การกำหนดการตั้งค่า IPSec
ความปลอดภัยอินเทอร์เน็ตโปรโตคอล (IPSec หรือ IPsec) คือชุดโปรโตคอลสำหรับการเข้ารหัสลับข้อมูลที่ส่งผ่านเครือข่าย รวมถึงเครือข่ายอินเทอร์เน็ต ขณะที่ TLS จะเข้ารหัสลับเฉพาะข้อมูลที่ใช้บนแอปพลิเคชันที่เจาะจง เช่น เว็บเบราว์เซอร์ หรือแอปพลิเคชันอีเมล IPSec จะเข้ารหัสลับทั้งแพคเก็ต IP ทั้งหมดหรือส่วนข้อมูลของแพคเก็ต IP ซึ่งช่วยให้ได้รับระบบความปลอดภัยที่อเนกประสงค์ยิ่งขึ้น IPsec ของเครื่องใช้ได้ในโหมดขนส่ง ซึ่งส่วนข้อมูลของแพคเก็ต IP จะได้รับการเข้ารหัสลับในโหมดดังกล่าว เมื่อใช้คุณลักษณะนี้ เครื่องจะสามารถเชื่อมต่อกับคอมพิวเตอร์ที่อยู่ในเครือข่ายส่วนตัวเสมือน (VPN) เดียวกันได้โดยตรง โปรดตรวจสอบความต้องการของระบบและกำหนดการตั้งค่าที่จำเป็นบนคอมพิวเตอร์ก่อนที่จะกำหนดค่าให้กับเครื่อง
|
|
การใช้ IPSec ที่มี IP Address Filterการตั้งค่า IP Address Filter จะถูกนำมาใช้ก่อนนโยบาย IPSec การระบุที่อยู่ IP สำหรับการตั้งค่าไฟร์วอลล์
|
การกำหนดการตั้งค่า IPSec
ก่อนใช้ IPSec สำหรับการสื่อสารที่เข้ารหัส คุณต้องลงทะเบียนนโยบายรักษาความปลอดภัย (Security Policies (SP)) นโยบายรักษาความปลอดภัยประกอบด้วยกลุ่มของการตั้งค่าที่อธิบายด้านล่างนี้ หลังจากลงทะเบียนนโยบายแล้ว ให้ระบุลำดับในการนำมาใช้
ตัวเลือก
ตัวเลือกจะกำหนดเงื่อนไขของแพคเก็ต IP ที่จะใช้การสื่อสาร IPSec เงื่อนไขที่เลือกได้จะรวมถึงที่อยู่ IP และหมายเลขพอร์ตของเครื่องและอุปกรณ์ที่จะสื่อสารด้วย
IKE
IKE จะกำหนดค่า IKEv1 ที่ใช้สำหรับโปรโตคอลการแลกเปลี่ยนคีย์ โปรดทราบว่าคำแนะนำจะแตกต่างกันไปขึ้นอยู่กับวิธีการรับรองความถูกต้องที่เลือก
[Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน)
วิธีการรับรองความถูกต้องนี้จะใช้คำสำคัญทั่วไปที่เรียกว่าคีย์ที่ใช้ร่วมกันในการสื่อสารระหว่างเครื่องและอุปกรณ์อื่น เปิดใช้งาน TLS สำหรับ Remote UI ก่อนระบุวิธีการรับรองความถูกต้องนี้ (การกำหนดค่าคีย์และใบรับรองสำหรับ TLS)
วิธีการรับรองความถูกต้องนี้จะใช้คำสำคัญทั่วไปที่เรียกว่าคีย์ที่ใช้ร่วมกันในการสื่อสารระหว่างเครื่องและอุปกรณ์อื่น เปิดใช้งาน TLS สำหรับ Remote UI ก่อนระบุวิธีการรับรองความถูกต้องนี้ (การกำหนดค่าคีย์และใบรับรองสำหรับ TLS)
[Digital Signature Method] (วิธีการลายเซ็นดิจิทัล)
เครื่องและอุปกรณ์อื่นๆ จะตรวจสอบความถูกต้องของกันและกันโดยตรวจสอบลายเซ็นดิจิตัลร่วมกัน สร้างหรือติดตั้งคีย์และใบรับรองก่อนล่วงหน้า (การลงทะเบียนคีย์และใบรับรองสำหรับการสื่อสารผ่านเครือข่าย)
