Configurazione delle impostazioni IPSec
Internet Protocol Security (IPSec o IPsec) è una famiglia di protocolli per la crittografia di dati trasportati su una rete, incluse reti Internet. Mentre TLS crittografa solo dati utilizzati da una specifica applicazione, come un browser Web o un'applicazione e-mail, IPSec crittografa sia interi pacchetti IP che payload di pacchetti IP, offrendo un sistema di sicurezza più versatile. L'IPSec della macchina lavora in modalità trasporto, dove i payload di pacchetti IP vengono crittografati. Con questa funzione la macchina può collegarsi direttamente a un computer che si trovi nella stessa rete privata virtuale (VPN). Verificare i requisiti di sistema e impostare le configurazioni necessarie sul computer prima di configurare la macchina.
Requisiti di sistema
L'IPSec supportato dalla macchina è conforme a RFC4301, RFC4302, RFC4303 e RFC4305.
|
Sistemi operativi supportati dai partner della comunicazione
|
Windows Vista/7/8/10/Server 2003/Server 2008/Server 2012
|
|
|
Modalità di connessione
|
Modalità di trasporto
|
|
|
Protocollo di scambio chiavi
|
IKEv1
|
|
|
Modalità di stampa
|
Modalità principale
Modalità aggressiva
|
|
|
Metodo di autenticazione
|
Chiave già condivisa
Firma digitale
|
|
|
Algoritmo hash
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Algoritmo di crittografia
(e lunghezza chiave) |
3DES-CBC
AES-CBC (128 bit, 192 bit o 256 bit)
|
|
|
Algoritmo di scambio chiave/gruppo (e lunghezza chiave)
|
Diffie-Hellman (DH)
Gruppo 1 (768 bit)
Raggruppamento 2 (1.024 bit)
Gruppo 14 (2.048 bit)
|
|
|
ESP (Encapsulating Security Payload)
|
Algoritmo hash
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Algoritmo di crittografia
(e lunghezza chiave) |
3DES-CBC
AES-CBC (128 bit, 192 bit o 256 bit)
|
|
|
AH (Authentication Header)
|
Algoritmo hash
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Prima di configurare le impostazioni della comunicazione IPSecVerificare le impostazioni IPSec del sistema operativo con cui la macchina comunicherà. Una combinazione errata di impostazioni del sistema operativo e impostazioni della macchina renderà impossibile la comunicazione IPSec.
|
 |
Limitazioni funzionali IPSecIPSec supporta le comunicazioni a un indirizzo unicast (o un solo dispositivo).
La macchina non può utilizzare IPSec e DHCPv6 contemporaneamente.
IPSec non è disponibile nelle reti in cui sono implementati NAT o masquerade IP.
In IKEv1 phase1, PFS non è supportato.
Utilizzo di IPSec con filtro indirizzi IPLe impostazioni IPSec vengono applicate prima delle impostazioni del filtro indirizzi IP durante la ricezione dei pacchetti, mentre le impostazioni dell'indirizzo IP vengono applicate prima delle impostazioni IPSec durante la trasmissione dei pacchetti. Definizione indirizzi IP per le regole firewall
|
Registrazione dei criteri di protezione
Per usare IPSec per la comunicazione crittografata, è necessario registrare i criteri di protezione (SP) prima di attivare le impostazioni IPSec (Abilitazione della comunicazione IPSec). Un criterio di protezione è costituito dal gruppo di impostazioni descritte di seguito. Possono essere registrati fino a 10 criteri. È possibile registrare criteri multipli in base a una combinazione dell'indirizzo IP e del numero di porta. Dopo la registrazione dei criteri, specificare l'ordine con cui sono applicati.
Selettore
Il selettore definisce le condizioni di applicazione della comunicazione IPSec ai pacchetti IP. Le condizioni selezionabili includono gli indirizzi IP e i numeri di porta della macchina e dei dispositivi con cui comunica.
