Registrazione di un criterio di protezione
In questa sezione viene descritta la procedura di registrazione di un nuovo criterio di protezione.
1.
Premere 
.
. 2.
Selezionare [Preferenze] → [Rete] → [Impostazioni TCP/IP].
3.
Selezionare [Impostazioni IPSec] per [Impostazioni TCP/IP] → premere [On] per <Utilizzo IPSec>.
Premere [Off] per <Utilizzo IPSec> per non utilizzare IPSec.
|
IMPORTANTE
|
|
Se <Utilizzo IPvSec> viene impostato su 'On', la macchina non entrerà completamente nel modo sleep.
|
4.
Premere [Cons.] o [Rifiut.] per <Ric. pacch. non assoc. a criterio>→ premere [Reg.].
[Cons.] per <Ric. pacch. non assoc. a criterio>: questa opzione consente l'invio o la ricezione di pacchetti non protetti perché non corrispondenti al criterio di protezione impostato nella schermata Impostazioni IPSec, in testo normale.
[Rifiut.] per <Ric. pacch. non assoc. a criterio>: questa opzione non consente l'invio/la ricezione di pacchetti che non corrispondono al criterio di protezione impostato nella schermata Impostazioni IPSec.
5.
Selezionare [Nome criterio].
6.
Immettere il nome del criterio di protezione da registrare → selezionare [OK].
7.
Premere [Impostazioni selettore] per specificare l'indirizzo IP locale a cui applicare il criterio di protezione registrato.
Durante la ricezione di pacchetti IP, il criterio di protezione registrato viene applicato se l'indirizzo IP di destinazione incluso nei pacchetti corrisponde all'indirizzo IP locale specificato in questa procedura. Durante l'invio di pacchetti IP, il criterio di protezione registrato viene applicato se l'indirizzo IP di origine incluso nei pacchetti corrisponde all'indirizzo IP locale specificato in questa procedura.
|
IMPORTANTE
|
|
Se un indirizzo link local viene impostato su un indirizzo IP local in questa procedura per la comunicazione IPSec, l'indirizzo IP remoto stabilito al punto 8, dovrebbe essere un indirizzo link local.
|
Applicazione di un criterio di protezione a tutti i pacchetti IP inviati e ricevuti:
Selezionare [Tutti gli ind. IP] per <Indirizzo locale>.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati all'indirizzo IPv4 della macchina:
Selezionare [Indirizzo IPv4] per <Indirizzo locale>.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati all'indirizzo IPv6 della macchina:
Selezionare [Indirizzo IPv6] per <Indirizzo locale>.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati all'indirizzo IPv4 specificato o all'indirizzo di rete IPv4:
Premere [Impostaz. man. IPv4] per <Indirizzo locale> → specificare l'indirizzo IPv4 → selezionare [OK].
Per specificare un unico indirizzo IPv4: Selezionare [Indirizzo singolo] → digitare un indirizzo IPv4.
Per specificare una gamma di indirizzi IPv4: Selezionare [Intervallo di indirizzi] → selezionare [Primo indirizzo] → immettere il primo indirizzo IPv4 → premere [Ultimo indirizzo] → specificare l'ultimo indirizzo IPv4.
Per impostare la subnet: Selezionare [Impostazioni subnet] → premere [Indirizzo] → immettere l'indirizzo IPv4 → premere [Subnet mask] → immettere la subnet mask.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati all'indirizzo IPv6 specificato o all'indirizzo di rete IPv6:
Premere [Impostaz. man. IPv6] per <Indirizzo locale> → specificare l'indirizzo IPv6 → selezionare [OK].
Per specificare un unico indirizzo IPv6: Premere [Indirizzo singolo]. Selezionare [Indirizzo] → digitare un indirizzo IPv6 → premere [OK].
Per specificare una gamma di indirizzi IPv6: Premere [Intervallo di indirizzi]. Selezionare [Primo indirizzo] → digitare il primo indirizzo IPv6 → premere [OK]. Selezionare [Ultimo indirizzo] → digitare l'ultimo indirizzo IPv6 → premere [OK].
Per impostare il prefisso dell'indirizzo IPv6: Premere [Specifica prefisso]. Selezionare [Indirizzo] → digitare il prefisso dell'indirizzo IPv6 → premere [OK]. Digitare la lunghezza del prefisso in [Lunghezza prefisso].
8.
Nella schermata Impostazioni selettore, specificare l'indirizzo IP remoto a cui applicare il criterio di protezione registrato.
