Sử Dụng IPSec

Sử dụng Bảo Mật Giao Thức IP (IPSec) để ngăn chặn việc nghe trộm và giả mạo các gói IP được gửi và nhận qua mạng IP. Điều này thực hiện mã hóa ở cấp độ giao thức IP để đảm bảo bảo mật mà không cần dựa vào ứng dụng hoặc cấu hình mạng.
Điều Kiện Áp Dụng IPSec và Chế Độ Hỗ Trợ
Cấu Hình Chính Sách IPsec
Cài Đặt IPSec

Điều Kiện Áp Dụng IPSec và Chế Độ Hỗ Trợ

Các gói không áp dụng IPSec
Các gói chỉ định địa chỉ lặp lại (loopback), truyền thông đa hướng (multicast) hoặc thông tin phát đi (broadcast)
Các gói IKE được gửi từ cổng UDP 500
Các gói Chào Mời Lân Cận (Neighbor Solicitation) và Quảng Cáo Lân Cận (Neighbor Advertisement) ICMPv6
Chế độ hoạt động của giao thức trao đổi khóa (Chế độ IKE)
Chế độ IKE được máy hỗ trợ chỉ là chế độ chính được sử dụng để mã hóa các gói. Không hỗ trợ chế độ tích cực không mã hóa.
Chế độ giao tiếp
Chế độ giao tiếp được máy hỗ trợ chỉ là chế độ vận chuyển, chỉ mã hóa phần không bao gồm tiêu đề IP. Không hỗ trợ chế độ đường hầm mã hóa toàn bộ gói IP.
Sử dụng IPSec cùng với lọc địa chỉ IP
Cài đặt bộ lọc địa chỉ IP được áp dụng đầu tiên. Cài Đặt Tường Lửa

Cấu Hình Chính Sách IPsec

Để thực hiện giao tiếp IPSec trên máy, bạn phải tạo một chính sách IPSec bao gồm phạm vi và thuật toán áp dụng cho việc xác thực và mã hóa. Chính sách này chủ yếu bao gồm các mục sau đây.
Bộ Chọn
Chỉ định các gói IP để áp dụng giao tiếp IPSec. Ngoài việc chỉ định địa chỉ IP của máy và các thiết bị giao tiếp, bạn cũng có thể chỉ định các số cổng của chúng.
IKE
Giao thức trao đổi khóa hỗ trợ Trao Đổi Khóa Internet Phiên Bản 1 (IKEv1). Đối với phương thức xác thực, chọn phương thức mã khóa cần chia sẻ trước hoặc phương thức chữ ký số.
Phương Thức Mã Khóa Cần Chia Sẻ Trước:
Phương thức xác thực này sử dụng một từ khóa phổ biến, được gọi là Khóa Chia Sẻ, cho tương tác giao tiếp giữa máy và các thiết bị khác.
Phương Thức Chữ Ký Số
Máy và các thiết bị khác xác thực lẫn nhau bằng cách xác minh chữ ký số của nhau.
ESP/AH
Chỉ định các cài đặt cho ESP/AH, là giao thức được sử dụng cho giao tiếp IPSec. ESP và AH có thể được sử dụng cùng một lúc. Hãy sử dụng Perfect Forward Secrecy (PFS) để bảo mật cao hơn nữa.

