Nastavení IPsec
Nastavení IPsec u tohoto zařízení lze provést pomocí webového prohlížeče ze síťových počítačů. (Používáme aplikaci Web Image Monitor, která je nainstalována na tomto zařízení.) Následující tabulka vysvětluje jednotlivé položky nastavení.
Položky nastavení IPsec
Nastavení | Popis | Nastavení hodnoty |
|---|---|---|
IPsec | Zadejte, zda chcete povolit, nebo zakázat IPsec. |
|
Vyloučit komunikaci HTTPS | Zadejte, zda chcete aktivovat IPsec pro HTTPS přenos. |
Pokud nechcete používat IPsec pro přenos HTTPS, nastavte volbu „Aktivní“. |
Nastavení IPsec lze rovněž nakonfigurovat z ovládacího panelu.
Úroveň zabezpečení automatické výměny šifrovacího klíče
Při zvolení úrovně zabezpečení se automaticky konfigurují některá nastavení. Následující tabulka objasňuje vlastnosti úrovně zabezpečení.
Úroveň zabezpečení | Funkce úrovně zabezpečení |
|---|---|
Pouze ověření | Zvolte tuto úroveň, pokud chcete ověřit partnera přenosu a předejít nepovolené manipulaci s daty bez šifrování datových paketů. Protože jsou data odesílána nekódovaným textem, jsou datové pakety vystaveny nebezpečí odposlouchávacích útoků. Při odesílání důvěrných dat se toto nastavení nedoporučuje. |
Ověření a nízká úroveň šifrování | Zvolte tuto úroveň, pokud chcete ověřit partnera přenosu, zašifrovat datové pakety a předejít nepovolené manipulaci s daty. Šifrování paketů umožňuje předejít odposlouchávacím útokům. Tato úroveň poskytuje nižší zabezpečení než „Ověření a vyšší úroveň zabezpečení“. |
Ověření a vysoká úroveň šifrování | Zvolte tuto úroveň, pokud chcete ověřit partnera přenosu, zašifrovat datové pakety a předejít nepovolené manipulaci s daty. Šifrování paketů umožňuje předejít odposlouchávacím útokům. Tato úroveň poskytuje vyšší zabezpečení než „Ověření a nižší úroveň zabezpečení“. |
Následující tabulka uvádí automaticky konfigurovaná nastavení podle úrovně zabezpečení.
Nastavení | Pouze ověření | Ověření a nízká úroveň šifrování | Ověření a vysoká úroveň šifrování |
|---|---|---|---|
Zásady zabezpečení | Použít | Použít | Použít |
Režim zapouzdření | Transport | Transport | Transport |
Úroveň požadavku IPsec | Použít pokud je možné | Použít pokud je možné | Vždy vyžadovat |
Metoda ověření | PSK | PSK | PSK |
Fáze 1Šifrovací algoritmus | MD5 | SHA1 | SHA256 |
Fáze 1Šifrovací algoritmus | DES | 3DES | AES-128-CBC |
Fáze 1Skupina Diffie-Hellman | 2 | 2 | 2 |
Fáze 2Protokol zabezpečení | AH | ESP | ESP |
Fáze 2Ověřovací algoritmus | HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 | HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 | HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
Fáze 2Povolení pro šifrovací algoritmus | Čistý text (NULL šifrování) | 3DES/AES-128/AES-192/AES-256 | AES-128/AES-192/AES-256 |
Fáze 2PFS | Neaktivní | Neaktivní | 2 |
Položky nastavení automatické výměny šifrovacího klíče
Po zadání úrovně zapezpečení se automaticky nastaví odpovídající bezpečnostní nastavení, ale ostatní nastavení, jako je typ adresy, místní adresa a vzdálená adresa, se musí nastavit manuálně.
I po nastavení úrovně zabezpečení lze stále měnit automaticky nakonfigurovaná nastavení. Pokud provedete změny automaticky konfigurovaného nastavení, úroveň zabezpečení se automaticky přepne na „Uživatelské nastavení“.
Nastavení | Popis | Nastavení hodnoty |
|---|---|---|
Typ adresy | Zadejte typ adresy, pro kterou bude použit přenos IPsec. |
|
Lokální adresa | Zadejte adresu zařízení. Používáte-li více adres v IPv6, můžete zadat rozsah adres. | Adresa IPv4 nebo IPv6 zařízení. Pokud nezadáte rozsah adres, zadejte 32 po adrese IPv4 nebo 128 po adrese IPv6. |
Vzdálená adresa | Zadejte adresu přenosu IPsec partnera. Lze zadat rozsah adres. | IPv4 nebo IPv6 adresa partnera IPsec přenosu. Pokud nezadáte rozsah adres, zadejte 32 po adrese IPv4 nebo 128 po adrese IPv6. |
Zásady zabezpečení | Zvolte, jak bude zacházeno s IPsec. |
|
Režim zapouzdření | Zadejte režim zapouzdření. (automatické nastavení) |
Zadáte-li „Tunel“, musíte také zadat „Koncové body tunelu“, kterými jsou první a poslední IP adresy. Pro počáteční bod zadejte stejnou adresu jakou zadáte pro položku „Místní adresa“. |
Úroveň požadavku IPsec | Zadejte, zda chcete uskutečnit přenos pouze pomocí IPsec nebo povolit přenos nekódovaným textem v případě, že by nešlo zahájit IPsec. (automatické nastavení) |
|
Metoda ověření | Zadejte metodu ověření partnerů přenosu. (automatické nastavení) |
Pokud zadáte „PSK“, musíte nastavit text PSK (pomocí znaků ASCII). Pokud používáte „PSK“, zadejte PSK heslo, které může mít maximálně 32 ASCII znaků. Zvolíte-li „Certifikát“, musí být před použitím nainstalován certifikát IPsec. |
Text PSK | Vyberte předsdílený klíč pro ověřování PSK. | Zadejte pro ověření PSK požadovaný předsdílený klíč. |
Fáze 1 Šifrovací algoritmus | Zadejte algoritmus Hash, který má být použit ve fázi 1. (automatické nastavení) |
|
Fáze 1 Šifrovací algoritmus | Zadejte šifrovací algoritmus, který má být použit ve fázi 1. (automatické nastavení) |
|
Fáze 1 Skupina Diffie-Hellman | Vyberte číslo skupiny Diffie-Hellman použitý pro generování šifrovacího klíče IKE. (automatické nastavení) |
|
Fáze 1 Trvání platnosti | Zadejte dobu platnosti nastavení SA ve fázi 1. | V sekundách zadejte od 300 s (5 min.) do 172800 s (48 hod.). |
Fáze 2 Protokol zabezpečení | Zadejte bezpečnostní protokol, který má být použit ve fázi 2. Pokud chcete na odeslaná data použít šifrování i ověření, zadejte možnost „ESP“ nebo „ESP+AH“. Chcete-li použít pouze ověření dat, zvolte „AH“. (automatické nastavení) |
|
Fáze 2 Ověřovací algoritmus | Zadejte ověřovací algoritmus, který má být použit ve fázi 2. (automatické nastavení) |
|
Fáze 2 Oprávnění šifrovacího algoritmu | Zadejte šifrovací algoritmus, který má být použit ve fázi 2. (automatické nastavení) |
|
Fáze 2 PFS | Zadejte, chcete-li aktivovat PFS. Pokud je PFS aktivováno, zadejte skupinu Diffie-Hellman. (automatické nastavení) |
|
Fáze 2 Trvání platnosti | Zadejte dobu platnosti nastavení SA ve fázi 2. | Zadejte dobu (v sekundách) od 300 (5 min.) do 172 800 (48 hod.) |