เครื่องและอุปกรณ์อื่นๆ จะตรวจสอบความถูกต้องของกันและกันโดยตรวจสอบลายเซ็นดิจิตัลร่วมกัน สร้างหรือติดตั้งคีย์และใบรับรองก่อนล่วงหน้า (การลงทะเบียนคีย์และใบรับรองสำหรับการสื่อสารผ่านเครือข่าย)
AH/ESP
ระบุการตั้งค่าสำหรับ AH/ESP ซึ่งเพิ่มให้กับแพคเก็ตในระหว่างการสื่อสาร IPSec โดยสามารถใช้ AH และ ESP ได้พร้อมกัน คุณยังสามารถเลือกว่าจะเปิดใช้งาน PFS หรือไม่เพื่อให้มีการรักษาความปลอดภัยที่เข้มแข็งขึ้น
|
|
|
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการทำงานพื้นฐานที่จะดำเนินการเมื่อตั้งค่าเครื่องจาก Remote UI โปรดดูที่ การตั้งค่าตัวเลือกเมนูจาก Remote UI
|
1
เริ่มใช้งาน Remote UI และเข้าสู่ระบบใน System Manager Mode การเริ่มใช้งาน Remote UI
2
คลิก [Settings/Registration] บนหน้าพอร์ทัล หน้าจอ Remote UI
3
เลือก [Network Settings] 
[IPSec Settings]
[IPSec Settings]4
คลิก [Edit]
5
เลือกช่องทำเครื่องหมาย [Use IPSec] และคลิก [OK]
ถ้าคุณต้องการให้เครื่องรับเฉพาะแพคเก็ตที่ตรงกับนโยบายการรักษาความปลอดภัยเพียงหนึ่งนโยบายที่คุณกำหนดไว้ในขั้นตอนด้านล่างนี้ ให้ล้างช่องทำเครื่องหมาย [Receive Non-Policy Packets] (รับแพคเก็ตที่ไม่ใช้นโยบาย)
6
คลิก [Register New Policy]
7
ระบุการตั้งค่านโยบาย
|
1
|
ในกล่องข้อความ [Policy Name] (ชื่อนโยบาย) ให้ป้อนอักขระตัวอักษรผสมตัวเลขเป็นชื่อที่ใช้ในการระบุนโยบายนี้
|
|
2
|
เลือกช่องทำเครื่องหมาย [Enable Policy]
|
8
ระบุการตั้งค่าตัวเลือก
[Local Address] (ที่อยู่ภายใน)
คลิกปุ่มตัวเลือกเพื่อระบุประเภทของที่อยู่ IP ของเครื่องที่จะใช้นโยบาย
คลิกปุ่มตัวเลือกเพื่อระบุประเภทของที่อยู่ IP ของเครื่องที่จะใช้นโยบาย
|
[All IP Addresses]
|
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมด
|
|
[IPv4 Address]
|
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมดที่ส่งไปยังหรือจากที่อยู่ IPv4 ของเครื่อง
|
|
[IPv6 Address]
|
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมดที่ส่งไปยังหรือจากที่อยู่ IPv6 ของเครื่อง
|
[Remote Address] (ที่อยู่ระยะไกล)
คลิกปุ่มตัวเลือกเพื่อระบุประเภทของที่อยู่ IP ของอุปกรณ์อื่นที่จะใช้นโยบาย
คลิกปุ่มตัวเลือกเพื่อระบุประเภทของที่อยู่ IP ของอุปกรณ์อื่นที่จะใช้นโยบาย
|
[All IP Addresses]
|
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมด
