete použiť masku podsiete.
Príklad vstupu:
255.255.255.240
[Prefix Length]
Keď je vybratá možnosť [IPv6 Manual Settings], na určenie rozsahu adries IPv6 môžete použiť dĺžku prefixu. Zadajte dĺžku prefixu v rozsahu 0 až 128.
[Port Settings]
Nastavte port, pre ktorý platí protokol IPSec, v časti [Local Port] v zariadení a časti [Remote Port] na komunikujúcom zariadení.
Ak chcete použiť protokol IPSec pre všetky IP pakety, vyberte možnosť [All Ports].
Ak chcete použiť protokol IPSec pre konkrétny protokol, ako je HTTP alebo WSD, vyberte možnosť [Single Port] a zadajte číslo portu protokolu.
8
V časti [IKE Settings] nastavte protokol IKE.
[IKE Mode]
Zariadenie podporuje len hlavný režim.
[Authentication Method]
Vyberte spôsob overovania zariadenia.
Keď je vybratá možnosť [Pre-Shared Key Method], kliknite na položku [Shared Key Settings] zadajte reťazec, ktorý sa použije ako zdieľaný kľúč, pomocou jednobajtových alfanumerických znakov kliknite na tlačidlo [OK].
Keď je vybratá možnosť [Digital Signature Method], kliknite na položku [Key and Certificate] [Register Default Key] napravo od kľúča a certifikátu, ktoré sa majú použiť.
[Validity]
Zadajte platné obdobie pre protokol IKE SA (ISAKMP SA), ktoré sa má použiť ako riadiaca komunikačná cesta, v minútach.
[Authentication/Encryption Algorithm]
Vyberte algoritmus, ktorý sa má použiť na výmenu kľúča.
9
V časti [IPSec Network Settings] nastavte konfiguráciu sieťových nastavení IPSec.
[Use PFS]
Začiarknutím tohto políčka sa PFS konfiguruje ako kľúč relácie.
[Validity]
Zadajte platné obdobie protokolu IPSec SA, ktoré sa má použiť ako cesta dátovej komunikácie, zadajte čas, veľkosť alebo oba údaje.
Keď je začiarknuté políčko [Specify by Time], zadajte platné obdobie v minútach.
Keď je začiarknuté políčko [Specify by Size], zadajte platné obdobie v megabajtoch.
Keď sú začiarknuté obe políčka, platná bude položka, ktorej určená hodnota sa dosiahne prvá.
[Authentication/Encryption Algorithm]
Začiarknite toto políčko podľa hlavičky IPSec (ESP a AH), ktorá sa má použiť, a jej algoritmu.
[ESP Authentication]
Keď je vybratá možnosť [ESP], vyberte algoritmus overovania. Ak chcete vykonávať overenie ESP, vyberte možnosť [SHA1]. V opačnom prípade vyberte možnosť [Do Not Use].
[ESP Encryption]
Keď je vybratá možnosť [ESP], vyberte algoritmus šifrovania. Ak nechcete určiť algoritmus, vyberte položku [NULL]. Ak chcete vypnúť šifrovanie, vyberte položku [Do Not Use].
[Connection Mode]
Zariadenie podporuje len režim prenosu.
10
Kliknite na položku [OK].
Novozaregistrovaná politika sa pridá do poľa [Registered IPSec Policies] na obrazovke [IPSec Settings].
Keď sa registruje viacero politík
Kliknutím na položku [Up] alebo [Down] na pravej strane názvu politiky nastavte prioritu. Politika vyššej úrovne má prioritu pri použití na komunikáciu IPSec.
11
Reštartujte zariadenie. Reštartujte zariadenie
Nastavenia sa aplikujú.
Úprava zaregistrovaných politík
Ak chcete upraviť zaregistrované informácie, v časti [Registered IPSec Policies] na obrazovke [IPSec Settings] kliknite na názov politiky, ktorú chcete upraviť.
9RY1-083