IPSec ezarpenak konfiguratzea

IPSec erabiliz, hirugarrenek IP saretik garraiatzen diren IP paketeak atzematea edo manipulatzea saihets dezakezu. IPSec-ek segurtasun funtzioak gehitzen dizkionez IP-ari, Interneterako oinarrizko suite protokolo bat, aplikazioetatik edo sarearen konfiguraziotik independentea den segurtasuna eskaintzen du. Makina honekin IPSec komunikazioa gauzatzeko, ezarpenak konfiguratu behar dituzu, adibidez aplikazioaren parametroak eta autentifikaziorako eta zifratzerako algoritmoa. Administratzailearen baimenak izan behar dira ezarpen horiek konfiguratzeko.

IPSec gaitzea

Politika erregistratzea


Komunikazio modua Makina honek soilik garraio modua onartzen du IPSec komunikaziorako. Ondorioz, autentifikazioa eta zifratzea soilik IP paketeetako datuetan aplikatuko da. Gakoak trukatzeko protokoloa Makina honek Internet Key Exchange protokoloaren 1. bertsioa (IKEv1) onartzen du gakoak trukatzeko, ISAKMP protokoloan (Internet Security Association and Key Management Protocol) oinarrituta. Autentifikazio-metodorako, ezarri aurretik partekatutako gakoa edo sinadura digitala. Aurretik partekatutako gakoa ezartzean, aurretik pasaesaldi bat (aurretik partekatutako gakoa) erabaki behar duzu, makinaren eta IPSec komunikazio-kidearen artean erabiltzen dena. Sinadura digitala ezartzean, CA ziurtagiri bat eta PKCS#12 formatuko gako eta ziurtagiri bat erabili makinaren eta IPSec komunikazio-kideak elkarrekiko autentifikazioa burutzeko. CA ziurtagiri edo gako/ziurtagiri berriak gordetzearen inguruko informazio gehiagorako, ikus Sareko komunikaziorako gako eta ziurtagiri bat gordetzea. Kontuan izan SNTP konfiguratu behar dela makinan metodo hau erabiltzeko. SNTP ezarpenak konfiguratzea

Komunikazio modua

Makina honek soilik garraio modua onartzen du IPSec komunikaziorako. Ondorioz, autentifikazioa eta zifratzea soilik IP paketeetako datuetan aplikatuko da.

Gakoak trukatzeko protokoloa

Makina honek Internet Key Exchange protokoloaren 1. bertsioa (IKEv1) onartzen du gakoak trukatzeko, ISAKMP protokoloan (Internet Security Association and Key Management Protocol) oinarrituta. Autentifikazio-metodorako, ezarri aurretik partekatutako gakoa edo sinadura digitala.

Aurretik partekatutako gakoa ezartzean, aurretik pasaesaldi bat (aurretik partekatutako gakoa) erabaki behar duzu, makinaren eta IPSec komunikazio-kidearen artean erabiltzen dena.

Sinadura digitala ezartzean, CA ziurtagiri bat eta PKCS#12 formatuko gako eta ziurtagiri bat erabili makinaren eta IPSec komunikazio-kideak elkarrekiko autentifikazioa burutzeko. CA ziurtagiri edo gako/ziurtagiri berriak gordetzearen inguruko informazio gehiagorako, ikus Sareko komunikaziorako gako eta ziurtagiri bat gordetzea. Kontuan izan SNTP konfiguratu behar dela makinan metodo hau erabiltzeko. SNTP ezarpenak konfiguratzea


IPSec komunikaziorako [Format Encryption Method to FIPS 140-2] aukeraren ezarpena edozein dela ere, dagoeneko FIPS140-2 daukan modulu zifratu bat erabiliko da. IPSec komunikazioak FIPS 140-2 bete dezan, IPSec komunikaziorako DH eta RSA metodoen gakoaren luzera 2048-bit edo luzeagokoa izan behar da makinaren sare ingurunean. DH metodoaren gakoaren luzera makinatik ezar daiteke. Kontuan izan zure ingurunea konfiguratzean makinan ez dagoela RSA metodorako ezarpenik. Gehienez 10 segurtasun-politika gorde ditzakezu.

