Configuració de les opcions d'IPSec
Internet Protocol Security (IPSec o IPsec) és un conjunt de protocols per xifrar dades transmeses a través d'una xarxa, incloses les xarxes d'Internet. Mentre que TLS només xifra les dades utilitzades en una aplicació específica, com ara un navegador web o una aplicació de correu electrònic, IPSec xifra paquets IP sencers o les càrregues útils dels paquets IP, oferint-vos un sistema de seguretat més versàtil. L'IPSec de l'equip funciona en mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Amb aquesta funció, l'equip pot connectar-se directament a un ordinador que estigui en la mateixa xarxa privada virtual (VPN). Comproveu els requisits del sistema i establiu la configuració necessària a l'ordinador abans de configurar l'equip. Funcions de gestió
|
|
Ús d'IPSec amb un filtre d'adreces IPLa configuració d'IPSec s'aplica abans la configuració del filtre d'adreça IP durant la recepció de paquets, mentre que la configuració de l'adreça IP s'aplica abans la configuració de IPSec durant la transmissió de paquets. Especificació d'adreces IP per a regles de tallafocs
|
Registre de polítiques de seguretat
Per utilitzar IPSec per a la comunicació xifrada, heu de registrar les polítiques de seguretat (SP) abans d'habilitar la configuració de IPSec (Habilitar la comunicació IPSec). Una política de seguretat consta dels grups d'opcions descrits a continuació. Podeu registrar múltiples polítiques d'acord amb una combinació de l'adreça IP i el número de port. Després de desar polítiques, especifiqueu l'ordre en què s'apliquen.
Selector
El selector defineix condicions per a paquets IP per a aplicar la comunicació IPSec. Entre les condicions que es poden seleccionar hi ha les adreces IP i els números de port de l'equip i els dispositius amb els quals s'ha d'establir comunicació.
IKE
IKE configura l'IKEv1 que s'utilitza per al protocol d'intercanvi de claus. Tingueu en compte que les instruccions varien en funció del mètode d'autenticació seleccionat.
[Pre-Shared Key Method]
Es pot compartir una clau de caràcters alfanumèrics amb els altres dispositius. Activeu TLS per a Remote UI (IU remota) per avançat (L'ús de TLS per comunicacions xifrades).
Es pot compartir una clau de caràcters alfanumèrics amb els altres dispositius. Activeu TLS per a Remote UI (IU remota) per avançat (L'ús de TLS per comunicacions xifrades).
[Digital Signature Method]
L'equip i els altres dispositius s'autentiquen entre si mitjançant la verificació mútua de les seves signatures digitals. Prepareu un parell de claus (Ús de parells de claus i certificats digitals emesos per CA).
L'equip i els altres dispositius s'autentiquen entre si mitjançant la verificació mútua de les seves signatures digitals. Prepareu un parell de claus (Ús de parells de claus i certificats digitals emesos per CA).
Configuració de protocols i opcions
Especifiqueu les opcions per a AH/ESP, les quals s'afegeixen als paquets durant la comunicació IPSec. AH i ESP no es poden utilitzar al mateix temps. També podeu seleccionar si voleu activar o no la PFS per aconseguir una seguretat superior.
1
Inicieu Remote UI (IU remota) i inicieu sessió al mode d'administració del sistema. Inici de Remote UI (IU remota)
2
Feu clic a [Settings/Registration].
3
Feu clic a [Security] 
[IPSec Settings].
[IPSec Settings].
4
Feu clic a [IPSec Policy List].
5
Feu clic a [Register IPSec Policy].
6
Inseriu un nom de política [Policy Name] i marqueu la casella [Enable Policy].
[Policy Name]
Introduïu caràcters alfanumèrics per a un nom que s'utilitzi per identificar la política.
Introduïu caràcters alfanumèrics per a un nom que s'utilitzi per identificar la política.
[Enable Policy]
Seleccioneu la casella per activar la política. Si no feu servir la política, desmarqueu la casella.
