Cấu hình cài đặt IPSec

Bằng cách sử dụng IPSec, bạn có thể ngăn ngừa các bên thứ ba chặn hoặc giả mạo các gói tin IP được truyền qua mạng IP. Vì IPSec bổ sung các chức năng bảo mật cho IP, một bộ giao thức cơ bản được sử dụng cho Internet, nên nó có thể cung cấp cơ chế bảo mật độc lập với các ứng dụng hoặc cấu hình mạng. Để thực hiện giao tiếp IPSec với máy này, bạn phải cấu hình các cài đặt như các thông số ứng dụng và thuật toán xác thực và mã hóa. Cần có quyền quản trị viên để cấu hình các cài đặt này.

Bật IPSec

Đăng ký chính sách


Chế độ giao tiếp Máy này chỉ hỗ trợ chế độ truyền tải cho giao tiếp IPSec. Do đó, việc xác thực và mã hóa chỉ được áp dụng cho các phần dữ liệu của gói tin IP. Giao thức trao đổi khóa Máy này hỗ trợ giao thức Internet Key Exchange phiên bản 1 (IKEv1) để trao đổi khóa dựa trên giao thức Internet Security Association and Key Management Protocol (ISAKMP). Đối với phương thức xác thực, cài đặt phương thức khóa chia sẻ trước hoặc phương thức chữ ký số. Khi cài đặt phương thức khóa chia sẻ trước, bạn cần quyết định trước cụm mật khẩu (khóa chia sẻ trước), được sử dụng giữa máy và giao tiếp ngang hàng IPSec. Khi cài đặt phương thức chữ ký số, hãy sử dụng chứng chỉ CA và khóa định dạng PKCS #12 và chứng chỉ để thực hiện xác thực qua lại giữa máy và giao tiếp ngang hàng IPSec. Để biết thêm thông tin về cách đăng ký chứng chỉ CA hoặc khóa/chứng chỉ mới, xem mục Đăng ký khóa và chứng chỉ cho giao tiếp mạng. Lưu ý rằng phải cấu hình SNTP cho máy trước khi sử dụng phương pháp này. Thực hiện cài đặt SNTP

Chế độ giao tiếp

Máy này chỉ hỗ trợ chế độ truyền tải cho giao tiếp IPSec. Do đó, việc xác thực và mã hóa chỉ được áp dụng cho các phần dữ liệu của gói tin IP.

Giao thức trao đổi khóa

Máy này hỗ trợ giao thức Internet Key Exchange phiên bản 1 (IKEv1) để trao đổi khóa dựa trên giao thức Internet Security Association and Key Management Protocol (ISAKMP). Đối với phương thức xác thực, cài đặt phương thức khóa chia sẻ trước hoặc phương thức chữ ký số.

Khi cài đặt phương thức khóa chia sẻ trước, bạn cần quyết định trước cụm mật khẩu (khóa chia sẻ trước), được sử dụng giữa máy và giao tiếp ngang hàng IPSec.

Khi cài đặt phương thức chữ ký số, hãy sử dụng chứng chỉ CA và khóa định dạng PKCS #12 và chứng chỉ để thực hiện xác thực qua lại giữa máy và giao tiếp ngang hàng IPSec. Để biết thêm thông tin về cách đăng ký chứng chỉ CA hoặc khóa/chứng chỉ mới, xem mục Đăng ký khóa và chứng chỉ cho giao tiếp mạng. Lưu ý rằng phải cấu hình SNTP cho máy trước khi sử dụng phương pháp này. Thực hiện cài đặt SNTP


Bất kể cài đặt của [Format Encryption Method to FIPS 140-2] cho giao tiếp IPSec, thì sẽ sử dụng mô-đun mã hóa đã có chứng chỉ FIPS140-2. Để làm cho giao tiếp IPSec tuân thủ chuẩn FIPS 140-2, bạn phải cài đặt độ dài khóa của cả thuật toán DH và RSA của giao tiếp IPSec thành 2048-bit hoặc dài hơn trong môi trường mạng của máy. Chỉ có thể chỉ định độ dài khóa cho thuật toán DH từ máy. Hãy lưu ý khi cấu hình môi trường của bạn, vì không có cài đặt nào cho thuật toán RSA trong máy. Bạn có thể đăng ký tối đa 10 chính sách bảo mật.

