Konfigurere IPSec-innstillinger
Internet Protocol Security (IPSec eller IPsec) er en protokollpakke for å kryptere data som transporteres over et nettverk, inkludert Internett-nettverk. Mens TLS bare krypterer data som brukes i et spesifikt program, for eksempel en nettleser eller et e-postprogram, krypterer IPSec hele IP-pakker eller lastinger med IP-pakker, noe som gir et mer allsidig sikkerhetssystem. IPSec i maskinen virker i transportmodus, der lastingene med IP-pakker er kryptert. Med denne funksjonen kan maskinen kobles direkte til en datamaskin som er i det samme virtuelle private nettverket (VPN). Kontroller systemkravene, og angi den nødvendige konfigurasjonen på datamaskinen før du konfigurerer maskinen.
|
|
Bruke IPsec med IP-adressefilterInnstillinger for IP-adressefilter brukes før IPsec-policyene. Angi IP-adresser for brannmurinnstillinger
|
Konfigurere IPSec-innstillinger
Før du kan bruke IPSec til kryptert informasjon, må du registrere sikkerhetspolicyer. En sikkerhetspolicy består av gruppene med innstillinger beskrevet nedenfor. Når du har registrert policyene, må du angi i hvilken rekkefølge de skal brukes.
Velger
Velgeren definerer betingelser for IP-pakker som skal brukes ved IPSec-kommunikasjon. Betingelsene som kan velges, inkluderer IP-adresser og portnumre for maskinen og hvilke enheter det skal kommuniseres med.
IKE
IKE konfigurerer IKEv1 som brukes til nøkkelutvekslingsprotokollen. Legg merke til at instruksjonene kan variere, alt etter hvilken godkjenningsmetode som er valgt.
[Forhåndsdelt nøkkelmetode (Pre-Shared Key Method)]
Denne godkjenningsmetoden bruker et felles nøkkelord, kalt delt nøkkel, til kommunikasjon mellom maskinen og andre enheter. Aktiver TLS for Fjernkontroll før du spesifiserer denne godkjenningsmetoden (Konfigurer nøkkel og sertifikat for TLS).
Denne godkjenningsmetoden bruker et felles nøkkelord, kalt delt nøkkel, til kommunikasjon mellom maskinen og andre enheter. Aktiver TLS for Fjernkontroll før du spesifiserer denne godkjenningsmetoden (Konfigurer nøkkel og sertifikat for TLS).
[Digital signaturmetode (Digital Signature Method)]
Maskinen og de andre enhetene godkjenner hverandre ved en felles verifisering av de digitale signaturene. Generer eller installer nøkkelen og sertifikatet på forhånd (Registrering av nøkkel og sertifikat for nettverkskommunikasjon).
Maskinen og de andre enhetene godkjenner hverandre ved en felles verifisering av de digitale signaturene. Generer eller installer nøkkelen og sertifikatet på forhånd (Registrering av nøkkel og sertifikat for nettverkskommunikasjon).
AH/ESP
Angi innstillingene for AH/ESP, som leges til i pakker under IPSec-kommunikasjon. AH og ESP kan brukes samtidig. Du kan også velge om du vil aktivere PFS for økt sikkerhet.
|
|
|
Hvis du vil ha mer informasjon om grunnleggende handlinger som skal utføres ved oppsett av maskinen fra Fjernkontroll, kan du se Konfigurere menyalternativer fra Fjernkontroll.
|
1
Start Fjernkontroll, og logg på Systemstyrermodus. Starter Fjernkontroll
2
Klikk på [Innstillinger/lagring (Settings/Registration)] på Portal-siden. Fjernkontroll-skjerm
3
Velg [Nettverksinnstillinger (Network Settings)] 
[IPSec-innstillinger (IPSec Settings)].
[IPSec-innstillinger (IPSec Settings)].4
Klikk på [Rediger (Edit)].
5
Merk av for [Bruk IPSec (Use IPSec)], og klikk på [OK (OK)].
Hvis du vil at maskinen bare skal motta pakker som svarer til en av sikkerhetspolicyene du definerer i trinnene nedenfor, fjerner du merket for [Motta ikke-policypakker (Receive Non-Policy Packets)].
6
Klikk på [Lagre ny policy (Register New Policy)].
7
Angi policyinnstillingene.
|
1
|
Tast inn alfanumeriske tegn i tekstboksen [Policynavn (Policy Name)] for et navn som skal brukes til å identifisere policyen.
|
|
2
|
Merk av for [Aktiver policy (Enable Policy)].
|
8
Angi velgerinnstillingene.