Seleccioneu la casella per activar la política. Si no feu servir la política, desmarqueu la casella.
7
Especifiqueu les opcions del selector.
[Local Address]
Seleccioneu el tipus d'adreça IP de l'equip per aplicar la política de la següent llista.
Seleccioneu el tipus d'adreça IP de l'equip per aplicar la política de la següent llista.
|
[All IP Addresses]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP.
|
|
[IPv4 Address]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets enviats a o des de l'adreça IPv4 de l'equip.
|
|
[IPv6 Address]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP enviats a o des d'una adreça IPv6 de l'equip.
|
|
[IPv4 Manual Settings]
|
Seleccioneu aquesta opció per especificar una sola adreça IPv4 o un rang d'adreces IPv4 per aplicar IPSec. Introduïu l'adreça IPv4 (o l'interval) al quadre de text [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Seleccioneu aquesta opció per especificar una sola adreça IPv6 o un rang d'adreces IPv6 per aplicar IPSec. Introduïu l'adreça IPv6 (o l'interval) al quadre de text [Addresses to Set Manually].
|
[Addresses to Set Manually]
Si s'ha seleccionat [IPv4 Manual Settings] o [IPv6 Manual Settings] per a [Local Address], introduïu l'adreça IP per aplicar la política.
Si s'ha seleccionat [IPv4 Manual Settings] o [IPv6 Manual Settings] per a [Local Address], introduïu l'adreça IP per aplicar la política.
[Subnet Settings]
Quan especifiqueu manualment una adreça IPv4, podeu expressar l'interval mitjançant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
Quan especifiqueu manualment una adreça IPv4, podeu expressar l'interval mitjançant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
[Remote Address]
Seleccioneu el tipus d'adreça IP d'altres dispositius per aplicar la política de la següent llista.
Seleccioneu el tipus d'adreça IP d'altres dispositius per aplicar la política de la següent llista.
|
[All IP Addresses]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP.
|
|
[All IPv4 Address]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP enviats a o des d'una adreça IPv4.
|
|
[All IPv6 Address]
|
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP enviats a o des d'una adreça IPv6.
|
|
[IPv4 Manual Settings]
|
Seleccioneu aquesta opció per especificar una sola adreça IPv4 o un rang d'adreces IPv4 per aplicar IPSec. Introduïu l'adreça IPv4 (o l'interval) al quadre de text [Addresses to Set Manually].
|
|
[IPv6 Manual Settings]
|
Seleccioneu aquesta opció per especificar una sola adreça IPv6 o un rang d'adreces IPv6 per aplicar IPSec. Introduïu l'adreça IPv6 (o l'interval) al quadre de text [Addresses to Set Manually].
|
[Addresses to Set Manually]
Si s'ha seleccionat [IPv4 Manual Settings] o [IPv6 Manual Settings] per a [Remote Address], introduïu l'adreça IP per aplicar la política.
Si s'ha seleccionat [IPv4 Manual Settings] o [IPv6 Manual Settings] per a [Remote Address], introduïu l'adreça IP per aplicar la política.
[Subnet Settings]
Quan especifiqueu manualment una adreça IPv4, podeu expressar l'interval mitjançant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
Quan especifiqueu manualment una adreça IPv4, podeu expressar l'interval mitjançant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
[Local Port]/[Remote Port]
Per crear polítiques separades per a cada protocol, com HTTP o SMTP, introduïu el número de port apropiat per al protocol per determinar si usar IPSec.
Per crear polítiques separades per a cada protocol, com HTTP o SMTP, introduïu el número de port apropiat per al protocol per determinar si usar IPSec.
IPSec no s'aplica als paquets que tenen una adreça de multidifusió o difusió especificada.
8
Especifiqueu les opcions d'IKE.
[IKE Mode]
Apareix el mode utilitzat per al protocol d'intercanvi de claus. Normalment seleccioneu el mode principal.
