שימוש ב-IPSec
השתמש ב-IP Security Protocol (IPSec) כדי למנוע ציתות ושיבוש של מנות IP שנשלחו והתקבלו ברשת IP. זה מבצע הצפנה ברמת פרוטוקול IP כדי להבטיח אבטחה מבלי להסתמך על יישום או תצורת רשת.
תנאים רלוונטיים ל-PSec ומצבים נתמכים
מנות שבהן IPSec אינו חל
מנות המציינות כתובת לולאה, שידור מרובה או שידור
מנות IKE שנשלחו מיציאת UDP 500
מנות ICMPv6 Neighbor Solicitation ו- Neighbor Advertising
מצב פעולה של פרוטוקול החלפת מפתחות (מצב IKE)
מצב IKE הנתמך על ידי המכונה הוא רק המצב הראשי המשמש להצפנת מנות. אין תמיכה במצב אגרסיבי ללא הצפנה.
מצב תקשורת
מצב התקשורת הנתמך על ידי המכונה הוא רק מצב התחבורה, שמצפין רק את החלק שאינו כולל את כותרת ה-IP. מצב מנהרה, שמצפין את כל חבילת ה-IP, אינו נתמך.
שימוש ב-IPSec יחד עם מסנן כתובות IP
הגדרות מסנן כתובת ה-IP מוחלות תחילה. הגדרת חומת האש
תצורת מדיניות IPSec
כדי לבצע תקשורת IPSec במכשיר, עליך ליצור מדיניות IPSec הכוללת את הטווח והאלגוריתמים הרלוונטיים לאימות והצפנה. המדיניוצ מורכבת בעיקר מהסעיפים הבאים.
בורר
ציין אילו מנות IP להחיל תקשורת IPSec. בנוסף לציון כתובת ה-IP של המכשיר ומכשירי התקשורת, ניתן גם לציין את מספרי היציאה שלהם.
IKE
פרוטוקול חילופי המפתחות תומך ב-Internet Key Exchange גרסה 1 (IKEv1). עבור שיטת האימות, בחר בשיטת המפתח המשותף מראש או בשיטת החתימה הדיגיטלית.
Pre-shared Key Method:
שיטת אימות זאת משתמשת במילת מפתח משותפת, הנקראת מפתח משותף, לתקשורת בין המכשיר והתקנים אחרים.
שיטת אימות זאת משתמשת במילת מפתח משותפת, הנקראת מפתח משותף, לתקשורת בין המכשיר והתקנים אחרים.
שיטת חתימה דיגיטלית
המכשיר וההתקנים האחרים מאמתים זה את זה על ידי אימות הדדי של החתימות הדיגיטליות שלהם.
המכשיר וההתקנים האחרים מאמתים זה את זה על ידי אימות הדדי של החתימות הדיגיטליות שלהם.
ESP/AH
ציין את ההגדרות עבור ESP/AH, שהוא הפרוטוקול המשמש לתקשורת IPSec. לא ניתן להשתמש ב-ESP וב-AH בו-זמנית. השתמש ב-Perfect Forward Secrecy (PFS) לאבטחה עוד יותר.
הגדרת IPSec
אפשר את השימוש ב-IPSec, ולאחר מכן צור ורשום את מדיניות IPSec. לאחר רישום רכיבי המדיניות, ציין את הסדר שבו הן יופעלו.
סעיף זה מתאר כיצד להגדיר את ההגדרות באמצעות Remote UI (ממשק משתמש מרוחק) במחשב.
בלוח הבקרה, בחר [Menu] במסך [Home], ולאחר מכן בחר [Preferences] כדי להגדיר את ההגדרות. עם זאת, ניתן להשתמש בלוח הבקרה רק כדי להפעיל או להשבית את IPSec. [Use IPSec]
נדרשות הרשאות מנהל. יש להפעיל מחדש את המכשיר כדי להחיל את ההגדרות.
בלוח הבקרה, בחר [Menu] במסך [Home], ולאחר מכן בחר [Preferences] כדי להגדיר את ההגדרות. עם זאת, ניתן להשתמש בלוח הבקרה רק כדי להפעיל או להשבית את IPSec. [Use IPSec]
נדרשות הרשאות מנהל. יש להפעיל מחדש את המכשיר כדי להחיל את ההגדרות.
|
הכנות דרושות
|
|
חבר את המכונה ישירות למחשב באותה רשת וירטואלית פרטית (VPN) כמו המכונה. אשר את תנאי הפעולה, וסיים את ההגדרות במחשב מראש. IPSec
הכן את הדברים הבאים לפי שיטת האימות של IKE:
בעת שימוש בשיטת המפתח המשותף מראש, הפעל TLS עבור תקשורת ממשק משתמש מרחוק. שימוש ב-TLS
בעת שימוש בשיטת החתימה הדיגיטלית, הכן את המפתח והאישור לשימוש. ניהול ואימות מפתח ואישור
בעת שימוש ב-PFS, בדוק ש-PFS מופעל במכשיר המתקשר.
|
1
היכנס לממשק המשתמש המרוחק במצב מנהל מערכת. הפעלת Remote UI (ממשק משתמש מרוחק)
2
בעמוד הפורטל של ממשק משתמש מרוחק, לחץ על [Settings/Registration]. דף פורטל של ממשק משתמש מרוחק
3
לחץ על [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].מסך [Edit IPSec Settings] מוצג.
4
בחר את תיבת הסימון [Use IPSec], ולחץ על [OK].
כדי לקבל רק מנות העומדות במדיניות, נקה את ה [Receive Non-Policy Packets] תיבת הסימון.
5
לחץ על [Register New Policy].
מסך [Register New IPSec Policy] מוצג.
