IPSec ezarpenak konfiguratzea

IPSec erabiliz, hirugarrenek IP saretik garraiatzen diren IP paketeak atzematea edo manipulatzea saihets dezakezu. IPSec-ek segurtasun funtzioak gehitzen dizkionez IP-ari, Interneterako oinarrizko suite protokolo bat, aplikazioetatik edo sarearen konfiguraziotik independentea den segurtasuna eskaintzen du. Makina honekin IPSec komunikazioa gauzatzeko, ezarpenak konfiguratu behar dituzu, adibidez aplikazioaren parametroak eta autentifikaziorako eta zifratzerako algoritmoa. Administratzaile edo NetworkAdmin pribilegioak behar dira ezarpen horiek konfiguratzeko.
Komunikazio modua
Makina honek soilik garraio modua onartzen du IPSec komunikaziorako. Ondorioz, autentifikazioa eta zifratzea soilik IP paketeetako datuetan aplikatuko da.
Gakoak trukatzeko protokoloa
Makina honek Internet Key Exchange protokoloaren 1. bertsioa (IKEv1) onartzen du gakoak trukatzeko, ISAKMP protokoloan (Internet Security Association and Key Management Protocol) oinarrituta. Autentifikazio-metodorako, ezarri aurretik partekatutako gakoa edo sinadura digitala.
Aurretik partekatutako gakoa ezartzean, aurretik pasaesaldi bat (aurretik partekatutako gakoa) erabaki behar duzu, makinaren eta IPSec komunikazio-kidearen artean erabiltzen dena.
Sinadura digitala ezartzean, CA ziurtagiri bat eta PKCS#12 formatuko gako eta ziurtagiri bat erabili makinaren eta IPSec komunikazio-kideak elkarrekiko autentifikazioa burutzeko. CA ziurtagiri edo gako/ziurtagiri berriak gordetzearen inguruko informazio gehiagorako, ikus Sareko komunikaziorako gako eta ziurtagiri bat gordetzea. Kontuan izan SNTP konfiguratu behar dela makinan metodo hau erabiltzeko. SNTP ezarpenak konfiguratzea
IPSec komunikaziorako <FIPS 140-2 formatu enkriptatze-metodoa>-ren ezarpena gorabehera, dagoeneko FIPS140-2 daukan modulu zifratu bat erabiliko da.
IPSec komunikazioak FIPS 140-2 bete dezan, IPSec komunikaziorako DH eta RSA metodoen gakoaren luzera 2048-bit edo luzeagokoa izan behar da makinaren sare ingurunean.
DH metodoaren gakoaren luzera makinatik ezar daiteke.
Kontuan izan zure ingurunea konfiguratzean makinan ez dagoela RSA metodorako ezarpenik.
Gehienez 10 segurtasun-politika gorde ditzakezu.
1
Sakatu  (Ezarp./Gorde).
2
Sakatu <Hobespenak>  <Sarea>  <TCP/IP ezarpenak>  <IPSec ezarpenak>.
3
Ezarri <Erabili IPSec>-rako <On>, eta sakatu <Gorde>.
4
Izendatu politika.
Sakatu <Gidalerroaren izena>, sartu izena eta sakatu <OK>.
Canon inprimagailu multifuntzionalek bi gako luzera onartzen dituzte AES zifratze-metodorako. 128 bit eta 256 bit. Gakoaren luzera 256 bit-era mugatzeko eta CC autentifikazio estandarrak betetzeko, <Onartu 256 bit soilik AES gako luzerarako>-rako ezarri <On>.
5
Konfiguratu IPSec aplikazioaren parametroak.
1
Sakatu <Hautatzailearen ezarpenak>.
2
Adierazi IPSec politika aplikatzeko IP helbidea.
Adierazi makina honen IP helbidea hemen <Helbide lokala>, eta adierazi komunikazio-kidearen IP helbidea hemen <Urruneko helbidea>.

<IP helbide guztiak>
IPSec bidali eta jasotzen diren IP pakete guztietan aplikatuko da.
<IPv4 helbidea>
IPSec makina honetako IPv4 helbidetik bidali eta jasotzen diren IP paketeetan aplikatuko da.
<IPv6 helbidea>
IPSec makina honetako IPv6 helbidetik bidali eta jasotzen diren IP paketeetan aplikatuko da.
