Configuració de les opcions d'IPSec
Internet Protocol Security (IPSec o IPsec) és un conjunt de protocols per xifrar dades transmeses a través d'una xarxa, incloses les xarxes d'Internet. Mentre que TLS només xifra les dades utilitzades en una aplicació específica, com ara un navegador web o una aplicació de correu electrònic, IPSec xifra paquets IP sencers o les càrregues útils dels paquets IP, oferint-vos un sistema de seguretat més versàtil. L'IPSec de l'equip funciona en mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Amb aquesta funció, l'equip pot connectar-se directament a un ordinador que estigui en la mateixa xarxa privada virtual (VPN). Comproveu els requisits del sistema i establiu la configuració necessària a l'ordinador abans de configurar l'equip.
Requisits del sistema
L'IPSec compatible amb l'equip compleix els estàndards RFC2401, RFC2402, RFC2406 i RFC4305.
|
Sistema operatiu
|
Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012
|
|
|
Mode de connexió
|
Mode de transport
|
|
|
Protocol d'intercanvi de claus
|
IKEv1 (mode principal)
|
|
|
Mètode d'autenticació
|
Clau precompartida
Signatura digital
|
|
|
Algorisme hash
(i longitud de clau) |
HMAC-SHA1-96
HMAC-SHA2 (256 bits o 384 bits)
|
|
|
Algorisme de xifrat
(i longitud de clau) |
3DES-CBC
AES-CBC (128 bits, 192 bits o 256 bits)
|
|
|
Algorisme/grup d'intercanvi de claus (i longitud de clau)
|
Diffie-Hellman (DH)
Grup 1 (768 bits)
Grup 2 (1024 bits)
Grup 14 (2048 bits)
|
|
|
ESP
|
Algorisme hash
|
HMAC-SHA1-96
|
|
Algorisme de xifrat
(i longitud de clau) |
3DES-CBC
AES-CBC (128 bits, 192 bits o 256 bits)
|
|
|
Algorisme hash/algorisme de xifrat (i longitud de clau)
|
AES-GCM (128 bits, 192 bits o 256 bits)
|
|
|
AH
|
Algorisme hash
|
HMAC-SHA1-96
|
 |
Restriccions funcionals d'IPSecIPSec permet la comunicació amb una adreça de difusió única (o un dispositiu individual).
IPSec no està disponible en xarxes a les quals s'ha implementat l'emmascarament de NAT o IP.
Ús d'IPSec amb un filtre d'adreces IPLa configuració del filtre d'adreces IP s'aplica abans que les polítiques d'IPSec.
|
Configuració de les opcions d'IPSec
Abans d'utilitzar IPSec per a la comunicació xifrada, heu de desar polítiques de seguretat (SP). Una política de seguretat consta dels grups d'opcions descrits a continuació. Podeu desar fins a 10 polítiques. Després de desar polítiques, especifiqueu l'ordre en què s'apliquen.
Selector
El selector defineix condicions per a paquets IP per a aplicar la comunicació IPSec. Entre les condicions que es poden seleccionar hi ha les adreces IP i els números de port de l'equip i els dispositius amb els quals s'ha d'establir comunicació.
IKE
IKE configura l'IKEv1 que s'utilitza per al protocol d'intercanvi de claus. Tingueu en compte que les instruccions varien en funció del mètode d'autenticació seleccionat.
[Mètode de clau precompartida]
Es pot compartir una clau de fins a 24 caràcters alfanumèrics amb els altres dispositius. Activeu TLS per a Remote UI (IU remot) abans d'especificar aquest mètode d'autenticació (Activació de la comunicació xifrada TLS per a la Remote UI (IU remota)).
Es pot compartir una clau de fins a 24 caràcters alfanumèrics amb els altres dispositius. Activeu TLS per a Remote UI (IU remot) abans d'especificar aquest mètode d'autenticació (Activació de la comunicació xifrada TLS per a la Remote UI (IU remota)).
[Mètode de signatura digital]
L'equip i la resta de dispositius s'autentiquen entre ells verificant mútuament les seves signatures digitals. Genereu o instal·leu el parell de claus prèviament (Configuració de les opcions de parells de claus i certificats digitals).
