Utilizarea IPSec
Utilizați IP Security Protocol (IPSec) pentru a preveni interceptarea și modificarea neautorizată a pachetelor IP trimise și primite prin intermediul unei rețele IP. Astfel, pentru a asigura securitatea se efectuează criptarea la nivelul protocolului IP, fără a mai utiliza aplicații sau configurații de rețea.
Condiții aplicabile și moduri acceptate de IPSec
Pachete la care IPSec nu se aplică
Pachete care specifică o adresă de loopback, cu difuzare sau difuzare multiplă
Pachete IKE trimise de la portul UDP 500
Pachete ICMPv6 Neighbor Solicitation și Neighbor Advertisement
Mod de operare al protocolului de schimb de chei (modul IKE)
Modul IKE acceptat de aparat este numai modul principal utilizat pentru criptarea pachetelor. Modul agresiv non-criptare nu este utilizat.
Modul de comunicație
Modul de comunicație acceptat de aparat este numai modul de transport, care criptează numai partea care exclude antetul IP. Modul tunel, care criptează întregul pachet IP, nu este acceptat.
Utilizarea IPSec în paralel cu filtrarea adresei IP
Setările filtrului adresei IP sunt aplicate primele. Configurarea firewallului
Configurarea politicii IPSec
Pentru a efectua comunicația IPSec la aparat, trebuie să creați o politică IPSec care include intervalul aplicabil și algoritmii pentru autentificare și criptare. Politica este formată în principal din următoarele elemente.
Selector
Specifică pachetele IP la care se va utiliza comunicația IPSec. În afară de specificarea adresei IP a aparatului și a dispozitivelor de comunicații, puteți specifica și numerele de porturi ale acestora.
IKE
Protocolul de schimb de chei acceptă Internet Key Exchange versiunea 1 (IKEv1). Pentru metoda de autentificare, selectați metoda cu cheie prepartajată sau metoda de semnătură digitală.
Metoda cu cheie prepartajată:
Această metodă de autentificare utilizează un cuvânt cheie comun, denumit cheie partajată, pentru comunicația între aparat și alte dispozitive.
Această metodă de autentificare utilizează un cuvânt cheie comun, denumit cheie partajată, pentru comunicația între aparat și alte dispozitive.
Metoda semnăturii digitale
Aparatul și alte dispozitive se autentifică unele pe altele verificându-și reciproc semnătura digitală.
Aparatul și alte dispozitive se autentifică unele pe altele verificându-și reciproc semnătura digitală.
ESP/AH
Specificați setările pentru ESP/AH protocolul utilizat pentru comunicația IPSec. ESP și AH pot fi folosite în același timp. Utilizați Perfect Forward Secrecy (PFS) pentru un plus de securitate.
Setarea IPSec
Activați utilizarea IPSec, apoi creați și înregistrați politica IPSec. Dacă au fost create mai multe politici, specificați ordinea de aplicare a acestora.
În această secțiune este descris modul de configurare a setărilor folosind Remote UI (IU la distanță) de la un computer.
În panoul de control, selectați [Meniu] pe ecranul [Pornire], apoi selectați [Preferinţe] pentru a configura setările. Totuși, panoul de control poate fi utilizat numai pentru activarea sau dezactivarea IPSec. [Utilizare IPSec]
Sunt necesare privilegii de administrator. Aparatul trebuie repornit pentru aplicarea setărilor.
În panoul de control, selectați [Meniu] pe ecranul [Pornire], apoi selectați [Preferinţe] pentru a configura setările. Totuși, panoul de control poate fi utilizat numai pentru activarea sau dezactivarea IPSec. [Utilizare IPSec]
Sunt necesare privilegii de administrator. Aparatul trebuie repornit pentru aplicarea setărilor.
|
Pregătiri necesare
|
|
Conectați aparatul direct la un computer din aceeași rețea privată virtuală (VPN) cu aparatul. Confirmați condițiile de operare și finalizați setările la computer în prealabil. IPSec
Pregătiți următoarele în funcție de metodă de autentificare IKE:
Când utilizați metoda cu cheie prepartajată, activați TLS pentru comunicația prin Remote UI (IU la distanță). Utilizarea TLS
Când utilizați metoda cu semnătură digitală, pregătiți cheia și certificatul care se va utiliza. Gestionarea și verificarea cheii și a certificatului
Când utilizați PFS, verificați dacă PFS este activat la dispozitivul care comunică.
|
1
Conectați-vă la Remote UI (IU la distanță) în modul Administrator sistem. Pornirea caracteristicii Remote UI (IU la distanță)
2
În pagina portalului IU la distanță, faceți clic pe [Settings/Registration]. Pagina portalului pentru Remote UI (IU la distanță)
3
Faceți clic pe [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].Se afișează ecranul [Edit IPSec Settings].
4
Bifați caseta de selectare [Use IPSec] și faceți clic pe [OK].
Pentru a primi numai pachete care respectă politica, debifați caseta de selecta [Receive Non-Policy Packets].
5
Faceți clic pe [Register New Policy].
Se afișează ecranul [Register New IPSec Policy].
6
În [Policy Settings], introduceți numele politicii și bifați caseta de selectare [Enable Policy].
Pentru numele politicii, introduceți un nume care să identifice politica, folosind caractere alfanumerice de un octet.
