Configurazione delle impostazioni IPSec

Internet Protocol Security (IPSec o IPsec) è una famiglia di protocolli per la crittografia di dati trasportati su una rete, incluse reti Internet. Mentre TLS crittografa solo dati utilizzati da una specifica applicazione, come un browser web o un'applicazione e-mail, IPSec crittografa sia interi pacchetti IP che payload di pacchetti IP, offrendo un sistema di sicurezza più versatile. L'IPSec della macchina lavora in modalità trasporto, dove i payload di pacchetti IP vengono crittografati. Con questa funzione la macchina può collegarsi direttamente a un computer che si trovi nella stessa rete privata virtuale (VPN). Verificare i requisiti di sistema e impostare le configurazioni necessarie sul computer prima di configurare la macchina.
Requisiti di sistema
Limitazioni funzionali IPSec
IPSec supporta le comunicazioni a un indirizzo unicast (o un solo dispositivo).
La macchina non può utilizzare IPSec e DHCPv6 contemporaneamente.
IPSec non è disponibile nelle reti in cui sono implementati NAT o masquerade IP.
Utilizzo di IPSec con filtro indirizzi IP
Le impostazioni di filtro indirizzo IP vengono applicate prima dei criteri IPSec.

Configurazione delle impostazioni IPSec

Prima di utilizzare IPSec per la comunicazione crittografata è necessario registrare i criteri di protezione (SP). Un criterio di protezione è costituito dal gruppo di impostazioni descritte di seguito. Possono essere registrati fino a 10 criteri. Dopo la registrazione dei criteri, specificare l'ordine con cui sono applicati.
Selettore
Il selettore definisce le condizioni di applicazione della comunicazione IPSec ai pacchetti IP. Le condizioni selezionabili includono gli indirizzi IP e i numeri di porta della macchina e dei dispositivi con cui comunica.
IKE
IKE configura l'IKEv1 utilizzato per il protocollo di scambio delle chiavi. Notare che le istruzioni variano a seconda del metodo di autenticazione selezionato.
[Metodo chiave già condivisa]
È possibile condividere una chiave contenente fino a 24 caratteri alfanumerici con altri dispositivi. Abilitare TLS per la IU remota prima di specificare il metodo di autenticazione (Abilitazione della comunicazione crittografata TLS per la IU remota).
[Metodo firma digitale]
La macchina e altri dispositivi si autenticano tra loro verificando mutuamente le firme digitali. Generare o installare prima la coppia di chiavi (Utilizzo di coppie di chiavi emesse da CA e certificati digitali).
AH/ESP
Specificare le impostazioni per AH/ESP, che viene aggiunto ai pacchetti durante la comunicazione IPSec. AH e ESP possono essere utilizzati contemporaneamente. È inoltre possibile determinare se abilitare o meno PFS per una maggiore sicurezza.
1
Avviare la IU remota e accedere al modo Gestore sistema. Avvio della IU remota
2
Fare clic su [Impostazioni/Registrazione].
3
Fare clic su [Impostazioni protezione]  [Impostazioni IPSec].
4
Fare clic su [Modifica].
5
Selezionare la casella di controllo [Utilizzo IPSec] e fare clic su [OK].
Se si desidera che la macchina riceva solo pacchetti corrispondenti a uno dei criteri di protezione definiti nei passi seguenti, deselezionare la casella di controllo [Ricezione pacchetti non associati a un criterio].
6
Fare clic su [Registrazione nuovo criterio].
7
Specificare le impostazioni dei criteri.
1
Nella casella di testo [Nome criterio] immettere fino a 24 caratteri alfanumerici per un nome utilizzato per l'identificazione del criterio.
2
Selezionare la casella di controllo [Abilitazione criterio].
8
Specificare le impostazioni selettore.
[Indirizzo locale]
Fare clic sul pulsante di opzione per il tipo di indirizzo IP della macchina alla quale applicare il criterio.
[Tutti gli indirizzi IP]
Selezionare per utilizzare IPSec per tutti i pacchetti IP.
[Indirizzo IPv4]
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o dall'indirizzo IPv4 della macchina.
[Indirizzo IPv6]
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da un indirizzo IPv6 della macchina.
