Configuració de les opcions d'IPSec

Internet Protocol Security (IPSec o IPsec) és un conjunt de protocols per xifrar dades transmeses a través d'una xarxa, incloses les xarxes d'Internet. Mentre que TLS només xifra les dades utilitzades en una aplicació específica, com ara un navegador web o una aplicació de correu electrònic, IPSec xifra paquets IP sencers o les càrregues útils dels paquets IP, oferint-vos un sistema de seguretat més versàtil. L'IPSec de l'equip funciona en mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Amb aquesta funció, l'equip pot connectar-se directament a un ordinador que estigui en la mateixa xarxa privada virtual (VPN). Comproveu els requisits del sistema (Funcions de gestió) i establiu la configuració necessària a l'ordinador abans de configurar l'equip.
Ús d'IPSec amb un filtre d'adreces IP
La configuració del filtre d'adreces IP s'aplica abans que les polítiques d'IPSec. Especificació d'adreces IP per a les opcions del tallafoc

Configuració de les opcions d'IPSec

Abans d'utilitzar IPSec per a la comunicació xifrada, heu de desar polítiques de seguretat (SP). Una política de seguretat consta dels grups d'opcions descrits a continuació. Després de desar polítiques, especifiqueu l'ordre en què s'apliquen.
Selector
El selector defineix condicions per a paquets IP per a aplicar la comunicació IPSec. Entre les condicions que es poden seleccionar hi ha les adreces IP i els números de port de l'equip i els dispositius amb els quals s'ha d'establir comunicació.
IKE
IKE configura l'IKEv1 que s'utilitza per al protocol d'intercanvi de claus. Tingueu en compte que les instruccions varien en funció del mètode d'autenticació seleccionat.
[Pre-Shared Key Method]
Aquest mètode d'autenticació utilitza una paraula clau comuna, anomenada clau compartida, per a la comunicació entre l'equip i altres dispositius. Activeu TLS per a Remote UI (IU remot) abans d'especificar aquest mètode d'autenticació (Configuració de la clau i el certificat per a TLS).
[Digital Signature Method]
L'equip i els altres dispositius s'autentiquen entre si mitjançant la verificació mútua de les seves signatures digitals. Genereu o instal·leu per endavant la clau i el certificat (Desament de la clau i el certificat per a la comunicació de xarxa).
AH/ESP
Especifiqueu les opcions per a AH/ESP, que s'afegeix als paquets durant la comunicació IPSec. AH i ESP es poden utilitzar al mateix temps. També podeu seleccionar si voleu activar o no la PFS per aconseguir una seguretat superior.
Per obtenir més informació sobre les funcions bàsiques que es poden realitzar en configurar l'equip des de Remote UI (IU remot), consulteu Configuració de les opcions de menú des de Remote UI (IU remot).
1
Inicieu Remote UI (IU remot) i inicieu la sessió al mode d'administrador del sistema. Inici de Remote UI (IU remot)
2
Feu clic a [Settings/Registration] a la pàgina del Portal. Pantalla de Remote UI (IU remot)
3
Seleccioneu [Network Settings]  [IPSec Settings].
4
Feu clic a [Edit].
5
Seleccioneu la casella [Use IPSec] i feu clic a [OK].
Si voleu que l'equip només rebi paquets que coincideixin amb una de les polítiques de seguretat que definiu als passos següents, desmarqueu la casella [Receive Non-Policy Packets].
6
Feu clic a [Register New Policy].
7
Especifiqueu les opcions de seguretat.
1
Al quadre de text [Policy Name], introduïu caràcters alfanumèrics per a un nom que s'utilitzi per identificar la política.
2
Seleccioneu la casella [Enable Policy].
8
Especifiqueu les opcions del selector.
[Local Address]
Feu clic al botó d'opció per al tipus d'adreça IP de l'equip per aplicar la política.
[All IP Addresses]
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP.
