Konfigurere IPSec-innstillingene

Ved å bruke IPSec kan du forhindre tredjeparter i å fange opp eller tukle med IP-pakker som er transportert over IP-nettverket. Fordi IPSec legger til sikkerhetsfunksjoner til IP, en grunnleggende protokollpakke som brukes på Internett, kan den gi sikkerhet som er uavhengig av programmer eller nettverkskonfigurasjon. Hvis du vil utføre IPSec-kommunikasjon med denne maskinen, må du konfigurere innstillinger som programparametere og algoritmen for godkjenning og kryptering. Det kreves administrator-rettigheterfor å konfigurere disse innstillingene.
Aktivere IPSec
Lagre en policy
Kommunikasjonsmodus
Denne maskinen støtter kun transportmodus for IPSec-kommunikasjon. Som et resultat blir godkjenning og kryptering bare brukt på datadelene av IP-pakker.
Nøkkelutvekslingsprotokoll
Denne maskinen støtter Internet Key Exchange versjon 1 (IKEv1) for utveksling av nøkler basert på ISAKMP (Internet Security Association and Key Management Protocol). For godkjenningsmetoden angir du enten den forhåndsdelte nøkkelmetoden eller den digitale signaturmetoden.
Når du angir metoden for forhåndsdelt nøkkel, må du bestemme deg for en passordfrase (forhåndsdelt nøkkel) på forhånd, som brukes mellom maskinen og IPSec-kommunikasjonsnettet.
Når du angir metoden for digital signatur, må du bruke et CA-sertifikat og en PKCS#12-formatnøkkel og sertifikat for å utføre gjensidig godkjenning mellom maskinen og IPSec-kommunikasjonsnettet. Hvis du vil ha mer informasjon om å registrere nye Ca-sertifikater eller nøkler/sertifikater, kan du se Registrere nøkkel og sertifikat for nettverkskommunikasjon. Vær oppmerksom på at SNTP må være konfigurert for maskinen før den bruker denne metoden. Stille inn SNTP-innstillinger
Uavhengig av innstillingen på [Formatkrypteringsmåte til FIPS 140-2] for IPSec-kommunikasjon, brukes en krypteringsmodul som allerede har fått en FIPS140-2-sertifisering.
For å få IPSec-kommunikasjon til å samsvare med FIPS 140-2 må du stille nøkkellengden til både DH og RSA for IPSec-kommunikasjon til 2048-bit eller lenger i nettverksmiljøet som maskinen tilhører.
Kun nøkkellengden for DH kan angis fra maskinen.
Vær oppmerksom når du konfigurerer miljøet, for det ikke er noen innstillinger for RSA i maskinen.
Du kan registrere opptil 10 sikkerhetspolicyer.

Aktivere IPSec

1
Start fjernkontrollen. Starte Fjernkontroll
2
Klikk på [Innstillinger/lagring] på portal-siden. Skjermbildet for Fjernkontroll
3
Klikk på [Nettverksinnstillinger]  [IPSec innstillinger].
4
Velg [Bruk IPSec], og klikk på [OK].
For å kun motta pakker som korresponderer med sikkerhetspolicyen, velger du [Avvis] for [Motta ikke-policypakker].

Lagre en policy

1
Start fjernkontrollen. Starte Fjernkontroll
2
Klikk på [Innstillinger/lagring] på portal-siden. Skjermbildet for Fjernkontroll
3
Klikk på [Nettverksinnstillinger]  [IPSec policyliste].
4
Klikk på [Lagre ny IPSec-policy].
5
Angi en policy.
[Policy navn]
Skriv a et navn for å identifisere policyen.
[Policy På/Av]
Velg [På] for å aktivere den lagrede policyen.
[Tillat bare 256-bit for AES-nøkkellengde]
Merk denne boksen for å begrense nøkkellengden til AES-krypteringsmetoden til 256 bit og oppfyll kravene for CC- autentiseringsstandarder.
6
Konfigurer IPSec-programparametere.
1
Klikk på [Velgerinnstillinger].
2
Angi IP-adressen som IPSec-policyen skal brukes på.
Angi IP-adressen til denne maskinen i [Lokal adresse], og angi IP-adressen til kommunikasjonsnettet i [Ekstern adresse].