Durante la ricezione di pacchetti IP, il criterio di protezione registrato viene applicato se l'indirizzo IP di origine incluso nei pacchetti corrisponde all'indirizzo IP remoto specificato in questa procedura. Durante l'invio di pacchetti IP, il criterio di protezione registrato viene applicato se l'indirizzo IP di destinazione incluso nei pacchetti corrisponde all'indirizzo IP remoto specificato in questa procedura.
|
IMPORTANTE
|
|
Se un indirizzo IP remoto viene impostato su un indirizzo IP local in questa procedura per la comunicazione IPSec, l'indirizzo IP local stabilito al punto 7, dovrebbe essere un indirizzo link local.
|
Applicazione di un criterio di protezione a tutti i pacchetti IP inviati e ricevuti:
Selezionare [Tutti gli ind. IP] per <Indirizzo remoto>.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati a tutti gli indirizzi IPv4 della macchina:
Selezionare [Tutti gli ind. IPv4] per <Indirizzo remoto>.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati a tutti gli indirizzi IPv6 della macchina:
Selezionare [Tutti gli ind. IPv6] per <Indirizzo remoto>.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati all'indirizzo IPv4 specificato o all'indirizzo di rete IPv4:
Premere [Impostaz. man. IPv4] per <Indirizzo remoto> → specificare l'indirizzo IPv4 → selezionare [OK].
Per specificare un unico indirizzo IPv4: Selezionare [Indirizzo singolo] → digitare un indirizzo IPv4.
Per specificare una gamma di indirizzi IPv4: Selezionare [Intervallo di indirizzi] → selezionare [Primo indirizzo] → immettere il primo indirizzo IPv4 → premere [Ultimo indirizzo] → specificare l'ultimo indirizzo IPv4.
Per impostare la subnet: Selezionare [Impostazioni subnet] → premere [Indirizzo] → immettere l'indirizzo IPv4 → premere [Subnet mask] → immettere la subnet mask.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati all'indirizzo IPv6 specificato o all'indirizzo di rete IPv6:
Premere [Impostaz. man. IPv6] per <Indirizzo remoto> → specificare l'indirizzo IPv6 → selezionare [OK].
Per specificare un unico indirizzo IPv6: Premere [Indirizzo singolo]. Selezionare [Indirizzo] → digitare un indirizzo IPv6 → premere [OK].
Per specificare una gamma di indirizzi IPv6: Premere [Intervallo di indirizzi]. Selezionare [Primo indirizzo] → digitare il primo indirizzo IPv6 → premere [OK]. Selezionare [Ultimo indirizzo] → digitare l'ultimo indirizzo IPv6 → premere [OK].
Per impostare il prefisso dell'indirizzo IPv6: Premere [Specifica prefisso]. Selezionare [Indirizzo] → digitare il prefisso dell'indirizzo IPv6 → premere [OK]. Digitare la lunghezza del prefisso in [Lunghezza prefisso].
9.
Nella schermata Impostazioni selettore, specificare la porta di destinazione a cui applicare il criterio di protezione registrato.
Durante la ricezione di pacchetti IP, il criterio di protezione registrato viene applicato se la porta di destinazione inclusa nei pacchetti corrisponde al numero di porta specificato in questa procedura. Durante l'invio di pacchetti IP, il criterio di protezione registrato viene applicato se la porta di origine inclusa nei pacchetti corrisponde al numero di porta specificato in questa procedura.
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati alla porta locale e alla porta remota specificate tramite il numero di porta:
Selezionare [Specifica per numero di porta] per <Porta> → specificare <Porta locale> e <Porta remota> → premere [OK].
[Tutte le porte]: selezionare questa opzione per specificare tutte le porte locali o tutte le porte remote.
[Porta singola]: selezionare questa opzione per specificare una singola porta locale o una singola porta remota in base al numero di porta.
Premere [OK].
Applicazione di un criterio di protezione ai pacchetti IP ricevuti da e inviati alla porta specificata tramite l'applicazione assegnata:
Selezionare [Specifica per nome servizio] per <Porta>.
Selezionare un nome di servizio visualizzato → premere [Servizio On/Off] → selezionare [OK].
Premere [OK].
10.
Premere [Impostazioni IKE] → selezionare il modo da utilizzare per la fase 1 di IKE.
[Principale] per <Modo IKE>: consente di impostare il modo Principale. Questo modo offre un livello elevato di protezione, poiché la sessione IKE stessa è crittografata.
[Aggressive] per <Modo IKE>: selezionare questa opzione per impostare il modo Aggressive. Questo modo consente di velocizzare le sessioni IKE, in quanto non sono crittografate.
11.
Specificare il metodo di autenticazione per la fase 1 di IKE.
