Utilizzo di IPSec
Utilizzare IP Security Protocol (IPSec) per impedire l’intercettazione e la manomissione dei pacchetti IP inviati e ricevuti su una rete IP. Ciò esegue la crittografia a livello del protocollo IP per garantire sicurezza senza fare affidamento sulla configurazione di applicazioni o della rete.
Condizioni applicabili di IPSec e modalità supportate
Pacchetti in cui IPSec non è applicabile
Pacchetti che specificano un indirizzo loopback, multicast o broadcast
Pacchetti IKE inviati da UDP sulla porta 500
Pacchetti ICMPv6 Neighbor Solicitation e Neighbor Advertisement
Modalità di funzionamento del protocollo di scambio chiavi (modalità IKE)
La modalità IKE supportata dalla macchina è solo la modalità principale utilizzata per crittografare i pacchetti. La modalità aggressiva senza crittografia non è supportata.
Modalità di comunicazione
La modalità di comunicazione supportata dalla macchina è solo la modalità trasporto, che crittografa solo la parte senza l’intestazione IP. La modalità tunnel, che crittografa l’intero pacchetto IP, non è supportata.
Utilizzo di IPSec insieme al filtraggio di indirizzi IP
Le impostazioni di filtraggio di indirizzi IP vengono applicate per prime. Impostazione del firewall
Configurazione dei criteri IPSec
Per eseguire la comunicazione IPSec sulla macchina, è necessario creare un criterio IPSec che include l’intervallo applicabile e gli algoritmi per l’autenticazione e la crittografia. Il criterio è composto principalmente dalle seguenti voci.
Selettore
Specificare a quali pacchetti IP applicare la comunicazione IPSec. Oltre a specificare l’indirizzo IP della macchina e delle periferiche di comunicazione, è possibile specificare anche i numeri di porta.
IKE
Il protocollo di scambio chiavi supporta Internet Key Exchange Version 1 (IKEv1). Per il metodo di autenticazione, selezionare il metodo di chiave precondivisa o il metodo di firma digitale.
Metodo di chiave precondivisa:
questo metodo di autenticazione utilizza una parola chiave comune, chiamata "chiave condivisa", per la comunicazione tra la macchina e altre periferiche.
questo metodo di autenticazione utilizza una parola chiave comune, chiamata "chiave condivisa", per la comunicazione tra la macchina e altre periferiche.
Metodo di firma digitale:
la macchina e le altre periferiche si autenticano a vicenda verificando le rispettive firme digitali.
la macchina e le altre periferiche si autenticano a vicenda verificando le rispettive firme digitali.
ESP/AH
Specificare le impostazioni per ESP/AH, il protocollo utilizzato per la comunicazione IPSec. È possibile utilizzare ESP e AH contemporaneamente. Utilizzare Perfect Forward Secrecy (PFS) per una maggiore sicurezza.
Impostazione di IPSec
Abilitare l’utilizzo di IPSec, quindi creare e registrare il criterio IPSec. Se sono stati creati più criteri, specificare l’ordine in cui applicarli.
Questa sezione descrive come configurare le impostazioni utilizzando la IU remota da un computer.
Sul pannello comandi, selezionare [Menu] nella schermata [Scher. principale], quindi selezionare [Preferenze] per configurare le impostazioni. Tuttavia, è possibile utilizzare il pannello comandi solo per abilitare o disabilitare IPSec. [Utilizzo IPSec]
Sono necessari i privilegi di amministratore. Per applicare le impostazioni è necessario riavviare la macchina.
Sul pannello comandi, selezionare [Menu] nella schermata [Scher. principale], quindi selezionare [Preferenze] per configurare le impostazioni. Tuttavia, è possibile utilizzare il pannello comandi solo per abilitare o disabilitare IPSec. [Utilizzo IPSec]
Sono necessari i privilegi di amministratore. Per applicare le impostazioni è necessario riavviare la macchina.
Preparazioni richieste |
Collegare la macchina direttamente a un computer sulla stessa rete privata virtuale (VPN) della macchina. Confermare le condizioni di funzionamento e terminare in anticipo le impostazioni sul computer. Preparare quanto segue in base al metodo di autenticazione IKE: Quando si utilizza il metodo di chiave precondivisa, abilitare TLS per la comunicazione con la IU remota. Utilizzo di TLS Quando si utilizza il metodo di firma digitale, preparare la chiave e il certificato da utilizzare. Gestione e verifica di chiave e certificato Quando si utilizza PFS, verificare che PFS sia abilitato sulla periferica di comunicazione. |
1
Accedere alla IU remota in modalità Gestore sistema. Avvio della IU remota
2
Sulla pagina portale della IU remota fare clic su [Impostazioni/Registrazione]. Pagina portale della IU remota
3
Fare clic su [Impostazioni rete] 
[Impostazioni IPSec] [Modifica].
[Impostazioni IPSec] [Modifica].Viene visualizzata la schermata [Modifica impostazioni IPSec].
4
Selezionare la casella [Utilizzo IPSec] e fare clic su [OK].
Per ricevere solo pacchetti conformi ai criteri, deselezionare la casella di controllo [Ricezione pacchetti non associati a un criterio].
5
Fare clic su [Registrazione nuovo criterio].
Viene visualizzata la schermata [Registrazione nuovo criterio IPSec].
6
In [Impostazioni criterio], inserire il nome del criterio e selezionare la casella di controllo [Abilitazione criterio].
Per il nome del criterio, inserire un nome che lo identifichi utilizzando caratteri alfanumerici a byte singolo.
