Configuració de les opcions d'IPSec
Internet Protocol Security (IPSec o IPsec) és un conjunt de protocols per xifrar dades transmeses a través d'una xarxa, incloses les xarxes d'Internet. Mentre que TLS només xifra les dades utilitzades en una aplicació específica, com ara un navegador web o una aplicació de correu electrònic, IPSec xifra paquets IP sencers o les càrregues útils dels paquets IP, oferint-vos un sistema de seguretat més versàtil. L'IPSec de l'equip funciona en mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Amb aquesta funció, l'equip pot connectar-se directament a un ordinador que estigui en la mateixa xarxa privada virtual (VPN). Comproveu els requisits del sistema i establiu la configuració necessària a l'ordinador abans de configurar l'equip.
Requisits del sistema
L'IPSec compatible amb l'equip compleix els estàndards RFC2401, RFC2402, RFC2406 i RFC4305.
|
Sistema operatiu
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Mode de connexió
|
Mode de transport
|
|
|
Protocol d'intercanvi de claus
|
IKEv1 (mode principal)
|
|
|
Mètode d'autenticació
|
Clau precompartida
Signatura digital
|
|
|
Algorisme hash
(i longitud de clau) |
HMAC-SHA1-96
HMAC-SHA2 (256 bits o 384 bits)
|
|
|
Algorisme de xifratge
(i longitud de clau) |
3DES-CBC
AES-CBC (128 bits, 192 bits o 256 bits)
|
|
|
Algorisme/grup d'intercanvi de claus (i longitud de clau)
|
Diffie-Hellman (DH)
Grup 1 (768 bits)
Grup 2 (1024 bits)
Grup 14 (2048 bits)
|
|
|
ESP
|
Algorisme hash
|
HMAC-SHA1-96
|
|
Algorisme de xifratge
(i longitud de clau) |
3DES-CBC
AES-CBC (128 bits, 192 bits o 256 bits)
|
|
|
Algorisme hash/algorisme de xifrat (i longitud de clau)
|
AES-GCM (128 bits, 192 bits o 256 bits)
|
|
|
AH
|
Algorisme hash
|
HMAC-SHA1-96
|
|
NOTA
|
Restriccions funcionals d'IPSecIPSec permet la comunicació amb una adreça de difusió única (o un dispositiu individual).
L'equip no pot utilitzar IPSec i DHCPv6 alhora.
IPSec no està disponible en xarxes a les quals s'ha implementat l'emmascarament de NAT o IP.
Ús d'IPSec amb un filtre d'adreces IPLa configuració del filtre d'adreces IP s'aplica abans que les directives d'IPSec.
|
Configuració de les opcions d'IPSec
Abans d'utilitzar IPSec per a la comunicació xifrada, heu de desar directives de seguretat (SP). Una directiva de seguretat consta dels grups d'opcions descrits a continuació. Podeu desar fins a 10 directives. Després de desar directives, especifiqueu l'ordre en què s'apliquen.
Selector
El selector defineix condicions per a paquets IP per a aplicar la comunicació IPSec. Entre les condicions que es poden seleccionar hi ha les adreces IP i els números de port de l'equip i els dispositius amb els quals s'ha d'establir comunicació.
IKE
IKE configura l'IKEv1 que s'utilitza per al protocol d'intercanvi de claus. Tingueu en compte que les instruccions varien en funció del mètode d'autenticació seleccionat.
[Pre-Shared Key Method:]
Es pot compartir una clau de fins a 24 caràcters alfanumèrics amb els altres dispositius. Activeu TLS per a Remote UI (IU remot) abans d'especificar aquest mètode d'autenticació (Activació de la comunicació xifrada TLS per a Remote UI (IU remot)).
Es pot compartir una clau de fins a 24 caràcters alfanumèrics amb els altres dispositius. Activeu TLS per a Remote UI (IU remot) abans d'especificar aquest mètode d'autenticació (Activació de la comunicació xifrada TLS per a Remote UI (IU remot)).
[Digital Signature Method:]
L'equip i la resta de dispositius s'autentiquen entre ells verificant mútuament les seves signatures digitals. Genereu o instal·leu el parell de claus prèviament (Configuració de les opcions de parells de claus i certificats digitals).