[Indirizzo remoto]
Fare clic sul pulsante di opzione per il tipo di indirizzo IP degli altri dispositivi a cui applicare il criterio.
[Tutti gli indirizzi IP]
Selezionare per utilizzare IPSec per tutti i pacchetti IP.
[Tutti gli indirizzi IPv4]
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da indirizzi IPv4 di altri dispositivi.
[Tutti gli indirizzi IPv6]
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da indirizzi IPv6 di altri dispositivi.
[Impostazioni manuali IPv4]
Selezionare per specificare un solo indirizzo IPv4 o un intervallo di indirizzi IPv4 ai quali applicare IPSec. Immettere l'indirizzo (o l'intervallo) IPv4 nella casella di testo [Indirizzi da impostare manualmente].
[Impostazioni manuali IPv6]
Selezionare per specificare un solo indirizzo IPv6 o un intervallo di indirizzi IPv6 ai quali applicare IPSec. Immettere l'indirizzo IPv6 (o l'intervallo) nella casella di testo [Indirizzi da impostare manualmente].
[Indirizzi da impostare manualmente]
Se viene selezionato [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6] per [Indirizzo remoto], immettere l'indirizzo IP per applicare il criterio. È anche possibile immettere un intervallo di indirizzi inserendo un trattino tra gli indirizzi.
Immissione di indirizzi IP
Descrizione
Esempio
Inserimento di un solo indirizzo
IPv4:
delimitare i numeri con punti.
192.168.0.10
IPv6:
delimitare i caratteri alfanumerici con i due punti.
fe80::10
Definizione di un intervallo di indirizzi
Inserire un trattino tra gli indirizzi.
192.168.0.10-192.168.0.20
[Impostazioni subnet]
Quando si specifica manualmente l'indirizzo IPv4, è possibile indicare l'intervallo utilizzando la subnet mask. Specificare la subnet mask utilizzando punti per delimitare i numeri (esempio:"255.255.255.240").
[Lunghezza prefisso]
Specificare manualmente una gamma di indirizzi IPv6 permette anche di specificare l'intervallo di utilizzo dei prefissi. Inserire un intervallo compreso tra 0 e 128 come lunghezza del prefisso.
[Porta locale]/[Porta remota]
Se si desidera creare criteri separati per ciascun protocollo, come HTTP o RAW, immettere il numero di porta corretto per il protocollo per determinare se utilizzare IPSec.
IPSec non viene applicato ai seguenti pacchetti
Pacchetti loopback, multicast e broadcast
Pacchetti IKE (con UDP sulla porta 500)
Pacchetti ICMPv6 neighbor solicitation e neighbor advertisement
9
Specificare le impostazioni IKE.
[Modo IKE]
Viene visualizzata la modalità per il protocollo di scambio chiave. La macchina supporta la modalità principale, non la modalità aggressiva.
[Metodo di autenticazione]
Selezionare [Metodo chiave già condivisa] o [Metodo firma digitale] per il metodo utilizzato quando si autentica la macchina. È necessario abilitare TLS prima di selezionare [Metodo chiave già condivisa] (Abilitazione della comunicazione crittografata TLS per la IU remota). È necessario generare o installare una coppia di chiavi prima di selezionare [Metodo firma digitale] (Configurazione delle impostazioni per coppie di chiavi e certificati digitali).
[Valido per]
Specificare la durata di una sessione per IKE SA (ISAKMP SA). Immettere il tempo in minuti.
[Autenticazione]/[Crittografia]/[Gruppo DH]
Selezionare un algoritmo dal menu a discesa. Ogni algoritmo viene utilizzato nello scambio di chiavi.
[Autenticazione]
Selezionare l'algoritmo hash.
[Crittografia]
Selezionare l'algoritmo di crittografia.
[Gruppo DH]
Selezionare il gruppo Diffie-Hellman, che determina la forza della chiave.
 Utilizzo di una chiave già condivisa per l'autenticazione
1
Fare clic sul pulsante di opzione [Metodo chiave già condivisa] per [Metodo di autenticazione], quindi fare clic su [Impostazioni chiave condivisa].
