Verwenden von IPSec

Verwenden Sie das IP-Sicherheitsprotokoll (IPSec), um das Abhören und Manipulieren von IP-Paketen zu verhindern, die über ein IP-Netzwerk gesendet und empfangen werden. Die Verschlüsselung erfolgt auf der Ebene des IP-Protokolls, um die Sicherheit zu gewährleisten, ohne sich auf eine Anwendung oder eine Netzwerkkonfiguration verlassen zu müssen.

Anwendbare Bedingungen und unterstützte Modi von IPSec

Pakete, für die IPSec nicht gilt
Pakete, die eine Loopback-, Multicast- oder Broadcast-Adresse angeben
IKE-Pakete, die von UDP-Port 500 gesendet werden
ICMPv6-Pakete Neighbor Solicitation und Neighbor Advertisement
Betriebsmodus des Schlüsselaustauschprotokolls (IKE-Modus)
Der vom Gerät unterstützte IKE-Modus ist nur der Hauptmodus, der zur Verschlüsselung von Paketen verwendet wird. Der nicht-verschlüsselnde aggressive Modus wird nicht unterstützt.
Kommunikationsmodus
Der vom Gerät unterstützte Kommunikationsmodus ist nur der Transportmodus, bei dem nur der Teil ohne den IP-Header verschlüsselt wird. Der Tunnelmodus, der das gesamte IP-Paket verschlüsselt, wird nicht unterstützt.
Verwenden von IPSec zusammen mit IP-Adressfilterung
Die IP-Adressfiltereinstellungen werden zuerst angewendet. Einstellen der Firewall

IPSec-Richtlinienkonfiguration

Um eine IPSec-Kommunikation auf dem Gerät durchzuführen, müssen Sie eine IPSec-Richtlinie erstellen, die den anwendbaren Bereich und die Algorithmen für die Authentifizierung und Verschlüsselung enthält. Die Richtlinie besteht hauptsächlich aus den folgenden Elementen.
Selektor
Geben Sie an, bei welchen IP-Paketen die IPSec-Kommunikation angewendet werden soll. Zusätzlich zur Angabe der IP-Adresse des Geräts und der kommunizierenden Geräte können Sie auch deren Portnummern angeben.
IKE
Das Schlüsselaustauschprotokoll unterstützt IKEv1 (Internetschlüsselaustausch, Version 1). Wählen Sie für die Authentifizierungsmethode die Pre-Shared Key-Methode (vorher vereinbarter Schlüssel) oder die Digitalsignatur-Methode.
Pre-Shared-Key-Methode:
Diese Authentifizierungsmethode verwendet ein gemeinsames Schlüsselwort, den so genannten Shared Key, für die Kommunikation zwischen diesem Gerät und anderen Geräten.
Digitalsignatur-Methode:
Das Gerät und die anderen Geräte authentifizieren sich gegenseitig, indem sie ihre digitalen Signaturen verifizieren.
ESP/AH
Legen Sie die Einstellungen für ESP/AH fest, bei dem es sich um das für die IPSec-Kommunikation verwendete Protokoll handelt. ESP und AH können gleichzeitig verwendet werden. Verwenden Sie PFS (Perfect Forward Secrecy) für noch mehr Sicherheit.