7
In [Impostazioni selettore], impostare il selettore.
[Impostazioni indirizzo locale]
Selezionare il tipo di indirizzo IP della macchina alla quale applicare il criterio.
Per applicare IPSec a tutti i pacchetti IP, selezionare [Tutti gli indirizzi IP].
Per applicare IPSec ai pacchetti IP inviati e ricevuti con un indirizzo IPv4 o IPv6, selezionare [Indirizzo IPv4] o [Indirizzo IPv6].
[Impostazioni indirizzo remoto]
Selezionare il tipo di indirizzo IP della periferica di comunicazione alla quale applicare il criterio.
Per applicare IPSec a tutti i pacchetti IP, selezionare [Tutti gli indirizzi IP].
Per applicare IPSec ai pacchetti IP inviati e ricevuti con un indirizzo IPv4 o IPv6, selezionare [Tutti gli indirizzi IPv4] o [Tutti gli indirizzi IPv6].
Per specificare un indirizzo IPv4 o IPv6 al quale applicare IPSec, selezionare [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6].
[Indirizzi da impostare manualmente]
Quando si seleziona [Impostazioni manuali IPv4] o [Impostazioni manuali IPv6], inserire l’indirizzo IP. È anche possibile specificare un intervallo di indirizzi IP utilizzando un trattino (-).
Esempio di inserimento:
Un indirizzo IPv4
192.168.0.10
192.168.0.10
Un indirizzo IPv6
fe80::10
fe80::10
Definizione di un intervallo
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Impostazioni subnet]
Quando si seleziona [Impostazioni manuali IPv4], è possibile utilizzare una subnet mask per specificare l’intervallo di indirizzi IPv4.
Esempio di inserimento:
255.255.255.240
255.255.255.240
[Lunghezza prefisso]
Quando si seleziona [Impostazioni manuali IPv6], è possibile utilizzare una lunghezza del prefisso per specificare l’intervallo di indirizzi IPv6. Inserire la lunghezza del prefisso in un intervallo da 0 a 128.
[Impostazioni porta]
Impostare la porta alla quale applicare IPSec in [Porta locale] sulla macchina e [Porta remota] sulla periferica di comunicazione.
Per applicare IPSec a tutti i numeri di porta, selezionare [Tutte le porte].
Per applicare IPSec a un protocollo specifico come HTTP o WSD, selezionare [Porta singola] e inserire il numero di porta del protocollo.
8
In [Impostazioni IKE], impostare IKE.
[Modo IKE]
La macchina supporta solo la modalità principale.
[Metodo di autenticazione]
Selezionare il metodo di autenticazione della macchina.
Quando si seleziona [Metodo chiave già condivisa], fare clic su [Impostazioni chiave condivisa] inserire la stringa da utilizzare come chiave condivisa utilizzando caratteri alfanumerici a byte singolo fare clic su [OK].
inserire la stringa da utilizzare come chiave condivisa utilizzando caratteri alfanumerici a byte singolo fare clic su [OK].Quando si seleziona [Metodo firma digitale], fare clic su [Chiave e certificato] [Registrazione chiave predefinita] a destra della chiave e del certificato da utilizzare.
[Registrazione chiave predefinita] a destra della chiave e del certificato da utilizzare.[Validità]
Inserire il periodo di validità di IKE SA (ISAKMP SA) da utilizzare come percorso di comunicazione di controllo in minuti.
[Algoritmo autenticazione/crittografia]
Selezionare l’algoritmo da utilizzare per lo scambio chiavi.
9
In [Impostazioni rete IPSec], configurare le impostazioni di rete IPSec.
[Utilizzo PFS]
Selezionare questa casella di controllo per configurare PFS per la chiave della sessione.
[Validità]
Specificare il periodo di validità di IPSec SA da utilizzare come percorso di comunicazione dei dati per durata, dimensioni o entrambi.
Quando si seleziona la casella di controllo [Specifica per durata], inserire il periodo di validità in minuti.
Quando si seleziona la casella di controllo [Specifica per dimensione], inserire il periodo di validità in megabyte.
Quando si selezionano entrambe, viene applicata la voce il cui valore specificato viene raggiunto per primo.
[Algoritmo autenticazione/crittografia]
Selezionare questa casella di controllo in base all’intestazione IPSec (ESP e AH) da utilizzare e il relativo algoritmo.
[Autenticazione ESP]
Quando si seleziona [ESP], selezionare l’algoritmo di autenticazione. Per eseguire l’autenticazione ESP, selezionare [SHA1]. Altrimenti, selezionare [Non usare].
[Crittografia ESP]
Quando si seleziona [ESP], selezionare l’algoritmo di crittografia. Se non si desidera specificare l’algoritmo di crittografia, selezionare [NULL]. Per disabilitare la crittografia, selezionare [Non usare].
[Modo di connessione]
La macchina supporta solo la modalità trasporto.
10
Fare clic su [OK].
Il criterio appena registrato viene aggiunto a [Criteri IPSec registrati] nella schermata [Impostazioni IPSec].
Quando si registrano più criteri
Fare clic su [Su] o [Giù] a destra del nome del criterio per impostare la priorità. I criteri di livello più alto hanno priorità di applicazione alla comunicazione IPSec.
11
Riavviare la macchina. Riavvio della macchina
Le impostazioni vengono applicate.
 |
Modifica dei criteri registratiPer modificare le informazioni registrate, fare clic sul nome del criterio che si desidera modificare in [Criteri IPSec registrati] nella schermata [Impostazioni IPSec]. |