L'equip i la resta de dispositius s'autentiquen entre ells verificant mútuament les seves signatures digitals. Genereu o instal·leu el parell de claus prèviament (Configuració de les opcions de parells de claus i certificats digitals).
AH/ESP
Especifiqueu les opcions per a AH/ESP, que s'afegeix als paquets durant la comunicació IPSec. AH i ESP es poden utilitzar al mateix temps. També podeu seleccionar si voleu activar o no la PFS per aconseguir una seguretat superior.
1
Inicieu Remote UI (IU remot) i inicieu sessió al mode d'administració del sistema. Inici de Remote UI (IU remot)
2
Feu clic a [Settings/Registration].
3
Feu clic a [Security Settings] 
[Opcions d'IPSec].
[Opcions d'IPSec].
4
Feu clic a [Edit...].
5
Seleccioneu la casella [Use IPSec] i feu clic a [OK].
Si voleu que l'equip només rebi paquets que coincideixin amb una de les polítiques de seguretat que definiu als passos següents, desmarqueu la casella [Rebre paq. fora de directiva].
6
Feu clic a [Register New Policy...].
7
Especifiqueu les opcions de seguretat.
|
1
|
Al quadre de text [Nom de directiva], introduïu fins a 24 caràcters alfanumèrics per a un nom que s'utilitzi per a identificar la política.
|
|
2
|
Seleccioneu la casella [Activar directiva].
 |
8
Especifiqueu les opcions del selector.
[Adreça local]
Feu clic al botó d'opció del tipus d'adreça IP de l'equip per aplicar la política.
Feu clic al botó d'opció del tipus d'adreça IP de l'equip per aplicar la política.
|
[Totes les adreces IP]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP.
|
|
[Adreça IPv4]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des de l'adreça IPv4 de l'equip.
|
|
[Adreça IPv6]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des d'una adreça IPv6 de l'equip.
|
[Adreça remota]
Feu clic al botó d'opció del tipus d'adreça IP dels altres dispositius per aplicar la política.
Feu clic al botó d'opció del tipus d'adreça IP dels altres dispositius per aplicar la política.
|
[Totes les adreces IP]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP.
|
|
[All IPv4 Addresses]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des d'adreces IPv4 dels altres dispositius.
|
|
[All IPv6 Addresses]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des d'adreces IPv6 dels altres dispositius.
|
|
[Configuració manual d'IPv4]
|
Seleccioneu aquesta opció per especificar una sola adreça IPv4 o un rang d'adreces IPv4 per aplicar IPSec. Introduïu l'adreça IPv4 (o el rang) al quadre de text [Addresses to Set Manually].
|
|
[Configuració manual d'IPv6]
|
Seleccioneu aquesta opció per especificar una sola adreça IPv6 o un rang d'adreces IPv6 per aplicar IPSec. Introduïu l'adreça IPv6 (o el rang) al quadre de text [Addresses to Set Manually].
|
[Addresses to Set Manually]
Si s'ha seleccionat [Configuració manual d'IPv4] o [Configuració manual d'IPv6] per a [Adreça remota], introduïu l'adreça IP per aplicar la política. També podeu introduir un rang d'adreces inserint un guió entre les adreces.
Si s'ha seleccionat [Configuració manual d'IPv4] o [Configuració manual d'IPv6] per a [Adreça remota], introduïu l'adreça IP per aplicar la política. També podeu introduir un rang d'adreces inserint un guió entre les adreces.
Introducció d'adreces IP
|
Descripció
|
Exemple
|
|
|
Introduir una sola adreça
|
IPv4:
Separeu els números amb punts. |
192.168.0.10
|
|
IPv6:
Separeu els caràcters alfanumèrics amb dos punts. |
fe80::10
|
|
|
Especificar un rang d'adreces
|
Separeu les adreces amb un guió.
|
192.168.0.10-192.168.0.20
|
|
Especificació d'un rang d'adreces amb un prefix (només IPv6)
|
Introduïu un número que indiqui la longitud de prefix.
|
64
|
[Opcions de subxarxa]
Quan especifiqueu manualment una adreça IPv4, podeu expressar el rang utilitzant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
Quan especifiqueu manualment una adreça IPv4, podeu expressar el rang utilitzant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
[Prefix Length]
Per especificar un rang d'adreces IPv6 manualment, també podeu utilitzar Prefix Length per especificar el rang. Especifiqueu un rang de 0 a 128 per a Prefix Length (exemple: "64").