Einrichten von IPSec

Aktivieren Sie die Verwendung von IPSec, und erstellen sowie registrieren Sie dann die IPSec-Richtlinie. Wenn mehrere Richtlinien erstellt wurden, geben Sie die Reihenfolge an, in der sie angewendet werden sollen.
In diesem Abschnitt wird beschrieben, wie Sie die Einstellungen über Remote UI von einem Computer aus konfigurieren.
Wählen Sie über das Bedienfeld auf dem Bildschirm [Startseite] die Option [Menü], und wählen Sie dann [Präferenzen], um die Einstellungen zu konfigurieren. Allerdings kann das Bedienfeld nur zum Aktivieren oder Deaktivieren von IPSec verwendet werden. [IPSec verwenden]
Es sind Administratorrechte erforderlich. Das Gerät muss neu gestartet werden, um die Einstellungen zu übernehmen.
Erforderliche Vorbereitungen
Schließen Sie das Gerät direkt an einen Computer an, der sich im selben virtuellen privaten Netzwerk (VPN) wie das Gerät befindet. Überprüfen Sie die Betriebsbedingungen, und schließen Sie zunächst die Einstellungen auf dem Computer ab. IPSec
Bereiten Sie gemäß der IKE-Authentifizierungsmethode folgendes vor:
Wenn Sie die Pre-Shared-Key-Methode verwenden, aktivieren Sie TLS für die Remote UI-Kommunikation. Verwenden von TLS
Wenn Sie die Digitalsignatur-Methode verwenden, bereiten Sie den zu verwendenden Schlüssel und das Zertifikat vor. Verwalten und Verifizieren von Schlüssel und Zertifikat
Wenn Sie PFS verwenden, stellen Sie sicher, dass PFS auf dem kommunizierenden Gerät aktiviert ist.
1
Melden Sie sich bei Remote UI im Systemmanager-Modus an. Starten von Remote UI
2
Klicken Sie auf der Portalseite von Remote UI auf [Einstellungen/Registrierung]. Portalseite von Remote UI
3
Klicken Sie auf [Netzwerkeinstellungen] [IPSec-Einstellungen] [Bearbeiten].
Der Bildschirm [IPSec-Einstellungen bearbeiten] wird angezeigt.
4
Aktivieren Sie das Kontrollkästchen [IPSec verwenden], und klicken Sie auf [OK].
Um nur Pakete zu empfangen, die der Richtlinie entsprechen, deaktivieren Sie das Kontrollkästchen [Empf. von Pak. ohne Richtlinie].
5
Klicken Sie auf [Neue Richtlinie speichern].
Der Bildschirm [Neue IPSec-Richtlinie speichern] wird angezeigt.
6
Geben Sie unter [Einstellungen Richtlinie] den Richtliniennamen ein, und aktivieren Sie das Kontrollkästchen [Richtlinie aktivieren].
Geben Sie als Richtliniennamen einen Namen in alphanumerischen Einzelbyte-Zeichen ein, der die Richtlinie identifiziert.
7
Stellen Sie unter [Einstellungen Auswahlvorrichtung] den Selektor ein.
[Einstellungen lokale Adresse]
Wählen Sie den Typ der IP-Adresse des Geräts, auf das die Richtlinie angewendet wird.
Um IPSec auf alle IP-Pakete anzuwenden, wählen Sie [Alle IP-Adressen].
Um IPSec auf IP-Pakete anzuwenden, die über eine IPv4- oder IPv6-Adresse gesendet und empfangen werden, wählen Sie [IPv4-Adresse] oder [IPv6-Adresse].
[Einstellungen Remote-Adresse]
Wählen Sie den Typ der IP-Adresse des kommunizierenden Geräts, auf das die Richtlinie angewendet wird.
Um IPSec auf alle IP-Pakete anzuwenden, wählen Sie [Alle IP-Adressen].
Um IPSec auf IP-Pakete anzuwenden, die über eine IPv4- oder IPv6-Adresse gesendet und empfangen werden, wählen Sie [Alle IPv4-Adressen] oder [Alle IPv6-Adressen].
Um eine IPv4- oder IPv6-Adresse anzugeben, auf die IPSec angewendet wird, wählen Sie [Manuelle Einstellungen IPv4] oder [Manuelle Einstellungen IPv6].
[Adressen, die manuell eingestellt werden]
Wenn [Manuelle Einstellungen IPv4] oder [Manuelle Einstellungen IPv6] ausgewählt ist, geben Sie die IP-Adresse ein. Sie können auch einen Bereich von IP-Adressen angeben, indem Sie einen Bindestrich (-) verwenden.
Beispiel für eine Eingabe:
Eine IPv4-Adresse
192.168.0.10
Eine IPv6-Adresse
fe80::10
Bereichsangabe
192.168.0.10-192.168.0.20