<IPv4 helbi de guztiak>
IPSec komunikazio-kidearen IPv4 helbidetik bidali eta jasotzen diren IP paketeetan aplikatuko da.
<IPv6 helbi de guztiak>
IPSec komunikazio-kidearen IPv6 helbidetik bidali eta jasotzen diren IP paketeetan aplikatuko da.
<IPv4 eskuz ko ezarp.>
Adierazi IPSec aplikatzeko IPv4 helbidea.
Hautatu <Helbide bakarra> IPv4 helbide bakarra sartzeko.
Hautatu <Helbide barrutia> hainbat IPv4 helbide adierazteko. Sartu helbide ezberdinak <1. helbidea> eta <Azken helbidea> aukeran.
Hautatu <Azpisarearen ezarpenak> azpisare-maskara erabiltzen duten hainbat IPv4 helbide adierazteko. Sartu balio ezberdinak <Helbidea> eta <Azpisare -maskara>-rako.
<IPv6 eskuz ko ezarp.>
Adierazi IPSec aplikatzeko IPv6 helbidea.
Hautatu <Helbide bakarra> IPv6 helbide bakarra sartzeko.
Hautatu <Helbide barrutia> hainbat IPv6 helbide adierazteko. Sartu helbide ezberdinak <1. helbidea> eta <Azken helbidea> aukeran.
Hautatu <Zehaztu aurrizkia> aurrizki bat erabiltzen duten hainbat IPv6 helbide adierazteko. Sartu balio ezberdinak <Helbidea> eta <Aurrezenbaki-luzera>-rako.
3
Adierazi IPSec aplikatzeko ataka.
Sakatu <Zehaztu ataka zenbakiz> ataka-zenbakiak erabiltzeko IPSec aplikatzeko atakak adieraztean. Hautatu <Ataka guztiak> IPSec ataka-zenbaki guztietan aplikatzeko. IPSec ataka-zenbaki zehatz batean aplikatzeko, sakatu <Ataka bakarra> eta sartu ataka-zenbakia. Atakak adierazi ondoren, sakatu <OK>. Adierazi makina honen ataka hemen <Ataka lokala>, eta adierazi komunikazio-kidearen ataka hemen <Urruneko ataka>.
Sakatu <Zehaztu zerbitz. izenaren arabera> zerbitzu izenak erabiltzeko IPSec aplikatzeko atakak adieraztean. Hautatu zerbitzua zerrendan, sakatu <Zerbitzua bai/ez> <On> ezartzeko, eta sakatu <OK>.
4
Sakatu <OK>.
6
Konfiguratu autentifikazio eta zifratze ezarpenak.
1
Sakatu <IKE ezarpenak>.
2
Konfiguratu beharrezko ezarpenak.
<IKE modua>
Hautatu operazio modua gako-trukeen protokolorako. Eragiketa-modua <Nagusia> aukeran ezarrita dagoenean, segurtasuna hobetzen da, IKE saioa bera zifratzen delako, baina zama handiagoa kokatzen da komunikazioan zifratzen ez den <Oldarkorra>-rekin konparatuz.
<Baliozk.>
Ezarri sortutako IKE SAren iraungitze-epea.
<Autentifikazio metodoa>
Hautatu honako autentifikazio-metodoetako bat.
<Aurrepartek. gako-metod.>
Ezarri komunikazio-kidearentzako ezarrita dagoen pasaesaldi berbera (aurretik partekatutako gakoa). Sakatu <Gako partekatua>, sartu gako partekatu gisa erabiliko den karaktere-katea eta sakatu <OK>.
<Sin. digital metodoa>
Ezarri komunikazio-kidearekin elkarrenganako autentifikazioa egiteko erabiliko diren gakoa eta ziurtagiria. Sakatu <Gakoa eta ziurtagiria>, hautatu erabiliko diren gakoa eta ziurtagiria eta sakatu <Ezarri gako lehenetsi>  <Yes>  <OK>.
<Aut./enkriptatze-algoritmoa>
Hautatu <Auto> edo <Eskuzko ezarpenak> IKE-ren 1. faserako erabiliko den autentifikazio- eta zifratze-algoritmoa nola adierazi ezartzeko. <Auto> hautatuz gero, makina honek zein komunikazio-kideak erabil dezaketen algoritmo bat automatikoki ezarriko da. Algoritmo zehatz bat ezarri nahi baduzu, hautatu <Eskuzko ezarpenak> eta konfiguratu honako ezarpen hauek.
