IPSec ezarpenak konfiguratzea
Internet Protocol Security (IPSec edo IPsec) sare batean (Interneteko sareak barne) garraiatutako datuak zifratzeko protokolo sorta bat da. TLS protokoloak aplikazio jakin batek erabiltzen dituen datuak soilik zifratzen ditu, adibidez, web-arakatzaile batek edo posta-elektronikoko aplikazio batek erabiltzen dituen datuak. IPSec-ek, berriz, IP pakete osoak edo haien karga zifratzen ditu, sistema moldakorragoa eskainiz. Makinaren IPSec-ak garraio moduan funtzionatzen du, hau da, bertan IP paketeen kargak zifratzen dira. Funtzio honen bidez, makinak sare pribatu birtual (VPN) berean dagoen ordenagailu batekin zuzenean konektatzeko aukera du. Begiratu sistemaren eskakizunak (Kudeaketa-funtzioak) eta ezarri beharrezko konfigurazioa ordenagailuan makina konfiguratu aurretik.
|
|
IPSec IP helbideen iragazkiarekin erabiltzeaIP helbideen iragazkiaren ezarpenak IPSec-en gidalerroak baino lehenago aplikatzen dira. Firewallaren ezarpenetarako IP helbideak zehaztea
|
IPSec ezarpenak konfiguratzea
IPSec komunikazio zifraturako erabili aurretik, segurtasun-gidalerroak (SP) erregistratu behar dituzu. Segurtasun-gidalerro batek ondoren azaltzen diren ezarpen sortak ditu. Gidalerroak erregistratu ostean, zehaztu zer hurrenkeratan aplikatu behar diren.
Hautagailua (Selector)
Hautagailuak IPSec komunikazioa aplikatzeko IP paketeek bete beharreko baldintzak definitzen ditu. Hauta daitezkeen baldintzak komunikazioan parte hartuko duten makinaren eta gailuen IP helbideak eta ataka-zenbakiak dira.
IKE
IKEk kode-trukaketa protokolorako erabiliko den IKEv1 konfiguratzen du. Kontuan izan argibideak ezberdinak direla hautatutako autentifikazio-metodoaren arabera.
[Pre-Shared Key Method]
Autentifikazio-metodo honek gako-hitz komun bat erabiltzen du, “gako partekatua” deritzona, makina eta beste gailuen arteko komunikaziorako. Gaitu TLS Remote UI (Urruneko EIrentzako) autentifikazio-metodo hau zehaztu baino lehen (TLS erabiltzeko gakoa eta ziurtagiria konfiguratzea).
Autentifikazio-metodo honek gako-hitz komun bat erabiltzen du, “gako partekatua” deritzona, makina eta beste gailuen arteko komunikaziorako. Gaitu TLS Remote UI (Urruneko EIrentzako) autentifikazio-metodo hau zehaztu baino lehen (TLS erabiltzeko gakoa eta ziurtagiria konfiguratzea).
[Digital Signature Method]
Makinak eta beste gailuek elkar autentifikatzen dute elkarren sinadura digitalak egiaztatuz. Sortu edo instalatu gako eta ziurtagiria aldez aurretik (Gako eta ziurtagiria erregistratzea sare-komunikaziorako).
Makinak eta beste gailuek elkar autentifikatzen dute elkarren sinadura digitalak egiaztatuz. Sortu edo instalatu gako eta ziurtagiria aldez aurretik (Gako eta ziurtagiria erregistratzea sare-komunikaziorako).
AH/ESP
Zehaztu AH/ESP ezarpenak, IPSec komunikazioan paketeei gehituko zaizkienak. AH eta ESP aldi berean erabil daitezke. Horretaz aparte, segurtasuna are gehiago hobetzeko, PFS gaitu edo ez gaitzeko aukera duzu.
|
|
|
Makina Remote UI (Urruneko EIa) erabiliz konfiguratzean burutu beharreko oinarrizko eragiketei buruzko informazio gehiago lortzeko, ikusi Menu aukerak Remote UI (Urruneko EItik) konfiguratzea.
|
1
Hasi Remote UI (Urruneko EIa) eta hasi saioa Sistema Kudeatzaile moduan. Remote UI (Urruneko EIa) abiaraztea
2
Sakatu [Settings/Registration] atariko orrian. Remote UI (Urruneko EIaren) pantaila
3
Hautatu [Network Settings] 
[IPSec Settings].
[IPSec Settings].4
Sakatu [Edit].
5
Hautatu [Use IPSec] kontrol-laukia eta sakatu [OK].
