Configuració de les opcions d'IPSec

Si utilitzeu IPSec, podeu impedir la intercepció o la manipulació per part de tercers de paquets IP transportats per la xarxa IP. Com IPSec afegeix funcions de seguretat a IP, un conjunt de protocols bàsic utilitzat per a Internet, pot proporcionar seguretat independent d'aplicacions o de la configuració de xarxa. Per portar a terme la comunicació IPSec amb aquest equip, heu de configurar opcions com ara els paràmetres de l'aplicació i l'algorisme per a l'autenticació i el xifratge. Per configurar aquestes opcions calen privilegis d'administrador.
Mode de comunicació
Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP.
Protocol d'intercanvi de claus
Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital.
Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec.
Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP
Independentment de les opcions de [Format Encryption Method to FIPS 140-2] per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140-2.
Per tal que la comunicació IPSec compleixi amb FIPS 140-2, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip.
Des de l'equip només es pot especificar la longitud de clau de DH.
Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA.
Podeu desar fins a 10 directives de seguretat.

Habilitar IPSec

1
Inicieu Remote UI (IU remota). Inici de Remote UI (IU remota)
2
Feu clic a [Settings/Registration] a la pàgina del portal. Pantalla de Remote UI (IU remota)
3
Feu clic a [Network Settings]  [IPSec Settings].
4
Seleccioneu [Use IPSec] i feu clic a [OK].
Per rebre només paquets que corresponen a la política de seguretat, seleccioneu [Reject] per a [Receive Non-Policy Packets].

Registre d'una política

1
Inicieu Remote UI (IU remota). Inici de Remote UI (IU remota)
2
Feu clic a [Settings/Registration] a la pàgina del portal. Pantalla de Remote UI (IU remota)
3
Feu clic a [Network Settings]  [IPSec Policy List].
4
Feu clic a [Register New IPSec Policy].
5
Establiu una política.
[Policy Name]
Introduïu un nom per identificar la política.
[Policy On/Off]
Seleccioneu [On] per activar la política desada.
[Only Allow 256-bit for AES Key Length]
Seleccioneu aquesta casella per limitar la longitud de la clau del mètode de xifratge AES a 256 bits i complir amb les normes d'autenticació CC.
6
Configureu els paràmetres de l'aplicació l'IPSec.
1
Feu clic a [Selector Settings].
2
Especifiqueu l'adreça IP a la qual s'ha d'aplicar la directiva IPSec.
Especifiqueu l'adreça IP d'aquest equip a [Local Address] i especifiqueu l'adreça IP de l'interlocutor de la comunicació a [Remote Address].

