Uporaba protokola IPSec
S protokolom IPSec (IP Security Protocol) preprečite prisluškovanje in nedovoljeno spreminjanje paketov IP, ki so bili poslani ali prejeti prek omrežja IP. S tem postopkom izvedete šifriranje na ravni protokola IP, da zagotovite varnost brez uporabe aplikacije ali omrežne konfiguracije.
Veljavni pogoji za IPSec in podprti načini
Paketi, kjer IPSec ne velja
Paketi, ki določajo naslov povratne zanke, večvrstnega oddajanja ali oddajanja
Paketi IKE, poslani s protokolom UDP prek vrat 500
Paketi ICMPv6 za spodbujanje sosednjih odjemalcev in oglaševanje
Način delovanja protokola za izmenjavo ključev (način IKE)
Način IKE, ki ga podpira naprava, je samo glavni način, ki je uporabljen za šifriranje paketov. Agresivni način brez šifriranja ni podprt.
Način komunikacije
Način komunikacije, ki ga podpira naprava, je samo način prenosa, s katerim šifrirate le del brez glave IP. Način tunela, s katerim šifrirate celoten paket IP, ni podprt.
Uporaba protokola IPSec s filtriranjem naslovov IP
Najprej so uporabljene nastavitve filtra naslovov IP. Nastavitev požarnega zidu
Konfiguracija pravilnika IPSec
Če želite izvesti komunikacijo IPSec v napravi, morate ustvariti pravilnik IPSec, ki vključuje ustrezen obseg algoritmov za preverjanje pristnosti in šifriranje. Pravilnik vključuje predvsem te elemente.
Izbirnik
Določite pakete IP, za katere želite uporabiti komunikacijo IPSec. Poleg naslova IP naprave in naprav, v katerih se izvaja komunikacija, lahko določite tudi njihove številke vrat.
IKE
Protokol za izmenjavo ključev podpira internetno izmenjavo ključa, različica 1 (IKEv1). Za način preverjanja pristnosti izberite način vnaprejšnje skupne rabe ključa ali način digitalnega podpisa.
Način vnaprejšnje skupne rabe ključa:
ta način preverjanja pristnosti uporablja običajno besedo za ključ, imenovano »Ključ v skupni rabi« za komunikacijo med napravo in drugimi napravami.
ta način preverjanja pristnosti uporablja običajno besedo za ključ, imenovano »Ključ v skupni rabi« za komunikacijo med napravo in drugimi napravami.
Način digitalnega podpisa
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave.
Ta in druge naprave druga drugo overijo tako, da preverijo digitalni podpis druge naprave.
ESP/AH
Določite nastavitve za ESP/AH, ki je protokol, uporabljen za komunikacijo IPSec. ESP in AH lahko uporabljate hkrati. Za še boljšo varnost uporabite nastavitev PFS (Perfect Forward Secrecy).
Nastavitev protokola IPSec
Omogočite uporabo protokola IPSec, nato pa ustvarite in registrirajte pravilnik IPSec. Če je ustvarjenih več pravilnikov, izberite vrstni red, v katerem bodo uporabljeni.
V tem poglavju je opisano, kako konfigurirate nastavitve na portalu Remote UI (Oddaljeni uporabniški vmesnik) v računalniku.
Na nadzorni plošči izberite [Meni] na zaslonu [Domov] in nato izberite [Preference], da konfigurirate nastavitve. Na nadzorni plošči lahko le omogočite ali onemogočite IPSec. [Uporabi IPSec]
Potrebujete skrbniške pravice. Če želite uporabiti nastavitve, morate znova zagnati napravo.
Na nadzorni plošči izberite [Meni] na zaslonu [Domov] in nato izberite [Preference], da konfigurirate nastavitve. Na nadzorni plošči lahko le omogočite ali onemogočite IPSec. [Uporabi IPSec]
Potrebujete skrbniške pravice. Če želite uporabiti nastavitve, morate znova zagnati napravo.
|
Zahtevana priprava
|
|
Povežite napravo z računalnikom prek istega navideznega zasebnega omrežja (VPN), kot ga uporablja naprava. Potrdite pogoje uporabe in vnaprej dokončajte nastavitve v računalniku. IPSec
Izvedite te postopke glede na način preverjanja pristnosti IKE:
Če uporabljate način vnaprejšnje skupne rabe ključa, omogočite TLS za komunikacijo z vmesnikom Remote UI (Oddaljeni uporabniški vmesnik). Uporaba protokola TLS
Če uporabljate način digitalnega podpisa, pripravite ključ in potrdilo, ki ga želite uporabiti. Upravljanje ter preverjanje ključa in potrdila
Če uporabljate PFS, preverite, ali je PFS omogočen v napravi, v kateri se izvaja komunikacija.
|
1
Prijavite se na portal Remote UI (Oddaljeni uporabniški vmesnik) v načinu upravitelja sistema. Zagon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)
2
Na strani portala Remote UI (Oddaljeni uporabniški vmesnik) kliknite [Settings/Registration]. Stran portala na portalu Remote UI (Oddaljeni uporabniški vmesnik)
3
Kliknite [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].Prikaže se zaslon [Edit IPSec Settings].
4
Potrdite polje [Use IPSec] in kliknite [OK].
Če želite prejemati samo pakete, ki ustrezajo zahtevam pravilnika, počistite potrditveno polje [Receive Non-Policy Packets].
5
Kliknite [Register New Policy].
Prikaže se zaslon [Register New IPSec Policy].
6
V razdelek [Policy Settings] vnesite ime pravilnika in potrdite polje [Enable Policy].
