การใช้ IPSec

ใช้โพรโทคอลความปลอดภัย IP (IPSec) เพื่อป้องกันการดักจับข้อมูลและการรั่วไหลของแพคเก็ต IP ที่ส่งและได้รับผ่านเครือข่าย IP โดยจะดำเนินการเข้ารหัสที่ระดับโพรโทคอล IP เพื่อรับรองความปลอดภัยโดยไม่ต้องพึ่งพาแอปพลิเคชันหรือการกำหนดค่าเครือข่าย

เงื่อนไขที่ใช้ IPSec ได้และโหมดที่รองรับ

แพคเก็ตที่ใช้ IPSec ใช้ไม่ได้
แพคเก็ตที่ระบุที่อยู่ป้อนกลับ ที่อยู่แบบหลายผู้รับ หรือที่อยู่สำหรับการออกอากาศ
แพคเก็ต IKE ที่ส่งจากพอร์ต UDP 500
แพคเก็ต ICMPv6 Neighbor Solicitation และ Neighbor Advertisement
โหมดการดำเนินการของโพรโทคอลการแลกเปลี่ยนคีย์ (โหมด IKE)
โหมด IKE ที่เครื่องรองรับคือโหมดหลักที่ใช้สำหรับเข้ารหัสแพคเก็ตเท่านั้น ไม่รองรับโหมดที่ไม่เข้ารหัสอย่างรัดกุม
โหมดการสื่อสาร
โหมดการสื่อสารที่เครื่องรองรับคือโหมดการโอนถ่ายข้อมูลเพียงอย่างเดียว ซึ่งจะเข้ารหัสเฉพาะส่วนที่ไม่รวมส่วนหัวของ IP ไม่รองรับโหมดช่องทางการเชื่อมต่อ IP ซึ่งจะเข้ารหัสแพคเก็ต IP ทั้งหมด
การใช้ IPSec ร่วมกับการกรองที่อยู่ IP
การตั้งค่าตัวกรองที่อยู่ IP จะถูกนำมาใช้ก่อน การตั้งค่าไฟร์วอลล์

การกำหนดค่านโยบาย IPSec

เพื่อดำเนินการสื่อสาร IPSec กับเครื่อง คุณต้องสร้างนโยบาย IPSec ที่ประกอบด้วยช่วงที่สามารถใช้งานได้และอัลกอริทึมสำหรับการรับรองความถูกต้องและการเข้ารหัส โดยหลักๆ แล้ว นโยบายประกอบด้วยรายการต่อไปนี้
ตัวเลือก
ระบุว่าแพคเก็ต IP ใดที่จะใช้การสื่อสาร IPSec นอกเหนือจากการระบุที่อยู่ IP ของเครื่องและอุปกรณ์การสื่อสาร คุณยังระบุหมายเลขพอร์ตได้อีกด้วย
IKE
โพรโทคอลการแลกเปลี่ยนคีย์รองรับการแลกเปลี่ยนอินเทอร์เน็ตคีย์เวอร์ชัน 1 (IKEv1) สำหรับวิธีการรับรองความถูกต้อง ให้เลือกใช้วิธีการรับรองด้วยคีย์ที่ใช้ร่วมกันล่วงหน้า (pre-shared key) หรือวิธีการรับรองด้วยลายเซ็นดิจิทัล
วิธีการรับรองด้วยคีย์ที่ใช้ร่วมกันล่วงหน้า:
การรับรองความถูกต้องด้วยวิธีนี้จะใช้คำสำคัญทั่วไปที่เรียกว่า คีย์ที่ใช้ร่วมกัน สำหรับการสื่อสารระหว่างเครื่องและอุปกรณ์อื่นๆ
วิธีการรับรองด้วยลายเซ็นดิจิทัล
เครื่องและอุปกรณ์อื่นๆ จะรับรองความถูกต้องซึ่งกันและกันโดยร่วมกันตรวจสอบลายเซ็นดิจิทัลของอุปกรณ์เหล่านั้น
ESP/AH
ระบุการตั้งค่าสำหรับ ESP/AH ซึ่งเป็นโพรโทคอลที่ใช้สำหรับการสื่อสาร IPSec สามารถใช้ ESP และ AH ในเวลาเดียวกัน ใช้ Perfect Forward Secrecy (PFS) เพื่อความปลอดภัยที่มีประสิทธิภาพยิ่งขึ้น