IKE
IKE configura l'IKEv1 utilizzato per il protocollo di scambio delle chiavi. Notare che le istruzioni variano a seconda del metodo di autenticazione selezionato.
[Metodo chiave già condivisa]
È possibile condividere una chiave contenente fino a 24 caratteri alfanumerici con altri dispositivi. Abilitare preventivamente TLS per la IU remota (Utilizzo di TLS per le comunicazioni crittografate).
È possibile condividere una chiave contenente fino a 24 caratteri alfanumerici con altri dispositivi. Abilitare preventivamente TLS per la IU remota (Utilizzo di TLS per le comunicazioni crittografate).
[Metodo firma digitale]
La macchina e altri dispositivi si autenticano tra loro verificando mutuamente le firme digitali. Tenere pronta una coppia di chiavi da usare (Utilizzo di coppie di chiavi emesse da CA e certificati digitali).
La macchina e altri dispositivi si autenticano tra loro verificando mutuamente le firme digitali. Tenere pronta una coppia di chiavi da usare (Utilizzo di coppie di chiavi emesse da CA e certificati digitali).
Impostazione dei protocolli e delle opzioni
Specificare le impostazioni per ESP e AH, che vengono aggiunti ai pacchetti durante la comunicazione IPSec. ESP e AH non possono essere utilizzati contemporaneamente. È inoltre possibile determinare se abilitare o meno PFS per una maggiore sicurezza.
1
Avviare la IU remota e accedere in modalità gestione. Avvio della IU remota
2
Fare clic su [Impostazioni/Registrazione].
3
Fare clic su [Protezione] 
[Impostazioni IPSec].
[Impostazioni IPSec].
4
Fare clic su [Elenco criteri IPSec].
5
Fare clic su [Registrazione criteri IPSec].
6
Digitare il nome di un criterio in [Nome criterio] e selezionare la casella di controllo [Abilita criterio].
[Nome criterio]
Immettere fino a 24 caratteri alfanumerici per un nome utilizzato per l'identificazione del criterio.
Immettere fino a 24 caratteri alfanumerici per un nome utilizzato per l'identificazione del criterio.
[Abilita criterio]
Selezionare la casella di controllo per abilitare il criterio. Quando non si utilizza il criterio, deselezionare la casella di controllo.
Selezionare la casella di controllo per abilitare il criterio. Quando non si utilizza il criterio, deselezionare la casella di controllo.
7
Specificare le impostazioni selettore.
[Indirizzo locale]
Selezionare dal seguente elenco il tipo di indirizzo IP della macchina alla quale applicare il criterio.
Selezionare dal seguente elenco il tipo di indirizzo IP della macchina alla quale applicare il criterio.
|
[Tutti indirizzi IP]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP.
|
|
[Indirizzo IPv4]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o dall'indirizzo IPv4 della macchina.
|
|
[Indirizzo IPv6]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da un indirizzo IPv6 della macchina.
|
|
[Impostazioni manuali IPv4]
|
Selezionare per specificare un solo indirizzo IPv4 o un intervallo di indirizzi IPv4 ai quali applicare IPSec. Immettere l'indirizzo (o l'intervallo) IPv4 nella casella di testo [Indirizzi da impostare manualmente].
|
|
[Impostazioni manuali IPv6]
|
Selezionare per specificare un solo indirizzo IPv6 o un intervallo di indirizzi IPv6 ai quali applicare IPSec. Immettere l'indirizzo IPv6 (o l'intervallo) nella casella di testo [Indirizzi da impostare manualmente].
|
[Indirizzi da impostare manualmente]
Se viene selezionato [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6] per [Indirizzo locale], immettere l'indirizzo IP per applicare il criterio.
Se viene selezionato [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6] per [Indirizzo locale], immettere l'indirizzo IP per applicare il criterio.