IPSec komunikaziorako [Format Encryption Method to FIPS 140-2] aukeraren ezarpena edozein dela ere, dagoeneko FIPS140-2 daukan modulu zifratu bat erabiliko da.

IPSec komunikazioak FIPS 140-2 bete dezan, IPSec komunikaziorako DH eta RSA metodoen gakoaren luzera 2048-bit edo luzeagokoa izan behar da makinaren sare ingurunean.

DH metodoaren gakoaren luzera makinatik ezar daiteke.

Kontuan izan zure ingurunea konfiguratzean makinan ez dagoela RSA metodorako ezarpenik.

Gehienez 10 segurtasun-politika gorde ditzakezu.

IPSec gaitzea

Abiarazi Urruneko EIa. Urruneko EIa abiaraztea

Sakatu [Settings/Registration] atari-orrian. Remote UI (Urruneko EIaren) pantaila

Sakatu [Network Settings]

[IPSec Settings].

Hautatu [Use IPSec] eta sakatu [OK].

Segurtasun-politikari dagozkion paketeak soilik jasotzeko, hautatu [Reject] [Receive Non-Policy Packets] aukeran.

Politika erregistratzea

Abiarazi Urruneko EIa. Urruneko EIa abiaraztea

Sakatu [Settings/Registration] atari-orrian. Remote UI (Urruneko EIaren) pantaila

Sakatu [Network Settings]

[IPSec Policy List].

Sakatu [Register New IPSec Policy].

Ezarri politika bat.

[Policy Name]

Idatzi izen bat politika identifikatzeko.

[Policy On/Off]

Hautatu [On] erregistratutako politika gaitzeko.

[Only Allow 256-bit for AES Key Length]

Hautatu kontrol-lauki hau AES zifratze-metodoaren gako-luzera 256 bit-era murrizteko eta CC autentifikazio-estandarrak betetzeko.

Konfiguratu IPSec aplikazioaren parametroak.

Sakatu [Selector Settings].

Adierazi IPSec politika aplikatzeko IP helbidea.

Adierazi makina honen IP helbidea [Local Address] aukeran eta adierazi komunikazio-kidearen IP helbidea [Remote Address] aukeran.

[All IP Addresses]	IPSec bidali eta jasotzen diren IP pakete guztietan aplikatuko da.
[IPv4 Address]	IPSec makina honetako IPv4 helbidetik bidali eta jasotzen diren IP paketeetan aplikatuko da.
[IPv6 Address]	IPSec makina honetako IPv6 helbidetik bidali eta jasotzen diren IP paketeetan aplikatuko da.
[All IPv4 Addresses]	IPSec komunikazio-kidearen IPv4 helbidetik bidali eta jasotzen diren IP paketeetan aplikatuko da.
[All IPv6 Addresses]	IPSec komunikazio-kidearen IPv6 helbidetik bidali eta jasotzen diren IP paketeetan aplikatuko da.
[IPv4 Manual Settings]	Adierazi IPSec aplikatzeko IPv4 helbidea. Hautatu [Single Address] IPv4 helbide bakarra sartzeko. Hautatu [Range Address] hainbat IPv4 helbide adierazteko. Sartu helbide ezberdinak [First Address] eta [Last Address] aukeretan. Hautatu [Subnet Settings] azpisare-maskara erabiltzen duten hainbat IPv4 helbide adierazteko. Sartu balio ezberdinak [First Address] eta [Subnet Settings] aukeretan.
[IPv6 Manual Settings]	Adierazi IPSec aplikatzeko IPv6 helbidea. Hautatu [Single Address] IPv6 helbide bakarra sartzeko. Hautatu [Range Address] hainbat IPv6 helbide adierazteko. Sartu helbide ezberdinak [First Address] eta [Last Address] aukeretan. Hautatu [Prefix Address] aurrezenbaki bat erabiltzen duten hainbat IPv6 helbide adierazteko. Sartu balio ezberdinak [First Address] eta [Prefix Length] aukeretan.

Adierazi IPSec aplikatzeko ataka.

