Configuració de les opcions d'IPSec

Si utilitzeu IPSec, podeu impedir la intercepció o la manipulació per part de tercers de paquets IP transportats per la xarxa IP. Com IPSec afegeix funcions de seguretat a IP, un conjunt de protocols bàsic utilitzat per a Internet, pot proporcionar seguretat independent d'aplicacions o de la configuració de xarxa. Per portar a terme la comunicació IPSec amb aquest equip, heu de configurar opcions com ara els paràmetres de l'aplicació i l'algorisme per a l'autenticació i el xifratge. Per configurar aquestes opcions calen privilegis d'administrador.

Habilitar IPSec

Registre d'una política


Mode de comunicació Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP. Protocol d'intercanvi de claus Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital. Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec. Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP

Mode de comunicació

Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP.

Protocol d'intercanvi de claus

Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital.

Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec.

Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP


Independentment de les opcions de [Format Encryption Method to FIPS 140-2] per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140-2. Per tal que la comunicació IPSec compleixi amb FIPS 140-2, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip. Des de l'equip només es pot especificar la longitud de clau de DH. Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA. Podeu desar fins a 10 polítiques de seguretat.

Independentment de les opcions de [Format Encryption Method to FIPS 140-2] per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140-2.

Per tal que la comunicació IPSec compleixi amb FIPS 140-2, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip.

Des de l'equip només es pot especificar la longitud de clau de DH.

Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA.

Podeu desar fins a 10 polítiques de seguretat.

Habilitar IPSec

Inicieu la IU remota. Inici de Remote UI (IU remot)

Feu clic a [Settings/Registration] a la pàgina del portal. Pantalla de Remote UI (IU remot)

Feu clic a [Network Settings]

[IPSec Settings].

Seleccioneu [Use IPSec] i feu clic a [OK].

Per rebre només paquets que corresponen a la política de seguretat, seleccioneu [Reject] per a [Receive Non-Policy Packets].

Registre d'una política

Inicieu la IU remota. Inici de Remote UI (IU remot)

Feu clic a [Settings/Registration] a la pàgina del portal. Pantalla de Remote UI (IU remot)

Feu clic a [Network Settings]

[IPSec Policy List].

Feu clic a [Register New IPSec Policy].

Establiu una política.

[Policy Name]

Introduïu un nom per identificar la política.

[Policy On/Off]

Seleccioneu [On] per activar la política desada.

[Only Allow 256-bit for AES Key Length]

Seleccioneu aquesta casella per limitar la longitud de la clau del mètode de xifratge AES a 256 bits i complir amb les normes d'autenticació CC.

Configureu els paràmetres de l'aplicació l'IPSec.

Feu clic a [Selector Settings].

Especifiqueu l'adreça IP a la qual s'ha d'aplicar la directiva IPSec.

Especifiqueu l'adreça IP d'aquest equip a [Local Address] i especifiqueu l'adreça IP de l'interlocutor de la comunicació a [Remote Address].

[All IP Addresses]	IPSec s'aplica a tots els paquets IP enviats i rebuts.
[IPv4 Address]	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 d'aquest equip.
[IPv6 Address]	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 d'aquest equip.
[All IPv4 Addresses]	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 de l'interlocutor de la comunicació.
[All IPv6 Addresses]	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 de l'interlocutor de la comunicació.
[IPv4 Manual Settings]	Especifiqueu l'adreça IPv4 a la qual s'ha d'aplicar IPSec. Seleccioneu [Single Address] per introduir una adreça IPv4 individual. Seleccioneu [Range Address] per especificar un rang d'adreces IPv4. Introduïu una adreça IP diferent per a [First Address] i [Last Address]. Seleccioneu [Subnet Settings] per especificar un rang d'adreces IPv4 utilitzant una màscara de subxarxa. Introduïu valors diferents per a [First Address] i [Subnet Settings].
[IPv6 Manual Settings]	Especifiqueu l'adreça IPv6 a què s'aplicarà IPSec. Seleccioneu [Single Address] per introduir una única adreça IPv6. Seleccioneu [Range Address] per especificar un interval d'adreces IPv6. Introduïu una adreça IP diferent per a [First Address] i [Last Address]. Seleccioneu [Prefix Address] per especificar un rang d'adreces IPv6 utilitzant un prefix. Introduïu valors diferents per a [First Address] i [Prefix Length].

Especifiqueu el port al qual s'ha d'aplicar IPSec.

Seleccioneu [Specify by Port Number] per utilitzar números de port quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu [All Ports] per aplicar IPSec a tots els números de port. Per aplicar IPSec a un número de port específic, seleccioneu [Single Port] i introduïu el número de port. Especifiqueu el port d'aquest equip a [Local Port] i especifiqueu el port de l'interlocutor de la comunicació a [Remote Port].

Per especificar els ports als quals s'aplicarà IPSec segons el nom del servei, seleccioneu [Specify by Service Name] i els serveis que s'utilitzaran.

Feu clic a [OK].

Configureu les opcions d'autenticació i xifratge.

Feu clic a [IKE Settings].

Configureu les opcions necessàries.

[IKE Mode]

Seleccioneu el mode d'operació per al protocol d'intercanvi de claus. La seguretat augmenta si seleccioneu [Main] perquè la sessió IKE està xifrada, però la velocitat de la sessió és més lenta que amb [Aggressive], que no xifra la sessió sencera.

[Validity]

Establiu el període de caducitat del IKE SA generat.

[Authentication Method]

Seleccioneu un dels mètodes d'autenticació descrits a continuació.