Bất kể cài đặt của [Format Encryption Method to FIPS 140-2] cho giao tiếp IPSec, thì sẽ sử dụng mô-đun mã hóa đã có chứng chỉ FIPS140-2.

Để làm cho giao tiếp IPSec tuân thủ chuẩn FIPS 140-2, bạn phải cài đặt độ dài khóa của cả thuật toán DH và RSA của giao tiếp IPSec thành 2048-bit hoặc dài hơn trong môi trường mạng của máy.

Chỉ có thể chỉ định độ dài khóa cho thuật toán DH từ máy.

Hãy lưu ý khi cấu hình môi trường của bạn, vì không có cài đặt nào cho thuật toán RSA trong máy.

Bạn có thể đăng ký tối đa 10 chính sách bảo mật.

Bật IPSec

Khởi động Remote UI. Khởi động Remote UI

Nhấp vào [Settings/Registration] trên trang cổng thông tin. Màn hình Remote UI

Nhấp vào [Network Settings]

[IPSec Settings].

Chọn [Use IPSec], và nhấp vào [OK].

Để chỉ nhận các gói tin tương ứng với chính sách bảo mật, hãy chọn [Reject] cho [Receive Non-Policy Packets].

Đăng ký chính sách

Khởi động Remote UI. Khởi động Remote UI

Nhấp vào [Settings/Registration] trên trang cổng thông tin. Màn hình Remote UI

Nhấp vào [Network Settings]

[IPSec Policy List].

Nhấp vào [Register New IPSec Policy].

Cài đặt chính sách.

[Policy Name]

Nhập tên để xác định chính sách.

[Policy On/Off]

Chọn [On] để bật chính sách đã đăng ký.

[Only Allow 256-bit for AES Key Length]

Chọn hộp kiểm này để giới hạn độ dài khóa của phương pháp mã hóa AES ở mức 256 bit và đáp ứng các tiêu chuẩn xác thực CC.

Cấu hình các thông số ứng dụng IPSec.

Nhấp vào [Selector Settings].

Chỉ định địa chỉ IP để áp dụng chính sách IPSec.

Chỉ định địa chỉ IP của máy này trong [Local Address], và chỉ định địa chỉ IP của cơ chế giao tiếp ngang hàng trong [Remote Address].

[All IP Addresses]	IPSec được áp dụng cho tất cả các gói tin IP được gửi và nhận.
[IPv4 Address]	IPSec được áp dụng cho các gói tin IP được gửi đến và nhận từ địa chỉ IPv4 của máy này.
[IPv6 Address]	IPSec được áp dụng cho các gói tin IP được gửi đến và nhận từ địa chỉ IPv6 của máy này.
[All IPv4 Addresses]	IPSec được áp dụng cho các gói tin IP được gửi đến và nhận từ địa chỉ IPv4 của cơ chế giao tiếp ngan hàng.
[All IPv6 Addresses]	IPSec được áp dụng cho các gói tin IP được gửi đến và nhận từ địa chỉ IPv6 của cơ chế giao tiếp ngan hàng.
[IPv4 Manual Settings]	Chỉ định địa chỉ IPv4 để áp dụng IPSec. Chọn [Single Address] để nhập một địa chỉ IPv4 riêng lẻ. Chọn [Range Address] để chỉ định dải địa chỉ IPv4. Nhập một địa chỉ riêng cho [First Address] và [Last Address]. Chọn [Subnet Settings] để chỉ định dải địa chỉ IPv4 bằng mặt nạ mạng phụ. Nhập các giá trị riêng cho [First Address] và [Subnet Settings].
[IPv6 Manual Settings]	Chỉ định địa chỉ IPv6 để áp dụng IPSec. Chọn [Single Address] để nhập một địa chỉ IPv6 riêng lẻ. Chọn [Range Address] để chỉ định dải địa chỉ IPv6. Nhập một địa chỉ riêng cho [First Address] và [Last Address]. Chọn [Prefix Address] để chỉ định dải địa chỉ IPv6 bằng tiền tố. Nhập các giá trị riêng cho [First Address] và [Prefix Length].

Chỉ định cổng để áp dụng IPSec.

