Konfigurácia nastavení IPSec
Zabezpečenie internetového protokolu (IPSec alebo IPsec) je balíček protokolov na šifrovanie dát prenášaných v sieti vrátane internetových sietí. Zatiaľ čo TLS šifruje iba dáta používané v konkrétnej aplikácii, ako je webový prehliadač alebo e-mailová aplikácia, IPSec šifruje celé pakety IP alebo údajovú časť paketov IP, čím ponúka všestrannejší systém zabezpečenia. IPSec zariadenia funguje v režime prenosu, v ktorom sa šifruje údajová časť paketov IP. S touto funkciou sa zariadenie dokáže pripojiť priamo k počítaču, ktorý je v rovnakej virtuálnej privátnej sieti (VPN). Skontrolujte systémové požiadavky a pred konfiguráciou zariadenia nastavte potrebnú konfiguráciu počítača.
|
|
Používanie IPSec s filtrom adries IPNastavenia filtra adries IP sa použijú pred politikami IPSec. Špecifikácia adries IP pre nastavenia brány firewall
|
Konfigurácia nastavení IPSec
Pred použitím IPSec na šifrovanú komunikáciu musíte uložiť politiky zabezpečenia (SP). Politika zabezpečenia pozostáva zo skupín nastavení opísaných nižšie. Po registrácii politík špecifikujte poradie, v ktorom sa použijú.
Volič
Volič definuje podmienky pre pakety IP na aplikáciu komunikácie IPSec. Medzi podmienky, ktoré sa dajú vybrať, patria adresy IP a čísla portov tohto zariadenia a zariadení, s ktorými komunikuje.
IKE
IKE konfiguruje IKEv1, ktoré sa používa pre protokol výmeny kľúča. Pamätajte si, že pokyny sa líšia v závislosti od zvolenej metódy overenia.
[Pre-Shared Key Method]
Tento spôsob overovania používa bežné kľúčové slovo s názvom Zdieľaný kľúč na komunikáciu medzi týmto zariadením a ďalšími zariadeniami. Pred špecifikáciou tejto metódy overenia aktivujte TLS pre rozhranie Remote UI (Konfigurácia kľúča a certifikátu pre TLS).
Tento spôsob overovania používa bežné kľúčové slovo s názvom Zdieľaný kľúč na komunikáciu medzi týmto zariadením a ďalšími zariadeniami. Pred špecifikáciou tejto metódy overenia aktivujte TLS pre rozhranie Remote UI (Konfigurácia kľúča a certifikátu pre TLS).
[Digital Signature Method]
Toto zariadenie a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Najprv vygenerujte alebo nainštalujte kľúč a certifikát (Uloženie kľúča a certifikátu pre sieťovú komunikáciu).
Toto zariadenie a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Najprv vygenerujte alebo nainštalujte kľúč a certifikát (Uloženie kľúča a certifikátu pre sieťovú komunikáciu).
AH/ESP
Špecifikujte nastavenia pre AH/ESP, ktoré sa pridá k paketom počas komunikácie IPSec. AH a ESP môžete použiť súčasne. Môžete tiež vybrať, či sa má aktivovať PFS pre väčšie zabezpečenie.
|
|
|
Ďalšie informácie o základných postupoch, ktoré treba vykonať pri nastavení zariadenia z rozhrania Remote UI, nájdete v časti Nastavenie možností ponuky z rozhrania Remote UI.
|
1
Spustite rozhranie Remote UI a prihláste sa v režime System Manager Mode. Spustenie rozhrania Remote UI
2
Kliknite na položku [Settings/Registration] na stránke portálu. Obrazovka rozhrania Remote UI
3
Vyberte položky [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
Kliknite na položku [Edit].
5
Označte začiarkavacie políčko [Use IPSec] a kliknite na [OK].
Ak chcete, aby zariadenie prijímalo iba pakety, ktoré spĺňajú jednu z politík zabezpečenia vami definovanú v nižšie uvedených krokoch, zrušte označenie začiarkavacieho políčka [Receive Non-Policy Packets].