การตั้งค่า IPSec

เปิดใช้งาน IPSec แล้วสร้างและลงทะเบียนนโยบาย IPSec หากมีการสร้างนโยบายหลายนโยบาย ให้ระบุลำดับของนโยบายที่จะนำไปใช้
ส่วนนี้จะอธิบายวิธีกำหนดการตั้งค่าโดยใช้ UI ระยะไกลจากคอมพิวเตอร์
บนแผงควบคุม ให้เลือก [เมนู] ในหน้าจอ [Home] แล้วเลือก [ค่ากำหนด] เพื่อกำหนดการตั้งค่า อย่างไรก็ตาม สามารถใช้แผงควบคุมเพื่อเปิดใช้งานหรือปิดใช้งาน IPsec เท่านั้น [ใช้ IPSec]
จำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบ ต้องรีสตาร์ตเครื่องเพื่อนำการตั้งค่าไปใช้งาน
การเตรียมการที่จำเป็น
เชื่อมต่อเครื่องกับคอมพิวเตอร์โดยตรงบนเครือข่ายส่วนตัวเสมือน (VPN) เดียวกันกับเครื่อง ยืนยันเงื่อนไขการดำเนินการ และดำเนินการตั้งค่าบนคอมพิวเตอร์ให้เสร็จสิ้นล่วงหน้า IPSec
เตรียมสิ่งต่อไปนี้ตามวิธีการรับรองความถูกต้อง IKE:
เมื่อใช้วิธีการรับรองด้วยคีย์ที่ใช้ร่วมกันล่วงหน้า ให้เปิดใช้งาน TLS สำหรับการสื่อสาร UI ระยะไกล การใช้ TLS
เมื่อใช้วิธีการรับรองด้วยลายเซ็นดิจิทัล ให้เตรียมคีย์และใบรับรองที่จะใช้ การจัดการและการตรวจสอบความถูกต้องของคีย์และใบรับรอง
เมื่อใช้ PFS ให้ตรวจสอบว่าได้เปิดใช้งาน PFS บนอุปกรณ์การสื่อสาร
1
เข้าสู่ระบบ UI ระยะไกลในโหมดผู้จัดการระบบ การเริ่มต้นใช้งาน UI ระยะไกล
2
ในหน้าพอร์ทัลของ UI ระยะไกล ให้คลิก [Settings/Registration] หน้าพอร์ทัลของ UI ระยะไกล
3
คลิก [Network Settings] [IPSec Settings] [Edit]
หน้าจอ [Edit IPSec Settings] จะปรากฏขึ้นมา
4
เลือกกล่องกาเครื่องหมาย [Use IPSec] แล้วคลิก [OK]
หากต้องการรับเฉพาะแพคเก็ตที่เป็นไปตามนโยบาย ให้ล้างกล่องกาเครื่องหมาย [Receive Non-Policy Packets]
5
คลิก [Register New Policy]
หน้าจอ [Register New IPSec Policy] จะปรากฏขึ้นมา
6
ใน [Policy Settings] ใส่ชื่อนโยบาย แล้วเลือกกล่องกาเครื่องหมาย [Enable Policy]
สำหรับชื่อนโยบาย ให้ใส่ชื่อเพื่อระบุนโยบายโดยใช้อักขระตัวเลขและตัวอักษรแบบไบต์เดียว
7
ใน [Selector Settings] ให้กำหนดตัวเลือก
[Local Address Settings]
เลือกประเภทของที่อยู่ IP ของเครื่องที่จะใช้นโยบาย
หากต้องการนำ IPSec ไปกับแพคเก็ต IP ทั้งหมด ให้เลือก [All IP Addresses]
หากต้องการนำ IPSec ไปใช้กับแพคเก็ต IP ที่ส่งและได้รับโดยใช้ที่อยู่ IPv4 หรือ IPv6 ให้เลือก [IPv4 Address] หรือ [IPv6 Address]
[Remote Address Settings]
เลือกประเภทของที่อยู่ IP ของอุปกรณ์การสื่อสารที่จะนำนโยบายไปใช้
หากต้องการนำ IPSec ไปกับแพคเก็ต IP ทั้งหมด ให้เลือก [All IP Addresses]
หากต้องการนำ IPSec ไปใช้กับแพคเก็ต IP ที่ส่งและได้รับโดยใช้ที่อยู่ IPv4 หรือ IPv6 ให้เลือก [All IPv4 Addresses] หรือ [All IPv6 Addresses]
หากต้องการระบุที่อยู่ IPv4 หรือ IPv6 ที่จะนำ IPSec ไปใช้ ให้เลือก [IPv4 Manual Settings] หรือ [IPv6 Manual Settings]
[Addresses to Set Manually]
เมื่อเลือก [IPv4 Manual Settings] หรือ [IPv6 Manual Settings] ไว้ ให้ใส่ที่อยู่ IP คุณยังสามารถระบุช่วงของที่อยู่ IP โดยใช้เครื่องหมายยัติภังค์ (-)
ตัวอย่างการป้อนข้อมูล:
ที่อยู่ IPv4 หนึ่งที่อยู่
192.168.0.10
ที่อยู่ IPv6 หนึ่งที่อยู่
fe80::10
ข้อมูลจำเพาะของช่วง
192.168.0.10-192.168.0.20