|
|
[All IPv4 Addresses]
|
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมดที่ส่งไปยังหรือจากที่อยู่ IPv4 ของอุปกรณ์อื่น
|
|
[All IPv6 Addresses]
|
เลือกเพื่อใช้ IPSec สำหรับแพคเก็ต IP ทั้งหมดที่ส่งไปยังหรือจากที่อยู่ IPv6 ของอุปกรณ์อื่น
|
|
[IPv4 Manual Settings]
|
เลือกเพื่อระบุที่อยู่ IPv4 เดียวหรือช่วงที่อยู่ IPv4 เพื่อใช้ IPSec ป้อนที่อยู่ IPv4 (หรือช่วงที่อยู่) ในกล่องข้อความ [Addresses to Set Manually]
|
|
[IPv6 Manual Settings]
|
เลือกเพื่อระบุที่อยู่ IPv6 เดียวหรือช่วงที่อยู่ IPv6 เพื่อใช้ IPSec ป้อนที่อยู่ IPv6 (หรือช่วงที่อยู่) ในกล่องข้อความ [Addresses to Set Manually]
|
[Addresses to Set Manually]
ถ้าเลือก [IPv4 Manual Settings] หรือ [IPv6 Manual Settings] สำหรับ [Remote Address] ป้อนที่อยู่ IP เพื่อใช้นโยบาย คุณยังสามารถป้อนช่วงที่อยู่โดยแทรกเครื่องหมายยัติภังค์ ("-") ระหว่างที่อยู่
ถ้าเลือก [IPv4 Manual Settings] หรือ [IPv6 Manual Settings] สำหรับ [Remote Address] ป้อนที่อยู่ IP เพื่อใช้นโยบาย คุณยังสามารถป้อนช่วงที่อยู่โดยแทรกเครื่องหมายยัติภังค์ ("-") ระหว่างที่อยู่
การป้อนที่อยู่ IP
|
คำอธิบาย
|
ตัวอย่าง
|
|
|
การป้อนที่อยู่รายการเดียว
|
IPv4:
คั่นตัวเลขด้วยจุด |
192.168.0.10
|
|
IPv6:
คั่นอักขระตัวอักษรผสมตัวเลขด้วยทวิภาค |
fe80::10
|
|
|
การระบุช่วงที่อยู่
|
แทรกเครื่องหมายยัติภังค์ ("-") ระหว่างที่อยู่
|
192.168.0.10-192.168.0.20
|
[Subnet Settings] (การตั้งค่าซับเน็ต)
เมื่อระบุที่อยู่ IPv4 ด้วยตนเอง คุณสามารถแสดงช่วงที่อยู่โดยใช้ซับเน็ตมาสก์ ป้อนซับเน็ตมาสก์โดยใช้จุดเพื่อคั่นหมายเลข (ตัวอย่าง:"255.255.255.240")
เมื่อระบุที่อยู่ IPv4 ด้วยตนเอง คุณสามารถแสดงช่วงที่อยู่โดยใช้ซับเน็ตมาสก์ ป้อนซับเน็ตมาสก์โดยใช้จุดเพื่อคั่นหมายเลข (ตัวอย่าง:"255.255.255.240")
[Prefix Length] (ความยาวส่วนนำหน้า)
การระบุช่วงของที่อยู่ IPv6 ด้วยตนเองยังช่วยให้คุณสามารถระบุช่วงโดยใช้ส่วนนำหน้า ป้อนช่วงระหว่าง 0 ถึง 128 เป็นความยาวส่วนนำหน้า
การระบุช่วงของที่อยู่ IPv6 ด้วยตนเองยังช่วยให้คุณสามารถระบุช่วงโดยใช้ส่วนนำหน้า ป้อนช่วงระหว่าง 0 ถึง 128 เป็นความยาวส่วนนำหน้า
[Local Port] (พอร์ตภายใน)/[Remote Port] (พอร์ตระยะไกล)
ถ้าคุณต้องการสร้างนโยบายแยกกันสำหรับแต่ละโปรโตคอล เช่น HTTP หรือ WSD ให้ป้อนหมายเลขพอร์ตที่เหมาะสมสำหรับโปรโตคอลเพื่อกำหนดว่าจะใช้ IPSec หรือไม่
