Konfigurieren von IPSec-Einstellungen
Internet Protocol Security (IPSec oder IPsec) ist eine Protokollsuite für die Verschlüsselung der über Netzwerke und Internet-Netzwerke übermittelten Daten. Während TLS nur Daten verschlüsselt, die in einer bestimmten Anwendung wie einem Webbrowser oder einer E-Mail-Anwendung verwendet werden, verschlüsselt IPSec ganze IP-Pakete oder die Nutzdaten von IP-Paketen und stellt somit ein flexibleres Sicherheitssystem bereit. Das IPSec-Protokoll des Geräts funktioniert im Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Dank dieser Funktion kann das Gerät direkt mit einem Computer in demselben VPN (Virtuelles Privates Netzwerk) verbunden werden. Prüfen Sie die Systemanforderungen, und legen Sie am Computer die erforderlichen Einstellungen fest, bevor Sie das Gerät konfigurieren.
|
|
Verwenden von IPSec mit IP-AdressfilterungIP-Adressfiltereinstellungen haben Vorrang vor den IPSec-Richtlinien. Festlegen von IP-Adressen für Firewall-Einstellungen
|
Konfigurieren von IPSec-Einstellungen
Bevor Sie IPSec für die verschlüsselte Kommunikation verwenden können, müssen Sie Sicherheitsrichtlinien speichern. Eine Sicherheitsrichtlinie besteht aus Gruppen von Einstellungen (siehe die Erläuterungen unten). Geben Sie nach dem Speichern von Richtlinien an, in welcher Reihenfolge diese angewendet werden sollen.
Selektor
Der Selektor definiert die Bedingungen, unter denen für IP-Pakete die IPSec-Kommunikation verwendet wird. Zu den auswählbaren Bedingungen gehören IP-Adressen und Portnummern dieses Geräts und der Geräte, mit denen es kommunizieren soll.
IKE
IKE konfiguriert das Schlüsselaustauschprotokoll IKEv1. Beachten Sie, dass sich die Anweisungen je nach gewählter Authentisierungsmethode unterscheiden.
[Methode Pre-Shared Key (Pre-Shared Key Method)]
Diese Authentisierungsmethode verwendet ein gemeinsames Schlüsselwort (Gemeinsamer Schlüssel) für die Kommunikation zwischen dem Gerät und anderen Geräten. Aktivieren Sie TLS für Remote UI, bevor Sie diese Authentisierungsmethode festlegen (Konfigurieren des Schlüssels und des Zertifikats für TLS).
Diese Authentisierungsmethode verwendet ein gemeinsames Schlüsselwort (Gemeinsamer Schlüssel) für die Kommunikation zwischen dem Gerät und anderen Geräten. Aktivieren Sie TLS für Remote UI, bevor Sie diese Authentisierungsmethode festlegen (Konfigurieren des Schlüssels und des Zertifikats für TLS).
[Methode digitale Signatur (Digital Signature Method)]
Dieses Gerät und die anderen Geräte authentisieren einander, indem sie ihre digitalen Signaturen gegenseitig verifizieren. Generieren oder installieren Sie vorab den Schlüssel und das Zertifikat (Registrieren des Schlüssels und des Zertifikats für die Netzwerkkommunikation).
Dieses Gerät und die anderen Geräte authentisieren einander, indem sie ihre digitalen Signaturen gegenseitig verifizieren. Generieren oder installieren Sie vorab den Schlüssel und das Zertifikat (Registrieren des Schlüssels und des Zertifikats für die Netzwerkkommunikation).
AH/ESP
Legen Sie die Einstellungen für die AH-/ESP-Angaben fest, die während der IPSec-Kommunikation zu den Paketen hinzugefügt werden. AH und ESP können gleichzeitig verwendet werden. Sie können auch angeben, ob für eine größere Sicherheit PFS aktiviert sein soll.
|
|
|
Weitere Informationen über die Grundfunktionen, die bei der Konfiguration des Geräts über die Remote UI auszuführen sind, finden Sie unter Einstellen von Menüoptionen über Remote UI.
|
1
Starten Sie Remote UI, und melden Sie sich im Modus Systemmanager an. Starten von Remote UI
2
Klicken Sie auf der Portalseite auf [Einstellungen/Registrierung (Settings/Registration)]. Remote UI-Bildschirm
3
Wählen Sie [Netzwerkeinstellungen (Network Settings)] 
[IPSec-Einstellungen (IPSec Settings)].
