IPSec izmantošana
Izmantojiet IP Security Protocol (IPSec, IP drošības protokols), lai nepieļautu datu pārtveršanu un IP tīklā sūtīto un saņemto IP pakešu neatļautu modificēšanu. Šis līdzeklis šifrēšanu veic IP protokola līmenī, lai gādātu par drošību, nepaļaujoties uz lietojumprogrammu un tīkla konfigurāciju.
Uz IPSec attiecināmie nosacījumi un atbalstītie režīmi
Paketes, uz kurām IPSec neattiecas
Paketes, kurās norādīta atgriezeniskās cilpas, multiraides vai apraides adrese
IKE paketes, kas nosūtītas no UDP porta 500
ICMPv6 kaimiņu aptaujāšanas un kaimiņu apziņošanas paketes
Atslēgu apmaiņas protokola ekspluatācijas režīms (IKE režīms)
Iekārtas atbalstītais IKE režīms ir tikai viens no galvenajiem režīmiem, kas tiek izmantots pakešu šifrēšanai. Nešifrēšanas agresīvais režīms netiek atbalstīts.
Sakaru režīms
Iekārtas atbalstītais sakaru režīms ir tikai transportēšanas režīms, kurš šifrē tikai daļu, neietverot IP galveni. Tuneļa režīms, kurš šifrē visu IP paketi, netiek atbalstīts.
IPSec izmantošana kopā ar IP adrešu filtru
IP adrešu filtra iestatījumi tiek lietoti vispirms. Ugunsmūra iestatīšana
IPSec politikas konfigurācija
Lai iekārtā izmantotu IPSec sakarus, ir jāizveido IPSec politika, kas ietver attiecināmo diapazonu un algoritmus autentificēšanai un šifrēšanai. Šī politika galvenokārt sastāv no tālāk norādītajiem elementiem.
Selektors
Norādiet, kurām IP paketēm lietot IPSec sakarus. Papildus iekārtas IP adreses un sakaru ierīču norādīšanai varat norādīt arī to portu numurus.
IKE
Atslēgu apmaiņas protokols atbalsta Internet Key Exchange versiju 1 (IKEv1). Autentificēšanas metodei atlasiet priekškopīgotas atslēgas metodi vai ciparparaksta metodi.
Priekškopīgotās atslēgas metode
Šī autentificēšanas metode saziņai starp iekārtu un citām ierīcēm izmanto kopēju atslēgvārdu jeb koplietotu atslēgu.
Šī autentificēšanas metode saziņai starp iekārtu un citām ierīcēm izmanto kopēju atslēgvārdu jeb koplietotu atslēgu.
Ciparparaksta metode
Iekārta un citas ierīces veic savstarpēju autentificēšanu, abpusēji verificējot savus ciparparakstus.
Iekārta un citas ierīces veic savstarpēju autentificēšanu, abpusēji verificējot savus ciparparakstus.
ESP/AH
Norādiet iestatījumus, ko izmantot ar ESP/AH, kas ir IPSec sakariem izmantotais protokols. ESP un AH var lietot vienlaikus. Vēl labākai drošībai izmantojiet Perfect Forward Secrecy (PFS, perfekta pārsūtīšanas slepenība).
IPSec iestatīšana
Iespējojiet IPSec izmantošanu un pēc tam izveidojiet un reģistrējiet IPSec politiku. Ja ir izveidotas vairākas politikas, norādiet to lietošanas secību.
Šajā sadaļā aprakstīts, kā konfigurēt iestatījumus, izmantojot Remote UI (Attālais interfeiss) datorā.
Vadības panelī izvēlieties [Izvēlne] ekrānā [Sākums] un pēc tam izvēlieties [Preferences], lai konfigurētu iestatījumus. Taču vadības paneli var izmantot tikai IPSec iespējošanai vai atspējošanai. [Lietot IPSec]
Nepieciešamas administratora privilēģijas. Lai lietotu iestatījumus, iekārta jāizslēdz un jāieslēdz vēlreiz.