Per especificar un rang d'adreces IPv6 manualment, també podeu utilitzar Prefix Length per especificar el rang. Especifiqueu un rang de 0 a 128 per a Prefix Length (exemple: "64").
[Port local]/[Port remot]
Si voleu crear polítiques independents per a cada protocol, com ara HTTP o SMTP, introduïu el número de port apropiat per al protocol per determinar si cal utilitzar IPSec.
Si voleu crear polítiques independents per a cada protocol, com ara HTTP o SMTP, introduïu el número de port apropiat per al protocol per determinar si cal utilitzar IPSec.
IPSec no s'aplica als paquets següents
Paquets de bucle, de multidifusió i de difusió
Paquets IKE (utilitzant UDP al port 500)
Paquets de sol·licitud de veí i anunci de veí ICMPv6
9
Especifiqueu les opcions d'IKE.
[Mode IKE]
Apareix el mode utilitzat per al protocol d'intercanvi de claus. L'equip admet el mode principal, no el mode agressiu.
Apareix el mode utilitzat per al protocol d'intercanvi de claus. L'equip admet el mode principal, no el mode agressiu.
[Authentication Method]
Seleccioneu [Mètode de clau precompartida] o [Mètode de signatura digital] per al mètode que s'utilitza quan autentiqueu l'equip. Heu d'activar TLS per a Remote UI (IU remot) abans de seleccionar [Mètode de clau precompartida] (Activació de la comunicació xifrada TLS per a la Remote UI (IU remota)). Heu de generar o instal·lar un parell de claus abans de seleccionar [Mètode de signatura digital] (Configuració de les opcions de parells de claus i certificats digitals).
Seleccioneu [Mètode de clau precompartida] o [Mètode de signatura digital] per al mètode que s'utilitza quan autentiqueu l'equip. Heu d'activar TLS per a Remote UI (IU remot) abans de seleccionar [Mètode de clau precompartida] (Activació de la comunicació xifrada TLS per a la Remote UI (IU remota)). Heu de generar o instal·lar un parell de claus abans de seleccionar [Mètode de signatura digital] (Configuració de les opcions de parells de claus i certificats digitals).
[Valid for]
Especifiqueu quan temps dura una sessió per a IKE SA (ISAKMP SA). Introduïu el temps en minuts.
Especifiqueu quan temps dura una sessió per a IKE SA (ISAKMP SA). Introduïu el temps en minuts.
[Autenticació]/[Xifratge]/[Grup DH]
Seleccioneu un algorisme a la llista desplegable. Cada algorisme s'utilitza en l'intercanvi de claus.
Seleccioneu un algorisme a la llista desplegable. Cada algorisme s'utilitza en l'intercanvi de claus.
|
[Autenticació]
|
Seleccioneu l'algorisme hash.
|
|
[Xifratge]
|
Seleccioneu l'algorisme de xifratge.
|
|
[Grup DH]
|
Seleccioneu el grup Diffie-Hellman, que determina la seguretat de la clau.
|
Ús d'una clau precompartida per a l'autenticació
|
1
|
Feu clic al botó d'opció [Mètode de clau precompartida] de [Authentication Method] i després feu clic a [Shared Key Settings...].
|
|
2
|
Introduïu un màxim de 24 caràcters alfanumèrics per a la clau precompartida i feu clic a [OK].
 |
|
3
|
Especifiqueu les opcions [Valid for] i [Autenticació]/[Xifratge]/[Grup DH].
|
Ús d'un parell de claus i certificats CA preinstal·lats per a l'autenticació
|
1
|
Feu clic al botó d'opció [Mètode de signatura digital] de [Authentication Method] i després feu clic a [Key and Certificate...].
|
|
2
|
Feu clic a [Register Default Key] a la dreta d'un parell de claus que vulgueu fer servir.
 Visualització dels detalls d'un parell de claus o d'un certificat Podeu consultar els detalls d'un certificat o verificar-lo fent clic a l'enllaç de text corresponent que es mostra a sota de [Key Name] o bé a la icona de certificat. Verificació de parells de claus, claus de signatura del dispositiu i certificats
|
|
3
|
Especifiqueu les opcions [Valid for] i [Autenticació]/[Xifratge]/[Grup DH].
|
10
Especifiqueu les opcions de xarxa IPSec.