L'equip i la resta de dispositius s'autentiquen entre ells verificant mútuament les seves signatures digitals. Genereu o instal·leu el parell de claus prèviament (Configuració de les opcions de parells de claus i certificats digitals).
AH/ESP
Especifiqueu les opcions per a AH/ESP, que s'afegeix als paquets durant la comunicació IPSec. AH i ESP es poden utilitzar al mateix temps. També podeu seleccionar si voleu activar o no la PFS per aconseguir una seguretat superior.
1
Inicieu Remote UI (IU remot) i inicieu sessió al mode d'administració del sistema. Inici de Remote UI (IU remot)
2
Feu clic a [Settings/Registration].
3
Feu clic a [Security Settings] 
[IPSec Settings].
[IPSec Settings].
4
Feu clic a [Edit...].
5
Seleccioneu la casella [Use IPSec] i feu clic a [OK].
Si voleu que l'equip només rebi paquets que coincideixin amb una de les directives de seguretat que definiu als passos següents, desmarqueu la casella [Receive Non-Policy Packets].
6
Feu clic a [Register New Policy...].
7
Especifiqueu les opcions de seguretat.
|
1
|
Al quadre de text [Policy Name] introduïu fins a 24 caràcters alfanumèrics per a un nom que s'utilitzi per a identificar la directiva.
|
|
2
|
Seleccioneu la casella [Enable Policy].
 |
8
Especifiqueu les opcions del selector.
[Local Address:]
Feu clic al botó d'opció del tipus d'adreça IP de l'equip per aplicar la directiva.
Feu clic al botó d'opció del tipus d'adreça IP de l'equip per aplicar la directiva.
|
[All IP Addresses]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP.
|
|
[IPv4 Address]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des de l'adreça IPv4 de l'equip.
|
|
[IPv6 Address]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des d'una adreça IPv6 de l'equip.
|
[Remote Address:]
Feu clic al botó d'opció del tipus d'adreça IP dels altres equips per aplicar la directiva.
Feu clic al botó d'opció del tipus d'adreça IP dels altres equips per aplicar la directiva.
|
[All IP Addresses]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP.
|
|
[All IPv4 Addresses]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des d'adreces IPv4 dels altres dispositius.
|
|
[All IPv6 Addresses]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des d'adreces IPv6 dels altres dispositius.
|
|
[IPv4 Manual Settings]
|
Seleccioneu aquesta opció per especificar una sola adreça IPv4 o un rang d'adreces IPv4 per aplicar IPSec. Introduïu l'adreça IPv4 (o el rang) al quadre de text [Addresses to Set Manually:].
|
|
[IPv6 Manual Settings]
|
Seleccioneu aquesta opció per especificar una sola adreça IPv6 o un rang d'adreces IPv6 per aplicar IPSec. Introduïu l'adreça IPv6 (o el rang) al quadre de text [Addresses to Set Manually:].
|
[Addresses to Set Manually:]
Si s'ha seleccionat [IPv4 Manual Settings] o [IPv6 Manual Settings] per [Remote Address:], introduïu l'adreça IP per aplicar la directiva. També podeu introduir un rang d'adreces inserint un guió entre les adreces.
Si s'ha seleccionat [IPv4 Manual Settings] o [IPv6 Manual Settings] per [Remote Address:], introduïu l'adreça IP per aplicar la directiva. També podeu introduir un rang d'adreces inserint un guió entre les adreces.
NOTA:
Introducció d'adreces IP
Introducció d'adreces IP
|
Descripció
|
Exemple
|
|
|
Introduir una sola adreça
|
IPv4:
Separeu els números amb punts. |
192.168.0.10
|
|
IPv6:
Separeu els caràcters alfanumèrics amb dos punts. |
fe80::10
|
|
|
Especificar un rang d'adreces
|
Separeu les adreces amb un guió.
|
192.168.0.10-192.168.0.20
|
|
Especificació d'un rang d'adreces amb un prefix (només IPv6)
|
Escriviu l'adreça seguida d'una barra inclinada i un número que representa la longitud de prefix.
|
fe80::1234/64
|
[Subnet Settings:]
Quan especifiqueu manualment una adreça IPv4, podeu expressar el rang utilitzant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
Quan especifiqueu manualment una adreça IPv4, podeu expressar el rang utilitzant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
[Prefix Length:]
Quan especifiqueu manualment una adreça IPv6, podeu establir la longitud de prefix.