[All IP Addresses]
IPSec s'aplica a tots els paquets IP enviats i rebuts.
[IPv4 Address]
IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 d'aquest equip.
[IPv6 Address]
IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 d'aquest equip.
[All IPv4 Addresses]
IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 de l'interlocutor de la comunicació.
[All IPv6 Addresses]
IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 de l'interlocutor de la comunicació.
[IPv4 Manual Settings]
Especifiqueu l'adreça IPv4 a què s'aplicarà IPSec.
Seleccioneu [Single Address] per introduir una adreça IPv4 individual.
Seleccioneu [Range Address] per especificar un rang d'adreces IPv4. Introduïu una adreça IP diferent per a [First Address] i [Last Address].
Seleccioneu [Subnet Settings] per especificar un rang d'adreces IPv4 utilitzant una màscara de subxarxa. Introduïu valors diferents per a [First Address] i [Subnet Settings].
[IPv6 Manual Settings]
Especifiqueu l'adreça IPv6 a què s'aplicarà IPSec.
Seleccioneu [Single Address] per introduir una única adreça IPv6.
Seleccioneu [Range Address] per especificar un interval d'adreces IPv6. Introduïu una adreça IP diferent per a [First Address] i [Last Address].
Seleccioneu [Prefix Address] per especificar un rang d'adreces IPv6 utilitzant un prefix. Introduïu valors diferents per a [First Address] i [Prefix Length].
3
Especifiqueu el port al qual s'ha d'aplicar IPSec.
Seleccioneu [Specify by Port Number] per utilitzar números de port quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu [All Ports] per aplicar IPSec a tots els números de port. Per aplicar IPSec a un número de port específic, seleccioneu [Single Port] i introduïu el número de port. Especifiqueu el port d'aquest equip a [Local Port] i especifiqueu el port de l'interlocutor de la comunicació a [Remote Port].
Per especificar els ports als quals s'aplicarà IPSec segons el nom del servei, seleccioneu [Specify by Service Name] i els serveis que s'utilitzaran.
4
Feu clic a [OK].
7
Configureu les opcions d'autenticació i xifratge.
1
Feu clic a [IKE Settings].
2
Configureu les opcions necessàries.
[IKE Mode]
Seleccioneu el mode d'operació per al protocol d'intercanvi de claus. La seguretat augmenta si seleccioneu [Main] perquè la sessió IKE està xifrada, però la velocitat de la sessió és més lenta que amb [Aggressive], que no xifra la sessió sencera.
[Validity]
Establiu el període de caducitat del IKE SA generat.
[Authentication Method]
Seleccioneu un dels mètodes d'autenticació descrits a continuació.
[Pre-Shared Key Method]
Establiu la mateixa contrasenya (clau precompartida) que s'ha establert per a l'interlocutor de la comunicació. Seleccioneu [Shared Key Settings], introduïu la cadena de caràcters que cal utilitzar com a clau compartida i seleccioneu [OK].
[Digital Signature Method]
Establiu la clau i el certificat que cal utilitzar per a l'autenticació mútua amb l'interlocutor de la comunicació. Feu clic a [Key and Certificate] i a [Use] per a la clau que s'utilitzarà.
[Authentication/Encryption Algorithm]
Seleccioneu [Auto] o [Manual Settings] per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 1. Si seleccioneu [Auto], s'establirà automàticament un algorisme que pot ser utilitzat tant per aquest equip com per l'interlocutor de la comunicació. Si voleu especificar un algorisme específic, seleccioneu [Manual Settings] i configureu les opcions següents.
[Authentication]
Seleccioneu l'algorisme hash.
[Encryption]
Seleccioneu l'algorisme de xifratge.
[DH Group]
Seleccioneu el grup per al mètode d'intercanvi de clau Diffie-Hellman per establir la seguretat de la clau.
3
Feu clic a [OK].
Si s'estableix [IKE Mode] en [Main] a la pantalla [IKE] i s'estableix [Authentication Method] en [Pre-Shared Key Method], s'apliquen les restriccions següents quan es desen diverses polítiques de seguretat.
Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, totes les claus compartides per a la directiva de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP).
Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, la prioritat de la directiva de seguretat està per sota de les directives de seguretat per a les qual s'hagi especificat una única direcció.
8
Configureu les opcions de comunicació d'IPSec.
1
Feu clic a [IPSec Network Settings].
2
Configureu les opcions necessàries.
[Validity]
Establiu el període de caducitat del IPSec SA generat. Assegureu-vos d'establir [Time] o [Size]. Si establiu tots dos, s'aplicarà l'opció amb el valor que s'aconsegueixi primer.
[PFS]
Si seleccioneu [Use PFS], la confidencialitat de la clau de xifratge augmenta, però es reduirà la velocitat de comunicació. A més a més, la funció Perfect Forward Secrecy (PFS) s'ha d'activar al dispositiu interlocutor de la comunicació.
[Authentication/Encryption Algorithm]
Seleccioneu [Auto] o [Manual Settings] per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 2. Si seleccioneu [Auto], l'algorisme d'autenticació i xifratge s'estableix automàticament. Si voleu especificar un mètode d'autenticació específic, seleccioneu [Manual Settings] i seleccioneu un dels mètodes d'autenticació següents.
[ESP]
Es porta a terme tant l'autenticació com el xifratge. Seleccioneu l'algorisme per a [ESP Authentication] i [ESP Encryption]. Si no voleu utilitzar l'algorisme d'autenticació o de xifratge, seleccioneu [NULL].
[ESP (AES-GCM)]
AES-GCM s'utilitza com a algorisme d'ESP, i es porta a terme tant l'autenticació com el xifratge.
[AH (SHA1)]
Es porta a terme l'autenticació, però les dades no es xifren. S'utilitza SHA1 com a algorisme.
3
Feu clic a [OK].
9
Feu clic a [OK].
10
Activeu les directives desades i comproveu l'ordre de prioritat.
Les directives s'apliquen en l'ordre en què apareixen a la llista, començant des de la part superior. Si voleu canviar l'ordre de prioritat, seleccioneu una directiva de la llista i feu clic a [Raise Priority] o [Lower Priority].
Gestió de directives IPSec
Podeu editar directives a la pantalla que es mostra al pas 4.
Per editar els detalls d'una política, feu clic al nom de la política a la llista.
Per desactivar una política, feu clic al nom de la política a la llista seleccioneu [Off] per a [Policy On/Off] feu clic a [OK].
Per eliminar una política, seleccioneu-la a la llista feu clic a [Delete] [OK].
Ús del tauler de control
També podeu activar o desactivar la comunicació IPSec a <Estb> a la pantalla <Inici>. <Opcions d'IPSec>
Importació per lots/Exportació per lots
Aquesta configuració es pot importar/exportar amb models que admeten la importació per lots d'aquesta configuració. Importació/exportació de les dades d'opcions
Aquesta opció s'inclou a [Settings/Registration Basic Information] quan s'exporten lots. Importació/exportació de totes les opcions
A14H-05Y