6
ב[Policy Settings], הזן את שם המדיניות ובחר את [Enable Policy] תיבת הסימון.
עבור שם המדיניות, הזן שם לזיהוי המדיניות, באמצעות תווים אלפאנומריים של בייט בודד.
7
ב [Selector Settings], הגדר את הבורר.
[Local Address Settings]
בחר את סוג כתובת ה-IP של המחשב שעליו חלה המדיניות.
כדי להחיל IPSec על כל מנות ה-IP, בחר כל כתובות ה-IP [All IP Addresses].
כדי להחיל IPSec על מנות IP שנשלחו והתקבלו באמצעות כתובת IPv4 או IPv6, בחר [IPv4 Address] או [IPv6 Address].
[Remote Address Settings]
בחר את סוג כתובת ה-IP של מכשיר התקשורת שעליו חלה המדיניות.
כדי להחיל IPSec על כל מנות ה-IP, בחר כל כתובות ה-IP [All IP Addresses].
כדי להחיל IPSec על מנות IP שנשלחו והתקבלו באמצעות כתובת IPv4 או IPv6, בחר [All IPv4 Addresses] או [All IPv6 Addresses].
כדי לציין כתובת IPv4 או IPv6 שעליה מוחל IPSec, בחר [IPv4 Manual Settings] או [IPv6 Manual Settings].
[Addresses to Set Manually]
כאשר [IPv4 Manual Settings] או [IPv6 Manual Settings]נבחר, הזן את כתובת ה-IP. ניתן גם לציין טווח של כתובות IP באמצעות מקף (-).
דוגמה להזנה:
כתובת IPv4 אחת
192.168.0.10
192.168.0.10
כתובת IPv6 אחת
fe80::10
fe80::10
מפרט טווח
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
כאשר [IPv4 Manual Settings] נבחר, תוכל להשתמש במסכת רשת משנה כדי לציין את טווח כתובות ה-IPv4.
דוגמה להזנה:
255.255.255.240
255.255.255.240
[Prefix Length]
כאשר [IPv6 Manual Settings] נבחר, תוכל להשתמש במסכת רשת משנה כדי לציין את טווח כתובות ה-IPv6. הזן את אורך הקידומת בטווח של 0 עד 128.
[Port Settings]
הגדר את היציאה אליה מוחל IPSec[Local Port] על המכשיר ו [Remote Port] בהתקן המתקשר.
כדי להחיל IPSec על כל מספרי היציאות, בחר [All Ports].
כדי להחיל IPSec על פרוטוקול ספציפי כגון HTTP או WSD, בחר [Single Port], והזן את מספר היציאה של הפרוטוקול.
8
ב[IKE Settings], הגדר IKE.
[IKE Mode]
המכונה תומכת רק במצב הראשי.
[Authentication Method]
הגדר את שיטות האימות עבור המכשיר.
כאשר[Pre-Shared Key Method]נבחר, לחץ [Shared Key Settings] הזן את המחרוזת שתשמש כמפתח המשותף באמצעות תווים אלפאנומריים של בייט בודד לחץ [OK].
הזן את המחרוזת שתשמש כמפתח המשותף באמצעות תווים אלפאנומריים של בייט בודד לחץ [OK].כאשר[Digital Signature Method]נבחר, לחץ [Key and Certificate] [Register Default Key] מימין למפתח ולאישור לשימוש.
[Register Default Key] מימין למפתח ולאישור לשימוש.
[Validity]
הזן את התקופה התקפה של IKE SA (ISAKMP SA) לשימוש כנתיב תקשורת הבקרה בדקות.
[Authentication/Encryption Algorithm]
בחר את אלגוריתם הגיבוב לשימוש להחלפת מפתחות.
9
ב [IPSec Network Settings], הגדר את הגדרות הרשת של IPSec.
[Use PFS]
בחר בתיבת סימון זו כדי להגדיר PFS עבור מפתח ההפעלה.
[Validity]
ציין את התקופה התקפה של IPSec SA לשימוש כנתיב תקשורת הנתונים לפי זמן, גודל או שניהם.
כאשר ה [Specify by Time]תיבת הסימון מסומנת, הזן את התקופה התקפה בדקות.
כאשר ה [Specify by Size]תיבת הסימון מסומנת, הזן את התקופה התקפה במגה בייט.
כאשר שניהם נבחרים, הפריט שהערך שצוין הגיע ראשון יוחל.
[Authentication/Encryption Algorithm]
בחר בתיבת סימון זו בהתאם לכותרת IPSec (ESP ו-AH) שבה יש להשתמש והאלגוריתם שלה.
[ESP Authentication]
כאשר [ESP] נבחר, בחר את אלגוריתם האימות. לביצוע אימות ESP, בחר [SHA1]. אחרת, בחר [Do Not Use].
[ESP Encryption]
כאשר [ESP] נבחר, בחר את אלגוריתם ההצפנה. אם אין צורך לציין את האלוגריתם, בחר [NULL]. כדי להשבית את ההצפנה, בחר [Do Not Use].
[Connection Mode]
המכשיר תומך רק במצב הראשי.
10
לחץ על [OK].
המדיניות הרשומה החדשה מתווספת אל [Registered IPSec Policies] על [IPSec Settings] המסך.
כאשר נרשמות מספר מדיניות.
לחץ [Up] או [Down] מימין לשם המדיניות כדי לקבוע את העדיפות. למדיניות ברמה גבוהה יותר יש עדיפות ביישום לתקשורת IPSec.
11
הפעל את המכשיר מחדש. הפעלת המכשיר מחדש
ההגדרות מוחלות.
|
עריכת מדיניותכדי לערוך את המידע הרשום, לחץ על מזהה המדיניות שברצונך לערוך ב-[Registered IPSec Policies] על ה [IPSec Settings] מסך.
|