IPSeci kasutamine

IP-võrgu kaudu saadetud ja vastuvõetud IP-pakettide pealtkuulamise ja moonutamise vältimiseks kasutage IP-turvaprotokolli (IPSec). Selle puhul toimub krüptimine IP-protokolli tasandil, et tagada turvalisus ilma rakendusele või võrgukonfiguratsioonile tuginemata.
IPSeci kohaldatavad tingimused ja toetatavad režiimid
IPSeci reeglite seadistamine
IPSeci seadistamine

IPSeci kohaldatavad tingimused ja toetatavad režiimid

Paketid, mille puhul IPSec ei kehti
Paketid, mis määravad tagasiside-, multisaate- või leviedastusaadressi
IKE-paketid, mis on saadetud UDP-pordist 500
ICMPv6 naabri taotlemise ja naabri väljakuulutamise paketid
Võtmevahetusprotokolli töörežiim (IKE-režiim)
Seadme toetatav IKE-režiim on ainult põhirežiim, mida kasutatakse pakettide krüptimiseks. Krüptimata agressiivset režiimi ei toetata.
Siderežiim
Seadme toetatav siderežiim on ainult transpordirežiim, mis krüptib ainult ilma IP-päiseta osa. Tunnelirežiimi, mis krüptib kogu IP-paketi, ei toetata.
IPSeci kasutamine koos IP-aadressi filtriga
Esmalt rakendatakse IP-aadressi filtri sätted. Tulemüüri seadistamine

IPSeci reeglite seadistamine

Seadmes IPSec-side kasutamiseks peate looma IPSeci reeglid, mis sisaldavad autentimise ja krüptimise vahemikku ja algoritme. Reeglid koosnevad peamiselt järgmistest punktidest.
Valits
Määrake, milliseid IP-pakette IPSec-side rakendamiseks kasutada. Lisaks printeri ja andmeid edastavate seadmete IP-aadressi määramisele saate määrata ka nende pordinumbrid.
IKE
Võtmevahetusprotokoll toetab Internet Key Exchange’i versiooni 1 (IKEv1). Autentimisviisiks valige eelnevalt jagatud võti või digiallkiri.
Eelnevalt jagatud võtme meetod:
selle autentimisviisi puhul kasutatakse printeri ja teiste seadmete vaheliseks andmevahetuseks tavalist võtmesõna, mida nimetatakse jagatud võtmeks.
Digiallkirja meetod:
printer ja teised seadmed autendivad üksteist, kontrollides vastastikku digiallkirju.
ESP/AH
Määrake IPSec-side jaoks kasutatava ESP/AH-protokolli sätted. Protokolle ESP ja AH saab kasutada korraga. Veelgi suurema turvalisuse tagamiseks kasutage funktsiooni Perfect Forward Secrecy (PFS).