[IPSec-Einstellungen (IPSec Settings)].4
Klicken Sie auf [Bearbeiten (Edit)].
5
Aktivieren Sie das Kontrollkästchen [IPSec verwenden (Use IPSec)], und klicken Sie auf [OK (OK)].
Wenn das Gerät nur Pakete empfangen soll, die einer der in den Schritten unten festgelegten Sicherheitsrichtlinien entsprechen, deaktivieren Sie das Kontrollkästchen [Empf. von Pak. ohne Richtlinie (Receive Non-Policy Packets)].
6
Klicken Sie auf [Neue Richtlinie speichern (Register New Policy)].
7
Legen Sie die Einstellungen für die Richtlinie fest.
|
1
|
Geben Sie in das Textfeld [Name Richtlinie (Policy Name)] alphanumerische Zeichen für den Richtliniennamen ein.
|
|
2
|
Aktivieren Sie das Kontrollkästchen [Richtlinie aktivieren (Enable Policy)].
|
8
Legen Sie die Einstellungen für den Selektor fest.
[Lokale Adresse (Local Address)]
Klicken Sie auf das Optionsfeld für den IP-Adresstyp dieses Geräts, auf den die Richtlinie angewendet werden soll.
Klicken Sie auf das Optionsfeld für den IP-Adresstyp dieses Geräts, auf den die Richtlinie angewendet werden soll.
|
[Alle IP-Adressen (All IP Addresses)]
|
Wählen Sie diese Einstellung, wenn IPSec für alle IP-Pakete verwendet werden soll.
|
|
[IPv4-Adresse (IPv4 Address)]
|
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von der IPv4-Adresse des Geräts gesendeten IP-Pakete verwendet werden soll.
|
|
[IPv6-Adresse (IPv6 Address)]
|
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von der IPv6-Adresse des Geräts gesendeten IP-Pakete verwendet werden soll.
|
[Remote-Adresse (Remote Address)]
Klicken Sie auf das Optionsfeld für den IP-Adresstyp der anderen Geräte, auf den die Richtlinie angewendet werden soll.
Klicken Sie auf das Optionsfeld für den IP-Adresstyp der anderen Geräte, auf den die Richtlinie angewendet werden soll.
|
[Alle IP-Adressen (All IP Addresses)]
|
Wählen Sie diese Einstellung, wenn IPSec für alle IP-Pakete verwendet werden soll.
|
|
[Alle IPv4-Adressen (All IPv4 Addresses)]
|
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von den IPv4-Adressen der anderen Geräte gesendeten IP-Pakete verwendet werden soll.
|
|
[Alle IPv6-Adressen (All IPv6 Addresses)]
|
Wählen Sie diese Einstellung, wenn IPSec für alle an die und von den IPv6-Adressen der anderen Geräte gesendeten IP-Pakete verwendet werden soll.
|
|
[Manuelle Einstellungen IPv4 (IPv4 Manual Settings)]
|
Wählen Sie diese Einstellung, wenn Sie eine IPv4-Adresse oder einen Bereich von IPv4-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv4-Adresse (oder den Bereich) in das Textfeld [Adressen, die manuell eingestellt werden (Addresses to Set Manually)] ein.
|
|
[Manuelle Einstellungen IPv6 (IPv6 Manual Settings)]
|
Wählen Sie diese Einstellung, wenn Sie eine IPv6-Adresse oder einen Bereich von IPv6-Adressen angeben möchten, für die IPSec verwendet werden soll. Geben Sie die IPv6-Adresse (oder den Bereich) in das Textfeld [Adressen, die manuell eingestellt werden (Addresses to Set Manually)] ein.
|
[Adressen, die manuell eingestellt werden (Addresses to Set Manually)]
Wenn Sie für [Manuelle Einstellungen IPv4 (IPv4 Manual Settings)] die Einstellung [Manuelle Einstellungen IPv6 (IPv6 Manual Settings)] oder [Remote-Adresse (Remote Address)] gewählt haben, geben Sie die IP-Adresse ein, auf die die Richtlinie angewendet werden soll. Sie können auch einen Adressbereich eingeben, indem Sie zwischen den Adressen einen Bindestrich einfügen.