[Alle IP-adresser]
IPSec brukes på alle sendte og mottatte IP-pakker.
[IPv4-adresse]
IPSec brukes på IP-pakker sendt til og mottatt fra IPv4-adressen til denne maskinen.
[IPv6-adresse]
IPSec brukes på IP-pakker sendt til og mottatt fra IPv6-adressen til denne maskinen.
[Alle IPv4-adresser]
IPSec brukes på IP-pakker sendt til og mottatt fra IPv4-adressen til kommunikasjonsnettet.
[Alle IPv6-adresser]
IPSec brukes på IP-pakker sendt til og mottatt fra IPv6-adressen til kommunikasjonsnettet.
[IPv4 manuelle innstillinger]
Angi IPV4-adressen som IPSec-policyen skal brukes på.
Velg [Enkel adresse] for å taste inn en enkelt IPv4-adresse.
Velg [Flere adresser] for å angi en rekke IPv4-adresser. Angi en separat adresse for [Første adresse] og [Siste adresse].
Velg [Subnetinnstillinger] for å angi en rekke Ipv4-adresser ved hjelp av en subnetmaske. Angi separate verdier for [Første adresse] og [Subnetinnstillinger].
[IPv6 manuelle innstillinger]
Angi IPV6-adressen som IPSec skal brukes på.
Velg [Enkel adresse] for å taste inn en enkelt IPv6-adresse.
Velg [Flere adresser] for å angi en rekke IPv6-adresser. Angi en separat adresse for [Første adresse] og [Siste adresse].
Velg [Prefiksadresse] for å angi en rekke Ipv6-adresser ved hjelp av et prefiks. Angi separate verdier for [Første adresse] og [Prefikslengde].
3
Angi porten som IPSec skal brukes på.
Velg [Angi etter portnummer] for å bruke portnumrene når du angir portene som IPSec gjelder for. Velg [Alle porter] for å bruke IPSec for alle portnumre. For å bruke IPSec for et bestemt portnummer, trykker du på [Enkel port] og angir portnummeret. Angi porten til denne maskinen i [Lokal port] og angi porten til kommunikasjonsmottakeren i [Ekstern port].
For å angi portene som skal bruke IPSec med tjenestenavn, velger du [Angi etter servicenavn] og velg tjenestene som skal brukes.
4
Klikk på [OK].
7
Konfigurer godkjennings- og krypteringsinnstillingene.
1
Klikk på [IKE-innstillinger].
2
Konfigurer de nødvendige innstillingene.
[IKE-modus]
Velg driftsmodusen for nøkkelutvekslingsprotokollen. Sikkerheten forbedres hvis du velger [Hoved] fordi IKE-økten i seg selv er kryptert, men hastigheten på økten er tregere enn med [Aggressiv], noe som ikke krypterer hele økten.
[Gyldighet]
Angi utløpsperioden for generert IKE SA.
[Autentiseringsmetode]
Velg en av godkjenningsmetodene beskrevet nedenfor.
[Forhåndsdelt tastmetode]
Angi samme passordfrase (forhåndsdelt tast) som er angitt i kommunikasjonsnettet. Velg [Innstillinger for delt nøkkel], angi tegnstrengen som skal brukes som den delte tasten og velg [OK].
[Digital signatur-metode]
Angi nøkkelen og sertifikatet som skal brukes til gjensidig autentisering med kommunikasjonsnettet. Trykk på [Nøkkel og sertifikat], og klikk på [Bruk] for nøkkelen du vil bruke.
[Autentisering/krypteringsalgoritme]
Velg enten [Auto] eller [Manuelle innstillinger] for å stille inn hvordan du skal angi autentiserings- og krypteringsalgoritmen for IKE-fase 1. Hvis du velger [Auto], blir en algoritme som kan brukes av både denne maskinen og kommunikasjonsnettet, automatisk stilt inn. Hvis du vil angi en bestemt algoritme, velger du [Manuelle innstillinger] og konfigurerer innstillingene nedenfor.
[Autentisering]
Velg hash-algoritmen.