Chọn [Specify by Port Number] để sử dụng số cổng khi chỉ định các cổng mà IPSec áp dụng. Chọn [All Ports] để áp dụng IPSec cho tất cả các số cổng. Để áp dụng IPSec cho số cổng cụ thể [Single Port] và nhập số cổng. Chỉ định cổng của máy này trong [Local Port] và chỉ định cổng giao tiếp ngang hàng trong [Remote Port].

Để chỉ định các cổng để áp dụng IPSec theo tên dịch vụ, hãy chọn [Specify by Service Name] và chọn các dịch vụ để sử dụng.

Nhấp vào [OK].

Cấu hình cài đặt xác thực và mã hóa.

Nhấp vào [IKE Settings].

Cấu hình cài đặt cần thiết.

[IKE Mode]

Chọn chế độ hoạt động cho giao thức trao đổi khóa. Bảo mật được tăng cường nếu bạn chọn [Main] vì bản thân phiên IKE đã được mã hóa, nhưng tốc độ của phiên chậm hơn so với [Aggressive], vốn không mã hóa toàn bộ phiên.

[Validity]

Cài đặt khoảng thời gian hết hạn của IKE SA đã tạo.

[Authentication Method]

Chọn một trong các phương pháp xác thực được mô tả bên dưới.

[Pre-Shared Key Method]	Cài đặt cùng một cụm mật khẩu (khóa chia sẻ trước) mà được cài đặt cho cơ chế giao tiếp ngang hàng. Lựa chọn [Shared Key Settings], nhập chuỗi ký tự để sử dụng làm khóa chia sẻ và chọn [OK].
[Digital Signature Method]	Cài đặt khóa và chứng chỉ để sử dụng cho việc xác thực qua lại với cơ chế giao tiếp ngang hàng. Nhấp vào [Key and Certificate], và nhấp vào [Use] để sử dụng khóa.

[Authentication/Encryption Algorithm]

Chọn [Auto] hoặc [Manual Settings] để cài đặt cách chỉ định thuật toán xác thực và mã hóa cho IKE giai đoạn 1. Nếu bạn chọn [Auto] thì sẽ tự động cài đặt một thuật toán mà có thể được sử dụng bởi cả máy này và cơ chế giao tiếp ngang hàng. Nếu bạn muốn chỉ định một thuật toán cụ thể, hãy chọn [Manual Settings] và cấu hình cài đặt dưới đây.

[Authentication]	Chọn thuật toán băm.
[Encryption]	Chọn thuật toán mã hóa.
[DH Group]	Chọn nhóm cho phương pháp trao đổi khóa Diffie-Hellman để cài đặt độ mạnh của khóa.

Nhấp vào [OK].


Khi cài đặt [IKE Mode] thành [Main] trên màn hình [IKE] và cài đặt [Authentication Method] thành [Pre-Shared Key Method], thì áp dụng các hạn chế sau đây khi đăng ký nhiều chính sách bảo mật. Phương thức khóa chia sẻ trước: khi chỉ định nhiều địa chỉ IP từ xa mà một chính sách bảo mật sẽ được áp dụng, tất cả các khóa chia sẻ cho chính sách bảo mật đó đều giống nhau (điều này không áp dụng khi chỉ định một địa chỉ đơn). Ưu tiên: khi chỉ định nhiều địa chỉ IP từ xa mà một chính sách bảo mật sẽ được áp dụng, thì mức độ ưu tiên của chính sách bảo mật đó nằm ở vị trí thấp hơn các chính sách bảo mật mà một địa chỉ đơn được chỉ định.

Khi cài đặt [IKE Mode] thành [Main] trên màn hình [IKE] và cài đặt [Authentication Method] thành [Pre-Shared Key Method], thì áp dụng các hạn chế sau đây khi đăng ký nhiều chính sách bảo mật.

Phương thức khóa chia sẻ trước: khi chỉ định nhiều địa chỉ IP từ xa mà một chính sách bảo mật sẽ được áp dụng, tất cả các khóa chia sẻ cho chính sách bảo mật đó đều giống nhau (điều này không áp dụng khi chỉ định một địa chỉ đơn).

Ưu tiên: khi chỉ định nhiều địa chỉ IP từ xa mà một chính sách bảo mật sẽ được áp dụng, thì mức độ ưu tiên của chính sách bảo mật đó nằm ở vị trí thấp hơn các chính sách bảo mật mà một địa chỉ đơn được chỉ định.

