Ús d'IPSec
Utilitzeu el protocol de seguretat IP (IPSec) per evitar l'escolta i la manipulació dels paquets IP enviats i rebuts a través d'una xarxa IP. Això fa el xifratge a nivell del protocol IP per garantir la seguretat sense dependre d'una aplicació o de la configuració de la xarxa.
Condicions aplicables i modes admesos d'IPSec
Paquets en què no s'aplica IPSec
Paquets que especifiquen una adreça de bucle invertit, multidifusió o difusió
Paquets IKE enviats des del port UDP 500
Paquets ICMPv6 Neighbor Solicitation i Neighbor Advertisement
Mode de funcionament del protocol d'intercanvi de claus (mode IKE)
El mode IKE que admet l'equip és només el mode principal que s'utilitza per xifrar els paquets. El mode agressiu sense xifratge no és compatible.
Mode de comunicació
El mode de comunicació que admet l'equip és només el mode de transport, que xifra només la part que exclou la capçalera IP. El mode túnel, que xifra tot el paquet IP, no és compatible.
Ús d'IPSec juntament amb el filtratge d'adreces IP
La configuració del filtre d'adreces IP s'aplica primer. Configuració del tallafocs
Configuració de la política IPSec
Per realitzar la comunicació IPSec a l'equip, heu de crear una política IPSec que inclogui el rang i els algoritmes aplicables per a l'autenticació i el xifratge. La política es compon principalment dels elements següents.
Selector
Especifiqueu a quins paquets IP aplicar la comunicació IPSec. A més d'especificar l'adreça IP de l'equip i dels dispositius de comunicació, també podeu especificar els números de port.
IKE
El protocol d'intercanvi de claus és compatible amb la versió 1 d'Internet Key Exchange (IKEv1). Per al mètode d'autenticació, seleccioneu el mètode de clau compartida prèviament o el mètode de signatura digital.
Mètode de clau prèviament compartida:
Aquest mètode d'autenticació utilitza una paraula clau comuna, anomenada clau compartida, per a la comunicació entre l'equip i altres dispositius.
Aquest mètode d'autenticació utilitza una paraula clau comuna, anomenada clau compartida, per a la comunicació entre l'equip i altres dispositius.
Mètode de signatura digital
L'equip i els altres dispositius s'autentiquen entre si mitjançant la verificació mútua de les seves signatures digitals.
L'equip i els altres dispositius s'autentiquen entre si mitjançant la verificació mútua de les seves signatures digitals.
ESP/AH
Especifiqueu els paràmetres d'ESP/AH, que és el protocol utilitzat per a la comunicació IPSec. AH i ESP es poden utilitzar al mateix temps. Utilitzeu el Perfect Forward Secrecy (PFS) per encara més seguretat.
Configuració d'IPSec
Habiliteu l'ús d'IPSec i, a continuació, creeu i deseu la política IPSec. Si heu creat diverses polítiques, especifiqueu l'ordre en què s'apliquen.
Aquesta secció descriu com es configuren els paràmetres mitjançant la Remote UI (IU remota) des d'un ordinador.
Al tauler de control, seleccioneu [Menú] a la pantalla [Inici] i seleccioneu [Preferències] per configurar els paràmetres. Tanmateix, el tauler de control només es pot utilitzar per activar o desactivar IPSec. [Usar IPSec]
Fan falta privilegis d'administrador. L'equip s'ha de reiniciar per aplicar la configuració.
Al tauler de control, seleccioneu [Menú] a la pantalla [Inici] i seleccioneu [Preferències] per configurar els paràmetres. Tanmateix, el tauler de control només es pot utilitzar per activar o desactivar IPSec. [Usar IPSec]
Fan falta privilegis d'administrador. L'equip s'ha de reiniciar per aplicar la configuració.
|
Preparatius necessaris
|
|
Connecteu l'equip directament a un ordinador a la mateixa xarxa privada virtual (VPN) que l'equip. Confirmeu les condicions de funcionament i finalitzeu els paràmetres a l'ordinador per endavant. IPSec
Prepareu el següent segons el mètode d'autenticació IKE:
Si utilitzeu el mètode de la clau compartida prèviament, habiliteu TLS per a la comunicació de la IU remota. Ús de TLS
Si utilitzeu el mètode de signatura digital, prepareu la clau i el certificat a utilitzar. Gestió i verificació d'una clau i un certificat
Quan utilitzeu PFS, comproveu que el PFS està activat al dispositiu de comunicació.
|
1
Inicieu la sessió a la IU remota en Mode d'administrador del sistema. Inici de Remote UI (IU remota)
2
A la pàgina del Portal de la IU remota, feu clic a [Settings/Registration]. Pàgina del Portal de la IU remota
3
Feu clic a [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].La pantalla [Edit IPSec Settings] es mostra a la pantalla.
4
Seleccioneu la casella [Use IPSec] i feu clic a [OK].
Per rebre només els paquets que compleixen la política, desmarqueu la casella [Receive Non-Policy Packets].
5
Feu clic a [Register New Policy].
La pantalla [Register New IPSec Policy] es mostra a la pantalla.
6
A [Policy Settings], introduïu el nom de la política i marqueu la casella [Enable Policy].
Per al nom de la política, introduïu un nom per identificar la política amb caràcters alfanumèrics de bit únic.