[Einstellungen Subnetz]
Wenn [Manuelle Einstellungen IPv4] ausgewählt ist, können Sie eine Subnetzmaske verwenden, um den Bereich der IPv4-Adressen anzugeben.
Beispiel für eine Eingabe:
255.255.255.240
[Präfixlänge]
Wenn [Manuelle Einstellungen IPv6] ausgewählt ist, können Sie eine Präfixlänge verwenden, um den Bereich der IPv6-Adressen anzugeben. Geben Sie die Präfixlänge in einem Bereich von 0 bis 128 ein.
[Einstellungen Port]
Stellen Sie den Port, auf den IPSec angewendet wird, unter [Lokaler Port] auf dem Gerät und unter [Remote-Port] auf dem kommunizierenden Gerät ein.
Um IPSec auf alle Portnummern anzuwenden, wählen Sie [Alle Ports].
Um IPSec auf ein bestimmtes Protokoll wie HTTP oder WSD anzuwenden, wählen Sie [Einzelner Port], und geben Sie die Portnummer des Protokolls ein.
8
Stellen Sie IKE unter [IKE-Einstellungen] ein.
[IKE-Modus]
Das Gerät unterstützt nur den Hauptmodus.
[Authentisierungsmethode]
Wählen Sie die Authentifizierungsmethode für das Gerät.
Wenn [Methode Pre-Shared Key] ausgewählt ist, klicken Sie auf [Einstellungen Gemeinsamer Schlüssel] geben Sie die Zeichenfolge zur Verwendung als gemeinsamen Schlüssel in alphanumerischen Einzelbyte-Zeichen ein klicken Sie auf [OK].
Wenn [Methode digitale Signatur] ausgewählt ist, klicken Sie auf [Schlüssel und Zertifikat] [Standardschlüssel registrieren] rechts neben dem zu verwendenden Schlüssel und Zertifikat.
[Gültigkeit]
Geben Sie die Gültigkeitsdauer für IKE SA (ISAKMP SA), die als Kontrollkommunikationspfad verwendet werden soll, in Minuten ein.
[Algorith. Authent./Verschlüss.]
Wählen Sie den für den Schlüsselaustausch zu verwendenden Algorithmus.
9
Konfigurieren Sie unter [Einstellungen IPSec-Netzwerk] die IPSec-Netzwerkeinstellungen.
[PFS verwenden]
Aktivieren Sie dieses Kontrollkästchen, um PFS für den Sitzungsschlüssel zu konfigurieren.
[Gültigkeit]
Geben Sie die Gültigkeitsdauer der IPSec SA an, die als Datenkommunikationspfad verwendet werden soll, und zwar nach Zeit, Größe oder beidem.
Wenn das Kontrollkästchen [Durch Zeit definieren] aktiviert ist, geben Sie die Gültigkeitsdauer in Minuten ein.
Wenn das Kontrollkästchen [Durch Format definieren] aktiviert ist, geben Sie die Gültigkeitsdauer in Megabyte ein.
Wenn beide aktiviert sind, wird das Element, dessen festgelegter Wert zuerst erreicht wird, angewendet.
[Algorith. Authent./Verschlüss.]
Aktivieren Sie dieses Kontrollkästchen je nach dem zu verwendenden IPSec-Header (ESP und AH) und dessen Algorithmus.
[ESP-Authentisierung]
Wenn [ESP] ausgewählt ist, wählen Sie den Authentifizierungsalgorithmus. Um eine ESP-Authentifizierung durchzuführen, wählen Sie [SHA1]. Andernfalls wählen Sie [Nicht verwenden].
[ESP-Verschlüss.]
Wenn [ESP] ausgewählt ist, wählen Sie den Verschlüsselungsalgorithmus. Wenn Sie den Algorithmus nicht angeben möchten, wählen Sie [NULL]. Um die Verschlüsselung zu deaktivieren, wählen Sie [Nicht verwenden].
[Anschlussmodus]
Das Gerät unterstützt nur den Transportmodus.
10
Klicken Sie auf [OK].
Die neu registrierte Richtlinie wird unter [Gespeicherte IPSec-Richtlinien] auf dem Bildschirm [IPSec-Einstellungen] hinzugefügt.
Wenn mehrere Richtlinien registriert sind
Klicken Sie auf [Nach oben] oder [Nach unten] rechts neben dem Richtliniennamen, um die Priorität festzulegen. Richtlinien auf höherer Ebene haben bei der Anwendung auf die IPSec-Kommunikation Vorrang.
11
Starten Sie das Gerät neu. Neustarten des Geräts
Die Einstellungen werden angewendet.
Bearbeiten von registrierten Richtlinien
Um die registrierten Informationen zu bearbeiten, klicken Sie in [Gespeicherte IPSec-Richtlinien] auf dem Bildschirm [IPSec-Einstellungen] auf den Richtliniennamen, den Sie bearbeiten möchten.
9C10-04X