ถ้าคุณต้องการสร้างนโยบายแยกกันสำหรับแต่ละโปรโตคอล เช่น HTTP หรือ WSD ให้ป้อนหมายเลขพอร์ตที่เหมาะสมสำหรับโปรโตคอลเพื่อกำหนดว่าจะใช้ IPSec หรือไม่
IPSec จะไม่ใช้กับแพคเก็ตต่อไปนี้
แพคเก็ตแบบย้อนกลับ แพคเก็ตแบบหลายผู้รับ และแพคเก็ตแบบกระจายข้อมูล
แพคเก็ต IKE (โดยใช้ UDP บนพอร์ต 500)
แพคเก็ต ICMPv6 Neighbor Solicitation และ Neighbor Advertisement
9
ระบุการตั้งค่า IKE
[IKE Mode] (โหมด IKE)
โหมดที่ใช้สำหรับโปรโตคอลการแลกเปลี่ยนคีย์จะปรากฏขึ้น เครื่องสนับสนุนโหมดหลัก ไม่ใช่โหมด Aggressive
โหมดที่ใช้สำหรับโปรโตคอลการแลกเปลี่ยนคีย์จะปรากฏขึ้น เครื่องสนับสนุนโหมดหลัก ไม่ใช่โหมด Aggressive
[Authentication Method] (วิธีการรับรองความถูกต้อง)
เลือก [Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) หรือ [Digital Signature Method] (วิธีการลายเซ็นดิจิทัล) สำหรับวิธีที่ใช้เมื่อตรวจสอบความถูกต้องของเครื่อง คุณต้องเปิดใช้งาน TLS สำหรับ Remote UI ก่อนเลือก [Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) คุณต้องสร้างหรือติดตั้งใบรับรองก่อนเลือก [Digital Signature Method] (วิธีการลายเซ็นดิจิทัล) การกำหนดค่าคีย์และใบรับรองสำหรับ TLS
เลือก [Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) หรือ [Digital Signature Method] (วิธีการลายเซ็นดิจิทัล) สำหรับวิธีที่ใช้เมื่อตรวจสอบความถูกต้องของเครื่อง คุณต้องเปิดใช้งาน TLS สำหรับ Remote UI ก่อนเลือก [Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) คุณต้องสร้างหรือติดตั้งใบรับรองก่อนเลือก [Digital Signature Method] (วิธีการลายเซ็นดิจิทัล) การกำหนดค่าคีย์และใบรับรองสำหรับ TLS
[Valid for] (ใช้ได้สำหรับ)
ระบุระยะเวลาที่เซสชันจะคงอยู่สำหรับ IKE SA (ISAKMP SA) ป้อนเวลาเป็นนาที
ระบุระยะเวลาที่เซสชันจะคงอยู่สำหรับ IKE SA (ISAKMP SA) ป้อนเวลาเป็นนาที
[Authentication] /[Encryption] /[DH Group] (กลุ่ม DH)
เลือกอัลกอริทึ่มจากรายการดรอปดาวน์ โดยแต่ละอัลกอริทึ่มจะใช้ในการแลกเปลี่ยนคีย์
เลือกอัลกอริทึ่มจากรายการดรอปดาวน์ โดยแต่ละอัลกอริทึ่มจะใช้ในการแลกเปลี่ยนคีย์
|
[Authentication]
|
เลือกแฮชอัลกอริทึ่ม
|
|
[Encryption]
|
เลือกอัลกอริทึ่มการเข้ารหัส
|
|
[DH Group]
|
เลือกลุ่ม Diffie-Hellman ซึ่งจะกำหนดความปลอดภัยของคีย์
|
การตรวจสอบความถูกต้องเครื่องโดยใช้คีย์ที่กำหนดให้ใช้ร่วมกัน
