Configurazione delle impostazioni IPSec
Internet Protocol Security (IPSec o IPsec) è una famiglia di protocolli per la crittografia di dati trasportati su una rete, incluse le reti Internet. Mentre TLS crittografa solo dati utilizzati da una specifica applicazione, come un browser o un'applicazione e-mail, IPSec crittografa sia interi pacchetti IP che payload di pacchetti IP, offrendo un sistema di sicurezza più versatile. L'IPSec della macchina lavora in modalità trasporto, dove i payload di pacchetti IP vengono crittografati. Con questa funzione la macchina può collegarsi direttamente a un computer che si trova nella stessa rete privata virtuale (VPN). Verificare i requisiti di sistema (Funzioni di gestione) e impostare le configurazioni necessarie sul computer prima di configurare la macchina.
/b_C231_L.gif)
|
|
Utilizzo di IPSec con filtro indirizzi IPLe impostazioni di filtro indirizzo IP vengono applicate prima dei criteri IPSec. Definizione di indirizzi IP per le impostazioni firewall
|
Configurazione delle impostazioni IPSec
Prima di utilizzare IPSec per la comunicazione crittografata è necessario registrare i criteri di protezione (SP). Un criterio di protezione è costituito dal gruppo di impostazioni descritte di seguito. Dopo la registrazione dei criteri, specificare l'ordine con cui sono applicati.
Selettore
Il selettore definisce le condizioni di applicazione della comunicazione IPSec ai pacchetti IP. Le condizioni selezionabili includono gli indirizzi IP e i numeri di porta della macchina e dei dispositivi con cui comunica.
IKE
IKE configura l'IKEv1 utilizzato per il protocollo di scambio delle chiavi. Notare che le istruzioni variano a seconda del metodo di autenticazione selezionato.
[Metodo chiave già condivisa]
Questo metodo di autenticazione utilizza una parola chiave comune, detta Chiave condivisa, per le comunicazioni tra la macchina e altri dispositivi. Abilitare TLS per la IU remota prima di specificare questo metodo di autenticazione (Configurazione di chiave e certificato per TLS).
Questo metodo di autenticazione utilizza una parola chiave comune, detta Chiave condivisa, per le comunicazioni tra la macchina e altri dispositivi. Abilitare TLS per la IU remota prima di specificare questo metodo di autenticazione (Configurazione di chiave e certificato per TLS).
[Metodo firma digitale]
La macchina e altri dispositivi si autenticano tra loro verificando reciprocamente le firme digitali. Generare o installare in anticipo chiave e certificato (Registrazione di chiave e certificato per la comunicazione di rete).
La macchina e altri dispositivi si autenticano tra loro verificando reciprocamente le firme digitali. Generare o installare in anticipo chiave e certificato (Registrazione di chiave e certificato per la comunicazione di rete).
AH/ESP
Specificare le impostazioni per AH/ESP, che viene aggiunto ai pacchetti durante la comunicazione IPSec. AH e ESP possono essere utilizzati contemporaneamente. È inoltre possibile determinare se abilitare o meno PFS per una maggiore sicurezza.
|
|
|
Per maggiori informazioni sulle operazioni di base da eseguire per configurare la macchina dalla IU remota, consultare Impostazione delle opzioni di menu dalla IU remota.
|
1
Avviare la IU remota e accedere a Modo gestore sistema. Avvio della IU remota
2
Fare clic su [Impostazioni/Registrazione] nella pagina Portale. Schermate della IU remota
3
Selezionare [Impostazioni rete] /b_key_arrow_right.gif)
[Impostazioni IPSec].
[Impostazioni IPSec].4
Fare clic su [Modifica].
5
Selezionare la casella di controllo [Utilizzo IPSec] e fare clic su [OK].
Se si desidera che la macchina riceva solo pacchetti corrispondenti a uno dei criteri di protezione definiti nei passi seguenti, deselezionare la casella di controllo [Ricezione pacchetti non associati a un criterio].
6
Fare clic su [Registrazione nuovo criterio].
7
Specificare le impostazioni dei criteri.