Cài Đặt IPSec

Kích hoạt việc sử dụng IPSec, sau đó tạo và đăng ký chính sách IPSec. Nếu đã tạo nhiều chính sách, hãy chỉ định thứ tự áp dụng chúng.
Phần này mô tả cách cấu hình các cài đặt bằng cách sử dụng Remote UI từ máy tính.
Trên bảng điều khiển, chọn [Menu] trong màn hình [Home], sau đó chọn [Sở thích] để cấu hình các cài đặt. Tuy nhiên, bảng điều khiển chỉ có thể được sử dụng để bật hoặc tắt IPSec. [Dùng IPSec]
Bạn cần có quyền quản trị viên. Máy phải được khởi động lại để áp dụng các cài đặt.
Chuẩn Bị Cần thiết
Kết nối trực tiếp máy với một máy tính trên cùng một mạng riêng ảo (VPN) với máy. Xác nhận điều kiện thao tác và hoàn tất trước các cài đặt trên máy tính. IPSec
Chuẩn bị các mục sau theo phương thức xác thực IKE:
Khi sử dụng phương thức mã khóa cần chia sẻ trước, hãy kích hoạt TLS cho giao tiếp Remote UI. Sử Dụng TLS
Khi sử dụng phương thức chữ ký số, hãy chuẩn bị khóa và chứng chỉ để sử dụng. Quản Lý và Xác Minh Khóa và Chứng Chỉ
Khi sử dụng PFS, kiểm tra xem PFS có được kích hoạt trên thiết bị giao tiếp hay không.
1
Đăng nhập vào Remote UI trong Chế Độ Người Quản Lý Hệ Thống. Khởi động Remote UI
2
Trên trang Cổng Thông Tin của Remote UI, nhấp vào [Settings/Registration]. Trang Cổng thông tin của Remote UI
3
Nhấp vào [Network Settings] [IPSec Settings] [Edit].
Màn hình [Edit IPSec Settings] được hiển thị.
4
Chọn hộp kiểm [Use IPSec] và nhấp vào [OK].
Để chỉ nhận các gói đáp ứng chính sách này, hãy bỏ chọn hộp kiểm [Receive Non-Policy Packets].
5
Nhấp vào [Register New Policy].
Màn hình [Register New IPSec Policy] được hiển thị.
6
Trong [Policy Settings], nhập tên chính sách và chọn hộp kiểm [Enable Policy].
Đối với tên chính sách, hãy nhập tên để xác định chính sách bằng các ký tự chữ cái và chữ số một byte.
7
Trong [Selector Settings], đặt bộ chọn.
[Local Address Settings]
Chọn loại địa chỉ IP của máy sẽ áp dụng chính sách.
Để áp dụng IPSec cho tất cả các gói IP, chọn [All IP Addresses].
Để áp dụng IPSec cho các gói IP được gửi và nhận bằng địa chỉ IPv4 hoặc IPv6, chọn [IPv4 Address] hoặc [IPv6 Address].
[Remote Address Settings]
Chọn loại địa chỉ IP của thiết bị giao tiếp sẽ áp dụng chính sách.
Để áp dụng IPSec cho tất cả các gói IP, chọn [All IP Addresses].
Để áp dụng IPSec cho các gói IP được gửi và nhận bằng địa chỉ IPv4 hoặc IPv6, chọn [All IPv4 Addresses] hoặc [All IPv6 Addresses].
Để chỉ định một địa chỉ IPv4 hoặc IPv6 có áp dụng IPSec, chọn [IPv4 Manual Settings] hoặc [IPv6 Manual Settings].
[Addresses to Set Manually]
Khi chọn [IPv4 Manual Settings] hoặc [IPv6 Manual Settings], hãy nhập địa chỉ IP. Bạn cũng có thể chỉ định một dãy địa chỉ IP bằng cách sử dụng dấu gạch nối (-).
Ví dụ nhập:
Một địa chỉ IPv4
192.168.0.10
Một địa chỉ IPv6
fe80::10
Thông số dãy
192.168.0.10-192.168.0.20
[Subnet Settings]
Khi chọn [IPv4 Manual Settings], bạn có thể sử dụng mặt nạ mạng con để chỉ định dãy địa chỉ IPv4.
Ví dụ nhập:
255.255.255.240
[Prefix Length]
Khi chọn [IPv6 Manual Settings], bạn có thể sử dụng độ dài tiền tố để chỉ định dãy địa chỉ IPv6. Nhập độ dài tiền tố với phạm vi từ 0 đến 128.
[Port Settings]
Đặt cổng áp dụng IPSec trong [Local Port] trên máy và [Remote Port] trên thiết bị giao tiếp.
Để áp dụng IPSec cho tất cả các số cổng, chọn [All Ports].
Để áp dụng IPSec cho một giao thức cụ thể như HTTP hoặc WSD, chọn [Single Port] và nhập số cổng của giao thức.
8
Trong [IKE Settings], đặt IKE.
[IKE Mode]
Máy chỉ hỗ trợ chế độ chính.
[Authentication Method]
Chọn phương thức xác thực của máy.
Khi chọn [Pre-Shared Key Method], nhấp vào [Shared Key Settings] nhập chuỗi để sử dụng làm mã khóa chia sẻ bằng các ký tự chữ cái và chữ số một byte nhấp vào [OK].
Khi chọn [Digital Signature Method], nhấp vào [Key and Certificate] [Register Default Key] ở bên phải của khóa và chứng chỉ để sử dụng.
[Validity]
Nhập thời gian hiệu lực của IKE SA (ISAKMP SA) để sử dụng làm đường dẫn giao tiếp điều khiển theo phút.
[Authentication/Encryption Algorithm]
Chọn thuật toán để sử dụng cho trao đổi khóa.
9
Trong [IPSec Network Settings], cấu hình các cài đặt mạng IPSec.
[Use PFS]
Chọn hộp kiểm này để cấu hình CMPLX cho khóa phiên.
[Validity]
Chỉ định thời gian hiệu lực của IPSec SA để sử dụng làm đường dẫn truyền dữ liệu theo thời gian, kích thước hoặc cả hai.
Khi chọn hộp kiểm [Specify by Time], nhập thời gian hiệu lực theo phút.
Khi chọn hộp kiểm [Specify by Size], nhập thời gian hiệu lực theo megabyte.
Khi chọn cả hai, mục có giá trị chỉ định đạt đến mức đầu tiên sẽ được áp dụng.
[Authentication/Encryption Algorithm]
Chọn hộp kiểm này theo tiêu đề IPSec (ESP và AH) sẽ được sử dụng và thuật toán của nó.
[ESP Authentication]
Khi chọn [ESP], hãy chọn thuật toán xác thực. Để thực hiện xác thực ESP, chọn [SHA1]. Nếu không, hãy chọn [Do Not Use].
[ESP Encryption]
Khi chọn [ESP], hãy chọn thuật toán mã hóa. Nếu bạn không muốn chỉ định thuật toán, chọn [NULL]. Để tắt mã hóa, chọn [Do Not Use].
[Connection Mode]
Máy chỉ hỗ trợ chế độ vận chuyển.
10
Nhấp vào [OK].
Chính sách đăng ký mới được thêm vào [Registered IPSec Policies] trên màn hình [IPSec Settings].
Khi có nhiều chính sách được đăng ký
Nhấp vào [Up] hoặc [Down] ở bên phải tên chính sách để đặt mức ưu tiên. Các chính sách cấp cao hơn sẽ được ưu tiên áp dụng cho giao tiếp IPSec.
11
Khởi động lại máy. Khởi Động Lại Máy
Cài đặt này được áp dụng.
Chỉnh Sửa Chính Sách Đăng Ký
Để chỉnh sửa thông tin đã đăng ký, nhấp vào tên chính sách bạn muốn chỉnh sửa trong [Registered IPSec Policies] trên màn hình [IPSec Settings].
9C20-059