Wenn Sie für [Manuelle Einstellungen IPv4 (IPv4 Manual Settings)] die Einstellung [Manuelle Einstellungen IPv6 (IPv6 Manual Settings)] oder [Remote-Adresse (Remote Address)] gewählt haben, geben Sie die IP-Adresse ein, auf die die Richtlinie angewendet werden soll. Sie können auch einen Adressbereich eingeben, indem Sie zwischen den Adressen einen Bindestrich einfügen.
Eingeben von IP-Adressen
|
Beschreibung
|
Beispiel
|
|
|
Eingeben einer Adresse
|
IPv4:
Verwenden Sie Punkte als Trennzeichen für die Zahlen. |
192.168.0.10
|
|
IPv6:
Verwenden Sie Doppelpunkte als Trennzeichen für die alphanumerischen Zeichen. |
fe80::10
|
|
|
Angeben eines Adressbereichs
|
Fügen Sie zwischen den Adressen einen Bindestrich ein.
|
192.168.0.10-192.168.0.20
|
[Einstellungen Subnetz (Subnet Settings)]
Wenn Sie manuell IPv4-Adressen festlegen, können Sie den Bereich über die Subnetmaske ausdrücken. Geben Sie die Subnetmaske mit Punkten zur Trennung der Zahlen ein (Beispiel: "255.255.255.240").
Wenn Sie manuell IPv4-Adressen festlegen, können Sie den Bereich über die Subnetmaske ausdrücken. Geben Sie die Subnetmaske mit Punkten zur Trennung der Zahlen ein (Beispiel: "255.255.255.240").
[Präfixlänge (Prefix Length)]
Bei der manuellen Angabe eines IPv6-Adressbereichs können Sie den Bereich auch mithilfe von Präfixen angeben. Geben Sie einen Bereich von 0 bis 128 als Präfixlänge ein.
Bei der manuellen Angabe eines IPv6-Adressbereichs können Sie den Bereich auch mithilfe von Präfixen angeben. Geben Sie einen Bereich von 0 bis 128 als Präfixlänge ein.
[Lokaler Port (Local Port)]/[Remote-Port (Remote Port)]
Wenn Sie für jedes Protokoll wie HTTP oder WSD eine eigene Richtlinie erstellen wollen, geben Sie die entsprechende Portnummer für das jeweilige Protokoll ein, um festzulegen, ob IPSec verwendet wird.
Wenn Sie für jedes Protokoll wie HTTP oder WSD eine eigene Richtlinie erstellen wollen, geben Sie die entsprechende Portnummer für das jeweilige Protokoll ein, um festzulegen, ob IPSec verwendet wird.
IPSec wird bei folgenden Paketen nicht angewendet
Loopback-, Multicast- und Rundsendungspakete
IKE-Pakete (mit UDP an Port 500)
Neighbor Solicitation- und Neighbor Advertisement-Pakete bei ICMPv6
9
Legen Sie die IKE-Einstellungen fest.
[IKE-Modus (IKE Mode)]
Der für das Schlüsselaustauschprotokoll verwendete Modus wird angezeigt. Das Gerät unterstützt den Hauptmodus, nicht den aggressiven Modus.
Der für das Schlüsselaustauschprotokoll verwendete Modus wird angezeigt. Das Gerät unterstützt den Hauptmodus, nicht den aggressiven Modus.
[Authentisierungsmethode (Authentication Method)]
Wählen Sie [Methode Pre-Shared Key (Pre-Shared Key Method)] oder [Methode digitale Signatur (Digital Signature Method)] als Methode für die Authentisierung des Geräts. Sie müssen TLS für Remote UI aktivieren, bevor Sie [Methode Pre-Shared Key (Pre-Shared Key Method)] auswählen. Sie müssen den Schlüssel und das Zertifikat generieren oder installieren, bevor Sie [Methode digitale Signatur (Digital Signature Method)] auswählen. Konfigurieren des Schlüssels und des Zertifikats für TLS
Wählen Sie [Methode Pre-Shared Key (Pre-Shared Key Method)] oder [Methode digitale Signatur (Digital Signature Method)] als Methode für die Authentisierung des Geräts. Sie müssen TLS für Remote UI aktivieren, bevor Sie [Methode Pre-Shared Key (Pre-Shared Key Method)] auswählen. Sie müssen den Schlüssel und das Zertifikat generieren oder installieren, bevor Sie [Methode digitale Signatur (Digital Signature Method)] auswählen. Konfigurieren des Schlüssels und des Zertifikats für TLS
[Gültig für (Valid for)]
Legen Sie fest, wie lange eine IKE-SA-Sitzung (ISAKMP-SA) dauert. Geben Sie die Dauer in Minuten ein.