[Usar PFS]
Seleccioneu la casella per activar PFS (Perfect Forward Secrecy) per a les claus de sessió IPSec. L'activació de PFS millora la seguretat i alhora augmenta la càrrega sobre la comunicació. Assegureu-vos que PFS també s'hagi activat per als altres dispositius.
Seleccioneu la casella per activar PFS (Perfect Forward Secrecy) per a les claus de sessió IPSec. L'activació de PFS millora la seguretat i alhora augmenta la càrrega sobre la comunicació. Assegureu-vos que PFS també s'hagi activat per als altres dispositius.
[Specify by Time]/[Specify by Size]
Establiu les condicions per finalitzar una sessió per a IPSec SA. IPSec SA s'utilitza com a túnel de comunicació. Seleccioneu una de les caselles o les dues, segons el que calgui. Si se seleccionen les dues caselles, la sessió IPSec SA finalitza quan es compleix qualsevol de les dues condicions.
Establiu les condicions per finalitzar una sessió per a IPSec SA. IPSec SA s'utilitza com a túnel de comunicació. Seleccioneu una de les caselles o les dues, segons el que calgui. Si se seleccionen les dues caselles, la sessió IPSec SA finalitza quan es compleix qualsevol de les dues condicions.
|
[Specify by Time]
|
Introduïu un període de temps en minuts per especificar quant dura una sessió.
|
|
[Specify by Size]
|
Introduïu una mida en megabytes per especificar quantes dades es poden transmetre en una sessió.
|
[Seleccionar algorisme]
Seleccioneu les caselles [ESP], [ESP (AES-GCM)] o [AH (SHA1)], segons la capçalera IPSec i l'algorisme utilitzat. AES-GCM és un algorisme per a l'autenticació i el xifratge. Si l'opció [ESP] està seleccionada, seleccioneu també algorismes per a l'autenticació i el xifratge per a les llistes desplegables [Autenticació ESP] i [Xifratge ESP].
Seleccioneu les caselles [ESP], [ESP (AES-GCM)] o [AH (SHA1)], segons la capçalera IPSec i l'algorisme utilitzat. AES-GCM és un algorisme per a l'autenticació i el xifratge. Si l'opció [ESP] està seleccionada, seleccioneu també algorismes per a l'autenticació i el xifratge per a les llistes desplegables [Autenticació ESP] i [Xifratge ESP].
|
[Autenticació ESP]
|
Per activar l'autenticació ESP, seleccioneu [SHA1] per a l'algorisme hash. Seleccioneu [No usar] si voleu desactivar l'autenticació ESP.
|
|
[Xifratge ESP]
|
Seleccioneu l'algorisme de xifratge per a ESP. Podeu seleccionar [NUL] si no voleu especificar l'algorisme o seleccioneu [No usar] si voleu desactivar el xifratge ESP.
|
[Mode de connexió]
Es mostra el mode de connexió d'IPSec. L'equip admet el mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Mode de túnel, en què els paquets IP sencers (capçaleres i càrregues útils) s'encapsulen, no està disponible.
Es mostra el mode de connexió d'IPSec. L'equip admet el mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Mode de túnel, en què els paquets IP sencers (capçaleres i càrregues útils) s'encapsulen, no està disponible.
11
Feu clic a [OK].
Si heu de desar una política de seguretat addicional torneu al pas 6.
12
Ordeneu les polítiques de la llista de [Registered IPSec Policies].
Les polítiques s'apliquen d'una a la posició més alta fins a la més baixa. Feu clic a [Up] o [Down] per pujar o baixar una política en l'ordre.
Edició d'una política
Feu clic a l'enllaç de text corresponent sota [Nom de directiva] per a la pantalla d'edició.
Eliminació d'una política
Feu clic a [Delete] a la dreta del nom de la política que vulgueu eliminar i feu clic a [OK].
i feu clic a [OK].13
Reinicieu l'equip.
Apagueu l'equip, espereu 10 segons com a mínim i torneu a engegar-lo.
|
|
|
Podeu activar o desactivar la comunicació IPSec des de <Menú>. Usar IPSec
|