IPSec erabiltzea
Erabili IParen segurtasun-protokoloa (IPSec) IP sare baten bidez bidalitako eta jasotako IP paketeak ezkutuan ikusteko eta manipulatzeko saihestearren. Protokolo honek enkriptazio bat egiten du IParen protokolo-mailan, segurtasuna areagotzeko, baina aplikazio edo sare baten konfigurazioaren beharra izan gabe.
IPSec-erako baldintza aplikagarriak eta onartutako moduak
Paketeak, zeinetan IPSec-ek ez baitu funtzionatzen
Loopback, igorpen anitzeko edo igortzeko helbide bat zehazten duten paketeak
UDParen 500. atakatik bidalitako IKE paketeak
ICMPv6-ko “Neighbor Solicitation” eta “Neighbor Advertisement” paketeak
Gakoak trukatzeko protokoloaren funtzionamendu modua (IKE modua)
Makinak onartzen duen IKE modua paketeak enkriptatzeko erabiltzen den modu nagusia bakarrik da. Enkriptatzen ez duen modu oldarkorra ez da onartzen.
Komunikazio modua
Makinak onartzen duen komunikazio modua garraio modua baino ez da, zeinak IParen goiburua kanpo uzten duen zatia bakarrik enkriptatzen baitu. Ez da onartzen tunel modua, zeina IParen pakete osoa enkriptatzen baitu.
IPSec IP helbideen iragazkiarekin erabiltzea
IP helbideen iragazkien ezarpenak aplikatzen direna lehendabizi. Suebakia ezartzea
IPSec-en gidalerroen konfigurazioa
Makinak IPSec bidezko komunikazioa erabiltzeko, autentifikaziorako eta enkriptaziorako barruti eta algoritmo aplikagarriak barne hartzen dituen IPSec-en gidalerro bat sortu behar duzu. Gidalerroak elementu hauek ditu nagusiki.
Hautagailua (Selector)
Zehaztu zein IP pakete aplikatu nahi dizkiozun IPSec bidezko komunikazioari. Makinaren eta komunikazio-gailuen IP helbideak zehazteaz gain, haien ataka-zenbakiak ere zehatz ditzakezu.
IKE
Gakoak trukatzeko protokoloak Internet Key Exchange-ren 1. bertsioa (IKEv1) onartzen du. Autentifikazio-metodorako, hautatu aurrez partekatutako gakoaren metodoa edo sinadura digitalaren metodoa.
Aurrez partekatutako gakoaren metodoa:
Autentifikazio-metodo honek gako-hitz komun bat erabiltzen du, “gako partekatu” deritzona, makinaren eta beste gailu batzuen arteko komunikaziorako.
Autentifikazio-metodo honek gako-hitz komun bat erabiltzen du, “gako partekatu” deritzona, makinaren eta beste gailu batzuen arteko komunikaziorako.
Sinadura digitalaren metodoa
Makina eta beste gailuak elkarren artean autentifikatzen dira bestearen sinadura digitalak egiaztatuz.
Makina eta beste gailuak elkarren artean autentifikatzen dira bestearen sinadura digitalak egiaztatuz.
ESP/AH
Zehaztu ESP/AHren ezarpenak (IPSec komunikaziorako erabiltzen den protokoloa). AH eta ESP aldi berean erabil daitezke. Erabil aurrerako sekretu perfektua (PFS) are segurtasun gehiago izateko.
IPSec ezartzea
Gaitu IPSec-en erabilera eta, ondoren, sortu eta erregistratu IPSec-erako gidalerroa. Hainbat gidalerro sortu badira, zehaztu zer hurrenkeratan aplikatuko diren.
Atal honetan azaltzen da nola konfiguratu ezarpenak ordenagailu batetik Remote UI (Urruneko EIa) erabiliz.
Kontrol-panelean, hautatu [Menua] [Etxea] pantailan eta gero hautatu [Hobespenak] ezarpenak konfiguratzeko. Hala ere, kontrol-panela IPSec gaitzeko edo desgaitzeko soilik erabil daiteke. [Erabili IPSec]
Beharrezkoak dira administratzaile-pribilegioak. Makina berrabiarazi beharko duzu ezarpenak aplikatzeko.