6
Kliknite na položku [Register New Policy].
7
Špecifikujte nastavenia politiky.
|
1
|
V textovom poli [Policy Name] zadajte alfanumerické znaky pre názov, ktorý sa použije na identifikáciu politiky.
|
|
2
|
Označte začiarkavacie políčko [Enable Policy].
|
8
Špecifikujte nastavenia voliča.
[Local Address]
Kliknite na prepínač pre typ adresy IP zariadenia, aby sa použila politika.
Kliknite na prepínač pre typ adresy IP zariadenia, aby sa použila politika.
|
[All IP Addresses]
|
Vyberte, či sa má pre všetky pakety IP použiť IPSec.
|
|
[IPv4 Address]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adresy IPv4 zariadenia.
|
|
[IPv6 Address]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adresy IPv6 zariadenia.
|
[Remote Address]
Kliknite na prepínač pre typ adresy IP iných zariadení, aby sa použila politika.
Kliknite na prepínač pre typ adresy IP iných zariadení, aby sa použila politika.
|
[All IP Addresses]
|
Vyberte, či sa má pre všetky pakety IP použiť IPSec.
|
|
[All IPv4 Addresses]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adries IPv4 iných zariadení.
|
|
[All IPv6 Addresses]
|
Vyberte použitie IPSec pre všetky pakety IP, ktoré sú odoslané na alebo z adries IPv6 iných zariadení.
|
|
[IPv4 Manual Settings]
|
Vyberte špecifikáciu jednej adresy IPv4 alebo rozsahu adries IPv4 na použitie IPSec. Zadajte adresu IPv4 (alebo rozsah) v textovom poli [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Vyberte špecifikáciu jednej adresy IPv6 alebo rozsahu adries IPv6 na použitie IPSec. Zadajte adresu IPv6 (alebo rozsah) v textovom poli [Addresses to Set Manually].
|
[Addresses to Set Manually]
Ak je vybratá možnosť [IPv4 Manual Settings] alebo [IPv6 Manual Settings] pre položku [Remote Address], zadajte adresu IP, aby sa použila politika. Vložením spojovníka medzi adresy môžete tiež zadať rozsah adries.
Ak je vybratá možnosť [IPv4 Manual Settings] alebo [IPv6 Manual Settings] pre položku [Remote Address], zadajte adresu IP, aby sa použila politika. Vložením spojovníka medzi adresy môžete tiež zadať rozsah adries.
Zadanie adries IP
|
Opis
|
Príklad
|
|
|
Zadávanie jednej adresy
|
IPv4:
Oddeľte čísla bodkami. |
192.168.0.10
|
|
IPv6:
Oddeľte znaky písmen alebo číslic pomocou dvojbodiek. |
fe80::10
|
|
|
Špecifikácia rozsahu adries
|
Medzi adresy vložte spojovník.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
Pri manuálnej špecifikácii adresy IPv4 môžete vyjadriť rozsah pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
Pri manuálnej špecifikácii adresy IPv4 môžete vyjadriť rozsah pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
[Prefix Length]
Manuálna špecifikácia rozsahu adries IPv6 umožňuje tiež špecifikovať rozsah použitím prefixov. Zadajte rozsah od 0 do 128 ako dĺžku prefixu.
Manuálna špecifikácia rozsahu adries IPv6 umožňuje tiež špecifikovať rozsah použitím prefixov. Zadajte rozsah od 0 do 128 ako dĺžku prefixu.
[Local Port]/[Remote Port]
Ak chcete vytvoriť samostatné politiky pre každý protokol, napríklad HTTP alebo WSD, zadajte pre protokol vhodné číslo portu na určenie toho, či sa má použiť IPSec.
Ak chcete vytvoriť samostatné politiky pre každý protokol, napríklad HTTP alebo WSD, zadajte pre protokol vhodné číslo portu na určenie toho, či sa má použiť IPSec.