[Pre-Shared Key Method]	Establiu la mateixa contrasenya (clau precompartida) que s'ha establert per a l'interlocutor de la comunicació. Seleccioneu [Shared Key Settings], introduïu la cadena de caràcters que cal utilitzar com a clau compartida i seleccioneu [OK].
[Digital Signature Method]	Establiu la clau i el certificat que cal utilitzar per a l'autenticació mútua amb l'interlocutor de la comunicació. Feu clic a [Key and Certificate] i a [Use] per a la clau que s'utilitzarà.

[Authentication/Encryption Algorithm]

Seleccioneu [Auto] o [Manual Settings] per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 1. Si seleccioneu [Auto], s'establirà automàticament un algorisme que pot ser utilitzat tant per aquest equip com per l'interlocutor de la comunicació. Si voleu especificar un algorisme específic, seleccioneu [Manual Settings] i configureu les opcions següents.

[Authentication]	Seleccioneu l'algorisme hash.
[Encryption]	Seleccioneu l'algorisme de xifratge.
[DH Group]	Seleccioneu el grup per al mètode d'intercanvi de clau Diffie-Hellman per establir la seguretat de la clau.

Feu clic a [OK].


Si s'estableix [IKE Mode] en [Main] a la pantalla [IKE] i s'estableix [Authentication Method] en [Pre-Shared Key Method], s'apliquen les restriccions següents quan es desen diverses polítiques de seguretat. Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una política de seguretat, totes les claus compartides per a la política de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP). Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una política de seguretat, la prioritat de la política de seguretat està per sota de les polítiques de seguretat per a les qual s'hagi especificat una única direcció.

Si s'estableix [IKE Mode] en [Main] a la pantalla [IKE] i s'estableix [Authentication Method] en [Pre-Shared Key Method], s'apliquen les restriccions següents quan es desen diverses polítiques de seguretat.

Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una política de seguretat, totes les claus compartides per a la política de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP).

Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una política de seguretat, la prioritat de la política de seguretat està per sota de les polítiques de seguretat per a les qual s'hagi especificat una única direcció.

Configureu les opcions de comunicació d'IPSec.

Feu clic a [IPSec Network Settings].

Configureu les opcions necessàries.

[Validity]

Establiu el període de caducitat del IPSec SA generat. Assegureu-vos d'establir [Time] o [Size]. Si establiu tots dos, s'aplicarà l'opció amb el valor que s'aconsegueixi primer.

[PFS]

Si seleccioneu [Use PFS], la confidencialitat de la clau de xifratge augmenta, però es reduirà la velocitat de comunicació. A més a més, la funció Perfect Forward Secrecy (PFS) s'ha d'activar al dispositiu interlocutor de la comunicació.

[Authentication/Encryption Algorithm]

Seleccioneu [Auto] o [Manual Settings] per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 2. Si seleccioneu [Auto], l'algorisme d'autenticació i xifratge s'estableix automàticament. Si voleu especificar un mètode d'autenticació específic, seleccioneu [Manual Settings] i seleccioneu un dels mètodes d'autenticació següents.

[ESP]	Es porta a terme tant l'autenticació com el xifratge. Seleccioneu l'algorisme per a [ESP Authentication] i [ESP Encryption]. Si no voleu utilitzar l'algorisme d'autenticació o de xifratge, seleccioneu [NULL].
[ESP (AES-GCM)]	AES-GCM s'utilitza com a algorisme d'ESP, i es porta a terme tant l'autenticació com el xifratge.
[AH (SHA1)]	Es porta a terme l'autenticació, però les dades no es xifren. S'utilitza SHA1 com a algorisme.

Feu clic a [OK].

Activeu les directives desades i comproveu l'ordre de prioritat.

Les directives s'apliquen en l'ordre en què apareixen a la llista, començant des de la part superior. Si voleu canviar l'ordre de prioritat, seleccioneu una directiva de la llista i feu clic a [Raise Priority] o [Lower Priority].


Gestió de directives IPSec Podeu editar directives a la pantalla que es mostra al pas 4. Per editar els detalls d'una política, feu clic al nom de la política a la llista. Per desactivar una política, feu clic al nom de la política a la llista seleccioneu [Off] per a [Policy On/Off] feu clic a [OK]. Per eliminar una política, seleccioneu-la a la llista feu clic a [Delete] [OK]. Ús del tauler de control També podeu activar o desactivar la comunicació IPSec a <Estb> a la pantalla <Inici>. <Opcions d'IPSec> Importació per lots/Exportació per lots Aquesta configuració es pot importar/exportar amb models que admeten la importació per lots d'aquesta configuració. Importació/exportació de les dades d'opcions Aquesta opció s'inclou a [Settings/Registration Basic Information] quan s'exporten lots. Importació/exportació de totes les opcions

Gestió de directives IPSec

Podeu editar directives a la pantalla que es mostra al pas 4.

Per editar els detalls d'una política, feu clic al nom de la política a la llista.

Per desactivar una política, feu clic al nom de la política a la llista

seleccioneu [Off] per a [Policy On/Off]

feu clic a [OK].

Per eliminar una política, seleccioneu-la a la llista

feu clic a [Delete]

[OK].

Ús del tauler de control

També podeu activar o desactivar la comunicació IPSec a <Estb> a la pantalla <Inici>. <Opcions d'IPSec>

Importació per lots/Exportació per lots

Aquesta configuració es pot importar/exportar amb models que admeten la importació per lots d'aquesta configuració. Importació/exportació de les dades d'opcions

Aquesta opció s'inclou a [Settings/Registration Basic Information] quan s'exporten lots. Importació/exportació de totes les opcions