IPSeci seadistamine

Lubage IPSeci kasutamine ning seejärel looge ja registreerige IPSeci reeglid. Kui on loodud mitu reeglit, määrake nende rakendamise järjestus.
Selles jaotises kirjeldatakse, kuidas määrata sätteid arvuti rakendusega Remote UI (Kaugkasutajaliides).
Valige [Menüü] juhtpaneeli kuval [Avamenüü], seejärel valige sätete määramiseks [Eelistused]. Juhtpaneeli saab kasutada ainult IPSeci lubamiseks või keelamiseks. [IPSec-i kasutus]
Vaja on administraatori õigusi. Sätete rakendamiseks tuleb seade taaskäivitada.
Vajalikud ettevalmistused
Ühendage seade otse arvutiga, mis asub seadmega samas virtuaalses privaatvõrgus (VPN). Kinnitage töötingimused ja viige arvuti seadistamine eelnevalt lõpule. IPSec
Vastavalt IKE autentimisviisile pange valmis alljärgnev:
Eelnevalt jagatud võtme kasutamisel lubage TLS andmevahetuseks rakendusega Remote UI (Kaugkasutajaliides). TLS-i kasutamine
Digiallkirja kasutamisel pange valmis kasutatav võti ja sertifikaat. Võtme ja sertifikaadi haldamine ja kontrollimine
PFS-i kasutamisel kontrollige, kas PFS on andmeid edastavas seadmes lubatud.
1
Logige süsteemihaldurirežiimis rakendusse Remote UI (Kaugkasutajaliides). Remote UI (Kaugkasutajaliides) käivitamine
2
Klõpsake Remote UI (Kaugkasutajaliides) portaali lehel [Settings/Registration]. Remote UI (Kaugkasutajaliides) portaalileht
3
Klõpsake [Network Settings] [IPSec Settings] [Edit].
Ilmub kuva [Edit IPSec Settings].
4
Märkige ruut [Use IPSec] ja klõpsake [OK].
Kui soovite vastu võtta ainult reeglile vastavaid pakette, tühjendage märkeruut [Receive Non-Policy Packets].
5
Klõpsake [Register New Policy].
Ilmub kuva [Register New IPSec Policy].
6
Sisestage väljale [Policy Settings] reegli nimi ja märkige ruut [Enable Policy].
Sisestage ühebaidiste tähtede ja numbritega nimi, mida kasutatakse sisselogimisel reeglite tuvastamiseks.
7
Määrake jaotises [Selector Settings] valits.
[Local Address Settings]
Valige selle seadme IP-aadressi tüüp, mille suhtes reegleid rakendatakse.
Valige [All IP Addresses], et kasutada IPSec-protokolli kõikide IP-pakettide korral.
IPSeci rakendamiseks IPv4- või IPv6-aadressiga saadetud ja vastuvõetud IP-pakettidele valige [IPv4 Address] või [IPv6 Address].
[Remote Address Settings]
Valige selle andmeid edastava seadme IP-aadressi tüüp, mille suhtes reegleid rakendatakse.
Valige [All IP Addresses], et kasutada IPSec-protokolli kõikide IP-pakettide korral.
IPSeci rakendamiseks IPv4- või IPv6-aadressiga saadetud ja vastuvõetud IP-pakettidele valige [All IPv4 Addresses] või [All IPv6 Addresses].
IPv4- või IPv6-aadressi määramiseks, millele IPSec rakendatakse, valige [IPv4 Manual Settings] või [IPv6 Manual Settings].
[Addresses to Set Manually]
Kui on valitud [IPv4 Manual Settings] või [IPv6 Manual Settings] sisestage IP-aadress. Samuti võite sidekriipsu (-) abil määrata IP-aadresside vahemiku.
Sisestamise näide:
Üks IPv4-aadress
192.168.0.10
Üks IPv6-aadress
fe80::10
Vahemiku määramine
192.168.0.10-192.168.0.20
[Subnet Settings]
Kui on valitud [IPv4 Manual Settings], saate määrata IPv4-aadresside vahemiku alamvõrgu maski abil.
Sisestamise näide:
255.255.255.240
[Prefix Length]
Kui on valitud [IPv6 Manual Settings], saate määrata IPv6-aadresside vahemiku eesliite pikkuse abil. Sisestage eesliite pikkus vahemikus 0 kuni 128.
[Port Settings]
Määrake port, mille puhul kasutatakse IPSecit, printeris jaotises [Local Port] ja andmeid edastavas seadmes jaotises [Remote Port].
IPSeci rakendamiseks kõikidele pordinumbritele valige [All Ports].
IPSeci rakendamiseks kindlale protokollile, nagu HTTP või WSD, valige [Single Port] ja sisestage protokolli pordinumber.
8
Määrake jaotises [IKE Settings] IKE.
[IKE Mode]
Seade toetab ainult põhirežiimi.
[Authentication Method]
Valige seadme autentimisviis.
Kui on valitud [Pre-Shared Key Method], klõpsake [Shared Key Settings] sisestage ühebaidiste tähtede ja numbritega string, mida kasutada jagatud võtmena klõpsake [OK].
Kui on valitud [Digital Signature Method], klõpsake kasutatavast võtmest ja sertifikaadist paremal [Key and Certificate] [Register Default Key].
[Validity]
Sisestage IKE SA (ISAKMP SA) kehtiv periood minutites, mida kasutatakse juhtimisside teena.
[Authentication/Encryption Algorithm]
Valige algoritm, mida kasutatakse võtme vahetamiseks.
9
Määrake jaotises [IPSec Network Settings] IPSeci võrgusätted.
[Use PFS]
Märkige see ruut, kui soovite seadistada seansivõtme jaoks PFS-i.
[Validity]
Määrake andmesideteena kasutamiseks IPSec SA kehtiv periood aja, suuruse või mõlema järgi.
Kui on märgitud ruut [Specify by Time], sisestage sobiv periood minutites.
Kui on märgitud ruut [Specify by Size], sisestage sobiv periood megabaitides.
Kui valitud on mõlemad, rakendatakse kirjet, mille määratud väärtus saavutatakse esimesena.
[Authentication/Encryption Algorithm]
Märkige see ruut vastavalt kasutatavale IPSeci päisele (ESP ja AH) ja selle algoritmile.
[ESP Authentication]
Kui on valitud [ESP], valige autentimisalgoritm. ESP-autentimiseks valige [SHA1]. Muul juhul valige [Do Not Use].
[ESP Encryption]
Kui on valitud [ESP], valige krüptimisalgoritm. Kui te ei soovi algoritmi määrata, valige [NULL]. Krüptimise keelamiseks valige [Do Not Use].
[Connection Mode]
Seade toetab ainult transpordirežiimi.
10
Klõpsake [OK].
Äsja registreeritud reeglid lisatakse jaotisse [Registered IPSec Policies] kuval [IPSec Settings].
Kui registreeritud on mitmed reeglid
Prioriteedi seadmiseks klõpsake reegli nimest paremal [Up] või [Down]. Kõrgema taseme reeglid on IPSec-side rakendamisel prioriteetsed.
11
Taaskäivitage seade. Seadme taaskäivitamine
Sätted rakendatakse.
Registreeritud reeglite muutmine
Registreeritud teabe muutmiseks klõpsake jaotises [Registered IPSec Policies] kuval [IPSec Settings] reeglite nime, mida soovite muuta.
9C52-083