[Lokal adresse (Local Address)]
Klikk på alternativknappen for IP-adressetypen for maskinen for å aktivere policyen.
Klikk på alternativknappen for IP-adressetypen for maskinen for å aktivere policyen.
|
[Alle IP-adresser (All IP Addresses)]
|
Velg å bruke IPSec for alle IP-pakker.
|
|
[IPv4-adresse (IPv4 Address)]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv4-adressen til maskinen.
|
|
[IPv6-adresse (IPv6 Address)]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra en IPv6-adresse til maskinen.
|
[Ekstern adresse (Remote Address)]
Klikk på alternativknappen for IP-adressetypen for de andre enhetene for å aktivere policyen.
Klikk på alternativknappen for IP-adressetypen for de andre enhetene for å aktivere policyen.
|
[Alle IP-adresser (All IP Addresses)]
|
Velg å bruke IPSec for alle IP-pakker.
|
|
[Alle IPv4-adresser (All IPv4 Addresses)]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv4-adressene til de andre enhetene.
|
|
[Alle IPv6-adresser (All IPv6 Addresses)]
|
Velg om du vil bruke IPSec for alle IP-pakker som sendes til eller fra IPv6-adressene til de andre enhetene.
|
|
[IPv4 manuelle innstillinger (IPv4 Manual Settings)]
|
Velg å angi én enkelt IPv4-adresse eller et område med IPv4-adresser for å bruke IPSec. Angi IPv4-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt (Addresses to Set Manually)].
|
|
[IPv6 manuelle innstillinger (IPv6 Manual Settings)]
|
Velg å angi én enkelt IPv6-adresse eller et område med IPv6-adresser for å bruke IPSec. Angi IPv6-adressen (eller området) i tekstboksen [Adresser som skal angis manuelt (Addresses to Set Manually)].
|
[Adresser som skal angis manuelt (Addresses to Set Manually)]
Hvis [IPv4 manuelle innstillinger (IPv4 Manual Settings)] eller [IPv6 manuelle innstillinger (IPv6 Manual Settings)] er valgt for [Ekstern adresse (Remote Address)], angir du IP-adressen for å aktivere policyen. Du kan også angi et område med adresser ved å sette inn en bindestrek mellom adressene.
Hvis [IPv4 manuelle innstillinger (IPv4 Manual Settings)] eller [IPv6 manuelle innstillinger (IPv6 Manual Settings)] er valgt for [Ekstern adresse (Remote Address)], angir du IP-adressen for å aktivere policyen. Du kan også angi et område med adresser ved å sette inn en bindestrek mellom adressene.
Skrive inn IP-adresser
|
Beskrivelse
|
Eksempel
|
|
|
Angi én enkelt adresse
|
IPv4:
Skill tall med punktum. |
192.168.0.10
|
|
IPv6:
Skill alfanumeriske tegn med kolon. |
fe80::10
|
|
|
Angi et adresseområde
|
Sett inn en bindestrek mellom adressene.
|
192.168.0.10-192.168.0.20
|
[Subnettinnstillinger (Subnet Settings)]
Når du angir IPv4-adresser manuelt, kan du uttrykke området ved hjelp av nettverksmasken. Angi nettverksmasken ved å bruke punktum til å skille tallene (eksempel: "255.255.255.240").
Når du angir IPv4-adresser manuelt, kan du uttrykke området ved hjelp av nettverksmasken. Angi nettverksmasken ved å bruke punktum til å skille tallene (eksempel: "255.255.255.240").
[Prefikslengde (Prefix Length)]
Ved å spesifisere IPv6-adresser manuelt kan du også bruke prefikslengden til å angi området. Angi et område fra 0 til 128 for prefikslengde.
Ved å spesifisere IPv6-adresser manuelt kan du også bruke prefikslengden til å angi området. Angi et område fra 0 til 128 for prefikslengde.
[Lokal port (Local Port)] / [Ekstern port (Remote Port)]
Hvis du vil opprette separate policyer for hver protokoll, for eksempel HTTP eller WSD, angir du det aktuelle portnummeret for protokollen for å finne ut om IPSec skal brukes.
Hvis du vil opprette separate policyer for hver protokoll, for eksempel HTTP eller WSD, angir du det aktuelle portnummeret for protokollen for å finne ut om IPSec skal brukes.