7
În [Selector Settings], setați selectorul.
[Local Address Settings]
Selectați tipul de adresă IP a aparatului căruia i se aplică politica.
Pentru a aplica IPSec tuturor pachetelor IP, selectați [All IP Addresses].
Pentru a aplica IPSec pachetelor IP trimise și recepționate folosind o adresă IPv4 sau IPv6, selectați [IPv4 Address] sau [IPv6 Address].
[Remote Address Settings]
Selectați tipul de adresă IP a dispozitivului comunicant căruia i se aplică politica.
Pentru a aplica IPSec tuturor pachetelor IP, selectați [All IP Addresses].
Pentru a aplica IPSec pachetelor IP trimise și recepționate folosind o adresă IPv4 sau IPv6, selectați [All IPv4 Addresses] sau [All IPv6 Addresses].
Pentru a specifica o adresă IPv4 sau IPv6 căreia i se aplică IPSec, selectați [IPv4 Manual Settings] sau [IPv6 Manual Settings].
[Addresses to Set Manually]
Când s-a selectat [IPv4 Manual Settings] sau [IPv6 Manual Settings], introduceți adresa IP. Puteți specifica un interval de adrese IP și prin utilizarea unei cratime (-).
Exemplu de introducere a datelor:
O adresă IPv4
192.168.0.10
192.168.0.10
O adresă IPv6
fe80::10
fe80::10
Specificarea intervalului
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Când se selectează [IPv4 Manual Settings], puteți utiliza o mască de subrețea pentru a specifica intervalul de adrese IPv4.
Exemplu de introducere a datelor:
255.255.255.240
255.255.255.240
[Prefix Length]
Când se selectează [IPv6 Manual Settings], puteți utiliza o lungime de prefix pentru a specifica intervalul de adrese IPv6. Introduceți lungimea prefixului, într-un interval cuprins între 0 și 128.
[Port Settings]
Setați portul căruia i se aplică IPSec în [Local Port] la aparat și [Remote Port] la dispozitivul comunicant.
Pentru a aplica IPSec tuturor numerelor de port, selectați [All Ports].
Pentru a aplica IPSec unui anumit protocol, precum HTTP sau WSD, selectați [Single Port] și introduceți numărul de port al protocolului.
8
În [IKE Settings], setați IKE.
[IKE Mode]
Aparatul acceptă numai modul principal.
[Authentication Method]
Selectați metoda de autentificare a aparatului.
Când se selectează [Pre-Shared Key Method], faceți clic pe [Shared Key Settings] introduceți șirul care se va utiliza drept cheie partajată, folosind caractere alfanumerice de un octet faceți clic pe [OK].
introduceți șirul care se va utiliza drept cheie partajată, folosind caractere alfanumerice de un octet faceți clic pe [OK].Când se selectează [Digital Signature Method], faceți clic pe [Key and Certificate] [Register Default Key] în partea dreaptă a cheii și certificatului care se utilizează.
[Register Default Key] în partea dreaptă a cheii și certificatului care se utilizează.
[Validity]
Introduceți perioada validă de utilizare a IKE SA (ISAKMP SA) drept cale de comunicații de control, în minute.
[Authentication/Encryption Algorithm]
Selectați algoritmul de utilizat pentru schimbul de chei.
9
În [IPSec Network Settings], configurați setările de rețea IPSec.
[Use PFS]
Bifați această casetă de selectare pentru a configura PFS pentru cheia de sesiune.
[Validity]
Specificați perioada de validitate a utilizării IPSec SA drept cale de comunicație de date, în funcție de timp, de dimensiune sau de ambele.
Când este bifată caseta de selectare [Specify by Time], introduceți perioada validă, în minute.
Când este bifată caseta de selectare [Specify by Size], introduceți perioada validă, în megaocteți.
Când ambele opțiuni sunt selectate, se aplică elementul a cărui valoare este atinsă prima.
[Authentication/Encryption Algorithm]
Bifați această casetă de selectare în funcție de antetul IPSec (ESP și AH) care se vor utiliza și algoritmul acestuia.
[ESP Authentication]
Când se selectează [ESP], selectați algoritmul de autentificare. Pentru a efectua autentificarea ESP, selectați [SHA1]. În rest, selectați [Do Not Use].
[ESP Encryption]
Când se selectează [ESP], selectați algoritmul de criptare. Dacă nu doriți să specificați algoritmul, selectați [NULL]. Pentru a dezactiva criptarea, selectați [Do Not Use].
[Connection Mode]
Aparatul acceptă numai modul transport.
10
Faceți clic pe [OK].
Politica recent înregistrată este adăugată la [Registered IPSec Policies] pe ecranul [IPSec Settings].
Când sunt înregistrate mai multe politici
Faceți clic pe [Up] sau pe [Down] la dreapta numelui de politică, pentru a seta prioritatea. Politicile de nivel mai ridicat au prioritate la aplicarea în comunicațiile IPSec.
11
Reporniți aparatul. Repornirea aparatului
Setările sunt aplicate.
|
Editarea politicilor înregistratePentru a edita informațiile înregistrate, faceți clic pe numele de politică pe care doriți să îl editați în [Registered IPSec Policies] de pe ecranul [IPSec Settings].
|