Cấu hình cài đặt giao tiếp IPSec.

Nhấp vào [IPSec Network Settings].

Cấu hình cài đặt cần thiết.

[Validity]

Cài đặt khoảng thời gian hết hạn của IPSec SA được tạo. Đảm bảo cài đặt [Time] hoặc [Size]. Nếu bạn cài đặt cả hai, thì áp dụng cài đặt có giá trị đạt được đầu tiên.

[PFS]

Nếu bạn chọn [Use PFS], thì tính bí mật của khóa mã hóa tăng lên nhưng tốc độ giao tiếp chậm hơn. Ngoài ra, phải bật chức năng Perfect Forward Secrecy (PFS) trên thiết bị giao tiếp ngang hàng.

[Authentication/Encryption Algorithm]

Chọn [Auto] hoặc [Manual Settings] để cài đặt cách thức chỉ định thuật toán xác thực và mã hóa cho IKE giai đoạn 2. Nếu bạn chọn [Auto], thì thuật toán mã hóa và xác thực ESP được tự động cài đặt. Nếu bạn muốn chỉ định một phương thức xác thực cụ thể, hãy chọn [Manual Settings] và chọn một trong các phương pháp xác thực bên dưới.

[ESP]	Thực hiện cả xác thực và mã hóa. Chọn thuật toán cho [ESP Authentication] và [ESP Encryption]. Chọn [NULL] nếu bạn không muốn cài đặt thuật toán xác thực hoặc mã hóa.
[ESP (AES-GCM)]	Sử dụng chuẩn AES-GCM làm thuật toán ESP, và thực hiện cả xác thực và mã hóa.
[AH (SHA1)]	Thực hiện xác thực, nhưng dữ liệu không được mã hóa. Sử dụng SHA1 làm thuật toán.

Nhấp vào [OK].

Bật các chính sách đã đăng ký và kiểm tra thứ tự ưu tiên.

Áp dụng các chính sách theo thứ tự được liệt kê, bắt đầu từ trên cùng. Nếu bạn muốn thay đổi thứ tự ưu tiên, hãy chọn một chính sách trong danh sách và nhấp vào [Raise Priority] hoặc [Lower Priority].


Quản lý các chính sách IPSec Bạn có thể chỉnh sửa các chính sách trên màn hình hiển thị ở bước 4. Để sửa chi tiết của chính sách, nhấp vào tên chính sách trong danh sách. Để tắt một chính sách, nhấp vào tên chính sách trong danh sách chọn [Off] cho [Policy On/Off] nhấp vào [OK]. Để xóa một chính sách, chọn chính sách trong danh sách nhấp vào [Delete] [OK]. Sử dụng bảng điều khiển Bạn cũng có thể bật hoặc tắt giao tiếp IPSec từ <Đặt> trong màn hình <Home>. <Cài Đặt IPSec> Nhập hàng loạt/xuất hàng loạt Có thể nhập/xuất cài đặt này với các mẫu máy hỗ trợ nhập hàng loạt cài đặt này. Nhập/Xuất dữ liệu cài đặt Cài đặt này có trong [Settings/Registration Basic Information] khi xuất hàng loạt. Nhập/Xuất tất cả cài đặt

Quản lý các chính sách IPSec

Bạn có thể chỉnh sửa các chính sách trên màn hình hiển thị ở bước 4.

Để sửa chi tiết của chính sách, nhấp vào tên chính sách trong danh sách.

Để tắt một chính sách, nhấp vào tên chính sách trong danh sách

chọn [Off] cho [Policy On/Off]

nhấp vào [OK].

Để xóa một chính sách, chọn chính sách trong danh sách

nhấp vào [Delete]

[OK].

Sử dụng bảng điều khiển

Bạn cũng có thể bật hoặc tắt giao tiếp IPSec từ <Đặt> trong màn hình <Home>. <Cài Đặt IPSec>

Nhập hàng loạt/xuất hàng loạt

Có thể nhập/xuất cài đặt này với các mẫu máy hỗ trợ nhập hàng loạt cài đặt này. Nhập/Xuất dữ liệu cài đặt

Cài đặt này có trong [Settings/Registration Basic Information] khi xuất hàng loạt. Nhập/Xuất tất cả cài đặt