7
A [Selector Settings], establiu el selector.
[Local Address Settings]
Seleccioneu el tipus d'adreça IP de l'equip a què s'aplica la política.
Per aplicar IPSec a tots els paquets d'IP, seleccioneu [All IP Addresses].
Per aplicar IPSec als paquets d'IP enviats i rebuts mitjançant una adreça IPv4 o IPv6, seleccioneu [IPv4 Address] o [IPv6 Address].
[Remote Address Settings]
Seleccioneu el tipus d'adreça IP del dispositiu de comunicació a què s'aplica la política.
Per aplicar IPSec a tots els paquets d'IP, seleccioneu [All IP Addresses].
Per aplicar IPSec als paquets d'IP enviats i rebuts mitjançant una adreça IPv4 o IPv6, seleccioneu [All IPv4 Addresses] o [All IPv6 Addresses].
Per especificar una adreça IPv4 o IPv6 a la qual s'aplica IPSec, seleccioneu [IPv4 Manual Settings] o [IPv6 Manual Settings].
[Addresses to Set Manually]
Si seleccioneu [IPv4 Manual Settings] o [IPv6 Manual Settings], introduïu l'adreça IP. També podeu especificar un rang d'adreces IP utilitzant un guió (-).
Exemple d'introducció:
Una adreça IPv4
192.168.0.10
192.168.0.10
Una adreça IPv6
fe80::10
fe80::10
Especificació de rang
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
Quan seleccioneu [IPv4 Manual Settings], podeu utilitzar una màscara de subxarxa per especificar el rang d'adreces IPv4.
Exemple d'introducció:
255.255.255.240
255.255.255.240
[Prefix Length]
Quan seleccioneu [IPv6 Manual Settings], podeu utilitzar una longitud de prefix per especificar el rang d'adreces IPv6. Introduïu la longitud del prefix amb un rang de 0 a 128.
[Port Settings]
Definiu el port al qual s'aplica IPSec a [Local Port] a l'equip i [Remote Port] al dispositiu de comunicació.
Per aplicar IPSec a tots els números de port, seleccioneu [All Ports].
Per aplicar IPSec a un protocol específic, com ara HTTP o WSD, seleccioneu [Single Port] i introduïu el número de port del protocol.
8
A [IKE Settings], establiu l'IKE.
[IKE Mode]
L'ordinador només admet el mode principal.
[Authentication Method]
Seleccioneu un mètode d'autenticació de l'equip.
Si seleccioneu [Pre-Shared Key Method], feu clic a [Shared Key Settings] introduïu la cadena que s'utilitzarà com a clau compartida utilitzant caràcters alfanumèrics d'un sol byte feu clic a [OK].
introduïu la cadena que s'utilitzarà com a clau compartida utilitzant caràcters alfanumèrics d'un sol byte feu clic a [OK].Si seleccioneu [Digital Signature Method], feu clic a [Key and Certificate] [Register Default Key] a la dreta de la clau i el certificat que voleu utilitzar.
[Register Default Key] a la dreta de la clau i el certificat que voleu utilitzar.
[Validity]
Introduïu el període de validesa d'IKE SA (ISAKMP SA) a utilitzar com a ruta de comunicació de control en minuts.
[Authentication/Encryption Algorithm]
Seleccioneu l'algoritme a utilitzar per a l'intercanvi de claus.
9
A [IPSec Network Settings], configureu els paràmetres de la xarxa IPSec.
[Use PFS]
Marqueu aquesta casella per configurar el PFS per a la clau de sessió.
[Validity]
Especifiqueu el període vàlid d'IPSec SA que s'utilitzarà com a ruta de comunicació de dades per temps, mida o ambdós.
Si la casella [Specify by Time] està marcada, introduïu el període vàlid en minuts.
Si la casella [Specify by Size] està marcada, introduïu el període vàlid en megabytes.
Quan se seleccionen tots dos, s'aplica l'element el valor especificat del qual s'assoleix primer.
[Authentication/Encryption Algorithm]
Marqueu aquesta casella en funció de la capçalera IPSec (ESP i AH) a utilitzar i el seu algoritme.
[ESP Authentication]
Si seleccioneu [ESP], seleccioneu l'algoritme d'autenticació. Per realitzar l'autenticació ESP, seleccioneu [SHA1]. En cas contrari, seleccioneu [Do Not Use].
[ESP Encryption]
Si seleccioneu [ESP], seleccioneu l'algoritme de xifratge. Si no voleu especificar l'algoritme, seleccioneu [NULL]. Per desactivar el xifratge, seleccioneu [Do Not Use].
[Connection Mode]
L'ordinador només admet el mode de transport.
10
Feu clic a [OK].
La política acabada de desar s'afegeix a [Registered IPSec Policies] a la pantalla [IPSec Settings].
Quan es desen diverses polítiques
Feu clic a [Up] o [Down] a la dreta del nom de la política per establir la prioritat. Les polítiques de nivell superior tenen prioritat a l'aplicació de la comunicació IPSec.
11
Reinicieu l'equip. Reiniciar de l'equip
Els paràmetres s'hauran aplicat.
|
Edició de les polítiques desadesPer editar la informació desada, feu clic al nom de la política que voleu editar a [Registered IPSec Policies] de la pantalla [IPSec Settings].
|