/b_rui081.gif)
|
1
|
Nella casella di testo [Nome criterio] immettere dei caratteri alfanumerici per un nome utilizzato per l'identificazione del criterio.
|
|
2
|
Selezionare la casella di controllo [Abilitazione criterio].
|
8
Specificare le impostazioni selettore.
/b_rui082.gif)
[Indirizzo locale]
Fare clic sul pulsante di opzione per il tipo di indirizzo IP della macchina alla quale applicare il criterio.
Fare clic sul pulsante di opzione per il tipo di indirizzo IP della macchina alla quale applicare il criterio.
|
[Tutti gli indirizzi IP]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP.
|
|
[Indirizzo IPv4]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o dall'indirizzo IPv4 della macchina.
|
|
[Indirizzo IPv6]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da un indirizzo IPv6 della macchina.
|
[Indirizzo remoto]
Fare clic sul pulsante di opzione per il tipo di indirizzo IP degli altri dispositivi a cui applicare il criterio.
Fare clic sul pulsante di opzione per il tipo di indirizzo IP degli altri dispositivi a cui applicare il criterio.
|
[Tutti gli indirizzi IP]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP.
|
|
[Tutti gli indirizzi IPv4]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da indirizzi IPv4 di altri dispositivi.
|
|
[Tutti gli indirizzi IPv6]
|
Selezionare per utilizzare IPSec per tutti i pacchetti IP inviati a o da indirizzi IPv6 di altri dispositivi.
|
|
[Impostazioni manuali IPv4]
|
Selezionare per specificare un solo indirizzo IPv4 o un intervallo di indirizzi IPv4 ai quali applicare IPSec. Immettere l'indirizzo (o l'intervallo) IPv4 nella casella di testo [Indirizzi da impostare manualmente].
|
|
[Impostazioni manuali IPv6]
|
Selezionare per specificare un solo indirizzo IPv6 o un intervallo di indirizzi IPv6 ai quali applicare IPSec. Immettere l'indirizzo IPv6 (o l'intervallo) nella casella di testo [Indirizzi da impostare manualmente].
|
[Indirizzi da impostare manualmente]
Se viene selezionato [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6] per [Indirizzo remoto], immettere l'indirizzo IP per applicare il criterio. È anche possibile immettere un intervallo di indirizzi inserendo un trattino tra gli indirizzi.
Se viene selezionato [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6] per [Indirizzo remoto], immettere l'indirizzo IP per applicare il criterio. È anche possibile immettere un intervallo di indirizzi inserendo un trattino tra gli indirizzi.
Immissione di indirizzi IP
|
Descrizione
|
Esempio
|
|
|
Inserimento di un solo indirizzo
|
IPv4:
delimitare i numeri con punti. |
192.168.0.10
|
|
IPv6:
delimitare i caratteri alfanumerici con i due punti. |
fe80::10
|
|
|
Definizione di un intervallo di indirizzi
|
Inserire un trattino tra gli indirizzi.
|
192.168.0.10-192.168.0.20
|
[Impostazioni subnet]
Quando si specifica manualmente l'indirizzo IPv4, è possibile indicare l'intervallo utilizzando la subnet mask. Specificare la subnet mask utilizzando punti per delimitare i numeri (esempio:"255.255.255.240").
Quando si specifica manualmente l'indirizzo IPv4, è possibile indicare l'intervallo utilizzando la subnet mask. Specificare la subnet mask utilizzando punti per delimitare i numeri (esempio:"255.255.255.240").
[Lunghezza prefisso]
Specificare manualmente una gamma di indirizzi IPv6 permette anche di specificare l'intervallo di utilizzo dei prefissi. Inserire un intervallo compreso tra 0 e 128 come lunghezza del prefisso.
Specificare manualmente una gamma di indirizzi IPv6 permette anche di specificare l'intervallo di utilizzo dei prefissi. Inserire un intervallo compreso tra 0 e 128 come lunghezza del prefisso.
[Porta locale]/[Porta remota]
Se si desidera creare criteri separati per ciascun protocollo, come HTTP o WSD, cliccare il pulsante di opzione [Porta singola] e immettere il numero di porta corretto per il protocollo per determinare se utilizzare IPSec.