Ondorengo urratsetan definitzen dituzun segurtasun-gidalerroetakoren bat betetzen dituzten paketeak soilik jaso nahi badituzu, garbitu [Receive Non-Policy Packets] kontrol-laukia.
6
Sakatu [Register New Policy].
7
Adierazi gidalerroen ezarpenak.
|
1
|
[Policy Name] testu-laukian, sartu karaktere alfanumerikoak gidalerroa identifikatzen duen izena idazteko.
|
|
2
|
Hautatu [Enable Policy] kontrol-laukia.
|
8
Zehaztu hautagailuaren ezarpenak.
[Local Address]
Sakatu gidalerroa aplikatuko zaion makinaren IP helbide motari dagokion aukera-botoia.
Sakatu gidalerroa aplikatuko zaion makinaren IP helbide motari dagokion aukera-botoia.
|
[All IP Addresses]
|
Hautatu IP pakete guztientzako IPSec erabiltzeko.
|
|
[IPv4 Address]
|
Hautatu makinaren IPv4 helbidetik edo helbidera bidaltzen diren IP pakete guztientzako IPSec erabiltzeko.
|
|
[IPv6 Address]
|
Hautatu makinaren IPv6 helbide batera bidaltzen diren edo bertatik bidaltzen diren IP pakete guztientzako IPSec erabiltzeko.
|
[Remote Address]
Sakatu gidalerroa aplikatuko zaien beste gailuen IP helbide motari dagokion aukera-botoia.
Sakatu gidalerroa aplikatuko zaien beste gailuen IP helbide motari dagokion aukera-botoia.
|
[All IP Addresses]
|
Hautatu IP pakete guztientzako IPSec erabiltzeko.
|
|
[All IPv4 Addresses]
|
Hautatu beste gailuen IPv4 helbideetaik edo helbideetara bidaltzen diren IP pakete guztientzako IPSec erabiltzeko.
|
|
[All IPv6 Addresses]
|
Hautatu beste gailuen IPv6 helbideetatik edo helbideetara bidaltzen diren IP pakete guztientzako IPSec erabiltzeko.
|
|
[IPv4 Manual Settings]
|
Hautatu IPSec aplikatzeko IPv4 helbide bakar bat edo IPv4 helbide-barruti bat adierazi nahi baduzu. Sartu IPv4 helbidea (edo helbide-barrutia) [Addresses to Set Manually] testu-laukian.
|
|
[IPv6 Manual Settings]
|
Hautatu IPSec aplikatzeko IPv6 helbide bakar bat edo IPv6 helbide-barruti bat adierazi nahi baduzu. Sartu IPv6 helbidea (edo helbide-barrutia) [Addresses to Set Manually] testu-laukian.
|
[Addresses to Set Manually]
[IPv4 Manual Settings] edo [IPv6 Manual Settings] hautatu bada [Remote Address] atalean, sartu gidalerroa aplikatu nahi diozun IP helbidea. Helbide sorta bat adierazi nahi baduzu, gehitu marratxo bat helbideen artean.
[IPv4 Manual Settings] edo [IPv6 Manual Settings] hautatu bada [Remote Address] atalean, sartu gidalerroa aplikatu nahi diozun IP helbidea. Helbide sorta bat adierazi nahi baduzu, gehitu marratxo bat helbideen artean.
IP helbideak sartzea
|
Deskribapena
|
Adibidea
|
|
|
Helbide bakarrak sartzea
|
IPv4:
Banatu zenbakiak puntuak erabiliz. |
192.168.0.10
|
|
IPv6:
Banatu karaktere alfanumerikoak bi puntu erabiliz. |
fe80::10
|
|
|
Helbide-barruti bat zehaztea
|
Gehitu marratxo bat helbideen artean.
|
192.168.0.10-192.168.0.20
|
[Subnet Settings]
IPv4 helbidea eskuz zehaztean, sorta azpisare-maskararen bidez adieraz dezakezu. Sartu azpisare-maskara zenbakiak puntuen bidez bereiziz (adibidez:"255.255.255.240").
IPv4 helbidea eskuz zehaztean, sorta azpisare-maskararen bidez adieraz dezakezu. Sartu azpisare-maskara zenbakiak puntuen bidez bereiziz (adibidez:"255.255.255.240").
[Prefix Length]
IPv6 helbide-barruti bat eskuz zehazten duzunean, tartea aurrizkien bidez ere adieraz dezakezu. Sartu 0 eta 128 arteko tarte bat aurrizkiaren luzera gisa.
