IPSec-beállítások konfigurálása
Az Internet Protocol Security (IPSec vagy IPsec) egy hálózaton keresztül (azon belül az interneten keresztül is) továbbított adatok titkosítására szolgáló protokollcsomag. Míg a TLS csak egy adott alkalmazás, például webböngésző vagy levelezőprogram adatait, addig az IPSec a teljes IP-csomagokat, illetve az általuk szállított adatokat is titkosítja, ezáltal sokoldalúbb biztonsági rendszert kínál. A készülék IPSec funkciója szállítási módban működik, tehát az IP-csomagok hasznos adattartalmát titkosítja. E funkciónak köszönhetően a készülék közvetlenül csatlakozni tud azokhoz a számítógépekhez, amelyek vele megegyező virtuális magánhálózatban (VPN) vannak. Mielőtt konfigurálná a készüléket, ellenőrizze a rendszerkövetelményeket, és állítsa be a számítógépen a szükséges konfigurációt.
|
|
IPSec használata IP-címszűrővelAz IP-címszűrési beállítások az IPSec-szabályok előtt vannak alkalmazva. IP-címek megadása tűzfalbeállításokhoz
|
IPSec-beállítások konfigurálása
Ahhoz, hogy az IPSec protokollal titkosíthassa a kommunikációt, biztonsági házirendeket kell regisztrálnia. Egy biztonsági házirend az alábbi beállításcsoportokból áll. A házirendek regisztrálása után meg kell adnia az alkalmazásuk sorrendjét.
Választó
A választóval feltételeket határozhat meg, amelyekkel kiválaszthatja, hogy milyen IP-csomagokra alkalmazza az IPSec-kommunikációt. A választható feltételek között a készülék IP-címei és portszámai, valamint a készülékkel kommunikáló eszközök szerepelnek.
IKE
Az IKE az IKEv1 kulcscsere-protokollt konfigurálja. Az utasítások a kiválasztott hitelesítési módtól függően változnak.
[Előre megosztott kulcsos mód (Pre-Shared Key Method)]
Ez a hitelesítési mód egy közös kulcsszót, egy úgynevezett megosztott kulcsot használ a készülék és a többi eszköz közötti kommunikációhoz. Mielőtt ezt a hitelesítési módot választaná, engedélyezze a TLS-t a Távoli felhasználói felülethez (A TLS kulcsának és tanúsítványának konfigurálása).
Ez a hitelesítési mód egy közös kulcsszót, egy úgynevezett megosztott kulcsot használ a készülék és a többi eszköz közötti kommunikációhoz. Mielőtt ezt a hitelesítési módot választaná, engedélyezze a TLS-t a Távoli felhasználói felülethez (A TLS kulcsának és tanúsítványának konfigurálása).
[Digitális aláírás mód (Digital Signature Method)]
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez létre kell hoznia vagy telepítenie kell a kulcsot és a tanúsítványt (A kulcs és tanúsítvány regisztrálása a hálózati kommunikációhoz).
A készülék és a többi eszköz egymás digitális aláírásainak kölcsönös ellenőrzésével hitelesíti egymást. Ehhez létre kell hoznia vagy telepítenie kell a kulcsot és a tanúsítványt (A kulcs és tanúsítvány regisztrálása a hálózati kommunikációhoz).
AH/ESP
Az AH/ESP beállításait határozza meg, amely az IPSec-kommunikáció során a csomagok részévé válik. Az AH és ESP egyszerre használható. Szigorúbb biztonsági feltételek esetén a PFS használatát is engedélyezheti.
|
|
|
Ha további információkat szeretne azokról az alapvető műveletekről, amelyek a készülék távoli felhasználói felületről való működtetése esetén hajthatók végre, lásd a következőt: Menüpontok beállítása a Távoli felhasználói felületről.
|
1
Indítsa el a Távoli felhasználói felületet, és jelentkezzen be Rendszerkezelő módban. A Távoli felhasználói felület elindítása
2
Kattintson a [Beállítások/Bejegyzés (Settings/Registration)] lehetőségre a Portál oldalon (főoldalon). A Távoli felhasználói felület képernyője
3
Válassza az [Hálózati beállítások (Network Settings)] 
[IPSec-beállítások (IPSec Settings)] lehetőséget.
