Impostazioni IPSec

IPSec è un protocollo che consente di proteggere i pacchetti IP inviati e ricevuti su una rete IP da minacce quali furto, modifica e furto d'identità. IPSec viene applicato ai pacchetti TCP, UDP (User Datagram Protocol) e ICMP (Internet Control Message Protocol). La superiorità di IPSec rispetto ad altri protocolli di protezione consiste nel fatto che questo protocollo aggiunge funzioni di protezione a IP, ovvero il protocollo di base di Internet, senza dipendere dal software applicativo e dalla configurazione di rete.
In questa sezione viene descritta la procedura di creazione di un criterio di protezione per l'impostazione di comunicazioni IPSec utilizzando il pannello comandi della macchina. In un criterio di protezione vengono registrati le impostazioni di IPSec, ad esempio i pacchetti da elaborare tramite IPSec, e l'algoritmo da utilizzare per l'autenticazione e la crittografia. La connessione logica stabilita per il traffico durante le negoziazioni in base a un criterio di protezione IPSec, è denominata SA (Security Association) IPSec.
Di seguito sono riportate le funzioni del protocollo IPSec utilizzate dalla macchina.

Modo di comunicazione

Poiché la funzione IPSec della macchina supporta solo il modo di trasporto, l'autenticazione e la protezione vengono applicate solo alla parte di dati dei pacchetti IP.

Metodo di autenticazione e protezione

Per la macchina è necessario impostare almeno uno dei metodi riportati di seguito. Non è possibile impostare entrambi i metodi contemporaneamente.
AH (Authentication Header)
Protocollo che consente di certificare l'autenticazione attraverso il rilevamento delle modifiche apportate ai dati trasmessi o ricevuti, inclusa l'intestazione IP. I dati trasmessi o ricevuti non sono protetti.
ESP (Encapsulating Security Payload)
Protocollo che garantisce la riservatezza attraverso la protezione, certificando l'integrità e l'autenticazione solo della parte payload dei dati trasmessi/ricevuti.

Key Exchange Protocol

Questo protocollo supporta IKEv1 (Internet Key Exchange version 1) per lo scambio di chiavi in base al protocollo ISAKMP (Internet Security Association and Key Management Protocol). IKE comprende due fasi; nella fase 1 viene creata l'associazione SA utilizzata per IKE (SA IKE), mentre nella fase 2 viene creata l'associazione SA utilizzata per IPSec (SA IPSec).
Per impostare l'autenticazione mediante il metodo della chiave già condivisa, è necessario stabilire in precedenza una chiave già condivisa, ovvero una parola chiave utilizzata per entrambe le macchine per l'invio e la ricezione dei dati. Utilizzare il pannello comandi della macchina per impostare la stessa chiave già condivisa come destinazione con cui effettuare le comunicazioni IPSec ed eseguire l'autenticazione tramite il metodo della chiave già condivisa.
Per selezionare l'autenticazione con la firma digitale, è necessario registrare un certificato CA (certificato X.509) per l'autenticazione bilaterale della destinazione IPSec. Per informazioni sull'installazione del file di certificato CA mediante la IU remota, vedere "Installazione di un file di certificato CA". Per istruzioni sulla registrazione del file di certificato CA installato, vedere "Registrazione/modifica di un file di certificato CA".
Di seguito sono riportati i tipi di coppia di chiavi e di certificato che è possibile utilizzare per l'autenticazione mediante il metodo di firma digitale.
Algoritmo RSA (Rivest Shamir Adleman)
Coppia di chiavi formato PKCS#12

IMPORTANTE
Se si desidera registrare più criteri di protezione durante l'impostazione del modo principale e del metodo di autenticazione tramite chiave già condivisa nella schermata Impostazioni IKE, vengono applicate le seguenti restrizioni.
Metodo chiave già condivisa: se si specificano più indirizzi IP remoti a cui applicare un criterio di protezione, tutte le chiavi condivise per tale criterio sono identiche (ciò non accade nel caso in cui venga specificato un singolo indirizzo).
Priorità: se si specificano più indirizzi IP remoti a cui applicare un criterio di protezione, la priorità di tale criterio è inferiore ai criteri di protezione per cui è specificato un solo indirizzo.
0A3C-1KH