[IPv4 Address]
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP enviats a o des de l'adreça IPv4 de l'equip.
[IPv6 Address]
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP enviats a o des d'una adreça IPv6 de l'equip.
[Remote Address]
Feu clic al botó d'opció per al tipus d'adreça IP dels altres dispositius per aplicar la política.
[All IP Addresses]
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP.
[All IPv4 Addresses]
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP enviats a o des d'adreces IPv4 dels altres dispositius.
[All IPv6 Addresses]
Seleccioneu aquesta opció per utilitzar IPSec per a tots els paquets IP enviats a o des d'adreces IPv6 dels altres dispositius.
[IPv4 Manual Settings]
Seleccioneu aquesta opció per especificar una sola adreça IPv4 o un rang d'adreces IPv4 per aplicar IPSec. Introduïu l'adreça IPv4 (o l'interval) al quadre de text [Addresses to Set Manually].
[IPv6 Manual Settings]
Seleccioneu aquesta opció per especificar una sola adreça IPv6 o un rang d'adreces IPv6 per aplicar IPSec. Introduïu l'adreça IPv6 (o l'interval) al quadre de text [Addresses to Set Manually].
[Addresses to Set Manually]
Si s'ha seleccionat [IPv4 Manual Settings] o [IPv6 Manual Settings] per a [Remote Address], introduïu l'adreça IP per aplicar la política. També podeu introduir un rang d'adreces inserint un guió entre les adreces.
Introducció d'adreces IP
Descripció
Exemple
Introduir una sola adreça
IPv4:
Separeu els números amb punts.
192,168.0,10
IPv6:
Separeu els caràcters alfanumèrics amb dos punts.
fe80::10
Especificar un rang d'adreces
Separeu les adreces amb un guió.
192.168.0.10-192.168.0.20
[Subnet Settings]
Quan especifiqueu manualment una adreça IPv4, podeu expressar l'interval mitjançant la màscara de subxarxa. Introduïu la màscara de subxarxa utilitzant punts per delimitar els números (exemple: "255.255.255.240").
[Prefix Length]
L'especificació manual de l'interval d'adreces IPv6 també us permet especificar l'interval mitjançant prefixos. Introduïu un interval entre 0 i 128 com a longitud del prefix.
[Local Port]/[Remote Port]
Si voleu crear polítiques independents per a cada protocol, com ara HTTP o WSD, feu clic al botó d'opció [Single Port] i introduïu el número de port apropiat per al protocol per determinar si cal utilitzar IPSec.
IPSec no s'aplica als paquets següents
Paquets de bucle, de multidifusió i de difusió
Paquets IKE (utilitzant UDP al port 500)
Paquets de sol·licitud de veí i anunci de veí ICMPv6
9
Especifiqueu les opcions d'IKE.
[IKE Mode]
Es mostra el mode utilitzat per al protocol d'intercanvi de claus. L'equip admet el mode principal, no el mode agressiu.
[Authentication Method]
Seleccioneu [Pre-Shared Key Method] o [Digital Signature Method] per al mètode que s'utilitza quan autentiqueu l'equip. Heu d'activar TLS per a Remote UI (IU remot) abans de seleccionar [Pre-Shared Key Method]. Heu de generar o instal·lar la clau i el certificat abans de seleccionar [Digital Signature Method]. Configuració de la clau i el certificat per a TLS
[Valid for]
Especifiqueu quant temps dura una sessió per a IKE SA (ISAKMP SA). Introduïu el temps en minuts.
[Authentication]/[Encryption]/[DH Group]
Seleccioneu un algorisme a la llista desplegable. Cada algorisme s'utilitza en l'intercanvi de claus.
[Authentication]
Seleccioneu l'algorisme hash.
[Encryption]
Seleccioneu l'algorisme de xifratge.
[DH Group]
Seleccioneu el grup Diffie-Hellman, que determina la seguretat de la clau.