[IPSec-beállítások (IPSec Settings)] lehetőséget.4
Kattintson a [Szerkesztés (Edit)] elemre.
5
Jelölje be a [IPSec használata (Use IPSec)] jelölőnégyzetet, és kattintson az [OK (OK)] gombra.
Ha szeretné, hogy a készülék csak az alábbi lépések során meghatározott biztonsági szabályoknak megfelelő csomagokat fogadjon, akkor törölje a jelet a [Házirendnek meg nem felelő csomag vétele (Receive Non-Policy Packets)] jelölőnégyzetből.
6
Kattintson a [Új házirend bejegyzése (Register New Policy)] elemre.
7
Adja meg a házirend-beállításokat.
|
1
|
A [Házirend neve (Policy Name)] szövegmezőben alfanumerikus karakterekkel adja meg a házirendet azonosító nevet.
|
|
2
|
Jelölje be a [Házirend engedélyezése (Enable Policy)] jelölőnégyzetet.
|
8
Adja meg a választóbeállításokat.
[Helyi cím (Local Address)]
Kattintson a készülék IP-címtípusai közül annak a választógombjára, amelyre alkalmazni szeretné a házirendet.
Kattintson a készülék IP-címtípusai közül annak a választógombjára, amelyre alkalmazni szeretné a házirendet.
|
[Minden IP-cím (All IP Addresses)]
|
Akkor válassza, ha minden IP-csomagra az IPSec protokollt szeretné alkalmazni.
|
|
[IPv4-cím (IPv4 Address)]
|
Akkor válassza, ha a készülék IPv4-címéről vagy -címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv6-cím (IPv6 Address)]
|
Akkor válassza, ha a készülék IPv6-címéről vagy -címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
[Távoli cím (Remote Address)]
Kattintson az egyéb eszközök IP-címtípusai közül annak a választógombjára, amelyre alkalmazni szeretné a házirendet.
Kattintson az egyéb eszközök IP-címtípusai közül annak a választógombjára, amelyre alkalmazni szeretné a házirendet.
|
[Minden IP-cím (All IP Addresses)]
|
Akkor válassza, ha minden IP-csomagra az IPSec protokollt szeretné alkalmazni.
|
|
[Minden IPv4-cím (All IPv4 Addresses)]
|
Akkor válassza, ha a többi eszköz IPv4-címéről és -címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[Minden IPv6-cím (All IPv6 Addresses)]
|
Akkor válassza, ha a többi eszköz IPv6-címéről és -címére küldött IP-csomagokra szeretné alkalmazni az IPSec protokollt.
|
|
[IPv4 kézi beállításai (IPv4 Manual Settings)]
|
Adja meg azokat az önálló IPv4-címeket vagy IPv4-címtartományokat, amelyekre alkalmazza az IPSec protokollt. Az IPv4-címet (vagy tartományt) a [Kézzel beállítandó címek (Addresses to Set Manually)] szövegmezőben adhatja meg.
|
|
[IPv6 kézi beállításai (IPv6 Manual Settings)]
|
Adja meg azokat az önálló IPv6-címeket vagy IPv6-címtartományokat, amelyekre alkalmazza az IPSec protokollt. Az IPv6-címet (vagy tartományt) a [Kézzel beállítandó címek (Addresses to Set Manually)] szövegmezőben adhatja meg.
|
[Kézzel beállítandó címek (Addresses to Set Manually)]
Ha az [IPv4 kézi beállításai (IPv4 Manual Settings)] vagy az [IPv6 kézi beállításai (IPv6 Manual Settings)] lehetőség van kiválasztva a [Távoli cím (Remote Address)] mezőben, adja meg azt az IP-címet, amelyre alkalmazni szeretné a házirendet. Címtartományt is megadhat, ebben az esetben kötőjellel válassza el egymástól a címeket.