Se si desidera creare criteri separati per ciascun protocollo, come HTTP o WSD, cliccare il pulsante di opzione [Porta singola] e immettere il numero di porta corretto per il protocollo per determinare se utilizzare IPSec.
IPSec non viene applicato ai seguenti pacchetti
Pacchetti loopback, multicast e broadcast
Pacchetti IKE (con UDP sulla porta 500)
Pacchetti ICMPv6 neighbor solicitation e neighbor advertisement
9
Specificare le impostazioni IKE.
/b_rui083.gif)
[Modo IKE]
Viene visualizzata la modalità per il protocollo di scambio chiave. La macchina supporta la modalità principale, non la modalità aggressiva.
Viene visualizzata la modalità per il protocollo di scambio chiave. La macchina supporta la modalità principale, non la modalità aggressiva.
[Metodo di autenticazione]
Selezionare [Metodo chiave già condivisa] o [Metodo firma digitale] per il metodo utilizzato quando si autentica la macchina. È necessario abilitare TLS per la IU remota prima di selezionare [Metodo chiave già condivisa]. È necessario generare o installare chiave e certificato prima di selezionare [Metodo firma digitale]. Configurazione di chiave e certificato per TLS
Selezionare [Metodo chiave già condivisa] o [Metodo firma digitale] per il metodo utilizzato quando si autentica la macchina. È necessario abilitare TLS per la IU remota prima di selezionare [Metodo chiave già condivisa]. È necessario generare o installare chiave e certificato prima di selezionare [Metodo firma digitale]. Configurazione di chiave e certificato per TLS
[Valido per]
Specificare la durata di una sessione per IKE SA (ISAKMP SA). Immettere il tempo in minuti.
Specificare la durata di una sessione per IKE SA (ISAKMP SA). Immettere il tempo in minuti.
[Autenticazione]/[Crittografia]/[Gruppo DH]
Selezionare un algoritmo dal menu a discesa. Ogni algoritmo viene utilizzato nello scambio di chiavi.
Selezionare un algoritmo dal menu a discesa. Ogni algoritmo viene utilizzato nello scambio di chiavi.
|
[Autenticazione]
|
Selezionare l'algoritmo hash.
|
|
[Crittografia]
|
Selezionare l'algoritmo di crittografia.
|
|
[Gruppo DH]
|
Selezionare il gruppo Diffie-Hellman, che determina la forza della chiave.
|
Autenticazione di una macchina usando una chiave già condivisa
|
1
|
Fare clic sul pulsante di opzione [Metodo chiave già condivisa] per [Metodo di autenticazione], quindi fare clic su [Impostazioni chiave condivisa].
|
|
2
|
Immettere dei caratteri alfanumerici per la chiave già condivisa e fare clic su [OK].
|
|
3
|
Specificare le impostazioni [Valido per] e [Autenticazione]/[Crittografia]/[Gruppo DH].
|
Autenticazione di una macchina usando un metodo di firma digitale
|
1
|
Fare clic sul pulsante di opzione [Metodo firma digitale] per [Metodo di autenticazione], quindi fare clic su [Chiave e certificato].
|
|
2
|
Fare clic su [Registrazione chiave predefinita] a destra della chiave e del certificato che si desidera utilizzare.
Visualizzazione dei dettagli di un certificato
È possibile verificare i dettagli del certificato o verificare il certificato facendo clic sul corrispondente collegamento di testo in [Nome chiave] o sull'icona del certificato.
|
|
3
|
Specificare le impostazioni [Valido per] e [Autenticazione]/[Crittografia]/[Gruppo DH].
|
10
Specificare le impostazioni di rete IPSec.
/b_rui086.gif)
[Utilizzo PFS]
Selezionare la casella di controllo per abilitare Perfect Forward Secrecy (PFS) per le chiavi di sessione IPSec. Abilitando PFS si migliora la protezione ma si incrementa il carico sulle comunicazioni. Assicurarsi che PFS sia abilitato anche per gli altri dispositivi.
Selezionare la casella di controllo per abilitare Perfect Forward Secrecy (PFS) per le chiavi di sessione IPSec. Abilitando PFS si migliora la protezione ma si incrementa il carico sulle comunicazioni. Assicurarsi che PFS sia abilitato anche per gli altri dispositivi.