Hautatu [Specify by Port Number] ataka-zenbakiak erabiltzeko IPSec aplikatzeko atakak adieraztean. Hautatu [All Ports] IPSec ataka-zenbaki guztietan aplikatzeko. IPSec ataka-zenbaki zehatz batean aplikatzeko, hautatu [Single Port] eta sartu ataka-zenbakia. Adierazi makina honen ataka [Local Port] aukeran eta adierazi komunikazio-kidearen ataka [Remote Port] aukeran.

IPSec aplikatzeko atakak zerbitzu-izenen arabera zehazteko, hautatu [Specify by Service Name] eta hautatu erabili nahi dituzun zerbitzuak.

Sakatu [OK].

Konfiguratu autentifikazio eta zifratze ezarpenak.

Sakatu [IKE Settings].

Konfiguratu beharrezko ezarpenak.

[IKE Mode]

Hautatu operazio modua gako-trukeen protokolorako. Segurtasuna hobetuko da [Main] hautatzen baduzu IKE saioa zifratuta dagoelako, baina abiadura [Aggressive]-rekin baino motelagoa izango da, azken horrek ez baitu saio osoa zifratzen.

[Validity]

Ezarri sortutako IKE SAren iraungitze-epea.

[Authentication Method]

Hautatu honako autentifikazio-metodoetako bat.

[Pre-Shared Key Method]	Ezarri komunikazio-kidearentzako ezarrita dagoen pasaesaldi berbera (aurretik partekatutako gakoa). Hautatu [Shared Key Settings], sartu gako partekatu gisa erabiliko den karaktere-katea eta hautatu [OK].
[Digital Signature Method]	Ezarri komunikazio-kidearekin elkarrenganako autentifikazioa egiteko erabiliko diren gakoa eta ziurtagiria. Sakatu [Key and Certificate] eta sakatu [Use] dagokion gakoa erabiltzeko.

[Authentication/Encryption Algorithm]

Hautatu [Auto] edo [Manual Settings] IKEren 1. faserako erabiliko den autentifikazio- eta zifratze-algoritmoa nola adierazi ezartzeko. [Auto] hautatuz gero, makina honek zein komunikazio-kideak erabil dezaketen algoritmo bat automatikoki ezarriko da. Algoritmo zehatz bat ezarri nahi baduzu, hautatu [Manual Settings] eta konfiguratu honako ezarpen hauek.

[Authentication]	Hautatu hash algoritmoa.
[Encryption]	Hautatu zifratze-algoritmoa.
[DH Group]	Hautatu gakoen trukaketa metodoaren taldea gakoaren indarra ezartzeko.

Sakatu [OK].


[IKE Mode] [Main] aukeran ezarrita dagoenean [IKE] pantailan eta [Authentication Method] [Pre-Shared Key Method] aukeran ezarrita dagoenean, honako murrizketa hauek aplikatzen dira hainbat segurtasun-politika erregistratzean. Aurretik partekatutako gako-metodoaren gakoa: segurtasun-politika aplikatzeko hainbat urruneko IP helbide adieraztean, segurtasun-politika horretarako gako partekatuak berdinak dira (hori ez da gertatzen helbide bakarra adierazten denean). Lehentasuna: segurtasun-politika aplikatzeko hainbat urruneko IP helbide adieraztean, segurtasun-politika horren lehentasuna helbide bakarreko segurtasun-politikena baino txikiagoa izango da.

[IKE Mode] [Main] aukeran ezarrita dagoenean [IKE] pantailan eta [Authentication Method] [Pre-Shared Key Method] aukeran ezarrita dagoenean, honako murrizketa hauek aplikatzen dira hainbat segurtasun-politika erregistratzean.

Aurretik partekatutako gako-metodoaren gakoa: segurtasun-politika aplikatzeko hainbat urruneko IP helbide adieraztean, segurtasun-politika horretarako gako partekatuak berdinak dira (hori ez da gertatzen helbide bakarra adierazten denean).

Lehentasuna: segurtasun-politika aplikatzeko hainbat urruneko IP helbide adieraztean, segurtasun-politika horren lehentasuna helbide bakarreko segurtasun-politikena baino txikiagoa izango da.