Ha az [IPv4 kézi beállításai (IPv4 Manual Settings)] vagy az [IPv6 kézi beállításai (IPv6 Manual Settings)] lehetőség van kiválasztva a [Távoli cím (Remote Address)] mezőben, adja meg azt az IP-címet, amelyre alkalmazni szeretné a házirendet. Címtartományt is megadhat, ebben az esetben kötőjellel válassza el egymástól a címeket.
IP-címek beírása
|
Leírás
|
Példa
|
|
|
Egyetlen cím megadása
|
IPv4:
A számokat pontokkal válassza el. |
192.168.0.10
|
|
IPv6:
Az alfanumerikus karaktereket kettőspontokkal válassza el. |
fe80::10
|
|
|
Címtartomány megadása
|
A címek közé tegyen kötőjelet.
|
192.168.0.10-192.168.0.20
|
[Alhálózat beállításai (Subnet Settings)]
Ha kézzel adja meg az IPv4-címet, akkor az alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
Ha kézzel adja meg az IPv4-címet, akkor az alhálózati maszkkal is kifejezheti a tartományt. Adja meg az alhálózati maszkot, a számokat pontokkal elválasztva (például: „255.255.255.240”).
[Előtag hossza (Prefix Length)]
Az IPv6-címek tartományának kézi megadásakor előtagok használatával a tartományt is megadhatja. Adjon meg egy 0 és 128 közötti számot az előtag hosszának.
Az IPv6-címek tartományának kézi megadásakor előtagok használatával a tartományt is megadhatja. Adjon meg egy 0 és 128 közötti számot az előtag hosszának.
[Helyi port (Local Port)]/[Távoli port (Remote Port)]
Ha az egyes protokollokhoz, például a HTTP vagy a WSD protokollhoz külön házirendeket szeretne létrehozni, akkor a protokoll megfelelő portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Ha az egyes protokollokhoz, például a HTTP vagy a WSD protokollhoz külön házirendeket szeretne létrehozni, akkor a protokoll megfelelő portszámának megadásával alkalmazhatja rájuk az IPSec protokollt.
Az IPSec nem vonatkozik a következő csomagokra
Visszacsatolt, multicast és üzenetszórásos csomagok
IKE-csomagok (UDP protokollal, az 500-as porton)
ICMPv6 szomszédkeresési és szomszédhirdetési csomagok
9
Határozza meg az IKE-beállításokat.
[IKE mód (IKE Mode)]
Megjelenik a kulcscsereprotokoll használati módja. A készülék a fő módot támogatja, nem az agresszív módot.
Megjelenik a kulcscsereprotokoll használati módja. A készülék a fő módot támogatja, nem az agresszív módot.
[Hitelesítési mód (Authentication Method)]
Válassza az [Előre megosztott kulcsos mód (Pre-Shared Key Method)] vagy a [Digitális aláírás mód (Digital Signature Method)] lehetőséget a készülék hitelesítésének módjaként. Ha az [Előre megosztott kulcsos mód (Pre-Shared Key Method)] lehetőséget választja, engedélyeznie kell a TLS protokollt a Távoli felhasználói felülethez. A [Digitális aláírás mód (Digital Signature Method)] lehetőség választása előtt létre kell hoznia vagy telepítenie kell a kulcsot és a tanúsítványt. A TLS kulcsának és tanúsítványának konfigurálása
Válassza az [Előre megosztott kulcsos mód (Pre-Shared Key Method)] vagy a [Digitális aláírás mód (Digital Signature Method)] lehetőséget a készülék hitelesítésének módjaként. Ha az [Előre megosztott kulcsos mód (Pre-Shared Key Method)] lehetőséget választja, engedélyeznie kell a TLS protokollt a Távoli felhasználói felülethez. A [Digitális aláírás mód (Digital Signature Method)] lehetőség választása előtt létre kell hoznia vagy telepítenie kell a kulcsot és a tanúsítványt. A TLS kulcsának és tanúsítványának konfigurálása
[Érvényesség (Valid for)]
Határozza meg, hogy mennyi ideig tarthat egy IKE SA (ISAKMP SA) munkamenet. Az időtartamot percekben adhatja meg.