IPv6 helbide-barruti bat eskuz zehazten duzunean, tartea aurrizkien bidez ere adieraz dezakezu. Sartu 0 eta 128 arteko tarte bat aurrizkiaren luzera gisa.
[Local Port]/[Remote Port]
Protokolo bakoitzarentzat gidalerro ezberdinak sortu nahi badituzu, hala nola HTTP edo WSD, sakatu [Single Port] aukera-botoia eta sartu protokoloaren ataka-zenbaki egokia IPSec erabili behar den zehazteko.
Protokolo bakoitzarentzat gidalerro ezberdinak sortu nahi badituzu, hala nola HTTP edo WSD, sakatu [Single Port] aukera-botoia eta sartu protokoloaren ataka-zenbaki egokia IPSec erabili behar den zehazteko.
IPSec ez zaie aplikatuko ondorengo paketeei
Loopback, multidifusioko eta igorpeneko paketeak.
IKE paketeak (UDP 500 atakan erabiliz)
ICMPv6 “neighbor solicitation” eta “neighbor advertisement” paketeak
9
Adierazi IKE ezarpenak.
[IKE Mode]
Gako-trukaketarako protokolorako erabiltzen den modua bistaratuko da. Makinak modu nagusia onartzen du, ez agresiboa.
Gako-trukaketarako protokolorako erabiltzen den modua bistaratuko da. Makinak modu nagusia onartzen du, ez agresiboa.
[Authentication Method]
Hautatu [Pre-Shared Key Method] edo [Digital Signature Method] makina autentifikatzeko metodo gisa. Remote UI (Urruneko EIrako) TLS gaitu beharko duzu [Pre-Shared Key Method] hautatu aurretik. Gako eta ziurtagiria sortu edo instalatu beharko dituzu [Digital Signature Method] hautatu aurretik. TLS erabiltzeko gakoa eta ziurtagiria konfiguratzea
Hautatu [Pre-Shared Key Method] edo [Digital Signature Method] makina autentifikatzeko metodo gisa. Remote UI (Urruneko EIrako) TLS gaitu beharko duzu [Pre-Shared Key Method] hautatu aurretik. Gako eta ziurtagiria sortu edo instalatu beharko dituzu [Digital Signature Method] hautatu aurretik. TLS erabiltzeko gakoa eta ziurtagiria konfiguratzea
[Valid for]
Zehaztu IKE SA (ISAKMP SA) saioaren luzera. Sartu denbora minututan.
Zehaztu IKE SA (ISAKMP SA) saioaren luzera. Sartu denbora minututan.
[Authentication]/[Encryption]/[DH Group]
Hautatu algoritmo bat goitibeherako zerrendan. Algoritmo bakoitza gako-trukaketan erabiliko da.
Hautatu algoritmo bat goitibeherako zerrendan. Algoritmo bakoitza gako-trukaketan erabiliko da.
|
[Authentication]
|
Hautatu hash algoritmoa.
|
|
[Encryption]
|
Hautatu zifratze-algoritmoa.
|
|
[DH Group]
|
Hautatu Diffie-Hellman taldea, kodearen indarra zehazten duena.
|
Aldez aurretik partekatutako gako baten bidez makina autentifikatzea
|
1
|
Sakatu [Pre-Shared Key Method] aukera-botoia [Authentication Method] atalean eta gero sakatu [Shared Key Settings].
|
|
2
|
Sartu karaktere alfanumerikoak aldez aurretik partekatutako kodea idazteko eta sakatu [OK].
|
|
3
|
Zehaztu [Valid for] eta [Authentication]/[Encryption]/[DH Group] ezarpenak.
|
Sinadura digitalaren bidez makina autentifikatzea
|
1
|
Sakatu [Digital Signature Method] aukera-botoia [Authentication Method] atalean eta gero sakatu [Key and Certificate].
|
|
2
|
Sakatu [Register Default Key] erabili nahi dituzun gako eta ziurtagiriaren eskuinean.
Ziurtagiri baten xehetasunak begiratzea
Ziurtagiriaren xehetasunak begiratzeko edo ziurtagiria egiaztatzeko, sakatu dagokion testu-esteka hemen: [Key Name], edo ziurtagiriaren ikonoa.
|
|
3
|
Zehaztu [Valid for] eta [Authentication]/[Encryption]/[DH Group] ezarpenak.
|
10
Zehaztu IPSec-en sarearen ezarpenak.