[Kryptering]
Velg krypteringsalgoritmen.
[DH-gruppe]
Velg gruppen for Diffie-Hellman-nøkkelutvekslingsmetoden for å stille inn nøkkelstyrken.
3
Klikk på [OK].
Når [IKE-modus] stilles til [Hoved] på skjermbildet [IKE] og [Autentiseringsmetode] er stilt til [Forhåndsdelt tastmetode], gjelder følgende begrensninger når du lagrer flere sikkerhetspolicyer.
Nøkkel for forhåndsdelt nøkkelmetode: Når du angir flere eksterne IP-adresser som en sikkerhetspolicy skal brukes på, er alle delte nøkler for den sikkerhetspolicyen identiske (dette gjelder ikke når en enkelt adresse er angitt).
Prioritet: Når du angir flere eksterne IP-adresser som en sikkerhetspolicy skal brukes på, er prioriteringen til den sikkerhetspoliicyen under sikkerhetspolicyer som angis for en enkelt adresse.
8
Konfigurer IPSec-kommunikasjonsinnstillingene.
1
Klikk på [IPSec-nettverksinnstillinger].
2
Konfigurer de nødvendige innstillingene.
[Gyldighet]
Angi utløpsperioden for generert IPSec SA. Sørg for å angi enten [Tid] eller [Format]. Dersom du angir begge, tas innstillingen med verdien som når først i bruk.
[PFS]
Hvis du velger [Bruk PFS], økes hemmeligholdet til krypteringsnøkkelen, men kommunikasjonshastigheten blir tregere. I tillegg må PFS-funksjonen (Perfect Forward Secrecy) være aktivert på kommunikasjonsnett-enheten.
[Autentisering/krypteringsalgoritme]
Velg enten [Auto] eller [Manuelle innstillinger] for å stille inn hvordan du skal angi autentisering- og krypteringsalgoritmen for IKE-fase 2. Hvis du velger [Auto], stilles ESP-autentiserings- og krypteringsalgoritmen inn automatisk. Hvis du ønsker å angi en bestemt autentiseringsmetode, trykker du på [Manuelle innstillinger] og velger en av autentiseringsmetodene nedenfor.
[ESP]
Både autentisering og kryptering utføres. Velg algoritmen for [ESP-autentisering] og [ESP-kryptering]. Velg [NULL] hvis du ønsker å stille inn autentisering- eller krypteringsalgoritmen.
[ESP (AES-GCM)]
AES-GCM brukes som ESP-algoritmen, og både godkjenning og kryptering utføres.
[AH (SHA1)]
Godkjenning er utført, men data er ikke kryptert. SHA1 er brukt som algoritmen.
3
Klikk på [OK].
9
Klikk på [OK].
10
Aktiver de registrerte policyene og sjekk prioritetsrekkefølgen.
Policyer brukes i den rekkefølgen de er oppført, og starter øverst. Hvis du ønsker å endre prioriteringsrekkefølgen, velger du en policy fra listen og trykker på [Øk prioritet] eller [Lavere prioritet].
Administrere IPSec-policyer
Du kan redigere policyene på skjermbildet som vises i trinn 4.
For å redigere detaljene i en policy velger du policynavnet fra listen.
For å deaktivere en policy, klikker du på policy-navnet på listen, velg [Av] for [Policy På/Av] klikk på [OK].
Hvis du vil slette policyen, velger du policyen fra listen og klikker på [Slette] [OK].
Bruke betjeningspanelet
Du kan også aktivere eller deaktivere IPSec-kommunikasjon fra <Angi> i <Hjem>-skjermbildet. <IPSec innstillinger>
Satsvis import/eksport
Denne innstillingen kan importeres/eksporteres med modeller som støtter satsvis import for denne innstillingen. Importere/eksportere innstillingsdata
Denne innstillingen er inkludert i [Innstillinger/lagring basisinformasjon] under satsvis eksport. Importere/eksportere alle innstillinger
AL92-061