Határozza meg, hogy mennyi ideig tarthat egy IKE SA (ISAKMP SA) munkamenet. Az időtartamot percekben adhatja meg.
[Hitelesítés (Authentication)]/[Titkosítás (Encryption)]/[DH csoport (DH Group)]
Válasszon egy algoritmust a legördülő listából. A kulcscserében mindegyik algoritmus részt vesz.
Válasszon egy algoritmust a legördülő listából. A kulcscserében mindegyik algoritmus részt vesz.
|
[Hitelesítés (Authentication)]
|
Válasszon tördelő algoritmust.
|
|
[Titkosítás (Encryption)]
|
Válasszon titkosítási algoritmust.
|
|
[DH csoport (DH Group)]
|
Válassza ki a kulcs erősségét meghatározó Diffie-Hellman csoportot.
|
A készülék hitelesítése előmegosztott kulccsal
|
1
|
Kattintson az [Előre megosztott kulcsos mód (Pre-Shared Key Method)] választógombra a [Hitelesítési mód (Authentication Method)] mezőben, majd kattintson a [Megosztott kulcs beállításai (Shared Key Settings)] lehetőségre.
|
|
2
|
Adja meg alfanumerikus karakterrel az előmegosztott kulcsot, majd kattintson az [OK (OK)] gombra.
|
|
3
|
Adja meg az [Érvényesség (Valid for)] és a [Hitelesítés (Authentication)]/[Titkosítás (Encryption)]/[DH csoport (DH Group)] beállításokat.
|
A készülék hitelesítése digitális aláírással
|
1
|
Kattintson az [Digitális aláírás mód (Digital Signature Method)] választógombra a [Hitelesítési mód (Authentication Method)] mezőben, majd kattintson a [Kulcs és tanúsítvány (Key and Certificate)] lehetőségre.
|
|
2
|
Kattintson a használni kívánt kulcstól és tanúsítványtól jobbra látható [Alapértelmezett kulcs bejegyzése (Register Default Key)] parancsra.
Tanúsítvány részleteinek megtekintése
Ha rákattint a [Kulcsnév (Key Name)] alatti megfelelő szöveges hivatkozásra vagy a tanúsítvány ikonjára, megtekintheti a tanúsítvány részletes adatait, illetve ellenőrizheti a tanúsítványt.
|
|
3
|
Adja meg az [Érvényesség (Valid for)] és a [Hitelesítés (Authentication)]/[Titkosítás (Encryption)]/[DH csoport (DH Group)] beállításokat.
|
10
Adja meg az IPSec hálózati beállításokat.
[PFS használata (Use PFS)]
Ha a sérülés utáni titkosságvédelem (Perfect Forward Secrecy, PFS) funkciót is szeretné használni az IPSec-munkamenetekhez, jelölje be ezt a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növelheti a kommunikációs terhelést. Győződjön meg róla, hogy az PFS a többi eszközön is engedélyezve van.
Ha a sérülés utáni titkosságvédelem (Perfect Forward Secrecy, PFS) funkciót is szeretné használni az IPSec-munkamenetekhez, jelölje be ezt a jelölőnégyzetet. A PFS engedélyezésével erősítheti a biztonságot, egyúttal növelheti a kommunikációs terhelést. Győződjön meg róla, hogy az PFS a többi eszközön is engedélyezve van.
[Megadás idővel (Specify by Time)]/[Megadás mérettel (Specify by Size)]
Állítsa be, hogy milyen feltételek esetén záruljanak le az IPSec SA-munkamenetek. Az IPSec SA kommunikációs csatornaként szolgál. Jelölje be szükség szerint valamelyik vagy mindkettő jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenet akkor zárul le, ha a kettő feltétel közül bármelyik teljesül.