Legen Sie fest, wie lange eine IKE-SA-Sitzung (ISAKMP-SA) dauert. Geben Sie die Dauer in Minuten ein.
[Authentisierung (Authentication)]/[Verschlüss. (Encryption)]/[DH-Gruppe (DH Group)]
Wählen Sie aus der Dropdown-Liste einen Algorithmus aus. Die einzelnen Algorithmen werden beim Schlüsselaustausch verwendet.
Wählen Sie aus der Dropdown-Liste einen Algorithmus aus. Die einzelnen Algorithmen werden beim Schlüsselaustausch verwendet.
|
[Authentisierung (Authentication)]
|
Wählen Sie den Hash-Algorithmus.
|
|
[Verschlüss. (Encryption)]
|
Wählen Sie den Verschlüsselungsalgorithmus.
|
|
[DH-Gruppe (DH Group)]
|
Wählen Sie die Diffie-Hellman-Gruppe, und legen Sie damit die Schlüsselstärke fest.
|
Authentisieren eines Geräts mithilfe eines Pre-Shared-Key
|
1
|
Klicken Sie auf das Optionsfeld [Methode Pre-Shared Key (Pre-Shared Key Method)] für [Authentisierungsmethode (Authentication Method)] und klicken Sie dann auf [Einstellungen Gemeinsamer Schlüssel (Shared Key Settings)].
|
|
2
|
Geben Sie alphanumerische Zeichen für den Pre-Shared-Key ein, und klicken Sie auf [OK (OK)].
|
|
3
|
Legen Sie die Einstellungen für [Gültig für (Valid for)] und [Authentisierung (Authentication)]/[Verschlüss. (Encryption)]/[DH-Gruppe (DH Group)] fest.
|
Authentisieren eines Geräts mithilfe der digitalen Signaturmethode
|
1
|
Klicken Sie auf das Optionsfeld [Methode digitale Signatur (Digital Signature Method)] für [Authentisierungsmethode (Authentication Method)] und klicken Sie dann auf [Schlüssel und Zertifikat (Key and Certificate)].
|
|
2
|
Klicken Sie rechts neben dem zu verwendenden Schlüssel und Zertifikat auf [Standardschlüssel registrieren (Register Default Key)].
Anzeigen von Details zu Zertifikaten
Sie können die Details zu dem Zertifikat anzeigen oder das Zertifikat verifizieren, indem Sie unter [Schlüsselname (Key Name)] auf den entsprechenden Textlink oder auf das Zertifikatsymbol klicken.
|
|
3
|
Legen Sie die Einstellungen für [Gültig für (Valid for)] und [Authentisierung (Authentication)]/[Verschlüss. (Encryption)]/[DH-Gruppe (DH Group)] fest.
|
10
Legen Sie die IPSec-Netzwerkeinstellungen fest.
[PFS verwenden (Use PFS)]
Aktivieren Sie das Kontrollkästchen, um PFS (Perfect Forward Secrecy) für IPSec-Sitzungsschlüssel zu aktivieren. Die Aktivierung von PFS verbessert die Sicherheit, erhöht jedoch auch den Kommunikationsaufwand. Vergewissern Sie sich, dass PFS auch für die anderen Geräte aktiviert ist.
Aktivieren Sie das Kontrollkästchen, um PFS (Perfect Forward Secrecy) für IPSec-Sitzungsschlüssel zu aktivieren. Die Aktivierung von PFS verbessert die Sicherheit, erhöht jedoch auch den Kommunikationsaufwand. Vergewissern Sie sich, dass PFS auch für die anderen Geräte aktiviert ist.
[Durch Zeit definieren (Specify by Time)]/[Durch Format definieren (Specify by Size)]
Legen Sie die Bedingungen für die Beendigung einer IPSec-SA-Sitzung fest. IPSec-SA wird als Kommunikationstunnel verwendet. Aktivieren Sie nach Bedarf eines oder beide Kontrollkästchen. Wenn Sie beide Kontrollkästchen aktivieren, wird die IPSec-SA-Sitzung beendet, sobald eine der beiden Bedingungen erfüllt ist.