Vadības panelī izvēlieties [Izvēlne] ekrānā [Sākums] un pēc tam izvēlieties [Preferences], lai konfigurētu iestatījumus. Taču vadības paneli var izmantot tikai IPSec iespējošanai vai atspējošanai. [Lietot IPSec]
Nepieciešamas administratora privilēģijas. Lai lietotu iestatījumus, iekārta jāizslēdz un jāieslēdz vēlreiz.
|
Nepieciešamie sagatavošanās darbi
|
|
Savienojiet iekārtu tieši ar datoru tajā pašā virtuālajā privātajā tīklā (VPN), kur atrodas iekārta. Apstipriniet darba apstākļus un pabeidziet iestatījumus datorā jau iepriekš. IPSec
Atbilstoši IKE autentificēšanas metodei sagatavojiet tālāk norādīto.
Ja lietojat iepriekš kopīgotas atslēgas metodi, iespējojiet TLS līdzekļa Remote UI (Attālais lietotāja interfeiss) sakariem. TLS izmantošana
Ja lietojat ciparparaksta metodi, sagatavojiet izmantojamo atslēgu un sertifikātu. Atslēgas un sertifikāta pārvaldīšana un verificēšana
Ja lietojat PFS, pārbaudiet, vai sakaru ierīcē ir iespējots PFS.
|
1
Piesakieties Remote UI (Attālais lietotāja interfeiss) sistēmas administratora režīmā. Remote UI (Attālais interfeiss) startēšana
2
Remote UI (Attālais lietotāja interfeiss) portāla lapā noklikšķiniet uz [Settings/Registration]. Remote UI (Attālais lietotāja interfeiss) portāla lapa
3
Noklikšķiniet uz [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].Tiek parādīts ekrāns [Edit IPSec Settings].
4
Atzīmējiet izvēles rūtiņu [Use IPSec] un noklikšķiniet uz [OK].
Lai saņemtu tikai paketes, kas atbilst politikai, notīriet izvēles rūtiņu [Receive Non-Policy Packets].
5
Noklikšķiniet uz [Register New Policy].
Tiek parādīts ekrāns [Register New IPSec Policy].
6
Sadaļā [Policy Settings] ievadiet politikas nosaukumu un atzīmējiet izvēles rūtiņu [Enable Policy].
Politikas nosaukumam ievadiet nosaukumu politikas identificēšanai, izmantojot viena baita burtciparu rakstzīmes.
7
Sadaļā [Selector Settings] atlasiet selektoru.
[Local Address Settings]
Atlasiet iekārtas IP adreses tipu, kam lietot šo politiku.
Lai lietotu IPSec visiem IP pakešdatiem, atlasiet [All IP Addresses].
Lai lietotu IPSec tiem IP pakešdatiem, kuru sūtīšanai un saņemšanai izmantota IPv4 vai IPv6 adrese, atlasiet [IPv4 Address] vai [IPv6 Address].
[Remote Address Settings]
Atlasiet sakaru ierīces IP adreses tipu, kam šo politiku lietot.
Lai lietotu IPSec visiem IP pakešdatiem, atlasiet [All IP Addresses].
Lai lietotu IPSec tiem IP pakešdatiem, kuru sūtīšanai un saņemšanai izmantota IPv4 vai IPv6 adrese, atlasiet [All IPv4 Addresses] vai [All IPv6 Addresses].
Lai norādītu IPv4 vai IPv6 adresi, kam IPSec lietot, atlasiet [IPv4 Manual Settings] vai [IPv6 Manual Settings].
[Addresses to Set Manually]
Ja ir atlasīts vienums [IPv4 Manual Settings] vai [IPv6 Manual Settings], ievadiet IP adresi. Var arī norādīt IP adrešu diapazonu, izmantojot defisi (-).
Ievades piemērs:
Viena IPv4 adrese
192.168.0.10
192.168.0.10
Viena IPv6 adrese
fe80::10
fe80::10
Diapazona norādīšana
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Ja ir atlasīts vienums [IPv4 Manual Settings], varat izmantot apakštīkla masku, lai norādītu IPv4 adrešu diapazonu.
Ievades piemērs:
255.255.255.240
255.255.255.240
[Prefix Length]
Ja ir atlasīts vienums [IPv6 Manual Settings], var izmantot prefiksa garumu, lai norādītu IPv6 adrešu diapazonu. Ievadiet prefiksa garumu ar diapazonu no 0 līdz 128.