IPsec brukes ikke for pakkene nedenfor
Tilbakekoblings-, multikast- og kringkastingspakker
IKE-pakker (bruker UDP på port 500)
ICMPv6-naboanmodningspakker og -naboannonseringspakker
9
Angi IKE-innstillingene.
[IKE-modus (IKE Mode)]
Modusen som brukes for nøkkelutvekslingsprotokollen, vises. Maskinen støtter hovedmodusen, og ikke den aggressive modusen.
Modusen som brukes for nøkkelutvekslingsprotokollen, vises. Maskinen støtter hovedmodusen, og ikke den aggressive modusen.
[Autentiseringsmetode (Authentication Method)]
Velg [Forhåndsdelt nøkkelmetode (Pre-Shared Key Method)] eller [Digital signaturmetode (Digital Signature Method)] for metoden som skal brukes ved godkjenning av maskinen. Du må aktivere TLS for Fjernkontroll før du velger [Forhåndsdelt nøkkelmetode (Pre-Shared Key Method)]. Du må generere eller installere en nøkkel og sertifikat før du velger [Digital signaturmetode (Digital Signature Method)]. Konfigurer nøkkel og sertifikat for TLS
Velg [Forhåndsdelt nøkkelmetode (Pre-Shared Key Method)] eller [Digital signaturmetode (Digital Signature Method)] for metoden som skal brukes ved godkjenning av maskinen. Du må aktivere TLS for Fjernkontroll før du velger [Forhåndsdelt nøkkelmetode (Pre-Shared Key Method)]. Du må generere eller installere en nøkkel og sertifikat før du velger [Digital signaturmetode (Digital Signature Method)]. Konfigurer nøkkel og sertifikat for TLS
[Gyldig for (Valid for)]
Angi hvor lenge en økt varer for IKE SA (ISAKMP SA). Angi tiden i minutter.
Angi hvor lenge en økt varer for IKE SA (ISAKMP SA). Angi tiden i minutter.
[Autentisering (Authentication)]/[Kryptering (Encryption)]/[DH-gruppe (DH Group)]
Velg en algoritme fra rullegardinlisten. Hver algoritme brukes i nøkkelutvekslingen.
Velg en algoritme fra rullegardinlisten. Hver algoritme brukes i nøkkelutvekslingen.
|
[Autentisering (Authentication)]
|
Velg hash-algoritmen.
|
|
[Kryptering (Encryption)]
|
Velg krypteringsalgoritmen.
|
|
[DH-gruppe (DH Group)]
|
Velg Diffie-Hellman-gruppen, som fastslår nøkkelstyrken.
|
Godkjenne en maskin ved hjelp av en forhåndsdelt nøkkel
|
1
|
Klikk på alternativknappen [Forhåndsdelt nøkkelmetode (Pre-Shared Key Method)] for [Autentiseringsmetode (Authentication Method)], og klikk deretter på [Delte tasteinnstillinger (Shared Key Settings)].
|
|
2
|
Tast inn alfanumeriske tegn for den forhåndsdelte nøkkelen, og klikk på [OK (OK)].
|
|
3
|
Angi innstillingene [Gyldig for (Valid for)] og [Autentisering (Authentication)]/[Kryptering (Encryption)]/[DH-gruppe (DH Group)].
|
Godkjenne en maskin med digital signaturmetode
|
1
|
Klikk på alternativknappen [Digital signaturmetode (Digital Signature Method)] for [Autentiseringsmetode (Authentication Method)], og klikk deretter på [Nøkkel og sertifikat (Key and Certificate)].
|
|
2
|
Klikk på [Lagre standardnøkkel (Register Default Key)] til høyre for nøkkelen og sertifikatet du vil bruke.
Vise detaljer for et sertifikat
Du kan kontrollere detaljene for sertifikatet eller verifisere sertifikatet ved å klikke på den tilhørende tekstkoblingen under [Nøkkelnavn (Key Name)] eller på sertifikatikonet.
|
|
3
|
Angi innstillingene [Gyldig for (Valid for)] og [Autentisering (Authentication)]/[Kryptering (Encryption)]/[DH-gruppe (DH Group)].
|
10
Angi IPSec-nettverksinnstillingene.
[Bruk PFS (Use PFS)]
Merk av i boksen for å aktivere PFS (Perfect Forward Secrecy) for IPSec-øktnøkler. Ved å aktivere PFS forbedres sikkerheten, men belastningen på kommunikasjonen øker. Sørg for at PFS også er aktivert for de andre enhetene.