[Use PFS]
Hautatu kontrol-laukia Perfect Forward Secrecy (PFS) gaitzeko IPSec-en saio-gakoetarako. PFS gaitzeak segurtasuna hobetzen du baina komunikazioaren karga handiagotzen du. Ziurtatu beste gailuetan ere PFS gaituta dagoela.
Hautatu kontrol-laukia Perfect Forward Secrecy (PFS) gaitzeko IPSec-en saio-gakoetarako. PFS gaitzeak segurtasuna hobetzen du baina komunikazioaren karga handiagotzen du. Ziurtatu beste gailuetan ere PFS gaituta dagoela.
[Specify by Time]/[Specify by Size]
Ezarri IPSec SA saio bat amaitzeko baldintzak. IPSec SA komunikazio-tunel gisa erabiltzen da. Hautatu bi kontrol-laukiak edo haietako bat, zure beharren arabera. Bi kontrol-laukiak hautatu badira, IPSec SA saioa baldintzetako bat betetzean amaituko da.
Ezarri IPSec SA saio bat amaitzeko baldintzak. IPSec SA komunikazio-tunel gisa erabiltzen da. Hautatu bi kontrol-laukiak edo haietako bat, zure beharren arabera. Bi kontrol-laukiak hautatu badira, IPSec SA saioa baldintzetako bat betetzean amaituko da.
|
[Specify by Time]
|
Sartu denbora-tarte bat (minututan) saioaren luzera zehazteko.
|
|
[Specify by Size]
|
Sartu tamaina bat (megabytetan) saio batean zenbat datu garraia daitezkeen zehazteko.
|
[Select Algorithm]
Hautatu [ESP], [ESP (AES-GCM)] edo [AH (SHA1)] laukia(k) erabilitako IPSec goiburuaren eta algoritmoaren arabera. AES-GCM autentifikatzeko eta zifratzeko erabiltzen den algoritmo bat da. [ESP] hautatzen bada, hautatu autentifikatzeko eta zifratzeko algoritmoak [ESP Authentication] eta [ESP Encryption] goitibeherako zerrendetan ere.
Hautatu [ESP], [ESP (AES-GCM)] edo [AH (SHA1)] laukia(k) erabilitako IPSec goiburuaren eta algoritmoaren arabera. AES-GCM autentifikatzeko eta zifratzeko erabiltzen den algoritmo bat da. [ESP] hautatzen bada, hautatu autentifikatzeko eta zifratzeko algoritmoak [ESP Authentication] eta [ESP Encryption] goitibeherako zerrendetan ere.
|
[ESP Authentication]
|
ESP autentifikazioa gaitzeko, hautatu [SHA1] hash algoritmorako. Hautatu [Do Not Use] ESP autentifikazioa desgaitu nahi baduzu.
|
|
[ESP Encryption]
|
Hautatu ESP-erako zifratze-algoritmoa. Algoritmoa zehaztu nahi ez baduzu, [NULL] aukeratu dezakezu. ESP zifratzea desgaitu nahi baduzu, berriz, hautatu [Do Not Use].
|
[Connection Mode]
IPSec-en konexio modua bistaratuko da. Makinak garraio modua onartzen du. Modu honetan, IP paketeen kargak zifratzen dira. Tunel modua, non IP pakete osoak (goiburuak eta kargak) kapsulatzen diren, ez dago eskuragarri.
IPSec-en konexio modua bistaratuko da. Makinak garraio modua onartzen du. Modu honetan, IP paketeen kargak zifratzen dira. Tunel modua, non IP pakete osoak (goiburuak eta kargak) kapsulatzen diren, ez dago eskuragarri.
11
Sakatu [OK].
Beste segurtasun-gidalerro bat erregistratu behar baduzu, itzuli 6. urratsera.
12
Antolatu [Registered IPSec Policies] atalean adierazitako gidalerroen hurrenkera.
Gidalerroak posizio gorenean dagoenetik beherantz aplikatzen dira. Sakatu [Up] edo [Down] gidalerro bat gora edo behera mugitzeko.
Gidalerro bat editatzea
Sakatu dagokion testu-esteka [Policy Name] atalaren azpian edizio pantailan sartzeko.
Gidalerro bat ezabatzea
Sakatu [Delete] ezabatu nahi duzun gidalerroaren izenaren eskuinean sakatu [OK].
sakatu [OK].13
Berrabiarazi makina. Makina berrabiaraztea
|
|
Eragiketa-panela erabiltzeaEra berean, IPSec komunikazioa gaitu edo desgaitzeko aukera duzu <Menua> atalean, Etxea pantailan. <Erabili IPSec>
|