[Specifica per durata]/[Specifica per dimensione]
Impostare le condizioni per terminare una sessione per IPSec SA. IPSec SA viene utilizzato come tunnel di comunicazione. Selezionare una o entrambe le caselle di controllo, in base alle esigenze. Se vengono selezionate entrambe le caselle di controllo, la sessione SA viene terminata quando una delle condizioni viene soddisfatta.
Impostare le condizioni per terminare una sessione per IPSec SA. IPSec SA viene utilizzato come tunnel di comunicazione. Selezionare una o entrambe le caselle di controllo, in base alle esigenze. Se vengono selezionate entrambe le caselle di controllo, la sessione SA viene terminata quando una delle condizioni viene soddisfatta.
|
[Specifica per durata]
|
Immettere il tempo in minuti per specificare la durata di una sessione.
|
|
[Specifica per dimensione]
|
Immettere le dimensioni in megabyte per specificare la quantità di dati che è possibile trasportare in una sessione.
|
[Selezione algoritmo]
Selezionare la/e casella/e di controllo [ESP], [ESP (AES-GCM)] o [AH (SHA1)] in funzione dell'intestazione IPSec e dell'algoritmo utilizzati. AES-GCM è un algoritmo sia per l'autenticazione, sia per la crittografia. Se viene selezionato [ESP] selezionare anche algoritmi per l'autenticazione e la crittografia dagli elenchi a discesa [Autenticazione ESP] e [Crittografia ESP].
Selezionare la/e casella/e di controllo [ESP], [ESP (AES-GCM)] o [AH (SHA1)] in funzione dell'intestazione IPSec e dell'algoritmo utilizzati. AES-GCM è un algoritmo sia per l'autenticazione, sia per la crittografia. Se viene selezionato [ESP] selezionare anche algoritmi per l'autenticazione e la crittografia dagli elenchi a discesa [Autenticazione ESP] e [Crittografia ESP].
|
[Autenticazione ESP]
|
Per abilitare l'autenticazione ESP selezionare [SHA1] per l'algoritmo hash. Selezionare [Non usare] se si desidera disabilitare l'autenticazione ESP.
|
|
[Crittografia ESP]
|
Selezionare l'algoritmo di crittografia per ESP. È possibile selezionare [NULL] se non si desidera specificare l'algoritmo, oppure selezionare [Non usare] se si desidera disabilitare la crittografia ESP.
|
[Modo di connessione]
Viene visualizzato il modo di connessione di IPSec. La macchina supporta la modalità trasporto, con cui i payload dei pacchetti IP sono crittografati. Il modo tunnel, con cui tutti i pacchetti IP (intestazioni e payload) vengono incapsulati, non è disponibile.
Viene visualizzato il modo di connessione di IPSec. La macchina supporta la modalità trasporto, con cui i payload dei pacchetti IP sono crittografati. Il modo tunnel, con cui tutti i pacchetti IP (intestazioni e payload) vengono incapsulati, non è disponibile.
11
Fare clic su [OK].
Se non occorre registrare un criterio di protezione aggiuntivo, tornare al passo 6.
12
Disporre l'ordine dei criteri elencati sotto [Criteri IPSec registrati].
I criteri sono applicati da quello nella posizione più alta a quello nella posizione più bassa. Fare clic su [Su] o [Giù] per spostare un criterio più in alto o più in basso nell'ordine.
/b_rui087.gif)
Modifica di un criterio
Fare clic sul collegamento di testo corrispondente in [Nome criterio] per la schermata da modificare.
Eliminazione di un criterio
Fare clic su [Cancella] a destra del nome del criterio che si desidera eliminare e fare clic su [OK].
e fare clic su [OK].13
Riavviare la macchina.
Spegnere la macchina, attendere almeno 10 secondi, quindi riaccenderla.
|
|
Utilizzo del pannello operativoÈ inoltre possibile abilitare o disabilitare la comunicazione IPSec da <Menu> nella schermata Schermata princip.. <Utilizzo IPSec>
|