Se si desidera selezionare il metodo della chiave già condivisa, preparare una chiave già condivisa. Per selezionare un metodo di firma digitale, registrare innanzitutto il certificato CA (vedere "Registrazione/modifica di un file di certificato CA"),quindi installare il file della coppia di chiavi e il file del certificato (vedere "Installazione di un file di coppia di chiavi e di un file di certificato").
Impostazione del metodo della chiave già condivisa:
Premere [Met. chiave già condivisa] → [Chiave condivisa].
Immettere la chiave già condivisa → selezionare [OK].
Impostazione del metodo della firma digitale:
Premere [Metodo firma digitale] → [Chiave e certificato] per <Metodo di autenticazione>.
Selezionare la coppia di chiavi che si desidera utilizzare per IPSec → premere [Impost.come chiav.predef.] → [OK].
Non è possibile specificare 'Chiave firma periferica' (per le coppie di chiavi per l'aggiunta delle firme digitali ai PDF o XPS) o 'AMS' (per le coppie di chiavi per le restrizioni di accesso) come nome per la coppia di chiavi.
|
NOTA
|
|
Per controllare il contenuto di un certificato, selezionare una coppia di chiavi nella schermata Chiave e certificato, quindi premere [Dettagli certificato]. Nella schermata Dettagli certificato, è possibile premere [Certificato] per verificare il certificato.
Per controllare per quali voci venga utilizzata una determinata coppia di chiavi, nella schermata Chiave e certificato selezionare una coppia di chiavi con l'indicatore 'Utilizzo' visualizzato per <Stato>, quindi premere [Visualizzaz. posiz. utilizzo].
|
12.
Selezionare l'algoritmo di autenticazione e di protezione da utilizzare per la fase 1 di IKE.
Specifica dell'algoritmo di autenticazione e protezione:
Selezionare [Impostazioni manuali] per <Algoritmo autenticaz./crittografia> → specificare l'algoritmo di autenticazione e protezione da applicare a SA IKE → selezionare [OK].
[SHA1] per <Autenticazione>: Selezionare questa opzione per impostare SHA1 (Secure Hash Algorithm 1) per l'algoritmo di autenticazione. Sono supportati valori hash da 160 bit.
[MD5] per <Autenticazione>: Selezionare l'impostazione di MD5 (Message Digest Algorithm 5) per l'algoritmo di autenticazione. Sono supportati valori hash da 128 bit.
[3DES-CBC] per <Crittografia>: selezionare questa opzione per impostare 3DES (Triple Data Encryption Standard) per l'algoritmo di protezione e CBC (Cipher Block Chaining) per il modo di protezione. Lo standard 3DES richiede tempi di elaborazione più lunghi, in quanto esegue lo standard DES tre volte, ma fornisce un maggiore livello di protezione. CBC collega il risultato della protezione del blocco precedente al blocco successivo per rendere più complessa l'eventuale decodifica della protezione.
[AES-CBC] per <Crittografia>: selezionare questa opzione per impostare AES (Advanced Encryption Standard) per l'algoritmo di protezione e CBC per il modo di protezione. AES supporta chiavi di protezione di lunghezza pari a 128, 192 o 256 bit. Grazie alla lunghezza elevata, le chiavi supportate offrono una maggiore protezione. CBC collega il risultato della protezione del blocco precedente al blocco successivo per rendere più complessa l'eventuale decodifica della protezione.
[Gruppo1 (762)] per <Gruppo DH>: Selezionare questa opzione per impostare Gruppo 1 per il metodo di scambio di chiavi DH (Diffie-Hellman). Nel gruppo 1, è supportato lo standard MODP (Modular Exponentiation) da 762 bit.
[Gruppo2(1024)] per <Gruppo DH>: selezionare questa opzione per impostare Gruppo 2 per il metodo di scambio di chiavi DH. Nel gruppo 2, è supportato lo standard MODP da 1024 bit.
[Gruppo14(2048)] per <Gruppo DH>: selezionare questa opzione per impostare Gruppo 14 per il metodo di scambio di chiavi DH. Nel gruppo 14, è supportato lo standard MODP da 2048 bit.
Premere [OK].
Impostazione automatica dell'algoritmo di autenticazione e protezione:
Selezionare [Autom.] per <Algoritmo autenticaz./crittografia> → premere [OK].
Di seguito è indicata la priorità degli algoritmi di autenticazione e protezione.
|
Priorità
|
Algoritmo di autenticazione
|
Algoritmo crittografia
|
Metodo di scambio delle chiavi DH
|
|
1
|
SHA1
|
AES (128-bit)
|
Gruppo 2
|
|
2
|
MD5
|
||
|
3
|
SHA1
|
AES (192-bit)
|
|
|
4
|
MD5
|
||
|
5
|
SHA1
|
AES (256-bit)
|
|
|
6
|
MD5
|
||
|
7
|
SHA1
|
3DES
|
|
|
8
|
MD5
|
13.
