Konfigurace nastavení IPSec
Internet Protocol Security (IPSec nebo IPsec) je sada protokolů pro šifrování dat přenášených prostřednictvím sítě, včetně internetových sítí. Zatímco protokol TLS šifruje pouze data používaná v konkrétní aplikaci, jako je například webový prohlížeč nebo e-mailová aplikace, protokol IPSec šifruje celé IP pakety nebo jejich datové části a poskytuje tak univerzálnější systém zabezpečení. Sada protokolů IPSec zařízení pracuje v transportním režimu, ve kterém jsou šifrovány datové části IP paketů. Zařízení se může díky této funkci připojit přímo k počítači ve stejné virtuální privátní síti (VPN). Zkontrolujte požadavky na systém a nakonfigurujte nejprve počítač a až poté zařízení.
|
|
Použití protokolu IPSec s filtrem adres IPPřed zásadami protokolu IPSec se použijí nastavení filtru adres IP. Zadání adres IP pro nastavení brány firewall
|
Konfigurace nastavení IPSec
Než začnete používat protokol IPSec pro šifrování komunikace, je třeba nejprve uložit zásady zabezpečení (SP). Zásady zabezpečení sestávají ze skupin následujících nastavení. Jakmile zásady uložíte, zadejte pořadí, v jakém mají být použity.
Přepínač
Přepínač slouží k definování podmínek, za jakých mají IP pakety použít komunikaci IPSec. Volitelné podmínky zahrnují adresy IP a čísla portů zařízení a také zařízení, se kterými je možné komunikovat.
IKE
IKE nakonfiguruje verzi protokolu IKEv1, který slouží pro výměnu klíčů. Pokyny se liší v závislosti na vybrané metodě ověřování.
[Metoda předsdíleného klíče (Pre-Shared Key Method)]
Tato metoda ověřování využívá ke komunikaci mezi tímto zařízením a dalšími zařízeními společné slovo, nazývané sdílený klíč. Před zadáním této metody ověřování povolte funkci TLS pro Vzdálené UR (Konfigurace klíče a certifikátu pro protokol TLS).
Tato metoda ověřování využívá ke komunikaci mezi tímto zařízením a dalšími zařízeními společné slovo, nazývané sdílený klíč. Před zadáním této metody ověřování povolte funkci TLS pro Vzdálené UR (Konfigurace klíče a certifikátu pro protokol TLS).
[Metoda digitálního podpisu (Digital Signature Method)]
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů. Předem vygenerujte nebo nainstalujte klíč a certifikát (Uložení klíče a certifikátu pro síťovou komunikaci).
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů. Předem vygenerujte nebo nainstalujte klíč a certifikát (Uložení klíče a certifikátu pro síťovou komunikaci).
AH/ESP
Zadejte nastavení pro hlavičky AH/ESP, které jsou přidány do paketů během komunikace IPSec. Současně lze zadat jak hlavičku AH, tak hlavičku ESP. Můžete také vybrat, zda povolit metodu PFS pro větší bezpečnost.
|
|
|
Další informace o základních operacích, které se provádějí při nastavování zařízení ze Vzdáleného UR, najdete v části Nastavení možností nabídky prostřednictvím Vzdáleného UR.
|
1
Spusťte Vzdálené UR a přihlaste se do Režimu správce systému. Spuštění Vzdáleného UR
2
Klikněte na [Nastavení/Uložení (Settings/Registration)] na stránce portálu. Obrazovka Vzdáleného UR
3
Vyberte možnost [Nastavení sítě (Network Settings)] 
[Nastavení IPSec (IPSec Settings)].
[Nastavení IPSec (IPSec Settings)].4
Klikněte na [Editovat (Edit)].
5
Zaškrtněte políčko [Použít IPSec (Use IPSec)] a klikněte na [OK (OK)].
Pokud chcete, aby zařízení přijímalo pouze pakety odpovídající jedné ze zásad zabezpečení definovaných v následujících krocích, zrušte zaškrtnutí políčka [Přijmout pakety bez zásad (Receive Non-Policy Packets)].
6
Klikněte na [Uložit nové zásady (Register New Policy)].
7
Zadejte nastavení zásad.
|
1
|
V textovém poli [Název zásad (Policy Name)] zadejte formou alfanumerických znaků jméno, pomocí kterého bude možné zásadu identifikovat.
|
|
2
|
Zaškrtněte políčko [Umožnit zásady zabezpečení (Enable Policy)].
|
8
Zadejte nastavení přepínače.