Seleccioneu el mode agressiu quan l'adreça IP no és fixa. Recordeu que la seguretat és menor en el mode agressiu que en el mode principal.
[AUTH Method]
Seleccioneu [Pre-Shared Key Method] o [Digital Signature Method] per al mètode que s'utilitza quan autentiqueu l'equip.
Seleccioneu [Pre-Shared Key Method] o [Digital Signature Method] per al mètode que s'utilitza quan autentiqueu l'equip.
Quan se selecciona el mode agressiu a [IKE Mode], l'opció [Pre-Shared Key Method] no xifra la clau compartida.
[Authentication/Encryption Algorithm]
Per configurar automàticament l'algoritme que s'utilitza per a l'intercanvi de claus, marqueu la casella [Auto]. Si marqueu la casella, l'algoritme s'estableix com es mostra a continuació.
Per configurar automàticament l'algoritme que s'utilitza per a l'intercanvi de claus, marqueu la casella [Auto]. Si marqueu la casella, l'algoritme s'estableix com es mostra a continuació.
|
[Authentication]
|
[SHA1 and MD5]
|
|
[Encryption]
|
[3DES-CBC and AES-CBC]
|
|
[DH Group]
|
[Group 2 (1024)]
|
Per a configurar l'algoritme manualment, desmarqueu la casella i seleccioneu l'algoritme.
|
[Authentication]
|
Seleccioneu l'algorisme hash.
|
|
[Encryption]
|
Seleccioneu l'algorisme de xifratge.
|
|
[DH Group]
|
Seleccioneu el grup Diffie-Hellman, que determina la seguretat de la clau.
|
L'ús de [Pre-Shared Key Method] per identificar-se
|
1
|
Seleccioneu [Pre-Shared Key Method] a [AUTH Method] i feu clic a [Shared Key Settings].
|
|
2
|
Introduïu caràcters alfanumèrics per a la clau precompartida i feu clic a [OK].
|
L'ús de [Digital Signature Method] per identificar-se
|
1
|
Seleccioneu [Digital Signature Method] a [AUTH Method] i feu clic a [Key and Certificate].
|
|
2
|
Seleccioneu el parell de claus que voleu fer servir i feu clic a [Default Key Settings].
Visualització dels detalls d'un parell de claus o d'un certificat
Podeu consultar els detalls del certificat o verificar-lo si feu clic a l'enllaç de text corresponent que es troba a [Key Name] o bé a la icona de certificat. Verificació de parells de claus i certificats digitals
|
9
Especifiqueu les opcions de xarxa IPSec.
[Use PFS]
Seleccioneu la casella per activar PFS (Perfect Forward Secrecy) per a les claus de sessió IPSec. L'activació de PFS millora la seguretat i alhora augmenta la càrrega sobre la comunicació. Assegureu-vos que PFS també s'hagi activat per als altres dispositius. Si no feu servir PFS, desmarqueu la casella.
[Validity]
Especifiqueu quant temps s'usa SA com a túnel de comunicació. Marqueu la casella [Specify by Time] o [Specify by Size] o ambdues caselles, com calgui. Si se seleccionen les dues caselles, la sessió IPSec SA finalitza quan es compleix qualsevol de les dues condicions.
Especifiqueu quant temps s'usa SA com a túnel de comunicació. Marqueu la casella [Specify by Time] o [Specify by Size] o ambdues caselles, com calgui. Si se seleccionen les dues caselles, la sessió IPSec SA finalitza quan es compleix qualsevol de les dues condicions.
|
[Specify by Time]
|
Introduïu un període de temps en minuts per especificar quant dura una sessió. El temps inserit s'aplica tant a IPSec SA com a IKE SA.
|
|
[Specify by Size]
|
Introduïu una mida en megabytes per especificar quantes dades es poden transmetre en una sessió. La mida inserida s'aplica només a IPSec SA.
|
Si ha estat marcada només la casella [Specify by Size]
La validesa de IKE SA no es pot especificar per grandària, per la qual s'aplica el valor inicial (480 minuts) de [Specify by Time].
