IPSec-asetusten määrittäminen
Internet Protocol Security (IPSec tai IPsec) on protokolla verkossa siirrettävien tietojen salaamiseen, mukaan lukien Internet-verkot. Siinä missä TLS salaa vain tietyn sovelluksen, kuten web-selaimen tai sähköpostisovelluksen käyttämät tiedot, IPSec salaa kaikki IP-paketit tai IP-pakettivirrat ja tarjoaa näin monipuolisemman suojausjärjestelmän. Laitteen IPSec-toiminto toimii siirtotilassa, jossa IP-pakettien virrat salataan. Tämän ominaisuuden avulla laite voi ottaa yhteyden suoraan tietokoneeseen, joka on samassa VPN (Virtual Private Network) -verkossa. Tarkista järjestelmävaatimukset ja aseta vaadittu kokoonpano tietokoneeseen ennen laitteen määrittämistä.
|
|
IPSec-toiminnon käyttäminen IP-osoitesuodattimen kanssaIP-osoitteen suodatuskäytännöt ohittavat IPSec-käytännöt. IP-osoitteiden määrittäminen palomuuriasetuksille
|
IPSec-asetusten määrittäminen
Ennen IPSec-protokollan käyttämistä salattuun tiedonsiirtoon sinun on tallennettava suojauskäytännöt (SP, security policies). Suojauskäytäntö toimintaohje koostuu ryhmästä asetuksia alla kuvatun mukaisesti. Määritä käytäntöjen tallentamisen jälkeen järjestys, jossa niitä käytetään.
Valitsin
Valitsin määrittää IP-pakettien ehdot, kun käytetään IPSec-tiedonsiirtoa. Valittavissa oleviin ehtoihin sisältyvät laitteen IP-osoitteet ja porttinumerot sekä laitteet joiden kanssa kommunikoidaan.
IKE
IKE määrittää IKEv1:n, jota käytetään avaimenvaihtoprotokollana. Huomaa, että ohjeet vaihtelevat valitun todennustavan mukaan.
[Esijaettu avain -menetelmä (Pre-Shared Key Method)]
Tämä todennustapa käyttää yhteistä avainsanaa, esijaettua avainta, tiedonsiirtoon laitteen ja muiden laitteiden välillä. Ota TLS käyttöön etäkäyttöliittymää varten ennen tämän todennustavan määrittämistä (TLS-avaimen ja -varmenteen määrittäminen).
Tämä todennustapa käyttää yhteistä avainsanaa, esijaettua avainta, tiedonsiirtoon laitteen ja muiden laitteiden välillä. Ota TLS käyttöön etäkäyttöliittymää varten ennen tämän todennustavan määrittämistä (TLS-avaimen ja -varmenteen määrittäminen).
[Digitaalinen allekirjoitus -menetelmä (Digital Signature Method)]
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Luo tai asenna avain ja varmenne etukäteen (Avaimen ja varmenteen tallentaminen verkossa tapahtuvalle tiedonsiirrolle).
Laite ja muut laitteet todentavat toisensa varmistamalla digitaaliset allekirjoituksensa keskenään. Luo tai asenna avain ja varmenne etukäteen (Avaimen ja varmenteen tallentaminen verkossa tapahtuvalle tiedonsiirrolle).
AH/ESP
Määritä AH/ESP-asetukset, jotka lisätään paketteihin IPSec-tiedonsiirron aikana. AH:ta ja ESP:tä voidaan käyttää samanaikaisesti. Voit myös valita, otetaanko PFS käyttöön turvallisuuden parantamiseksi.
|
|
|
Lisätietoja suoritettavista perustoimenpiteistä, kun laitteen asetukset tehdään etäkäyttöliittymästä on kohdassa Valikkoasetusten määrittäminen etäkäyttöliittymän kautta.
|
1
Käynnistä etäkäyttöliittymä ja kirjaudu sisään järjestelmänvalvojan tilassa. Etäkäyttöliittymän käynnistäminen
2
Napsauta [Asetukset/Tallennus (Settings/Registration)] portaalisivulla. Etäkäyttöliittymän näyttö
3
Valitse [Verkkoasetukset (Network Settings)] 
[IPSec-asetukset (IPSec Settings)].