Premere [Impostazioni rete IPSec] → specificare l'ora di convalida SA, il tipo di convalida e PFS (Perfect Forward Security).
[Ora] e [Dimensione] per <Validità>: specificare il periodo di validità di SA IKE e SA IPSec. Nelle comunicazioni IPSec a cui è applicato un criterio di protezione valido, i pacchetti possono essere inviati e ricevuti senza negoziazioni per lo scambio di chiavi. Accertarsi di impostare [Ora] o [Dimensione]. Se si impostano entrambe le opzioni, l'associazione SA perde validità quando viene raggiunto il valore impostato per [Ora] o [Dimensione].
[On] per <PFS>: se si attiva la funzione PFS, è possibile aumentare il livello di riservatezza, in quanto anche se una chiave di protezione viene svelata a terzi, il problema non si diffonde ad altre chiavi di protezione.
[Off] per <PFS>: se la funzione PFS viene disattivata, è possibile che se una chiave di protezione viene svelata a terzi, vengano scoperte anche altre chiavi di protezione. Se si imposta <PFS> su 'On', la destinazione per la comunicazione PFS deve inoltre avere abilitato PFS.
14.
Selezionare l'algoritmo di autenticazione e di protezione da utilizzare per la fase 2 di IKE → premere [OK].
Specifica dell'algoritmo di autenticazione e protezione:
Selezionare [Impostazioni manuali] per <Algoritmo autenticaz./crittografia> → specificare il metodo di autenticazione/crittografia ESP o l'algoritmo per il metodo di autenticazione AH → selezionare [OK].
[SHA1] per <Auten. ESP>: selezionare questa opzione per impostare SHA1 come algoritmo per il metodo di autenticazione ESP. Sono supportati valori hash da 160 bit.
[MD5] per <Auten. ESP>: selezionare questa opzione per impostare MD5 come algoritmo per il metodo di autenticazione ESP. Sono supportati valori hash da 128 bit.
[NULL] per <Auten. ESP>: selezionare questa opzione per non impostare l'algoritmo per il metodo di autenticazione ESP.
[3DES-CBC] per <Crittograf. ESP>: selezionare questa opzione per impostare 3DES per l'algoritmo di protezione ESP e CBC per il modo di protezione. Lo standard 3DES richiede tempi di elaborazione più lunghi, in quanto esegue lo standard DES tre volte, ma fornisce un maggiore livello di protezione. CBC collega il risultato della protezione del blocco precedente al blocco successivo per rendere più complessa l'eventuale decodifica della protezione.
[AES-CBC] per <Crittograf. ESP>: selezionare questa opzione per impostare AES per l'algoritmo di protezione ESP e CBC per il modo di protezione. AES supporta chiavi di protezione di lunghezza pari a 128, 192 o 256 bit. Grazie alla lunghezza elevata, le chiavi supportate offrono una maggiore protezione. CBC collega il risultato della protezione del blocco precedente al blocco successivo per rendere più complessa l'eventuale decodifica della protezione.
[NULL] per <Crittograf. ESP>: selezionare questa opzione per non impostare l'algoritmo per il metodo di protezione ESP.
[SHA1] per <Auten. AH>: selezionare questa opzione per impostare SHA1 come algoritmo per il metodo di autenticazione AH. Sono supportati valori hash da 160 bit.
[MD5] per <Auten. AH>: selezionare questa opzione per impostare MD5 come algoritmo per il metodo di autenticazione AH. Sono supportati valori hash da 128 bit.
Impostazione automatica dell'algoritmo di autenticazione e protezione:
Selezionare [Autom.] per <Algoritmo autenticaz./crittografia>.
Vengono impostati i metodi ESP di autenticazione e protezione. Di seguito è indicata la priorità degli algoritmi di autenticazione e protezione.
|
Priorità
|
Algoritmo del metodo di autenticazione ESP
|
Algoritmo del metodo di protezione ESP
|
|
1
|
SHA1
|
AES (128-bit)
|
|
2
|
MD5
|
|
|
3
|
SHA1
|
AES (192-bit)
|
|
4
|
MD5
|
|
|
5
|
SHA1
|
AES (256-bit)
|
|
6
|
MD5
|
|
|
7
|
SHA1
|
3DES
|
|
8
|
MD5
|
15.
Premere [OK] → [OK].
|
NOTA
|
|
È possibile registrare un massimo di 10 criteri di protezione. I criteri di protezione registrati vengono visualizzati in base all'ordine di priorità.
|