<Autentifikazioa>
Hautatu hash algoritmoa.
<Encryption>
Hautatu zifratze-algoritmoa.
<DH Group>
Hautatu gakoen trukaketa metodoaren taldea gakoaren indarra ezartzeko.
3
Sakatu <OK>.
<IKE modua>-rako <Nagusia> ezarrita dagoenean <IKE ezarpenak> orrian eta <Autentifikazio metodoa>-rako <Aurrepartek. gako-metod.>, honako murrizketa hauek aplikatzen dira hainbat segurtasun-politika gordetzean.
Aurretik partekatutako gako-metodoaren gakoa: segurtasun-politika aplikatzeko hainbat urruneko IP helbide adieraztean, segurtasun-politika horretarako gako partekatuak berdinak dira (hori ez da gertatzen helbide bakarra adierazten denean).
Lehentasuna: segurtasun-politika aplikatzeko hainbat urruneko IP helbide adieraztean, segurtasun-politika horren lehentasuna helbide bakarreko segurtasun-politikena baino txikiagoa izango da.
7
Konfiguratu IPSec komunikazioaren ezarpenak.
1
Sakatu <IPSec sarearen ezarpenak>.
2
Konfiguratu beharrezko ezarpenak.
<Baliozk.>
Ezarri sortutako IPSec SAren iraungitze-epea. Ziurtatu <Ordua> edo <Tamaina> ezartzea. Biak ezarriz gero, lehen lortutako balioa duen ezarpena aplikatuko da.
<PFS>
PFS (Perfect Forward Secrecy) funtziorako <On> ezarriz gero, zifratze-gakoaren sekretua handiagotuko da, baina komunikazioaren abiadura motelduko da. Gainera, PFS funtzioa komunikazio-kidearen gailuan gaituta egon behar da.
<Aut./enkriptatze-algoritmoa>
Hautatu <Auto> edo <Eskuzko ezarpenak> IKE-ren 2. faserako erabiliko den autentifikazio- eta zifratze-algoritmoa nola adierazi ezartzeko. <Auto> hautatuz gero, ESP autentifikazio- eta zifratze-algoritmoa automatikoki ezarriko da. Autentifikazio-metodo zehatz bat adierazi nahi baduzu, sakatu <Eskuzko ezarpenak> eta hautatu autentifikazio-metodoetako bat.
<ESP>
Autentifikazioa eta zifratzea burutuko dira. Hautatu algoritmoa <ESP Authentication> eta <ESP Encryption>-rako. Hautatu <NULL> ez baduzu autentifikazio- edo zifratze-algoritmoa ezarri nahi.
<ESP (AES-GCM)>
AES-GCM erabiliko da ESP algoritmo gisa, eta autentifikazioa eta zifratzea burutuko dira.
<AH (SHA1)>
Autentifikazioa egingo da, baina datuak ez dira zifratuko. SHA1 erabiliko da algoritmo gisa.
3
Sakatu <OK> <OK>.
8
Gaitu gordetako politikak eta ziurtatu lehentasunaren hurrenkera.
Hautatu gordetako politikak zerrendatik eta sakatu <Gidalerroa bai/ez> <On> bilaka daitezen.
Politikak zerrendan azaltzen diren hurrenkeran aplikatuko dira, goitik hasita. Lehentasunaren hurrenkera aldatzeko, hautatu politika bat zerrendatik eta hautatu <Gehitu lehen.> edo <Gutxitu lehen.>.
Politikei ez dagozkien paketeak ez bidaltzeko ezta jasotzeko ere, hautatu <Ezetsi> <Jaso gidalerrokoak ez diren paketeak>-rako.
9
Sakatu <OK>.
10
Sakatu  (Ezarp./Gorde)  (Ezarp./Gorde) <Aplik.ezarp.-aldak.>  <Yes>.
IPSec politikak kudeatzea
3. urratseko orrian edita ditzakezu politikak.
Politika baten xehetasunak editatzeko, hautatu politika zerrendatik eta sakatu <Edit>.
Politika bat desgaitzeko, hautatu politika zerrendatik eta sakatu <Gidalerroa bai/ez>.
Politika bat ezabatzeko, hautatu politika zerrendatik eta sakatu <Delete>  <Yes>.
836X-0E5