[IPSec-asetukset (IPSec Settings)].4
Napsauta [Muokkaa (Edit)].
5
Valitse [Käytä IPSec-muotoa (Use IPSec)] -valintaruutu ja napsauta [OK (OK)].
Jos haluat, että laite vastaanottaa vain paketteja, jotka vastaavat yhtä alla olevissa vaiheissa määritettyä suojauskäytäntöä, poista valinta valintaruudusta [Epätavallisten pakettien vastaanotto (Receive Non-Policy Packets)].
6
Napsauta [Tallenna uusi toimintaohje (Register New Policy)].
7
Määritä käytännön asetukset.
|
1
|
Syötä [Toimintaohjeen nimi (Policy Name)] -tekstiruutuun aakkosnumeerisilla merkeillä nimi, jota käytetään käytännön tunnistamiseen.
|
|
2
|
Valitse [Ota käyttöön toimintaohje (Enable Policy)] -valintaruutu.
|
8
Määritä valitsimen asetukset.
[Paikallinen osoite (Local Address)]
Valitse valintanapilla, minkätyyppisiin laitteen IP-osoitteisiin toimintaohjetta käytetään.
Valitse valintanapilla, minkätyyppisiin laitteen IP-osoitteisiin toimintaohjetta käytetään.
|
[Kaikki IP-osoitteet (All IP Addresses)]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin.
|
|
[IPv4-osoite (IPv4 Address)]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv4-osoitteesta.
|
|
[IPv6-osoite (IPv6 Address)]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan laitteen IPv6-osoitteesta.
|
[Etäosoite (Remote Address)]
Valitse valintanapilla, minkätyyppisiin muiden laitteiden IP-osoitteisiin käytäntöä käytetään.
Valitse valintanapilla, minkätyyppisiin muiden laitteiden IP-osoitteisiin käytäntöä käytetään.
|
[Kaikki IP-osoitteet (All IP Addresses)]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin.
|
|
[Kaikki IPv4-osoitteet (All IPv4 Addresses)]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan muiden laitteiden IPv4-osoitteista.
|
|
[Kaikki IPv6-osoitteet (All IPv6 Addresses)]
|
Valitse, kun IPSec-protokollaa käytetään kaikkiin IP-paketteihin, jotka lähetetään tai vastaanotetaan muiden laitteiden IPv6-osoitteista.
|
|
[IPv4:n manuaaliset asetukset (IPv4 Manual Settings)]
|
Valitse tämä, kun haluat määrittää yksittäisen IPv4-osoitteen tai IPv4-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv4-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet (Addresses to Set Manually)] -tekstiruutuun.
|
|
[IPv6:n manuaaliset asetukset (IPv6 Manual Settings)]
|
Valitse tämä, kun haluat määrittää yksittäisen IPv6-osoitteen tai IPv6-osoitealueen, johon IPSec-protokollaa käytetään. Syötä IPv6-osoite (tai osoitealue) [Manuaalisesti asetettavat osoitteet (Addresses to Set Manually)] -tekstiruutuun.
|
[Manuaalisesti asetettavat osoitteet (Addresses to Set Manually)]
Jos [IPv4:n manuaaliset asetukset (IPv4 Manual Settings)] tai [IPv6:n manuaaliset asetukset (IPv6 Manual Settings)] on valittu kohdassa [Etäosoite (Remote Address)], syötä IP-osoite, johon toimintaohjetta käytetään. Voit myös syöttää osoitealueen lisäämällä tavuviivan osoitteiden väliin.