[Impostazioni subnet]
Quando si specificano manualmente gli indirizzi IPv4, è possibile indicare l'intervallo utilizzando la subnet mask. Specificare la subnet mask utilizzando punti per delimitare i numeri (esempio:"255.255.255.240").
Quando si specificano manualmente gli indirizzi IPv4, è possibile indicare l'intervallo utilizzando la subnet mask. Specificare la subnet mask utilizzando punti per delimitare i numeri (esempio:"255.255.255.240").
[Indirizzo remoto]
Selezionare dall'elenco mostrato qui sotto il tipo di indirizzo IP degli altri dispositivi a cui applicare il criterio.
Selezionare dall'elenco mostrato qui sotto il tipo di indirizzo IP degli altri dispositivi a cui applicare il criterio.
|
[Tutti indirizzi IP]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP.
|
|
[Tutti gli indirizzi IPv4]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da un indirizzo IPv4.
|
|
[Tutti gli indirizzi IPv6]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da un indirizzo IPv6.
|
|
[Impostazioni manuali IPv4]
|
Selezionare per specificare un solo indirizzo IPv4 o un intervallo di indirizzi IPv4 ai quali applicare IPSec. Immettere l'indirizzo (o l'intervallo) IPv4 nella casella di testo [Indirizzi da impostare manualmente].
|
|
[Impostazioni manuali IPv6]
|
Selezionare per specificare un solo indirizzo IPv6 o un intervallo di indirizzi IPv6 ai quali applicare IPSec. Immettere l'indirizzo IPv6 (o l'intervallo) nella casella di testo [Indirizzi da impostare manualmente].
|
[Indirizzi da impostare manualmente]
Se viene selezionato [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6] per [Indirizzo remoto], immettere l'indirizzo IP per applicare il criterio.
Se viene selezionato [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6] per [Indirizzo remoto], immettere l'indirizzo IP per applicare il criterio.
[Impostazioni subnet]
Quando si specificano manualmente gli indirizzi IPv4, è possibile indicare l'intervallo utilizzando la subnet mask. Specificare la subnet mask utilizzando punti per delimitare i numeri (esempio:"255.255.255.240").
Quando si specificano manualmente gli indirizzi IPv4, è possibile indicare l'intervallo utilizzando la subnet mask. Specificare la subnet mask utilizzando punti per delimitare i numeri (esempio:"255.255.255.240").
[Porta locale]/[Porta remota]
Se si desidera creare criteri separati per ciascun protocollo, come HTTP o SMTP, immettere il numero di porta corretto per il protocollo per determinare se utilizzare IPSec.
Se si desidera creare criteri separati per ciascun protocollo, come HTTP o SMTP, immettere il numero di porta corretto per il protocollo per determinare se utilizzare IPSec.
IPSec non viene applicato ai pacchetti che hanno un indirizzo multicast o broadcast specificato.
8
Specificare le impostazioni IKE.
[Modalità IKE]
Viene visualizzata la modalità usata per il protocollo di scambio chiave. Di norma, selezionare la modalità principale.
Selezionare la modalità aggressiva quando l'indirizzo IP non è fisso. Tenere presente che la sicurezza in modalità aggressiva è minore rispetto alla modalità principale.
[Metodo di autenticazione]
Selezionare [Metodo chiave già condivisa] o [Metodo firma digitale] per il metodo usato per autenticare la macchina.
Selezionare [Metodo chiave già condivisa] o [Metodo firma digitale] per il metodo usato per autenticare la macchina.
Quando si seleziona la modalità aggressiva in [Modalità IKE], l'impostazione [Metodo chiave già condivisa] non esegue la crittografia della chiave condivisa.
[Algoritmo autenticazione/crittografia]
Per impostare automaticamente l'algoritmo usato per lo scambio chiave, selezionare la casella di controllo [Auto]. Selezionando la casella di controllo, l'algoritmo viene impostato come mostrato qui sotto.