[Lokální adresa (Local Address)]
Klikněte na přepínač a nastavte typ IP adresy zařízení, pro které se má zásada použít.
Klikněte na přepínač a nastavte typ IP adresy zařízení, pro které se má zásada použít.
|
[Všechny adresy IP (All IP Addresses)]
|
Vyberte, chcete-li pro všechny IP pakety použít IPSec.
|
|
[Adresa IPv4 (IPv4 Address)]
|
Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adresy IPv4 zařízení nebo z ní.
|
|
[Adresa IPv6 (IPv6 Address)]
|
Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adresy IPv6 zařízení nebo z ní.
|
[Vzdálená adresa (Remote Address)]
Klikněte na přepínač a nastavte typ IP adresy dalších zařízení, pro která se má zásada použít.
Klikněte na přepínač a nastavte typ IP adresy dalších zařízení, pro která se má zásada použít.
|
[Všechny adresy IP (All IP Addresses)]
|
Vyberte, chcete-li pro všechny IP pakety použít IPSec.
|
|
[Všechny adresy IPv4 (All IPv4 Addresses)]
|
Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adres IPv4 ostatních zařízení nebo z nich.
|
|
[Všechny adresy IPv6 (All IPv6 Addresses)]
|
Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adres IPv6 ostatních zařízení nebo z nich.
|
|
[Ruční nastavení IPv4 (IPv4 Manual Settings)]
|
Vyberte, chcete-li zadat jednu IPv4 adresu nebo rozsah IPv4 adres, pro které se má použít protokol IPSec. Zadejte adresu IPv4 (nebo rozsah) do textového pole [Adresy k ručnímu nastavení (Addresses to Set Manually)].
|
|
[Ruční nastavení IPv6 (IPv6 Manual Settings)]
|
Vyberte, chcete-li zadat jednu IPv6 adresu nebo rozsah IPv6 adres, pro které se má použít protokol IPSec. Zadejte adresu IPv6 (nebo rozsah) do textového pole [Adresy k ručnímu nastavení (Addresses to Set Manually)].
|
[Adresy k ručnímu nastavení (Addresses to Set Manually)]
Je-li v části [Vzdálená adresa (Remote Address)] vybrána možnost [Ruční nastavení IPv4 (IPv4 Manual Settings)] nebo [Ruční nastavení IPv6 (IPv6 Manual Settings)], zadejte IP adresu, pro kterou mají být zásady použity. Můžete také zadat rozsah adres. Jednotlivé adresy oddělujte pomlčkou.
Je-li v části [Vzdálená adresa (Remote Address)] vybrána možnost [Ruční nastavení IPv4 (IPv4 Manual Settings)] nebo [Ruční nastavení IPv6 (IPv6 Manual Settings)], zadejte IP adresu, pro kterou mají být zásady použity. Můžete také zadat rozsah adres. Jednotlivé adresy oddělujte pomlčkou.
Zadání IP adres
|
Popis
|
Příklad
|
|
|
Zadání jedné adresy
|
IPv4:
Čísla oddělujte tečkami. |
192.168.0.10
|
|
IPv6:
Alfanumerické znaky oddělujte dvojtečkami. |
fe80::10
|
|
|
Zadání rozsahu adres
|
Mezi jednotlivé adresy vkládejte pomlčku.
|
192.168.0.10-192.168.0.20
|
[Nastavení podsítě (Subnet Settings)]
Pokud zadáváte adresu IPv4 ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
Pokud zadáváte adresu IPv4 ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
[Délka prefixu (Prefix Length)]
Při ručním zadávání rozsahu adres IPv6 můžete rozsah zadat také pomocí předčíslí. Délku předčíslí zadejte pomocí rozsahu hodnot 0 až 128.
Při ručním zadávání rozsahu adres IPv6 můžete rozsah zadat také pomocí předčíslí. Délku předčíslí zadejte pomocí rozsahu hodnot 0 až 128.
[Lokální port (Local Port)]/[Vzdálený port (Remote Port)]
Chcete-li pro jednotlivé protokoly vytvořit samostatné zásady, např. protokol HTTP nebo WSD, zadejte příslušné číslo portu pro jednotlivé protokoly, aby bylo možné určit, pro který se má použít protokol IPSec.
Chcete-li pro jednotlivé protokoly vytvořit samostatné zásady, např. protokol HTTP nebo WSD, zadejte příslušné číslo portu pro jednotlivé protokoly, aby bylo možné určit, pro který se má použít protokol IPSec.