IPSec sa nepoužije na nasledujúce pakety
Loopback, multicast a broadcast
Pakety IKE (pomocou UDP na porte 500)
Pakety žiadosti suseda ICMPv6 a oznámenia suseda
9
Špecifikujte nastavenia IKE.
[IKE Mode]
Zobrazí sa režim použitý pre protokol výmeny kľúča. Zariadenie podporuje hlavný režim, nie agresívny režim.
Zobrazí sa režim použitý pre protokol výmeny kľúča. Zariadenie podporuje hlavný režim, nie agresívny režim.
[Authentication Method]
Pre spôsob použitý pri overení zariadenia vyberte [Pre-Shared Key Method] alebo [Digital Signature Method]. Pred výberom položky [Pre-Shared Key Method] musíte aktivovať TLS pre rozhranie Remote UI. Pred výberom položky [Digital Signature Method] musíte vygenerovať alebo nainštalovať kľúč a certifikát. Konfigurácia kľúča a certifikátu pre TLS
Pre spôsob použitý pri overení zariadenia vyberte [Pre-Shared Key Method] alebo [Digital Signature Method]. Pred výberom položky [Pre-Shared Key Method] musíte aktivovať TLS pre rozhranie Remote UI. Pred výberom položky [Digital Signature Method] musíte vygenerovať alebo nainštalovať kľúč a certifikát. Konfigurácia kľúča a certifikátu pre TLS
[Valid for]
Špecifikujete dĺžku trvania relácie pre IKE SA (ISAKMP SA). Zadajte čas v minútach.
Špecifikujete dĺžku trvania relácie pre IKE SA (ISAKMP SA). Zadajte čas v minútach.
[Authentication]/[Encryption]/[DH Group]
Vyberte algoritmus z rozbaľovacieho zoznamu. Každý algoritmus sa používa pri výmene kľúča.
Vyberte algoritmus z rozbaľovacieho zoznamu. Každý algoritmus sa používa pri výmene kľúča.
|
[Authentication]
|
Vyberte hashovací algoritmus.
|
|
[Encryption]
|
Vyberte algoritmus šifrovania.
|
|
[DH Group]
|
Vyberte skupinu Diffie-Hellman, ktorá určuje silu kľúča.
|
Overenie zariadenia použitím vopred zdieľaného kľúča
|
1
|
Kliknite na prepínač [Pre-Shared Key Method] pre položku [Authentication Method] a potom kliknite na tlačidlo [Shared Key Settings].
|
|
2
|
Zadajte alfanumerické znaky pre vopred zdieľaný kľúč a kliknite na tlačidlo [OK].
|
|
3
|
Špecifikujte nastavenia [Valid for] a [Authentication]/[Encryption]/[DH Group].
|
Overenie zariadenia použitím metódy digitálneho podpisu
|
1
|
Kliknite na prepínač [Digital Signature Method] pre položku [Authentication Method] a potom kliknite na tlačidlo [Key and Certificate].
|
|
2
|
Kliknite na položku [Register Default Key] napravo od kľúča a certifikátu, ktoré chcete použiť.
Zobrazenie detailov certifikátu
Kliknutím na príslušný textový odkaz pod položkou [Key Name] alebo na ikonu certifikátu môžete skontrolovať podrobnosti certifikátu alebo overiť certifikát.
|
|
3
|
Špecifikujte nastavenia [Valid for] a [Authentication]/[Encryption]/[DH Group].
|
10
Špecifikujte sieťové nastavenia IPSec.
[Use PFS]
Označte začiarkavacie políčko na aktiváciu PFS (Perfect Forward Secrecy) pre kľúče relácie IPSec. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia.
Označte začiarkavacie políčko na aktiváciu PFS (Perfect Forward Secrecy) pre kľúče relácie IPSec. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia.