Per impostare automaticamente l'algoritmo usato per lo scambio chiave, selezionare la casella di controllo [Auto]. Selezionando la casella di controllo, l'algoritmo viene impostato come mostrato qui sotto.
|
[autenticazione]
|
[SHA1 e MD5]
|
|
[Crittografia]
|
[3DES-CBC e AES-CBC]
|
|
[Gruppo DH]
|
[Gruppo 2 (1024)]
|
Per impostare manualmente l'algoritmo, deselezionare la casella di controllo e selezionare l'algoritmo.
|
[autenticazione]
|
Selezionare l'algoritmo hash.
|
|
[Crittografia]
|
Selezionare l'algoritmo di crittografia.
|
|
[Gruppo DH]
|
Selezionare il gruppo Diffie-Hellman, che determina la forza della chiave.
|
Utilizzo del [Metodo chiave già condivisa] per l'autenticazione
|
1
|
Selezionare [Metodo chiave già condivisa] per [Metodo di autenticazione] e fare clic su [Impostazioni chiave condivisa].
|
|
2
|
Immettere fino a 24 caratteri alfanumerici per la chiave pre-condivisa e fare clic su [OK].
 |
Utilizzo del [Metodo firma digitale] per l'autenticazione
|
1
|
Selezionare [Metodo firma digitale] per [Metodo di autenticazione] e fare clic su [Chiave e certificato].
|
|
2
|
Selezionare la coppia di chiavi da usare e fare clic su [Impostazioni chiave predefinita].
 Visualizzazione dei dettagli di una coppia di chiavi o di un certificato
È possibile verificare i dettagli del certificato o verificare il certificato facendo clic sul corrispondente collegamento di testo in [Nome chiave] o sull'icona del certificato. Verifica di coppie di chiavi e certificati digitali
|
9
Specificare le impostazioni di rete IPSec.
[Utilizzo PFS]
Selezionare la casella di controllo per abilitare Perfect Forward Secrecy (PFS) per le chiavi di sessione IPSec. Abilitando PFS si migliora la protezione ma si incrementa il carico sulle comunicazioni. Assicurarsi che PFS sia abilitato anche per gli altri dispositivi. Quando non si usa PFS, deselezionare la casella di controllo.
[Validità]
Specificare per quanto tempo SA viene utilizzato come tunnel di comunicazione. Selezionare la casella di controllo [Specifica per orario] o [Specifica per dimensioni], oppure entrambe, in base alle esigenze. Se vengono selezionate entrambe le caselle di controllo, la sessione IPSec SA viene terminata quando una delle condizioni viene soddisfatta.
Specificare per quanto tempo SA viene utilizzato come tunnel di comunicazione. Selezionare la casella di controllo [Specifica per orario] o [Specifica per dimensioni], oppure entrambe, in base alle esigenze. Se vengono selezionate entrambe le caselle di controllo, la sessione IPSec SA viene terminata quando una delle condizioni viene soddisfatta.
|
[Specifica per orario]
|
Immettere un tempo in minuti per specificare la durata di una sessione. Il tempo inserito viene applicato sia a IPSec SA, sia a IKE SA.
|
|
[Specifica per dimensioni]
|
Immettere una dimensione in megabyte per specificare la quantità di dati che può essere trasportata in una sessione. La dimensione inserita viene applicata solo a IPSec SA.
|
Se è stata selezionata soltanto la casella di controllo [Specifica per dimensioni]
Non è possibile specificare la validità di IKE SA in termini di dimensione, quindi viene applicato il valore iniziale (480 minuti) di [Specifica per orario].
[Algoritmo autenticazione/crittografia]
Selezionare il protocollo e l'algoritmo da usare per la comunicazione IPSec.
Selezionare il protocollo e l'algoritmo da usare per la comunicazione IPSec.