Protokol IPSec se nepoužije u následujících paketů
Pakety zpětné smyčky, vícesměrového a všesměrového vysílání
Pakety IKE (využívající protokol UDP na portu 500)
Pakety oslovení souseda a inzerování souseda ICMPv6
9
Zadejte nastavení IKE.
[Režim IKE (IKE Mode)]
Zobrazí se režim, který se používá pro protokol výměny klíčů. Zařízení podporuje hlavní režim, nikoli agresivní režim.
Zobrazí se režim, který se používá pro protokol výměny klíčů. Zařízení podporuje hlavní režim, nikoli agresivní režim.
[Způsob ověření (Authentication Method)]
Vyberte [Metoda předsdíleného klíče (Pre-Shared Key Method)] nebo [Metoda digitálního podpisu (Digital Signature Method)] pro metodu, která se má použít při ověřování zařízení. Před výběrem možnosti [Metoda předsdíleného klíče (Pre-Shared Key Method)] musíte nejprve povolit TLS pro Vzdálené UR. Před výběrem možnosti [Metoda digitálního podpisu (Digital Signature Method)] musíte vygenerovat nebo nainstalovat klíč a certifikát. Konfigurace klíče a certifikátu pro protokol TLS
Vyberte [Metoda předsdíleného klíče (Pre-Shared Key Method)] nebo [Metoda digitálního podpisu (Digital Signature Method)] pro metodu, která se má použít při ověřování zařízení. Před výběrem možnosti [Metoda předsdíleného klíče (Pre-Shared Key Method)] musíte nejprve povolit TLS pro Vzdálené UR. Před výběrem možnosti [Metoda digitálního podpisu (Digital Signature Method)] musíte vygenerovat nebo nainstalovat klíč a certifikát. Konfigurace klíče a certifikátu pro protokol TLS
[Platí pro (Valid for)]
Zadejte délku relace pro IKE SA (ISAKMP SA). Zadejte čas v minutách.
Zadejte délku relace pro IKE SA (ISAKMP SA). Zadejte čas v minutách.
[Ověření (Authentication)]/[Šifrování (Encryption)]/[DH Group (DH Group)]
Vyberte algoritmus z rozevíracího seznamu. Každý z algoritmů se používá při výměně klíčů.
Vyberte algoritmus z rozevíracího seznamu. Každý z algoritmů se používá při výměně klíčů.
|
[Ověření (Authentication)]
|
Vyberte algoritmus hash.
|
|
[Šifrování (Encryption)]
|
Vyberte algoritmus šifrování.
|
|
[DH Group (DH Group)]
|
Vyberte skupinu Diffie-Hellman, která určuje sílu klíče.
|
Ověření zařízení pomocí předsdíleného klíče
|
1
|
Klikněte na přepínač [Metoda předsdíleného klíče (Pre-Shared Key Method)] v části [Způsob ověření (Authentication Method)] a poté klikněte na [Nastavení sdíleného klíče (Shared Key Settings)].
|
|
2
|
Formou alfanumerických znaků zadejte předsdílený klíč a klikněte na [OK (OK)].
|
|
3
|
Zadejte nastavení [Platí pro (Valid for)] a [Ověření (Authentication)]/[Šifrování (Encryption)]/[DH Group (DH Group)].
|
Ověření zařízení pomocí digitálního podpisu
|
1
|
Klikněte na přepínač [Metoda digitálního podpisu (Digital Signature Method)] v části [Způsob ověření (Authentication Method)] a poté klikněte na [Klíč a certifikát (Key and Certificate)].
|
|
2
|
Klikněte na [Uložit výchozí klíč (Register Default Key)] nacházející se vpravo od klíče a certifikátu, které chcete použít.
Zobrazení podrobností o certifikátu
Máte možnost zkontrolovat podrobné informace o certifikátu nebo můžete certifikát ověřit kliknutím na příslušný textový odkaz pod možností [Název klíče (Key Name)] nebo na ikonu certifikátu.
|
|
3
|
Zadejte nastavení [Platí pro (Valid for)] a [Ověření (Authentication)]/[Šifrování (Encryption)]/[DH Group (DH Group)].
|
10
Zadejte nastavení sítě IPSec.
[Použít PFS (Use PFS)]
Zaškrtnutím políčka povolíte metodu PFS (Perfect Forward Secrecy) pro klíče relace IPSec. Povolení metody PFS zvyšuje zabezpečení, ale zároveň zvyšuje i zatížení sítě. Ujistěte se, že je metoda PFS povolena také pro ostatní zařízení.