2
Immettere fino a 24 caratteri alfanumerici per la chiave già condivisa e fare clic su [OK].
3
Specificare le impostazioni [Valido per] e [Autenticazione]/[Crittografia]/[Gruppo DH].
 Utilizzo di una copia di chiavi e di certificati CA preinstallati per l'autenticazione
1
Fare clic sul pulsante di opzione [Metodo firma digitale] per [Metodo di autenticazione], quindi fare clic su [Chiave e certificato].
2
Fare clic su [Registrazione chiave predefinita] a destra della coppia di chiavi che si desidera utilizzare.
Visualizzazione dei dettagli di una coppia di chiavi o di un certificato
È possibile verificare i dettagli del certificato o verificare il certificato facendo clic sul corrispondente collegamento di testo in [Nome chiave] o sull'icona del certificato. Verifica di coppie di chiavi e certificati digitali
3
Specificare le impostazioni [Valido per] e [Autenticazione]/[Crittografia]/[Gruppo DH].
10
Specificare le impostazioni di rete IPSec.
[Utilizzo PFS]
Selezionare la casella di controllo per abilitare Perfect Forward Secrecy (PFS) per le chiavi di sessione IPSec. Abilitando PFS si migliora la protezione ma si incrementa il carico sulle comunicazioni. Assicurarsi che PFS sia abilitato anche per gli altri dispositivi.
[Specifica per durata]/[Specifica per dimensione]
Impostare le condizioni per terminare una sessione per IPSec SA. IPSec SA viene utilizzato come tunnel di comunicazione. Selezionare una o entrambe le caselle di controllo, in base alle esigenze. Se vengono selezionate entrambe le caselle di controllo, la sessione SA viene terminata quando una delle condizioni viene soddisfatta.
[Specifica per durata]
Immettere il tempo in minuti per specificare la durata di una sessione.
[Specifica per dimensione]
Immettere le dimensioni in megabyte per specificare la quantità di dati che è possibile trasportare in una sessione.
[Selezione algoritmo]
Selezionare la/e casella/e di controllo [ESP], [ESP (AES-GCM)] o [AH (SHA1)] in funzione dell'intestazione IPSec e dell'algoritmo utilizzati. AES-GCM è un algoritmo sia per l'autenticazione, sia per la crittografia. Se viene selezionato [ESP] selezionare anche algoritmi per l'autenticazione e la crittografia dagli elenchi a discesa [Autenticazione ESP] e [Crittografia ESP].
[Autenticazione ESP]
Per abilitare l'autenticazione ESP selezionare [SHA1] per l'algoritmo hash. Selezionare [Non usare] se si desidera disabilitare l'autenticazione ESP.
[Crittografia ESP]
Selezionare l'algoritmo di crittografia per ESP. È possibile selezionare [NULL] se non si desidera specificare l'algoritmo, oppure selezionare [Non usare] se si desidera disabilitare la crittografia ESP.
[Modo di connessione]
Viene visualizzato il modo di connessione di IPSec. La macchina supporta la modalità trasporto, con cui i payload dei pacchetti IP sono crittografati. Il modo tunnel, con cui tutti i pacchetti IP (intestazioni e payload) vengono incapsulati, non è disponibile.
11
Fare clic su [OK].
Se non occorre registrare un criterio di protezione aggiuntivo, tornare al passo 6.
12
Disporre l'ordine dei criteri elencati sotto [Criteri IPSec registrati].
I criteri sono applicati da quello nella posizione più alta a quello nella posizione più bassa. Fare clic su [Su] o [Giù] per spostare un criterio più in alto o più in basso nell'ordine.
Modifica di un criterio
Fare clic sul collegamento di testo corrispondente in [Nome criterio] per la schermata da modificare.
Eliminazione di un criterio
Fare clic su [Cancella] a destra del nome del criterio che si desidera eliminare  e fare clic su [OK].
13
Riavviare la macchina.
Spegnere la macchina, attendere almeno 10 secondi, quindi riaccenderla.
Utilizzo del pannello operativo
È anche possibile abilitare o disabilitare la comunicazione IPSec premendo sul pannello operativo. Utilizzo IPSec
0XE4-04E