Jos [IPv4:n manuaaliset asetukset (IPv4 Manual Settings)] tai [IPv6:n manuaaliset asetukset (IPv6 Manual Settings)] on valittu kohdassa [Etäosoite (Remote Address)], syötä IP-osoite, johon toimintaohjetta käytetään. Voit myös syöttää osoitealueen lisäämällä tavuviivan osoitteiden väliin.
IP-osoitteiden syöttäminen
|
Kuvaus
|
Esimerkki
|
|
|
Yksittäisen osoitteen syöttäminen
|
IPv4:
Erota numerot pisteillä. |
192.168.0.10
|
|
IPv6:
Erota aakkosnumeeriset merkit kaksoispisteellä. |
fe80::10
|
|
|
Osoitealueen määrittäminen
|
Lisää tavuviiva osoitteiden väliin.
|
192.168.0.10–192.168.0.20
|
[Aliverkon asetukset (Subnet Settings)]
Kun määrität IPv4-osoitteen manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkiksi: "255.255.255.240").
Kun määrität IPv4-osoitteen manuaalisesti, voit ilmaista alueen käyttämällä aliverkon peitettä. Syötä aliverkon peite käyttäen pisteitä erottamassa numeroita (esimerkiksi: "255.255.255.240").
[Etuliitteen pituus (Prefix Length)]
Jos haluat määrittää IPv6-osoitealueen manuaalisesti, voit myös käyttää etuliitteen pituutta alueen määrittämiseen. Määritä etuliitteen pituus väliltä 0–128.
Jos haluat määrittää IPv6-osoitealueen manuaalisesti, voit myös käyttää etuliitteen pituutta alueen määrittämiseen. Määritä etuliitteen pituus väliltä 0–128.
[Paikallinen portti (Local Port)]/[Etäportti (Remote Port)]
Jos haluat luoda erilliset käytännöt kullekin protokollalle, kuten HTTP tai WSD, syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
Jos haluat luoda erilliset käytännöt kullekin protokollalle, kuten HTTP tai WSD, syötä asianmukainen porttinumero protokollalle sen määrittämiseksi, käytetäänkö IPSec-protokollaa.
IPSec-protokollaa ei käytetä seuraaviin paketteihin
Sisäinen, monilähetys ja sarjalähetys
IKE-paketit (käyttämällä UDP:tä portissa 500)
ICMPv6 Neighbor Solicitation- ja Neighbor Advertisement -paketit
9
Määritä IKE-asetukset.
[IKE-tila (IKE Mode)]
Avaintenvaihtoprotokollalle käytetty tila näytetään. Laite tukee päätilaa, ei aggressiivista tilaa.
Avaintenvaihtoprotokollalle käytetty tila näytetään. Laite tukee päätilaa, ei aggressiivista tilaa.
[Autentikointitapa (Authentication Method)]
Valitse laitteen todennustavaksi [Esijaettu avain -menetelmä (Pre-Shared Key Method)] tai [Digitaalinen allekirjoitus -menetelmä (Digital Signature Method)]. TLS täytyy ottaa käyttöön etäkäyttöliittymää varten, ennen kuin valitaan [Esijaettu avain -menetelmä (Pre-Shared Key Method)]. Avain ja varmenne täytyy luoda tai asentaa, ennen kuin valitaan [Digitaalinen allekirjoitus -menetelmä (Digital Signature Method)]. TLS-avaimen ja -varmenteen määrittäminen
Valitse laitteen todennustavaksi [Esijaettu avain -menetelmä (Pre-Shared Key Method)] tai [Digitaalinen allekirjoitus -menetelmä (Digital Signature Method)]. TLS täytyy ottaa käyttöön etäkäyttöliittymää varten, ennen kuin valitaan [Esijaettu avain -menetelmä (Pre-Shared Key Method)]. Avain ja varmenne täytyy luoda tai asentaa, ennen kuin valitaan [Digitaalinen allekirjoitus -menetelmä (Digital Signature Method)]. TLS-avaimen ja -varmenteen määrittäminen
[Voimassa (Valid for)]
Määritä, kuinka pitkään IKE SA (ISAKMP SA) -istunto kestää. Syötä aika minuutteina.