|
1
|
คลิกปุ่มตัวเลือก [Pre-Shared Key Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) สำหรับ [Authentication Method] แล้วคลิก [Shared Key Settings] (การตั้งค่าคีย์ที่ใช้ร่วมกัน)
|
|
2
|
ป้อนอักขระตัวอักษรผสมตัวเลขเป็นคีย์ที่กำหนดให้ใช้ร่วมกันและคลิก [OK] (ตกลง)
|
|
3
|
ระบุการตั้งค่า [Valid for] และ [Authentication] /[Encryption] /[DH Group]
|
การตรวจสอบความถูกต้องเครื่องโดยใช้วิธีการลายเซ็นดิจิตัล
|
1
|
คลิกปุ่มตัวเลือก [Digital Signature Method] (วิธีการคีย์ที่กำหนดให้ใช้ร่วมกัน) สำหรับ [Authentication Method] แล้วคลิก [Key and Certificate] (การตั้งค่าคีย์ที่ใช้ร่วมกัน)
|
|
2
|
คลิก [Register Default Key] ทางขวาของคีย์และใบรับรองที่คุณต้องการใช้
การดูรายละเอียดของใบรับรอง
คุณสามารถตรวจสอบรายละเอียดของใบรับรองหรือตรวจสอบความถูกต้องของใบรับรองโดยคลิกลิงก์ข้อความที่เกี่ยวข้องใต้ [Key Name] หรือไอคอนใบรับรอง
|
|
3
|
ระบุการตั้งค่า [Valid for] และ [Authentication] /[Encryption] /[DH Group]
|
10
ระบุการตั้งค่าเครือข่าย IPSec
[Use PFS]
เลือกช่องทำเครื่องหมายเพื่อเปิดใช้งาน Perfect Forward Secrecy (PFS) สำหรับคีย์เซสชัน IPSec การเปิดใช้งาน PFS จะช่วยเสริมความปลอดภัยขณะเพิ่มโหลดในการสื่อสาร ตรวจสอบให้แน่ใจว่ามีการเปิดใช้งาน PFS สำหรับอุปกรณ์อื่นเช่นกัน
เลือกช่องทำเครื่องหมายเพื่อเปิดใช้งาน Perfect Forward Secrecy (PFS) สำหรับคีย์เซสชัน IPSec การเปิดใช้งาน PFS จะช่วยเสริมความปลอดภัยขณะเพิ่มโหลดในการสื่อสาร ตรวจสอบให้แน่ใจว่ามีการเปิดใช้งาน PFS สำหรับอุปกรณ์อื่นเช่นกัน
[Specify by Time] /[Specify by Size]
ตั้งค่าเงื่อนไขสำหรับยุติเซสชัน IPSec SA โดยจะมีการใช้ IPSec SA เป็นอุโมงค์สื่อสาร (Communication Tunnel) เลือกช่องทำเครื่องหมายหนึ่งหรือทั้งคู่ตามความจำเป็น ถ้าเลือกช่องทำเครื่องหมายทั้งคู่ เซสชัน IPSec SA จะยุติเมื่อเป็นไปตามเงื่อนไขอันใดอันหนึ่ง
ตั้งค่าเงื่อนไขสำหรับยุติเซสชัน IPSec SA โดยจะมีการใช้ IPSec SA เป็นอุโมงค์สื่อสาร (Communication Tunnel) เลือกช่องทำเครื่องหมายหนึ่งหรือทั้งคู่ตามความจำเป็น ถ้าเลือกช่องทำเครื่องหมายทั้งคู่ เซสชัน IPSec SA จะยุติเมื่อเป็นไปตามเงื่อนไขอันใดอันหนึ่ง
|
[Specify by Time]
|
ป้อนเวลาเป็นนาทีเพื่อระบุระยะเวลาที่เซสชันนั้นจะคงอยู่
|
|
[Specify by Size]
|
ป้อนขนาดเป็นเมกะไบต์เพื่อระบุปริมาณข้อมูลที่สามารถส่งในหนึ่งเซสชัน