Zaškrtnutím políčka povolíte metodu PFS (Perfect Forward Secrecy) pro klíče relace IPSec. Povolení metody PFS zvyšuje zabezpečení, ale zároveň zvyšuje i zatížení sítě. Ujistěte se, že je metoda PFS povolena také pro ostatní zařízení.
[Zadat dle času (Specify by Time)]/[Zadat dle velikosti (Specify by Size)]
Zadejte podmínky pro ukončení relace pro IPSec SA. IPSec SA se používá jako komunikační tunel. Podle potřeby zaškrtněte jedno nebo obě tato políčka. Pokud zaškrtnete obě políčka, relace IPSec SA se ukončí, jakmile bude jedna z podmínek splněna.
Zadejte podmínky pro ukončení relace pro IPSec SA. IPSec SA se používá jako komunikační tunel. Podle potřeby zaškrtněte jedno nebo obě tato políčka. Pokud zaškrtnete obě políčka, relace IPSec SA se ukončí, jakmile bude jedna z podmínek splněna.
|
[Zadat dle času (Specify by Time)]
|
Zadejte dobu trvání relace v minutách.
|
|
[Zadat dle velikosti (Specify by Size)]
|
Zadejte velikost v megabytech, která určí, jaký objem dat může být během relace přenesen.
|
[Vybrat algoritmus (Select Algorithm)]
Zaškrtněte políčko nebo políčka [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] nebo [AH (SHA1) (AH (SHA1))] v závislosti na hlavičce IPSec a používaném algoritmu. AES-GCM je algoritmus pro ověřování i pro šifrování. Zaškrtnete-li políčko [ESP (ESP)], vyberte také algoritmy pro ověřování a šifrování z rozevíracích seznamů [Ověření ESP (ESP Authentication)] a [Šifrování ESP (ESP Encryption)].
Zaškrtněte políčko nebo políčka [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] nebo [AH (SHA1) (AH (SHA1))] v závislosti na hlavičce IPSec a používaném algoritmu. AES-GCM je algoritmus pro ověřování i pro šifrování. Zaškrtnete-li políčko [ESP (ESP)], vyberte také algoritmy pro ověřování a šifrování z rozevíracích seznamů [Ověření ESP (ESP Authentication)] a [Šifrování ESP (ESP Encryption)].
|
[Ověření ESP (ESP Authentication)]
|
Chcete-li povolit ověřování ESP, vyberte pro hashovací algoritmus možnost [SHA1 (SHA1)]. Pokud chcete ověřování ESP zakázat, vyberte [Nepoužít (Do Not Use)].
|
|
[Šifrování ESP (ESP Encryption)]
|
Vyberte algoritmus šifrování pro ESP. Pokud nechcete zadat algoritmus, vyberte možnost [NULL (NULL)]. Chcete-li zakázat šifrování ESP, vyberte možnost [Nepoužít (Do Not Use)].
|
[Režim připojení (Connection Mode)]
Zobrazí se režim připojení protokolu IPSec. Zařízení podporuje transportní režim, ve kterém jsou šifrovány datové části IP paketů. Tunelový režim, ve kterém jsou celé IP pakety (hlavičky i datové části) zapouzdřeny, není dostupný.
Zobrazí se režim připojení protokolu IPSec. Zařízení podporuje transportní režim, ve kterém jsou šifrovány datové části IP paketů. Tunelový režim, ve kterém jsou celé IP pakety (hlavičky i datové části) zapouzdřeny, není dostupný.
11
Klikněte na [OK (OK)].
Pokud potřebujete uložit další zásady zabezpečení, vraťte se ke kroku 6.
12
Uspořádejte pořadí zásad v seznamu [Uložené zásady IPSec (Registered IPSec Policies)].
Zásady jsou používány v pořadí od nejvyšší pozice k nejnižší. Kliknutím na [Nahoru (Up)] nebo [Dolů (Down)] změníte pořadí zásady směrem nahoru nebo dolů.
Úprava zásady
Kliknutím na odpovídající textový odkaz pod položkou [Název zásad (Policy Name)] otevřete obrazovku pro úpravy.
Odstranění zásady
Klikněte na tlačítko [Smazat (Delete)] nacházející se vpravo od názvu zásady, kterou chcete smazat klikněte na [OK (OK)].
klikněte na [OK (OK)].13
Restartujte zařízení.
Vypněte zařízení, počkejte nejméně 10 sekund a opět jej zapněte.
|
|
Použití ovládacího paneluPomocí možnosti <Nabídka (Menu)> na obrazovce Domů (Home) také můžete povolit nebo zakázat komunikaci IPSec. <Použít IPSec (Use IPSec)>
|