Määritä, kuinka pitkään IKE SA (ISAKMP SA) -istunto kestää. Syötä aika minuutteina.
[Autentikointi (Authentication)]/[Salaus (Encryption)]/[DH-ryhmä (DH Group)]
Valitse algoritmi avattavasta luettelosta. Kutakin algoritmia käytetään avainten vaihdossa.
Valitse algoritmi avattavasta luettelosta. Kutakin algoritmia käytetään avainten vaihdossa.
|
[Autentikointi (Authentication)]
|
Valitse hash-algoritmi.
|
|
[Salaus (Encryption)]
|
Valitse salausalgoritmi.
|
|
[DH-ryhmä (DH Group)]
|
Valitse Diffie-Hellman-ryhmä, joka määrittää avaimen vahvuuden.
|
Laitteen todentaminen valmiiksi jaetun avaimen avulla
|
1
|
Napsauta [Esijaettu avain -menetelmä (Pre-Shared Key Method)] -valintanappia kohdassa [Autentikointitapa (Authentication Method)] ja napsauta sitten [Jaetun avaimen asetukset (Shared Key Settings)].
|
|
2
|
Syötä esijaettu avain aakkosnumeerisilla merkeillä ja napsauta [OK (OK)].
|
|
3
|
Määritä asetukset [Voimassa (Valid for)] ja [Autentikointi (Authentication)]/[Salaus (Encryption)]/[DH-ryhmä (DH Group)].
|
Laitteen todentaminen digitaalisella allekirjoituksella
|
1
|
Napsauta [Digitaalinen allekirjoitus -menetelmä (Digital Signature Method)] -valintanappia kohdassa [Autentikointitapa (Authentication Method)] ja napsauta sitten [Avain ja varmenne (Key and Certificate)].
|
|
2
|
Napsauta [Tallenna oletusavain (Register Default Key)] käytettävän avaimen ja varmenteen oikealla puolella.
Varmenteen tietojen näyttäminen
Voit tarkistaa varmenteen tiedot tai varmistaa varmenteen napsauttamalla kohdan [Avaimen nimi (Key Name)] alla olevaa vastaavaa tekstilinkkiä tai varmenteen kuvaketta.
|
|
3
|
Määritä asetukset [Voimassa (Valid for)] ja [Autentikointi (Authentication)]/[Salaus (Encryption)]/[DH-ryhmä (DH Group)].
|
10
Määritä IPSec-verkkoasetukset.
[Käytä PFS:ää (Use PFS)]
Valitse tämä valintaruutu, kun haluat ottaa käyttöön PFS (Perfect Forward Secrecy) -toiminnon IPSec-istuntoavaimille. PFS:n käyttöön ottaminen parantaa turvallisuutta, mutta lisää tietoliikenteen kuormitusta. Varmista, että PFS on käytössä myös muissa laitteissa.
Valitse tämä valintaruutu, kun haluat ottaa käyttöön PFS (Perfect Forward Secrecy) -toiminnon IPSec-istuntoavaimille. PFS:n käyttöön ottaminen parantaa turvallisuutta, mutta lisää tietoliikenteen kuormitusta. Varmista, että PFS on käytössä myös muissa laitteissa.
[Määritä ajan mukaan (Specify by Time)]/[Määritä koon mukaan (Specify by Size)]
Aseta IPSec SA:lle istunnon lopettamisen ehdot. IPSec SA:ta käytetään tiedonsiirtotunnelina. Valitse toinen tai molemmat valintaruudut tarpeen mukaan. Jos molemmat valintaruudut on valittu, IPSec SA -istunto lopetetaan, kuin toinen ehdoista täyttyy.