Állítsa be, hogy milyen feltételek esetén záruljanak le az IPSec SA-munkamenetek. Az IPSec SA kommunikációs csatornaként szolgál. Jelölje be szükség szerint valamelyik vagy mindkettő jelölőnégyzetet. Ha mindkét jelölőnégyzetet bejelöli, akkor az IPSec SA-munkamenet akkor zárul le, ha a kettő feltétel közül bármelyik teljesül.
|
[Megadás idővel (Specify by Time)]
|
Adja meg, hogy hány percig tartson egy munkamenet.
|
|
[Megadás mérettel (Specify by Size)]
|
Adja meg, hogy hány megabájtnyi adatot lehessen továbbítani egy munkamenetben.
|
[Algoritmus kiválasztása (Select Algorithm)]
Jelölje be az [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] vagy az [AH (SHA1) (AH (SHA1))] jelölőnégyzet(ek)et a használt IPSec-fejlécnek és -algoritmusnak megfelelően. Az AES-GCM olyan algoritmus, amely egyszerre hitelesítést és titkosítást is végez. Ha az [ESP (ESP)] lehetőséget választja, akkor az [ESP-hitelesítés (ESP Authentication)] és az [ESP-titkosítás (ESP Encryption)] legördülő listából válassza ki a hitelesítési és titkosítási algoritmusokat is.
Jelölje be az [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] vagy az [AH (SHA1) (AH (SHA1))] jelölőnégyzet(ek)et a használt IPSec-fejlécnek és -algoritmusnak megfelelően. Az AES-GCM olyan algoritmus, amely egyszerre hitelesítést és titkosítást is végez. Ha az [ESP (ESP)] lehetőséget választja, akkor az [ESP-hitelesítés (ESP Authentication)] és az [ESP-titkosítás (ESP Encryption)] legördülő listából válassza ki a hitelesítési és titkosítási algoritmusokat is.
|
[ESP-hitelesítés (ESP Authentication)]
|
Az ESP-hitelesítés engedélyezéséhez válassza az [SHA1 (SHA1)] kivonatoló algoritmust. Ha le szeretné tiltani az ESP-hitelesítést, válassza a [Ne használja (Do Not Use)] lehetőséget.
|
|
[ESP-titkosítás (ESP Encryption)]
|
Válasszon titkosítási algoritmust az ESP számára. Ha nem szeretné meghatározni az algoritmust, válassza a [NULL (NULL)] lehetőséget, ha pedig le kívánja tiltani az ESP-titkosítást válassza a [Ne használja (Do Not Use)] lehetőséget.
|
[Csatlakozási mód (Connection Mode)]
Megjelenik az IPSec csatlakozási módja. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
Megjelenik az IPSec csatlakozási módja. A készülék a szállítási módot támogatja, amelyben az IP-csomagok hasznos tartalma titkosítva van. A csatorna mód, amelyben az egész IP-csomagok (fejlécek és hasznos adatok) egy egységként vannak kezelve, nem érhető el.
11
Kattintson a [OK (OK)] elemre.
Ha további biztonsági házirendet kell regisztrálnia, akkor térjen vissza a 6. lépéshez.
12
Rendezze sorba a [Bejegyzett IPSec-házirendek (Registered IPSec Policies)] mezőben felsorolt házirendeket.
A készülék a legmagasabb pozíciótól kezdve a legalacsonyabbig alkalmazza a házirendeket. A házirendeket a [Fel (Up)] vagy a [Le (Down)] gombbal helyezheti feljebb vagy lejjebb a listában.
Házirend szerkesztése
A szerkesztési képernyő megnyitásához kattintson a [Házirend neve (Policy Name)] alatti megfelelő szöveges hivatkozásra.
Házirend törlése
Kattintson a törölni kívánt házirendnévtől jobbra látható [Törlés (Delete)] pontra kattintson az [OK (OK)].
gombra.
kattintson az [OK (OK)].gombra.
13
Indítsa újra a készüléket.
Kapcsolja ki a készüléket, várjon legalább 10 másodpercet, majd kapcsolja be.
|
|
A kezelőpanel használataAz IPSec-kommunikációt a <Menü (Menu)> felületen, a Főképernyő (Home) részben is engedélyezheti vagy letilthatja. <IPSec használata (Use IPSec)>
|