Za ime pravilnika vnesite ime za pravilnik z uporabo enobajtnih črkovno-številskih znakov.
7
V razdelku [Selector Settings] nastavite izbirnik.
[Local Address Settings]
Izberite vrsto naslova IP za napravo, za katero želite uporabiti pravilnik.
Če želite IPSec uporabiti za vse pakete IP, izberite [All IP Addresses].
Če želite IPSec uporabiti za pakete IP, prejete in poslane z naslovom IPv4 ali IPv6, izberite [IPv4 Address] ali [IPv6 Address].
[Remote Address Settings]
Izberite vrsto naslova IP za napravo, v kateri se izvaja komunikacija, za katero želite uporabiti pravilnik.
Če želite IPSec uporabiti za vse pakete IP, izberite [All IP Addresses].
Če želite IPSec uporabiti za pakete IP, prejete in poslane z naslovom IPv4 ali IPv6, izberite [All IPv4 Addresses] ali [All IPv6 Addresses].
Če želite določiti naslov IPv4 ali IPv6, za katerega naj bo uporabljen IPSec, izberite [IPv4 Manual Settings] ali [IPv6 Manual Settings].
[Addresses to Set Manually]
Če je izbrana možnost [IPv4 Manual Settings] ali [IPv6 Manual Settings], vnesite naslov IP. Določite lahko tudi obseg naslovov IP z uporabo vezaja (-).
Primer vnosa:
En naslov IPv4
192.168.0.10
192.168.0.10
En naslov IPv6
fe80::10
fe80::10
Specifikacija obsega
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Če je izbrana možnost [IPv4 Manual Settings], lahko uporabite masko podomrežja za določitev obsega naslovov IPv4.
Primer vnosa:
255.255.255.240
255.255.255.240
[Prefix Length]
Če je izbrana možnost [IPv6 Manual Settings], lahko uporabite dolžino predpone za določitev obsega naslovov IPv6. Vnesite dolžino predpone v obsegu od 0 do 128.
[Port Settings]
Nastavite vrata, za katera želite uporabiti IPSec, v razdelku [Local Port] v napravi in razdelku [Remote Port] v napravi, v kateri se izvaja komunikacija.
Če želite IPSec uporabiti za vse številke vrat, izberite [All Ports].
Če želite IPSec uporabiti za določen protokol, kot je HTTP ali WSD, izberite [Single Port] in vnesite številko vrat protokola.
8
V razdelku [IKE Settings] nastavite način IKE.
[IKE Mode]
Naprava podpira samo glavni način.
[Authentication Method]
Izberite način preverjanja pristnosti naprave.
Če je izbrana možnost [Pre-Shared Key Method], kliknite [Shared Key Settings] vnesite niz, ki ga želite uporabiti kot ključ v skupni rabi, z enobajtnimi črkovno-številskimi znaki kliknite [OK].
vnesite niz, ki ga želite uporabiti kot ključ v skupni rabi, z enobajtnimi črkovno-številskimi znaki kliknite [OK].Če je izbrana možnost [Digital Signature Method], kliknite [Key and Certificate] [Register Default Key] na desni strani ključa in potrdila, ki ga želite uporabiti.
[Register Default Key] na desni strani ključa in potrdila, ki ga želite uporabiti.
[Validity]
Vnesite obdobje veljavnosti za IKE SA (ISAKMP SA), ki ga želite uporabiti kot nadzor komunikacijske poti v minutah.
[Authentication/Encryption Algorithm]
Izberite algoritem, ki za želite uporabiti za izmenjavo ključa.
9
V razdelku [IPSec Network Settings] konfigurirajte nastavitve omrežja IPSec.
[Use PFS]
Potrdite polje, da konfigurirate PFS za ključ seje.
[Validity]
Določite obdobje veljavnosti za IPSec SA, ki ga želite uporabiti kot podatkovno komunikacijsko pot glede na čas ali velikost ali oboje.
Če je potrjeno polje [Specify by Time], vnesite obdobje veljavnosti v minutah.
Če je potrjeno polje [Specify by Size], vnesite obdobje veljavnosti v megabajtih.
Če sta potrjeni obe polji, je uporabljena možnost, katere določena vrednost je dosežena prva.
[Authentication/Encryption Algorithm]
Potrdite polje glede na glavo IPSec (ESP in AH), ki jo želite uporabiti, in algoritem.
[ESP Authentication]
Če je izbrana možnost [ESP], izberite algoritem za preverjanje pristnosti. Če želite izvesti preverjanje pristnosti ESP, izberite [SHA1]. V nasprotnem primeru izberite [Do Not Use].
[ESP Encryption]
Če je izbrana možnost [ESP], izberite algoritem za šifriranje. Če ne želite določiti algoritma, izberite [NULL]. Če želite onemogočiti šifriranje, izberite [Do Not Use].
[Connection Mode]
Naprava podpira samo način prenosa.
10
Kliknite [OK].
Novo registriran pravilnik je dodan v razdelek [Registered IPSec Policies] na zaslonu [IPSec Settings].
Če je registriranih več pravilnikov
Kliknite [Up] ali [Down] na desni strani imena pravilnika, da nastavite prednost. Pravilniki višje ravni imajo prednost v komunikaciji IPSec.
11
Znova zaženite napravo. Vnovičen zagon naprave
Nastavitve so uporabljene.
|
Urejanje registriranih pravilnikovČe želite urediti registrirane informacije, kliknite ime pravilnika, ki ga želite urediti, v razdelku [Registered IPSec Policies] na zaslonu [IPSec Settings].
|