[Specify by Time]/[Specify by Size]
Nastavte podmienky na ukončenie relácie pre IPSec SA. IPSec SA sa používa ako komunikačný tunel. Podľa potreby označte jedno alebo obidve začiarkavacie políčka. Ak označíte obidve začiarkavacie políčka, relácia IPSec SA sa ukončí pri splnení jednej z podmienok.
Nastavte podmienky na ukončenie relácie pre IPSec SA. IPSec SA sa používa ako komunikačný tunel. Podľa potreby označte jedno alebo obidve začiarkavacie políčka. Ak označíte obidve začiarkavacie políčka, relácia IPSec SA sa ukončí pri splnení jednej z podmienok.
|
[Specify by Time]
|
Zadajte čas v minútach na špecifikáciu dĺžky trvania relácie.
|
|
[Specify by Size]
|
Zadajte veľkosť v megabajtoch na špecifikáciu, koľko dát sa dá preniesť v relácii.
|
[Select Algorithm]
Označte začiarkavacie políčko [ESP], [ESP (AES-GCM)] alebo [AH (SHA1)] v závislosti od hlavičky IPSec a použitého algoritmu. AES-GCM je algoritmus pre overenie aj šifrovanie. Pri výbere položky [ESP] vyberte z rozbaľovacích zoznamov [ESP Authentication] a [ESP Encryption] aj algoritmy na overenie a šifrovanie.
Označte začiarkavacie políčko [ESP], [ESP (AES-GCM)] alebo [AH (SHA1)] v závislosti od hlavičky IPSec a použitého algoritmu. AES-GCM je algoritmus pre overenie aj šifrovanie. Pri výbere položky [ESP] vyberte z rozbaľovacích zoznamov [ESP Authentication] a [ESP Encryption] aj algoritmy na overenie a šifrovanie.
|
[ESP Authentication]
|
Na aktiváciu overenia ESP vyberte pre hashovací algoritmus položku [SHA1]. Ak chcete deaktivovať overenie ESP, vyberte položku [Do Not Use].
|
|
[ESP Encryption]
|
Vyberte algoritmus šifrovania pre ESP. Môžete vybrať položku [NULL], ak nechcete špecifikovať algoritmus alebo vyberte položku [Do Not Use], ak chcete deaktivovať šifrovanie ESP.
|
[Connection Mode]
Zobrazí sa režim pripojenia IPSec. Zariadenie podporuje režim prenosu, v ktorom sa šifruje údajová časť paketov IP. Režim tunelu, v ktorom sa zapuzdrujú celé pakety IP (hlavičky a údajová časť), nie je k dispozícii.
Zobrazí sa režim pripojenia IPSec. Zariadenie podporuje režim prenosu, v ktorom sa šifruje údajová časť paketov IP. Režim tunelu, v ktorom sa zapuzdrujú celé pakety IP (hlavičky a údajová časť), nie je k dispozícii.
11
Kliknite na položku [OK].
Ak potrebujete uložiť ďalšiu politiku zabezpečenia, vráťte sa na krok 6.
12
Zoraďte poradie politík uvedených v ponuke [Registered IPSec Policies].
Politiky sa aplikujú od najvyššej pozície po najnižšiu. Klikaním na tlačidlo [Up] alebo [Down] presúvajte politiky smerom nahor alebo nadol.
Úprava politiky
Kliknite na príslušný textový odkaz pod položkou [Policy Name], aby sa zobrazila obrazovka úprav.
Odstránenie politiky
Kliknite na tlačidlo [Delete] na pravej strane názvu politiky, ktorú chcete zmazať kliknite na tlačidlo [OK (OK)].
kliknite na tlačidlo [OK (OK)].13
Reštartujte zariadenie.
Vypnite zariadenie a pred jeho opätovným zapnutím počkajte aspoň 10 sekúnd.
|
|
Používanie ovládacieho panelaKomunikáciu IPSec môžete aktivovať alebo deaktivovať aj z ponuky <Ponuka (Menu)> na obrazovke Domov (Home). <Použiť IPSec (Use IPSec)>
|