Legen Sie die Bedingungen für die Beendigung einer IPSec-SA-Sitzung fest. IPSec-SA wird als Kommunikationstunnel verwendet. Aktivieren Sie nach Bedarf eines oder beide Kontrollkästchen. Wenn Sie beide Kontrollkästchen aktivieren, wird die IPSec-SA-Sitzung beendet, sobald eine der beiden Bedingungen erfüllt ist.
|
[Durch Zeit definieren (Specify by Time)]
|
Geben Sie in Minuten ein, wie lange eine Sitzung dauert.
|
|
[Durch Format definieren (Specify by Size)]
|
Geben Sie in MB ein, wie viele Daten während einer Sitzung übertragen werden können.
|
[Algorithmus wählen (Select Algorithm)]
Aktivieren Sie je nach dem verwendeten IPSec-Header und Algorithmus die Kontrollkästchen [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] oder [AH (SHA1) (AH (SHA1))]. AES-GCM ist ein Algorithmus für Authentisierung und Verschlüsselung. Wenn Sie [ESP (ESP)] wählen, wählen Sie zusätzlich die Algorithmen für Authentisierung und Verschlüsselung aus den Dropdown-Listen [ESP-Authentisierung (ESP Authentication)] und [ESP-Verschlüss. (ESP Encryption)] aus.
Aktivieren Sie je nach dem verwendeten IPSec-Header und Algorithmus die Kontrollkästchen [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] oder [AH (SHA1) (AH (SHA1))]. AES-GCM ist ein Algorithmus für Authentisierung und Verschlüsselung. Wenn Sie [ESP (ESP)] wählen, wählen Sie zusätzlich die Algorithmen für Authentisierung und Verschlüsselung aus den Dropdown-Listen [ESP-Authentisierung (ESP Authentication)] und [ESP-Verschlüss. (ESP Encryption)] aus.
|
[ESP-Authentisierung (ESP Authentication)]
|
Wenn Sie die ESP-Authentisierung aktivieren wollen, wählen Sie [SHA1 (SHA1)] als Hash-Algorithmus. Wählen Sie [Nicht verwenden (Do Not Use)], um die ESP-Authentisierung zu deaktivieren.
|
|
[ESP-Verschlüss. (ESP Encryption)]
|
Wählen Sie den Verschlüsselungsalgorithmus für ESP. Sie können [NULL (NULL)] wählen, wenn Sie den Algorithmus nicht festlegen möchten, oder [Nicht verwenden (Do Not Use)], wenn Sie die ESP-Verschlüsselung deaktivieren möchten.
|
[Anschlussmodus (Connection Mode)]
Der IPSec-Verbindungsmodus wird angezeigt. Das Gerät unterstützt den Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Der Tunnelmodus, bei dem ganze IP-Pakete (Header und Nutzdaten) verschlüsselt werden, steht nicht zur Verfügung.
Der IPSec-Verbindungsmodus wird angezeigt. Das Gerät unterstützt den Transportmodus, bei dem die Nutzdaten von IP-Paketen verschlüsselt werden. Der Tunnelmodus, bei dem ganze IP-Pakete (Header und Nutzdaten) verschlüsselt werden, steht nicht zur Verfügung.
11
Klicken Sie auf [OK (OK)].
Wenn Sie eine weitere Sicherheitsrichtlinie speichern müssen, fangen Sie wieder mit Schritt 6 an.
12
Legen Sie die Reihenfolge der unter [Gespeicherte IPSec-Richtlinien (Registered IPSec Policies)] aufgelisteten Richtlinien fest.
Die Richtlinien werden angefangen mit der ganz oben aufgeführten Richtlinie angewendet. Klicken Sie auf [Nach oben (Up)] oder [Nach unten (Down)], um eine Richtlinie in der Reihenfolge nach oben oder unten zu verschieben.
Bearbeiten einer Richtlinie
Klicken Sie auf den entsprechenden Textlink unter [Name Richtlinie (Policy Name)], um den Bearbeitungsbildschirm anzuzeigen.
Löschen von Richtlinien
Klicken Sie rechts neben dem Namen der zu löschenden Richtlinie auf [Löschen (Delete)] klicken Sie auf [OK (OK)].
klicken Sie auf [OK (OK)].13
Starten Sie das Gerät neu.
Schalten Sie das Gerät AUS, warten Sie mindestens 10 Sekunden, und schalten Sie es dann wieder EIN.
|
|
Verwenden des BedienfeldsSie können die IPSec-Kommunikation auch über <Menü (Menu)> auf dem Bildschirm Startseite (Home) aktivieren oder deaktivieren. <IPSec verwenden (Use IPSec)>
|