Konfiguratu IPSec komunikazioaren ezarpenak.

Sakatu [IPSec Network Settings].

Konfiguratu beharrezko ezarpenak.

[Validity]

Ezarri sortutako IPSec SAren iraungitze-epea. Ziurtatu [Time] edo [Size] ezartzen dituzula. Biak ezarriz gero, lehen lortutako balioa duen ezarpena aplikatuko da.

[PFS]

[Use PFS] hautatuz gero, zifratze-kodearen konfidentzialtasuna hobetzen da, baina komunikazioen abiadura murrizten da. Gainera, Perfect Forward Secrecy (PFS) funtzioa komunikazio-kidearen gailuan gaituta egon behar da.

[Authentication/Encryption Algorithm]

Hautatu [Auto] edo [Manual Settings] IKE-ren 2. faserako erabiliko den autentifikazio- eta zifratze-algoritmoa nola adierazi ezartzeko. [Auto] hautatuz gero, ESP autentifikazio- eta zifratze-algoritmoa automatikoki ezarriko da. Autentifikazio-metodo zehatz bat adierazi nahi baduzu, hautatu [Manual Settings] eta hautatu autentifikazio-metodoetako bat.

[ESP]	Autentifikazioa eta zifratzea burutuko dira. Hautatu algoritmoa [ESP Authentication] eta [ESP Encryption] aukeretarako. Hautatu [NULL] ez baduzu autentifikazio- edo zifratze-algoritmoa ezarri nahi.
[ESP (AES-GCM)]	AES-GCM erabiliko da ESP algoritmo gisa, eta autentifikazioa eta zifratzea burutuko dira.
[AH (SHA1)]	Autentifikazioa egingo da, baina datuak ez dira zifratuko. SHA1 erabiliko da algoritmo gisa.

Sakatu [OK].

Gaitu gordetako politikak eta ziurtatu lehentasunaren hurrenkera.

Politikak zerrendan azaltzen diren hurrenkeran aplikatuko dira, goitik hasita. Lehentasunaren ordena aldatzeko, hautatu politika bat zerrendatik eta sakatu [Raise Priority] edo [Lower Priority].


IPSec politikak kudeatzea 4. urratseko orrian edita ditzakezu politikak. Politika baten xehetasunak editatzeko, sakatu politikaren izena zerrendan. Politika bat desgaitzeko, sakatu politikaren izena zerrendan hautatu [Off] [Policy On/Off] aukeran sakatu [OK]. Politika bat ezabatzeko, hautatu politika zerrendan sakatu [Delete] [OK]. Kontrol-panela erabiltzea Era berean, IPSec komunikazioa gaitu edo desgaitzeko aukera duzu <Ezarri> atalean, <Etxea> pantailan. <IPSec ezarpenak> Sortakako inportatzea/sortakako esportatzea Ezarpen hau inporta/esporta daiteke ezarpen hau loteka inportatzea onartzen duten modeloekin. Ezarpen-datuak inportatzea/esportatzea Ezarpen hau hemen [Settings/Registration Basic Information] barne hartzen da lotea esportatzerakoan. Ezarpen guztiak inportatzea/esportatzea

IPSec politikak kudeatzea

4. urratseko orrian edita ditzakezu politikak.

Politika baten xehetasunak editatzeko, sakatu politikaren izena zerrendan.

Politika bat desgaitzeko, sakatu politikaren izena zerrendan

hautatu [Off] [Policy On/Off] aukeran

sakatu [OK].

Politika bat ezabatzeko, hautatu politika zerrendan

sakatu [Delete]

[OK].

Kontrol-panela erabiltzea

Era berean, IPSec komunikazioa gaitu edo desgaitzeko aukera duzu <Ezarri> atalean, <Etxea> pantailan. <IPSec ezarpenak>

Sortakako inportatzea/sortakako esportatzea

Ezarpen hau inporta/esporta daiteke ezarpen hau loteka inportatzea onartzen duten modeloekin. Ezarpen-datuak inportatzea/esportatzea

Ezarpen hau hemen [Settings/Registration Basic Information] barne hartzen da lotea esportatzerakoan. Ezarpen guztiak inportatzea/esportatzea