Configurazione automatica della connessioneSelezionare [Auto].
|
[Autenticazione ESP]
|
ESP è abilitato e l'algoritmo di autenticazione è impostato su [SHA1 e MD5].
|
|
[Crittografia ESP]
|
ESP è abilitato e l'algoritmo di crittografia è impostato su [3DES-CBC e AES-CBC].
|
Utilizzo di ESPSelezionare [ESP] e selezionare l'algoritmo di autenticazione e l'algoritmo di crittografia.
|
[Autenticazione ESP]
|
Selezionare l'algoritmo hash da usare per l'autenticazione ESP.
|
|
[Crittografia ESP]
|
Selezionare l'algoritmo di crittografia per ESP.
|
Utilizzo di AHSelezionare [AH] e selezionare l'algoritmo hash da usare per l'autenticazione AH da [Autenticazione AH].
[Modalità connessione]
Viene visualizzato il modo di connessione di IPSec. La macchina supporta la modalità trasporto, con cui i payload dei pacchetti IP sono crittografati. Il modo tunnel, con cui tutti i pacchetti IP (intestazioni e payload) vengono incapsulati, non è disponibile.
Viene visualizzato il modo di connessione di IPSec. La macchina supporta la modalità trasporto, con cui i payload dei pacchetti IP sono crittografati. Il modo tunnel, con cui tutti i pacchetti IP (intestazioni e payload) vengono incapsulati, non è disponibile.
10
Fare clic su [OK].
Se occorre registrare un criterio di protezione aggiuntivo, tornare al passo 5.
11
Disporre l'ordine dei criteri elencati sotto [Elenco criteri IPSec].
I criteri sono applicati da quello nella posizione più alta a quello nella posizione più bassa. Fare clic su [Alzare priorità] o [Abbassare priorità] per spostare un criterio più in alto o più in basso nell'ordine.
Modifica di un criterio
È possibile fare clic sul collegamento di testo sotto a [Nome criterio] per modificare le impostazioni.
Eliminazione di un criterio
Fare clic su [Cancella] a destra del criterio che si desidera eliminare.
12
Eseguire un hard reset.
Fare clic su [Controllo periferica], selezionare [Ripristino hardware] e fare clic su [Esegui].
Le impostazioni vengono abilitate una volta eseguito un hard reset.
Abilitazione della comunicazione IPSec
Una volta conclusa la registrazione dei criteri di protezione, abilitare la comunicazione IPSec.
1
Avviare la IU remota e accedere in modalità gestione. Avvio della IU remota
2
Fare clic su [Impostazioni/Registrazione].
3
Fare clic su [Protezione] [Impostazioni IPSec].
[Impostazioni IPSec].4
Fare clic su [Modifica].
5
Selezionare la casella di controllo [Utilizzo IPSec] e fare clic su [OK].
[Utilizzo IPSec]
Quando si utilizza IPSec nella macchina, selezionare la casella di controllo. Quando non si utilizza, deselezionare la casella di controllo.
[Consenti ricezione pacchetti non associati a un criterio]
Se si seleziona la casella di controllo quando si usa IPSec, vengono inviati/ricevuti anche i pacchetti che non sono disponibili per i criteri registrati. Per disabilitare l'invio/la ricezione dei pacchetti che non sono disponibili per i criteri, deselezionare la casella di controllo.
Se si seleziona la casella di controllo quando si usa IPSec, vengono inviati/ricevuti anche i pacchetti che non sono disponibili per i criteri registrati. Per disabilitare l'invio/la ricezione dei pacchetti che non sono disponibili per i criteri, deselezionare la casella di controllo.
6
Eseguire un hard reset.
Fare clic su [Controllo periferica], selezionare [Ripristino hardware] e fare clic su [Esegui].
Le impostazioni vengono abilitate una volta eseguito l'hard reset.
|
|
Utilizzo del pannello operativoÈ possibile abilitare o disabilitare la comunicazione IPSec anche dal menu delle impostazioni del pannello operativo. IPSec
|