Kontrol-panelean, hautatu [Menua] [Etxea] pantailan eta gero hautatu [Hobespenak] ezarpenak konfiguratzeko. Hala ere, kontrol-panela IPSec gaitzeko edo desgaitzeko soilik erabil daiteke. [Erabili IPSec]
Beharrezkoak dira administratzaile-pribilegioak. Makina berrabiarazi beharko duzu ezarpenak aplikatzeko.
|
Beharrezko prestaketak
|
|
Konektatu makina haren sare birtual pribatu (VPN) berera konektatuta dagoen ordenagailu batera zuzenean. Berretsi eragiketaren baldintzak eta amaitu ordenagailuko ezarpenak konfiguratzen aurrerapenarekin. IPSec
Prestatu hauek IKE autentifikazio-metodoaren arabera:
Aurrez partekatutako gakoaren metodoa erabiltzean, gaitu TLS Urruneko erabiltzaile-interfazearen komunikaziorako. TLS erabiltzea
Sinadura digitalaren metodoa erabiltzean, prestatu erabiliko dituzun gakoa eta ziurtagiria. Gako bat eta ziurtagiri bat kudeatzea eta egiaztatzea
PFS erabiltzean, ordea, egiaztatu ea PFS komunikazio-gailuan gaituta dagoen.
|
1
Hasi saioa Urruneko EIan Sistema-kudeatzailearen moduan. Remote UI (Urruneko EIa) abiaraztea
2
Urruneko EIaren Atariko orrian, sakatu [Settings/Registration]. Urruneko erabiltzaile-interfazearen Atariko orria
3
Sakatu [Network Settings] 
[IPSec Settings] [Edit].
[IPSec Settings] [Edit].[Edit IPSec Settings] pantaila agertzen bada.
4
Hautatu [Use IPSec] kontrol-laukia eta sakatu [OK].
Gidalerroarekin bat datozen paketeak soilik jasotzeko, garbitu [Receive Non-Policy Packets] kontrol-laukia.
5
Sakatu [Register New Policy].
[Register New IPSec Policy] pantaila agertzen bada.
6
[Policy Settings] atalean, idatzi gidalerroaren izena eta hautatu [Enable Policy] kontrol-laukia.
Gidalerroaren izenerako, sartu gidalerroa identifikatzeko izen bat byte bakarreko karaktere alfanumerikoak erabiliz.
7
[Selector Settings] atalean, ezarri hautatzailea.
[Local Address Settings]
Hautatu makinaren zein IP helbideri aplikatuko zaion gidalerroa.
Hautatu [All IP Addresses] IPSec IP pakete guztietan aplikatzeko.
Hautatu [IPv4 Address] edo [IPv6 Address] IPv4 edo IPv6 helbide bat erabiliz bidali eta jaso diren IP pakete guztietan IPSec aplikatzeko.
[Remote Address Settings]
Hautatu komunikazio-gailuaren zein IP helbideri aplikatuko zaion gidalerroa.
Hautatu [All IP Addresses] IPSec IP pakete guztietan aplikatzeko.
Hautatu [All IPv4 Addresses] edo [All IPv6 Addresses] IPv4 edo IPv6 helbide bat erabiliz bidali eta jaso diren IP pakete guztietan IPSec aplikatzeko.
IPSec-a aplikatzeko IPv4 edo IPv6 helbide bat zehazteko, hautatu [IPv4 Manual Settings] edo [IPv6 Manual Settings].
[Addresses to Set Manually]
[IPv4 Manual Settings] edo [IPv6 Manual Settings] hautatuta dagoenean, idatzi IP helbidea. IP helbide-tarte bat adieraz dezakezu marratxo bat (-) erabilita.
Sarrera baten adibidea:
IPv4 helbide bat
192.168.0.10
192.168.0.10
IPv6 helbide bat
fe80::10
fe80::10
Tartearen zehaztapena
192.168.0.10-192.168.0.20
192.168.0.10-192.168.0.20
[Subnet Settings]
[IPv4 Manual Settings] hautatuta dagoenean, azpisareko maskara bat erabil dezakezu IPv4 helbideen tartea zehazteko.