Merk av i boksen for å aktivere PFS (Perfect Forward Secrecy) for IPSec-øktnøkler. Ved å aktivere PFS forbedres sikkerheten, men belastningen på kommunikasjonen øker. Sørg for at PFS også er aktivert for de andre enhetene.
[Angi etter tid (Specify by Time)]/[Angi etter størrelse (Specify by Size)]
Angi betingelsene for å avslutte en økt for IPSec SA. IPSec SA brukes som en kommunikasjonstunnel. Merk av i én av eller begge boksene etter behov. Hvis det er merket av i begge boksene, avsluttes IPSec SA-økten når én av betingelsene er oppfylt.
Angi betingelsene for å avslutte en økt for IPSec SA. IPSec SA brukes som en kommunikasjonstunnel. Merk av i én av eller begge boksene etter behov. Hvis det er merket av i begge boksene, avsluttes IPSec SA-økten når én av betingelsene er oppfylt.
|
[Angi etter tid (Specify by Time)]
|
Angi en tid i minutter for å angi hvor lenge en økt skal vare.
|
|
[Angi etter størrelse (Specify by Size)]
|
Angi en størrelse i megabyte for å angi hvor mye data som kan transporteres i en økt.
|
[Velg algoritme (Select Algorithm)]
Merk av for [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] eller [AH (SHA1) (AH (SHA1))], alt etter IPSec-hodet og algoritmen som brukes. AES-GCM er en algoritme både for godkjenning og kryptering. Hvis [ESP (ESP)] er valgt, kan du også velge algoritmer for godkjenning og kryptering fra rullegardinlistene [ESP-autentisering (ESP Authentication)] og [ESP-kryptering (ESP Encryption)].
Merk av for [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] eller [AH (SHA1) (AH (SHA1))], alt etter IPSec-hodet og algoritmen som brukes. AES-GCM er en algoritme både for godkjenning og kryptering. Hvis [ESP (ESP)] er valgt, kan du også velge algoritmer for godkjenning og kryptering fra rullegardinlistene [ESP-autentisering (ESP Authentication)] og [ESP-kryptering (ESP Encryption)].
|
[ESP-autentisering (ESP Authentication)]
|
Hvis du vil aktivere ESP-godkjenning, velger du [SHA1 (SHA1)] for hash-algoritmen. Velg [Ikke bruk (Do Not Use)] hvis du vil deaktivere ESP-godkjenning.
|
|
[ESP-kryptering (ESP Encryption)]
|
Velg krypteringsalgoritmen for ESP. Du kan velge [NULL (NULL)] hvis du ikke vil angi algoritmen, eller du kan velge [Ikke bruk (Do Not Use)] hvis du vil deaktivere ESP-krypteringen.
|
[Tilkoblingsmodus (Connection Mode)]
Tilkoblingsmodusen for IPSec vises. Maskinen støtter transportmodus, der lastingene med IP-pakker er kryptert. Tunnelmodus, der hele IP-pakker (hoder og lastinger) er innkapslet, er ikke tilgjengelig.
Tilkoblingsmodusen for IPSec vises. Maskinen støtter transportmodus, der lastingene med IP-pakker er kryptert. Tunnelmodus, der hele IP-pakker (hoder og lastinger) er innkapslet, er ikke tilgjengelig.
11
Klikk på [OK (OK)].
Hvis du må registrere en ny sikkerhetspolicy, går du tilbake til trinn 6.
12
Arranger rekkefølgen for policyene som er oppført under [Lagrede IPSec-policyer (Registered IPSec Policies)].
Policyer brukes fra den øverste policyen til den nederste. Klikk på [Opp (Up)] eller [Ned (Down)] for å flytte en policy opp eller ned i rekkefølgen.
Redigere en policy
Klikk på den tilsvarende tekstkoblingen under [Policynavn (Policy Name)] for å redigere skjermbildet.
Slette en policy
Klikk på [Slett (Delete)] til høyre for navnet på retningslinjen du vil slette klikk på [OK (OK)].
klikk på [OK (OK)].13
Start maskinen på nytt.
Slå av maskinen og vent i minst 10 sekunder før du slår den på igjen.
|
|
Bruke betjeningspaneletDu kan også aktivere eller deaktivere IPSec-kommunikasjon fra <Meny (Menu)> på Hjem (Home)-skjermen. <Bruk IPSec (Use IPSec)>
|