[Authentication/Encryption Algorithm]
Seleccioneu el protocol i l'algoritme a utilitzar per a la comunicació IPSec.
Seleccioneu el protocol i l'algoritme a utilitzar per a la comunicació IPSec.
Configuració automàtica de la connexió
Seleccioneu [Auto].
|
[ESP Authentication]
|
ESP està habilitat i l'algoritme d'autenticació està configurat en [SHA1 and MD5].
|
|
[ESP Encryption]
|
ESP està habilitat i l'algoritme de xifrat està configurat en [3DES-CBC and AES-CBC].
|
L'ús d'ESP
Escolliu [ESP] i seleccioneu l'algoritme d'autenticació i l'algoritme de xifrat.
|
[ESP Authentication]
|
Seleccioneu l'algoritme hash per utilitzar per a l'autenticació ESP.
|
|
[ESP Encryption]
|
Seleccioneu l'algorisme de xifratge per a ESP.
|
Ús d'AH
Escolliu [AH] i seleccioneu l'algorisme hash per usar l'autenticació AH a [AH Authentication].
[Connection Mode]
Es mostra el mode de connexió d'IPSec. L'equip admet el mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Mode de túnel, en què els paquets IP sencers (capçaleres i càrregues útils) s'encapsulen, no està disponible.
Es mostra el mode de connexió d'IPSec. L'equip admet el mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Mode de túnel, en què els paquets IP sencers (capçaleres i càrregues útils) s'encapsulen, no està disponible.
10
Feu clic a [OK].
Si heu de desar una directiva de seguretat addicional torneu al pas 5.
11
Ordeneu les directives de la llista de [IPSec Policy List].
Les directives s'apliquen d'una a la posició més alta fins a la més baixa. Feu clic a [Raise Priority] o [Lower Priority] per pujar o baixar una directiva en l'ordre.
Edició d'una política
Podeu fer clic a l'enllaç de text sota el [Policy Name] per canviar les opcions.
Eliminació d'una política
Feu clic [Delete] a la dreta la política que vulgueu eliminar.
12
Feu un restabliment complet.
Feu clic a [Device Control], seleccioneu [Hard Reset] i feu clic a [Execute].
La configuració s'habilita després de realitzar el restabliment complet.
Habilitar la comunicació IPSec
Després de completar el registre de les polítiques de seguretat, habiliteu la comunicació IPSec.
1
Inicieu Remote UI (IU remota) i inicieu sessió al mode d'administració del sistema. Inici de Remote UI (IU remota)
2
Feu clic a [Settings/Registration].
3
Feu clic a [Security] [IPSec Settings].
[IPSec Settings].
4
Feu clic a [Edit].
5
Seleccioneu la casella [Use IPSec] i feu clic a [OK].
[Use IPSec]
Si feu servir l'IPSec a l'equip, marqueu la casella. Si no la feu servir, desmarqueu la casella.
[Allow Receive Non-Policy Packets]
Si marqueu la casella quan feu servir IPSec, els paquets que no estan disponibles per a les polítiques registrades també s'envien i es reben. Per desactivar l'enviament i la recepció dels paquets que no estan disponibles per a les polítiques, desmarqueu la casella.
Si marqueu la casella quan feu servir IPSec, els paquets que no estan disponibles per a les polítiques registrades també s'envien i es reben. Per desactivar l'enviament i la recepció dels paquets que no estan disponibles per a les polítiques, desmarqueu la casella.
6
Feu un restabliment complet.
Feu clic a [Device Control], seleccioneu [Hard Reset] i feu clic a [Execute].
La configuració s'habilita després de realitzar el restabliment complet.
|
|
Ús del tauler de controlTambé podeu activar o desactivar la comunicació IPSec des del menú d'opcions del tauler de control. IPSec
|