Sarrera baten adibidea:
255.255.255.240
255.255.255.240
[Prefix Length]
[IPv6 Manual Settings] hautatuta dagoenean, aurrizki-luzera bat erabil dezakezu IPv6 helbideen tartea zehazteko. Idatzi aurrizki-luzera (0tik 128ra).
[Port Settings]
Ezarri zein atakari aplikatuko zaion IPSec makinako [Local Port] atalean eta komunikazio-gailuko [Remote Port] atalean.
Hautatu [All Ports] IPSec ataka-zenbaki guztiei aplikatzeko.
Hautatu [Single Port] eta idatzi protokoloaren ataka-zenbakia IPSec protokolo jakin bati aplikatzeko, hala nola HTTP edo WSD.
8
[IKE Settings] atalean, ezarri IKE.
[IKE Mode]
Makinak modu nagusia bakarrik onartzen du.
[Authentication Method]
Hautatu makinaren autentifikazio-metodoa.
[Pre-Shared Key Method] hautatuta dagoenean, sakatu [Shared Key Settings] . Idatzi giltza partekatu gisa erabiliko den katea byte bakarreko karaktere alfanumerikoak erabiliz. Sakatu [OK].
. Idatzi giltza partekatu gisa erabiliko den katea byte bakarreko karaktere alfanumerikoak erabiliz. Sakatu [OK].[Digital Signature Method] hautatuta dagoenean, sakatu [Key and Certificate] [Register Default Key] erabiliko den gakoaren eta ziurtagiriaren eskuinaldean.
[Register Default Key] erabiliko den gakoaren eta ziurtagiriaren eskuinaldean.
[Validity]
Idatzi kontrol-komunikazioaren bide-izen gisa erabiliko den IKE SA-ren tartea (ISAKMP SA).
[Authentication/Encryption Algorithm]
Hautatu gakoa trukatzeko erabiliko den algoritmoa.
9
[IPSec Network Settings] atalean, konfiguratu IPSec-en sareko ezarpenak.
[Use PFS]
Hautatu kontrol-lauki hau saioaren gakoaren PFSa konfiguratzeko.
[Validity]
Idatzi kontrol-komunikazioaren bide-izen gisa erabiliko den IPSec SA-ren baliozkotasun-aldia orduaren, tamainaren edo bien arabera.
[Specify by Time] kontrol-laukia hautatuta dagoenean, idatzi baliozkotasun-aldia minututan.
[Specify by Size] kontrol-laukia hautatuta dagoenean, idatzi baliozkotasun-aldia megabytetan.
Biak hautatuta daudenean, lehendabizi kalkulatzen den balioa aplikatuko da.
[Authentication/Encryption Algorithm]
Hautatu kontrol-lauki hau IPSsec-en goiburuaren arabera (ESP eta AH) eta hari dagokion algoritmoa.
[ESP Authentication]
[ESP] hautatuta dagoenean, hautatu komunikazio-algoritmoa. ESP bidezko autentifikazioa egiteko, hautatu [SHA1]. Bestela, hautatu [Do Not Use].
[ESP Encryption]
[ESP] hautatuta dagoenean, hautatu enkriptatze-algoritmoa. Algoritmoa zehaztu nahi ez baduzu, hautatu [NULL]. Enkriptatzea desgaitzeko, hautatu [Do Not Use].
[Connection Mode]
Makinak garraio modua bakarrik onartzen du.
10
Sakatu [OK].
Berriki erregistratutako gidalerroa [IPSec Settings] pantailako [Registered IPSec Policies] atalean gehituko da.
Hainbat gidalerro erregistratzen direnean
Lehentasuna ezartzeko, sakatu [Up] edo [Down] gidalerroaren izenaren eskuinaldean. Maila altuagoko gidalerroek lehentasuna dute IPSec komunikazioa aplikatzean.
11
Berrabiarazi makina. Makina berrabiaraztea
Ezarpenak aplikatu dira.
|
Erregistratutako gidalerroak editatzeaErregistratutako informazioa editatzeko, sakatu editatu nahi duzun gidalerroaren izena [IPSec Settings] pantailako [Registered IPSec Policies] atalean.
|