[Subnet Settings]
เมื่อเลือก [IPv4 Manual Settings] ไว้ คุณสามารถใช้ซับเน็ตมาสก์เพื่อระบุช่วงของที่อยู่ IPv4
ตัวอย่างการป้อนข้อมูล:
255.255.255.240
[Prefix Length]
เมื่อเลือก [IPv6 Manual Settings] ไว้ คุณสามารถใช้ความยาวของคำนำหน้าเพื่อระบุช่วงของที่อยู่ IPv6 ใส่ความยาวของคำนำหน้าในช่วง 0 ถึง 128
[Port Settings]
กำหนดพอร์ตที่จะนำ IPSec ไปใช้ใน [Local Port] บนเครื่อง และ [Remote Port] บนอุปกรณ์การสื่อสาร
หากต้องการนำ IPSec ไปกับหมายเลขพอร์ตทั้งหมด ให้เลือก [All Ports]
หากต้องการนำ IPSec ไปยังโพรโทคอลที่เฉพาะเจาะจง เช่น HTTP หรือ WSD ให้เลือก [Single Port] และใส่หมายเลขพอร์ตของโพรโทคอล
8
ใน [IKE Settings] ให้กำหนด IKE
[IKE Mode]
เครื่องรองรับเฉพาะโหมดหลักเท่านั้น
[Authentication Method]
เลือกวิธีการรับรองความถูกต้องของเครื่อง
เมื่อเลือก [Pre-Shared Key Method] ไว้ ให้คลิก [Shared Key Settings] ใส่สตริงเพื่อใช้เป็นคีย์ที่ใช้ร่วมกันโดยใช้อักขระตัวเลขและตัวอักษรแบบไบต์เดียว คลิก [OK]
เมื่อเลือก [Digital Signature Method] ไว้ ให้คลิก [Key and Certificate] [Register Default Key] ที่ด้านขวาของคีย์และใบรับรองที่จะใช้
[Validity]
ใส่ระยะเวลาที่ใช้งานได้ของ IKE SA (ISAKMP SA) ที่จะใช้เป็นเส้นทางการสื่อสารแบบควบคุมเป็นนาที
[Authentication/Encryption Algorithm]
เลือกอัลกอริทึมเพื่อใช้สำหรับการแลกเปลี่ยนคีย์
9
ใน [IPSec Network Settings] ให้กำหนดการตั้งค่าเครือข่าย IPSec
[Use PFS]
เลือกกล่องกาเครื่องหมายนี้เพื่อกำหนด PFS สำหรับเซสชันคีย์
[Validity]
ระบุระยะเวลาที่ใช้งานได้ของ IPSec SA ที่จะใช้เป็นเส้นทางการสื่อสารข้อมูลตามเวลา ขนาด หรือทั้งสองอย่าง
เมื่อเลือกกล่องกาเครื่องหมาย [Specify by Time] ไว้ ให้ใส่ระยะเวลาที่ใช้งานได้เป็นนาที
เมื่อเลือกกล่องกาเครื่องหมาย [Specify by Size] ไว้ ให้ใส่ระยะเวลาที่ใช้งานได้เป็นเมกะไบต์
เมื่อเลือกทั้งสองอย่าง รายการที่ถึงค่าที่ระบุก่อนจะถูกนำไปใช้
[Authentication/Encryption Algorithm]
เลือกกล่องกาเครื่องหมายตามส่วนหัวของ IPSec (ESP และ AH) ที่จะใช้ และอัลกอริทึมของ IPsec
[ESP Authentication]
เมื่อเลือก [ESP] ไว้ ให้เลือกอัลกอริทึมการรับรองความถูกต้อง หากต้องการดำเนินการรับรองความถูกต้อง ESP ให้เลือก [SHA1]. หรือเลือก [Do Not Use]
[ESP Encryption]
เมื่อเลือก [ESP] ไว้ ให้เลือกอัลกอริทึมการเข้ารหัส หากคุณไม่ต้องการระบุอัลกอริทึม ให้เลือก [NULL]. หากต้องการปิดใช้งานการเข้ารหัส ให้เลือก [Do Not Use]
[Connection Mode]
เครื่องรองรับเฉพาะโหมดการโอนถ่ายข้อมูลเท่านั้น
10
คลิก [OK]
นโยบายที่เพิ่งลงทะเบียนไว้จะถูกเพิ่มลงใน [Registered IPSec Policies] บนหน้าจอ [IPSec Settings]
เมื่อลงทะเบียนนโยบายไว้หลายนโยบาย
ให้คลิก [Up] หรือ [Down] ที่อยู่ด้านขวาของชื่อนโยบายเพื่อกำหนดลำดับความสำคัญ นโยบายในระดับสูงกว่ามีลำดับความสำคัญในการนำไปใช้กับการสื่อสาร IPSec
11
รีสตาร์ตเครื่อง การรีสตาร์ตเครื่อง
การตั้งค่าจะถูกนำไปใช้
การแก้ไขนโยบายที่ลงทะเบียบไว้
เพื่อแก้ไขข้อมูลที่ลงทะเบียนไว้ ให้คลิกชื่อนโยบายที่คุณต้องการแก้ไขใน [Registered IPSec Policies] บนหน้าจอ [IPSec Settings]
9C1Y-059