[Port Settings]
Portu, kam tiek izmantota IPSec, iekārtā iestatiet vienumā [Local Port] un sakaru ierīcē iestatiet vienumā [Remote Port].
Lai IPSec lietotu visiem portu numuriem, atlasiet [All Ports].
Lai IPSec lietotu konkrētam protokolam, piemēram, HTTP vai WSD, atlasiet [Single Port] un ievadiet protokola porta numuru.
8
Sadaļā [IKE Settings] iestatiet IKE.
[IKE Mode]
Iekārta atbalsta tikai galveno režīmu.
[Authentication Method]
Atlasiet iekārtas autentifikācijas metodi.
Ja ir atlasīts vienums [Pre-Shared Key Method], noklikšķiniet uz [Shared Key Settings] ievadiet virkni, ko izmantot kā koplietoto atslēgu, izmantojot viena baita burtciparu rakstzīmes noklikšķiniet uz [OK].
ievadiet virkni, ko izmantot kā koplietoto atslēgu, izmantojot viena baita burtciparu rakstzīmes noklikšķiniet uz [OK].Ja ir atlasīts vienums [Digital Signature Method], noklikšķiniet uz [Key and Certificate] [Register Default Key] pa labi no izmantojamās atslēgas un sertifikāta.
[Register Default Key] pa labi no izmantojamās atslēgas un sertifikāta.
[Validity]
Ievadiet IKE SA (ISAKMP SA) derīguma periodu, ko izmantot kā kontroles sakaru ceļu, izteiktu minūtēs.
[Authentication/Encryption Algorithm]
Atlasiet algoritmu, ko izmantot atslēgu apmaiņai.
9
Sadaļā [IPSec Network Settings] konfigurējiet IPSec tīkla iestatījumus.
[Use PFS]
Atzīmējiet izvēles rūtiņu, lai konfigurētu PFS sesijas atslēgai.
[Validity]
Norādiet derīguma periodu attiecībā uz IPSec SA, ko izmantot kā datu sakaru ceļu pēc laika, lieluma vai abiem.
Ja ir atzīmēta izvēles rūtiņa [Specify by Time], ievadiet derīgo periodu, izteiktu minūtēs.
Ja ir atzīmēta izvēles rūtiņa [Specify by Size], ievadiet derīgo periodu, izteiktu megabaitos.
Ja ir atlasīti abi vienumi, tad tiek lietots vienums, kura norādītā vērtība tiek sasniegta pirmā.
[Authentication/Encryption Algorithm]
Atzīmējiet izvēles rūtiņu atbilstoši izmantojamajai IPSec galvenei (ESP un AH) to un tās algoritmam.
[ESP Authentication]
Ja ir atlasīts vienums [ESP], atlasiet autentifikācijas algoritmu. Lai veiktu ESP autentificēšanu, atlasiet [SHA1]. Pretējā gadījumā atlasiet [Do Not Use].
[ESP Encryption]
Ja ir atlasīts vienums [ESP], atlasiet šifrēšanas algoritmu. Ja nevēlaties norādīt algoritmu, atlasiet [NULL]. Lai atspējotu šifrēšanu, atlasiet [Do Not Use].
[Connection Mode]
Iekārta atbalsta tikai transportēšanas režīmu.
10
Noklikšķiniet uz [OK].
Jaunā reģistrētā politika tiek pievienota sadaļai [Registered IPSec Policies] ekrānā [IPSec Settings].
Ja ir reģistrētas vairākas politikas
Noklikšķiniet uz [Up] vai [Down] pa labi no politikas nosaukuma, lai iestatītu prioritāti. Augstāka līmeņa politikām ir prioritāte lietošanai attiecībā uz IPSec sakariem.
11
Restartējiet iekārtu. Iekārtas restartēšana
Iestatījumi stājas spēkā.
|
Reģistrēto politiku rediģēšanaLai rediģētu jau reģistrētu informāciju, noklikšķiniet uz rediģējamā politikas nosaukuma sadaļā [Registered IPSec Policies], ekrānā [IPSec Settings].
|