 Autenticació d'un equip mitjançant una clau precompartida
1
Feu clic primer al botó d'opció [Pre-Shared Key Method] per a [Authentication Method] i, a continuació, a [Shared Key Settings].
2
Introduïu caràcters alfanumèrics per a la clau precompartida i feu clic a [OK].
3
Especifiqueu les opcions [Valid for] i [Authentication]/[Encryption]/[DH Group].
 Autenticació d'un equip mitjançant el mètode de signatura digital
1
Feu clic primer al botó d'opció [Digital Signature Method] per a [Authentication Method] i, a continuació, a [Key and Certificate].
2
Feu clic a [Register Default Key] a la dreta de la clau i el certificat que vulgueu fer servir.
Visualització dels detalls d'un certificat
Podeu consultar els detalls del certificat o verificar-lo si feu clic a l'enllaç de text corresponent que es troba a [Key Name] o bé a la icona de certificat.
3
Especifiqueu les opcions [Valid for] i [Authentication]/[Encryption]/[DH Group].
10
Especifiqueu les opcions de xarxa IPSec
[Use PFS]
Seleccioneu la casella per activar Perfect Forward Secrecy (PFS) per a les claus de sessió IPSec. L'activació de PFS millora la seguretat i alhora augmenta la càrrega sobre la comunicació. Assegureu-vos que PFS també s'hagi activat per als altres dispositius.
[Specify by Time]/[Specify by Size]
Establiu les condicions per finalitzar una sessió per a IPSec SA. IPSec SA s'utilitza com a túnel de comunicació. Seleccioneu una de les caselles o les dues, segons el que calgui. Si se seleccionen les dues caselles, la sessió IPSec SA finalitza quan es compleix qualsevol de les dues condicions.
[Specify by Time]
Introduïu un període de temps en minuts per especificar quant dura una sessió.
[Specify by Size]
Introduïu una mida en megabytes per especificar quantes dades es poden transmetre en una sessió.
[Select Algorithm]
Seleccioneu les caselles [ESP], [ESP (AES-GCM)] o [AH (SHA1)] segons la capçalera IPSec i l'algorisme utilitzat. AES-GCM és un algorisme per a l'autenticació i el xifratge. Si s'ha seleccionat l'opció [ESP], seleccioneu també algorismes per a l'autenticació i el xifratge a les llistes desplegables [ESP Authentication] i [ESP Encryption].
[ESP Authentication]
Per activar l'autenticació ESP, seleccioneu [SHA1] per a l'algorisme hash. Seleccioneu [Do Not Use] si voleu desactivar l'autenticació ESP.
[ESP Encryption]
Seleccioneu l'algorisme de xifratge per a ESP. Podeu seleccionar [NULL] si no voleu especificar l'algorisme o [Do Not Use] si voleu desactivar el xifratge ESP.
[Connection Mode]
Es mostra el mode de connexió d'IPSec. L'equip admet el mode de transport, en el qual les càrregues útils dels paquets IP es xifren. Mode de túnel, en què els paquets IP sencers (capçaleres i càrregues útils) s'encapsulen, no està disponible.
11
Feu clic a [OK].
Si heu de desar una política de seguretat addicional torneu al pas 6.
12
Ordeneu les polítiques de la llista de [Registered IPSec Policies].
Les polítiques s'apliquen d'una a la posició més alta fins a la més baixa. Feu clic a [Up] o [Down] per pujar o baixar una política a l'ordre de la llista.
Edició d'una política
Feu clic a l'enllaç de text corresponent a [Policy Name] per anar a la pantalla d'edició.
Eliminació d'una política
Feu clic primer a [Delete] a la dreta del nom de la política que vulgueu eliminar  i, a continuació, a [OK].
13
Reinicieu l'equip. Reiniciar de l'equip
Ús del tauler de control
També podeu activar o desactivar la comunicació IPSec a <Menú> a la pantalla Inici. <Usar IPSec>
8744-07H