Aseta IPSec SA:lle istunnon lopettamisen ehdot. IPSec SA:ta käytetään tiedonsiirtotunnelina. Valitse toinen tai molemmat valintaruudut tarpeen mukaan. Jos molemmat valintaruudut on valittu, IPSec SA -istunto lopetetaan, kuin toinen ehdoista täyttyy.
|
[Määritä ajan mukaan (Specify by Time)]
|
Syötä istunnon keston aika minuutteina.
|
|
[Määritä koon mukaan (Specify by Size)]
|
Syötä megatavuina tietomäärä, joka voidaan siirtää istunnon aikana.
|
[Valitse algoritmi (Select Algorithm)]
Valitse [ESP (ESP)]-, [ESP (AES-GCM) (ESP (AES-GCM))]- tai [AH (SHA1) (AH (SHA1))] -valintaruutu/-ruudut IPSec-otsikon ja käytetyn algoritmin mukaan. AES-GCM on algoritmi, jota käytetään sekä todennukseen että salaukseen. Jos [ESP (ESP)] on valittu, valitse myös algoritmit todennusta ja salausta varten avattavista luetteloista [ESP-autentikointi (ESP Authentication)] ja [ESP-salaus (ESP Encryption)].
Valitse [ESP (ESP)]-, [ESP (AES-GCM) (ESP (AES-GCM))]- tai [AH (SHA1) (AH (SHA1))] -valintaruutu/-ruudut IPSec-otsikon ja käytetyn algoritmin mukaan. AES-GCM on algoritmi, jota käytetään sekä todennukseen että salaukseen. Jos [ESP (ESP)] on valittu, valitse myös algoritmit todennusta ja salausta varten avattavista luetteloista [ESP-autentikointi (ESP Authentication)] ja [ESP-salaus (ESP Encryption)].
|
[ESP-autentikointi (ESP Authentication)]
|
Ota ESP-todennus käyttöön valitsemalla hash-algoritmiksi [SHA1 (SHA1)]. Valitse [Älä käytä (Do Not Use)], jos haluat poistaa ESP-todennuksen käytöstä.
|
|
[ESP-salaus (ESP Encryption)]
|
Valitse ESP:n salausalgoritmi. Voit valita [TYHJÄARVO (NULL)], jos et halua määrittää algoritmia, tai [Älä käytä (Do Not Use)], jos haluat poistaa ESP-salauksen käytöstä.
|
[Kytkentätapa (Connection Mode)]
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
IPSec-protokollan yhteystila näytetään. Laite tukee siirtotilaa, jossa IP-pakettivirrat salataan. Tunnelitila, jossa koko IP-paketit (otsikot ja virrat) kapseloidaan, ei ole käytettävissä.
11
Napsauta [OK (OK)].
Jos haluat tallentaa lisää suojauskäytäntöjä, palaa vaiheeseen 6.
12
Järjestä kohdassa [Tallenna IPSec-toimintaohjeet (Registered IPSec Policies)] luetellut käytännöt.
Käytäntöjä käytetään ylhäältä alaspäin. Siirrä käytäntöä ylös tai alas järjestyksessä valitsemalla [Ylös (Up)] tai [Alas (Down)].
Käytännön muokkaaminen
Avaa muokkausnäyttö napsauttamalla kohdan [Toimintaohjeen nimi (Policy Name)] alla olevaa vastaavaa tekstilinkkiä.
Käytännön poistaminen
Valitse [Poista (Delete)] poistettavan käytännön nimen oikealta puolelta valitse [OK (OK)].
valitse [OK (OK)].13
Käynnistä laite uudelleen.
Katkaise laitteen virta, odota vähintään 10 sekuntia ja kytke virta uudelleen.
|
|
Käyttöpaneelin käyttäminenVoit ottaa IPSec-tiedonsiirron käyttöön tai poistaa sen käytöstä myös Koti (Home) -näytön kohdassa <Valikko (Menu)>. <Käytä IPSec-muotoa (Use IPSec)>
|