Quan especifiqueu manualment una adreça IPv6, podeu establir la longitud de prefix.
[Local Port:]/[Remote Port:]
Si voleu crear polítiques independents per a cada protocol, com ara HTTP o SMTP, introduïu el número de port apropiat per al protocol per determinar si cal utilitzar IPSec.
Si voleu crear polítiques independents per a cada protocol, com ara HTTP o SMTP, introduïu el número de port apropiat per al protocol per determinar si cal utilitzar IPSec.
IMPORTANT:
IPSec no s'aplica als paquets següents
IPSec no s'aplica als paquets següents
Paquets de bucle, de multidifusió i de difusió
Paquets IKE (utilitzant UDP al port 500)
Paquets de sol·licitud de veí i anunci de veí ICMPv6
9
Especifiqueu les opcions d'IKE.
[IKE Mode:]
Apareix el mode utilitzat per al protocol d'intercanvi de claus. L'equip admet el mode principal, no el mode agressiu.
Apareix el mode utilitzat per al protocol d'intercanvi de claus. L'equip admet el mode principal, no el mode agressiu.
[Authentication Method:]
Seleccioneu [Pre-Shared Key Method:] o [Digital Signature Method:] per al mètode que s'utilitza quan autentiqueu l'equip. Heu d’activar TLS per a Remote UI (IU remot) abans de seleccionar [Pre-Shared Key Method:] (Activació de la comunicació xifrada TLS per a Remote UI (IU remot)). Heu de generar o instal·lar un parell de claus abans de seleccionar [Digital Signature Method:] (Configuració de les opcions de parells de claus i certificats digitals).
Seleccioneu [Pre-Shared Key Method:] o [Digital Signature Method:] per al mètode que s'utilitza quan autentiqueu l'equip. Heu d’activar TLS per a Remote UI (IU remot) abans de seleccionar [Pre-Shared Key Method:] (Activació de la comunicació xifrada TLS per a Remote UI (IU remot)). Heu de generar o instal·lar un parell de claus abans de seleccionar [Digital Signature Method:] (Configuració de les opcions de parells de claus i certificats digitals).
[Valid for:]
Especifiqueu quant temps dura una sessió per a IKE SA (ISAKMP SA). Introduïu el temps en minuts.
Especifiqueu quant temps dura una sessió per a IKE SA (ISAKMP SA). Introduïu el temps en minuts.
[Authentication:]/[Encryption:]/[DH Group:]
Seleccioneu un algorisme a la llista desplegable. Cada algorisme s'utilitza en l'intercanvi de claus.
Seleccioneu un algorisme a la llista desplegable. Cada algorisme s'utilitza en l'intercanvi de claus.
|
[Authentication:]
|
Seleccioneu l'algorisme hash.
|
|
[Encryption:]
|
Seleccioneu l'algorisme de xifratge.
|
|
[DH Group:]
|
Seleccioneu el grup Diffie-Hellman, que determina la seguretat de la clau.
|
Ús d'una clau precompartida per a l'autenticació
|
1
|
Feu clic al botó d'opció [Pre-Shared Key Method:] de [Authentication Method:] i després feu clic a [Shared Key Settings...].
|
|
2
|
Introduïu un màxim de 24 caràcters alfanumèrics per a la clau precompartida i feu clic a [OK].
 |
|
3
|
Especifiqueu les opcions [Valid for:] i [Authentication:]/[Encryption:]/[DH Group:].
|
Ús d'un parell de claus i certificats CA preinstal·lats per a l'autenticació
|
1
|
Feu clic al botó d'opció [Digital Signature Method:] de [Authentication Method:] i després feu clic a [Key and Certificate...].
|
|
2
|
Feu clic a [Register Default Key] a la dreta d'un parell de claus que vulgueu fer servir.