|
[Select Algorithm]
เลือกช่องทำเครื่องหมาย [ESP], [ESP (AES-GCM)] หรือ [AH (SHA1)] ขึ้นอยู่กับส่วนหัว IPSec และอัลกอริทึ่มที่ใช้ AES-GCM คืออัลกอริทึ่มสำหรับทั้งการรับรองความถูกต้องและการเข้ารหัส ถ้าเลือก [ESP] ให้เลือกอัลกอริทึ่มสำหรับการรับรองความถูกต้องจากรายการดรอปดาวน์ [ESP Authentication] และ [ESP Encryption]
เลือกช่องทำเครื่องหมาย [ESP], [ESP (AES-GCM)] หรือ [AH (SHA1)] ขึ้นอยู่กับส่วนหัว IPSec และอัลกอริทึ่มที่ใช้ AES-GCM คืออัลกอริทึ่มสำหรับทั้งการรับรองความถูกต้องและการเข้ารหัส ถ้าเลือก [ESP] ให้เลือกอัลกอริทึ่มสำหรับการรับรองความถูกต้องจากรายการดรอปดาวน์ [ESP Authentication] และ [ESP Encryption]
|
[ESP Authentication]
|
ในการเปิดใช้งานการรับรองความถูกต้อง ESP ให้เลือก [SHA1] สำหรับแฮชอัลกอริทึ่ม เลือก [Do Not Use] ถ้าคุณต้องการปิดใช้งานการรับรองความถูกต้อง ESP
|
|
[ESP Encryption]
|
เลือกอัลกอริทึ่มการเข้ารหัสสำหรับ ESP คุณสามารถเลือก [NULL] ถ้าคุณไม่ต้องการระบุอัลกอริทึ่ม หรือเลือก [Do Not Use] ถ้าคุณต้องการปิดใช้งานการเข้ารหัส ESP
|
[Connection Mode]
โหมดการเชื่อมต่อของ IPSec จะปรากฏขึ้น เครื่องสนับสนุนโหมดการส่งข้อมูล ซึ่งมีการเข้ารหัส Payload ของแพคเก็ต IP คุณไม่สามารถใช้งานโหมดอุโมงค์ (Tunnel) ซึ่งมีการห่อหุ้มแพคเก็ต IP ทั้งหมด (ส่วนหัวและ Payload) เอาไว้
โหมดการเชื่อมต่อของ IPSec จะปรากฏขึ้น เครื่องสนับสนุนโหมดการส่งข้อมูล ซึ่งมีการเข้ารหัส Payload ของแพคเก็ต IP คุณไม่สามารถใช้งานโหมดอุโมงค์ (Tunnel) ซึ่งมีการห่อหุ้มแพคเก็ต IP ทั้งหมด (ส่วนหัวและ Payload) เอาไว้
11
คลิก [OK]
ถ้าคุณต้องการลงทะเบียนนโยบายการรักษาความปลอดภัยเพิ่มเติม ให้ย้อนกลับไปยังขั้นตอนที่ 6
12
จัดการลำดับของนโยบายที่แสดงใต้ [Registered IPSec Policies]
มีการใช้นโยบายโดยเริ่มจากนโยบายในตำแหน่งสูงสุดไปยังต่ำสุด คลิก [Up] หรือ [Down] เพื่อย้ายนโยบายขึ้นหรือลงในลำดับ
การแก้ไขนโยบาย
คลิกลิงก์ข้อความที่เกี่ยวข้องใต้ [Policy Name] สำหรับหน้าจอแก้ไข
การลบนโยบาย
คลิก [Delete] ทางขวาของชื่อนโยบายที่คุณต้องการลบ คลิก [ตกลง (OK)]
คลิก [ตกลง (OK)] 13
เปิดเครื่องพิมพ์ใหม่
ปิดเครื่อง รออย่างน้อย 10 วินาที แล้วค่อยเปิดใหม่
|
|
การใช้แผงควบคุมการทำงานคุณยังสามารถเปิดใช้งานหรือปิดใช้งานการสื่อสาร IPSec จาก <เมนู (Menu)> ในหน้าจอ Home (Home) <ใช้ IPSec (Use IPSec)>
|