Nastavení IPsec tohoto zařízení lze provést pomocí aplikace Web Image Monitor. Následující tabulka vysvětluje jednotlivé položky nastavení.
Položky nastavení IPsec
Nastavení |
Popis |
Nastavení hodnoty |
---|---|---|
IPsec |
Zadejte, zda chcete povolit, nebo zakázat IPsec. |
|
Vyloučit komunikaci HTTPS |
Zadejte, zda chcete aktivovat IPsec pro HTTPS přenos. |
Pokud nechcete používat IPsec pro přenos HTTPS, nastavte volbu "Aktivní". |
Nastavení IPsec lze rovněž nakonfigurovat z ovládacího panelu.
Úroveň zabezpečení automatické výměny šifrovacího klíče
Při zvolení úrovně zabezpečení se automaticky konfigurují některá nastavení. Následující tabulka objasňuje vlastnosti úrovně zabezpečení.
Úroveň zabezpečení |
Funkce úrovně zabezpečení |
---|---|
Pouze ověření |
Zvolte tuto úroveň, pokud chcete ověřit partnera přenosu a předejít nepovolené manipulaci s daty bez šifrování datových paketů. Protože jsou data odesílána nekódovaným textem, jsou datové pakety vystaveny nebezpečí odposlouchávacích útoků. Při odesílání důvěrných dat se toto nastavení nedoporučuje. |
Ověření a nízká úroveň šifrování |
Zvolte tuto úroveň, pokud chcete ověřit partnera přenosu, zašifrovat datové pakety a předejít nepovolené manipulaci s daty. Šifrování paketů umožňuje předejít odposlouchávacím útokům. Tato úroveň poskytuje nižší zabezpečení než "Ověření a vyšší úroveň zabezpečení". |
Ověření a vysoká úroveň šifrování |
Zvolte tuto úroveň, pokud chcete ověřit partnera přenosu, zašifrovat datové pakety a předejít nepovolené manipulaci s daty. Šifrování paketů umožňuje předejít odposlouchávacím útokům. Tato úroveň poskytuje vyšší zabezpečení než "Ověření a nižší úroveň zabezpečení". |
Následující tabulka uvádí automaticky konfigurovaná nastavení podle úrovně zabezpečení.
Nastavení |
Pouze ověření |
Ověření a nízká úroveň šifrování |
Ověření a vysoká úroveň šifrování |
---|---|---|---|
Zásady zabezpečení |
Použít |
Použít |
Použít |
Režim zapouzdření |
Transport |
Transport |
Transport |
Úroveň požadavku IPsec |
Použít pokud je možné |
Použít pokud je možné |
Vždy vyžadovat |
Metoda ověření |
PSK |
PSK |
PSK |
Fáze 1 Šifrovací algoritmus |
MD5 |
SHA1 |
SHA256 |
Fáze 1 Šifrovací algoritmus |
DES |
3DES |
AES-128-CBC |
Fáze 1 Skupina Diffie-Hellman |
2 |
2 |
2 |
Fáze 2 Protokol zabezpečení |
AH |
ESP |
ESP |
Fáze 2 Ověřovací algoritmus |
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
Fáze 2 Povolení pro šifrovací algoritmus |
Čistý text (NULL šifrování) |
3DES/AES-128/AES-192/AES-256 |
AES-128/AES-192/AES-256 |
Fáze 2 PFS |
Neaktivní |
Neaktivní |
2 |
Položky nastavení automatické výměny šifrovacího klíče
Po zadání úrovně zapezpečení se automaticky nastaví odpovídající bezpečnostní nastavení, ale ostatní nastavení, jako je typ adresy, místní adresa a vzdálená adresa, se musí nastavit manuálně.
I po nastavení úrovně zabezpečení lze stále měnit automaticky nakonfigurovaná nastavení. Pokud provedete změny automaticky konfigurovaného nastavení, úroveň zabezpečení se automaticky přepne na "Uživatelské nastavení".
Nastavení |
Popis |
Nastavení hodnoty |
---|---|---|
Typ adresy |
Zadejte typ adresy, pro kterou bude použit přenos IPsec. |
|
Lokální adresa |
Zadejte adresu zařízení. Používáte-li více adres v IPv6, můžete zadat rozsah adres. |
Adresa IPv4 nebo IPv6 zařízení. Pokud nezadáte rozsah adres, zadejte 32 po adrese IPv4 nebo 128 po adrese IPv6. |
Vzdálená adresa |
Zadejte adresu přenosu IPsec partnera. Lze zadat rozsah adres. |
IPv4 nebo IPv6 adresa partnera IPsec přenosu. Pokud nezadáte rozsah adres, zadejte 32 po adrese IPv4 nebo 128 po adrese IPv6. |
Zásady zabezpečení |
Zvolte, jak bude zacházeno s IPsec. |
|
Režim zapouzdření |
Zadejte režim zapouzdření. (automatické nastavení) |
Zadáte-li "Tunel", musíte také zadat "Koncové body tunelu", kterými jsou první a poslední IP adresy. Pro počáteční bod zadejte stejnou adresu jakou zadáte pro položku "Místní adresa". |
Úroveň požadavku IPsec |
Zadejte, zda chcete uskutečnit přenos pouze pomocí IPsec nebo povolit přenos nekódovaným textem v případě, že by nešlo zahájit IPsec. (automatické nastavení) |
|
Metoda ověření |
Zadejte metodu ověření partnerů přenosu. (automatické nastavení) |
Pokud zadáte "PSK", musíte nastavit text PSK (pomocí znaků ASCII). Pokud používáte "PSK", zadejte PSK heslo, které může mít maximálně 32 ASCII znaků. Zvolíte-li "Certifikát", musí být před použitím nainstalován certifikát IPsec. |
Text PSK |
Vyberte předsdílený klíč pro ověřování PSK. |
Zadejte pro ověření PSK požadovaný předsdílený klíč. |
Fáze 1 Šifrovací algoritmus |
Zadejte algoritmus Hash, který má být použit ve fázi 1. (automatické nastavení) |
|
Fáze 1 Šifrovací algoritmus |
Zadejte šifrovací algoritmus, který má být použit ve fázi 1. (automatické nastavení) |
|
Fáze 1 Skupina Diffie-Hellman |
Vyberte číslo skupiny Diffie-Hellman použitý pro generování šifrovacího klíče IKE. (automatické nastavení) |
|
Fáze 1 Trvání platnosti |
Zadejte dobu platnosti nastavení SA ve fázi 1. |
V sekundách zadejte od 300 s (5 min.) do 172800 s (48 hod.). |
Fáze 2 Protokol zabezpečení |
Zadejte bezpečnostní protokol, který má být použit ve fázi 2. Pokud chcete na odeslaná data použít šifrování i ověření, zadejte možnost "ESP" nebo "ESP+AH". Chcete-li použít pouze ověření dat, zvolte "AH". (automatické nastavení) |
|
Fáze 2 Ověřovací algoritmus |
Zadejte ověřovací algoritmus, který má být použit ve fázi 2. (automatické nastavení) |
|
Fáze 2 Oprávnění šifrovacího algoritmu |
Zadejte šifrovací algoritmus, který má být použit ve fázi 2. (automatické nastavení) |
|
Fáze 2 PFS |
Zadejte, chcete-li aktivovat PFS. Pokud je PFS aktivováno, zadejte skupinu Diffie-Hellman. (automatické nastavení) |
|
Fáze 2 Trvání platnosti |
Zadejte dobu platnosti nastavení SA ve fázi 2. |
Zadejte dobu (v sekundách) od 300 (5 min.) do 172 800 (48 hod.) |