 NOTA:
Visualització dels detalls d'un parell de claus o d'un certificat Podeu consultar els detalls d'un certificat o verificar-lo fent clic a l'enllaç de text corresponent que es mostra a sota de [Key Name] o bé a la icona de certificat. Verificació de parells de claus i certificats digitals
|
|
3
|
Especifiqueu les opcions [Valid for:] i [Authentication:]/[Encryption:]/[DH Group:].
|
10
Especifiqueu les opcions de xarxa IPSec
[Use PFS]
Seleccioneu la casella per activar PFS (Perfect Forward Secrecy) per a les claus de sessió IPSec. L'activació de PFS millora la seguretat i alhora augmenta la càrrega sobre la comunicació. Assegureu-vos que PFS també s'hagi activat per als altres dispositius.
Seleccioneu la casella per activar PFS (Perfect Forward Secrecy) per a les claus de sessió IPSec. L'activació de PFS millora la seguretat i alhora augmenta la càrrega sobre la comunicació. Assegureu-vos que PFS també s'hagi activat per als altres dispositius.
[Specify by Time]/[Specify by Size]
Establiu les condicions per finalitzar una sessió per a IPSec SA. IPSec SA s'utilitza com a túnel de comunicació. Seleccioneu una de les caselles o les dues, segons el que calgui. Si se seleccionen les dues caselles, la sessió IPSec SA finalitza quan es compleix qualsevol de les dues condicions.
Establiu les condicions per finalitzar una sessió per a IPSec SA. IPSec SA s'utilitza com a túnel de comunicació. Seleccioneu una de les caselles o les dues, segons el que calgui. Si se seleccionen les dues caselles, la sessió IPSec SA finalitza quan es compleix qualsevol de les dues condicions.
|
[Specify by Time]
|
Introduïu un període de temps en minuts per especificar quant dura una sessió.
|
|
[Specify by Size]
|
Introduïu una mida en megabytes per especificar quantes dades es poden transmetre en una sessió.
|
[Select Algorithm:]
Seleccioneu les caselles [ESP], [ESP (AES-GCM)] o [AH (SHA1)] segons la capçalera IPSec i l'algorisme utilitzat. AES-GCM és un algorisme per a l'autenticació i el xifratge. Si l'opció [ESP] està seleccionada, seleccioneu també algorismes per a l'autenticació i el xifratge per a les llistes desplegables [ESP Authentication:] i [ESP Encryption:].
Seleccioneu les caselles [ESP], [ESP (AES-GCM)] o [AH (SHA1)] segons la capçalera IPSec i l'algorisme utilitzat. AES-GCM és un algorisme per a l'autenticació i el xifratge. Si l'opció [ESP] està seleccionada, seleccioneu també algorismes per a l'autenticació i el xifratge per a les llistes desplegables [ESP Authentication:] i [ESP Encryption:].
|
[ESP Authentication:]
|
Per activar l'autenticació ESP, seleccioneu [SHA1] per a l'algorisme hash. Seleccioneu [Do Not Use] si voleu desactivar l'autenticació ESP.
|
|
[ESP Encryption:]
|
Seleccioneu l'algorisme de xifratge per a ESP. Podeu seleccionar [NULL] si no voleu especificar l'algorisme o seleccionar [Do Not Use] si voleu desactivar el xifratge ESP.
|
[Connection Mode]
Es mostra el mode de connexió d'IPSec. L'equip admet el mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Mode de túnel, en què els paquets IP sencers (capçaleres i càrregues útils) s'encapsulen, no està disponible.
Es mostra el mode de connexió d'IPSec. L'equip admet el mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Mode de túnel, en què els paquets IP sencers (capçaleres i càrregues útils) s'encapsulen, no està disponible.
11
Feu clic a [OK].
Si heu de desar una directiva de seguretat addicional torneu al pas 6.
12
Ordeneu les directives de la llista de [Registered IPSec Policies].
Les directives s'apliquen d'una a la posició més alta fins a la més baixa. Feu clic a [Up] o [Down] per pujar o baixar una directiva en l'ordre.
NOTA:
Edició d'una directiva
Feu clic a l'enllaç de text corresponent sota [Policy Name] per a la pantalla d'edició.
Edició d'una directiva
Feu clic a l'enllaç de text corresponent sota [Policy Name] per a la pantalla d'edició.
Eliminació d'una directiva
Feu clic a [Delete] a la dreta del nom de directiva que vulgueu eliminar i feu clic a [OK].
i feu clic a [OK].13
Reinicieu l'equip.
Apagueu l'equip, espereu 10 segons com a mínim i torneu a engegar-lo.