Configurazione delle impostazioni IPSec

Utilizzando IPSec, è possibile impedire a terze parti di intercettare o manomettere i pacchetti IP trasportati sulla rete IP. Poiché IPSec aggiunge delle funzioni di sicurezza a IP, una famiglia di protocolli base utilizzata per Internet, può fornire una sicurezza che non dipende dalle applicazioni o dalla configurazione di rete. Per eseguire la comunicazione IPSec con questa macchina, è necessario configurare impostazioni quali i parametri di applicazione e l’algoritmo per l’autenticazione e la crittografia. Per configurare queste impostazioni sono necessari i privilegi di amministratore.

Abilitazione di IPSec

Registrazione dei criteri


Modalità di comunicazione Questa macchina supporta solo la modalità di trasporto per la comunicazione IPSec. Di conseguenza, l'autenticazione e la crittografia sono applicate solamente alle porzioni di dati dei pacchetti IP. Protocollo di scambio chiavi Questa macchina supporta Internet Key Exchange versione 1 (IKEv1) per lo scambio di codici in base al protocollo ISAKMP (Internet Security Association and Key Management Protocol). Per il metodo di autenticazione, impostare il metodo codice precondiviso o il metodo firma digitale. Quando si imposta il metodo codice precondiviso, è necessario stabilire prima una passphrase (codice precondiviso), che sarà utilizzata tra la macchina e il peer di comunicazione IPSec. Quando si imposta il metodo firma digitale, utilizzare un certificato CA e un codice in formato PKCS#12 per eseguire la reciproca autenticazione tra la macchina e il peer di comunicazione IPSec. Per ulteriori informazioni sulla registrazione di nuovi certificati CA o nuovi codici/certificati, vedere Registrazione del codice e del certificato per la comunicazione di rete. Si noti che SNTP deve essere configurato per la macchina prima di utilizzare questo metodo. Impostazioni SNTP

Modalità di comunicazione

Questa macchina supporta solo la modalità di trasporto per la comunicazione IPSec. Di conseguenza, l'autenticazione e la crittografia sono applicate solamente alle porzioni di dati dei pacchetti IP.

Protocollo di scambio chiavi

Questa macchina supporta Internet Key Exchange versione 1 (IKEv1) per lo scambio di codici in base al protocollo ISAKMP (Internet Security Association and Key Management Protocol). Per il metodo di autenticazione, impostare il metodo codice precondiviso o il metodo firma digitale.

Quando si imposta il metodo codice precondiviso, è necessario stabilire prima una passphrase (codice precondiviso), che sarà utilizzata tra la macchina e il peer di comunicazione IPSec.

Quando si imposta il metodo firma digitale, utilizzare un certificato CA e un codice in formato PKCS#12 per eseguire la reciproca autenticazione tra la macchina e il peer di comunicazione IPSec. Per ulteriori informazioni sulla registrazione di nuovi certificati CA o nuovi codici/certificati, vedere Registrazione del codice e del certificato per la comunicazione di rete. Si noti che SNTP deve essere configurato per la macchina prima di utilizzare questo metodo. Impostazioni SNTP


Indipendentemente dall’impostazione di [Standardizzazione metodo di crittografia su FIPS 140-2] per la comunicazione IPSec, verrà utilizzato un modulo di crittografia che ha già ottenuto la certificazione FIPS140-2. Affinché la comunicazione IPSec sia conforme a FIPS 140-2, è necessario impostare la lunghezza della chiave di DH e RSA per la comunicazione IPSec su almeno 2048 bit nell'ambiente di rete al quale appartiene la macchina. Solo la lunghezza della chiave per DH può essere specificata dalla macchina. Annotarla durante la configurazione dell'ambiente, poiché sulla macchina non sono previste impostazioni per RSA. È possibile registrare fino a 10 criteri di protezione.

Indipendentemente dall’impostazione di [Standardizzazione metodo di crittografia su FIPS 140-2] per la comunicazione IPSec, verrà utilizzato un modulo di crittografia che ha già ottenuto la certificazione FIPS140-2.

Affinché la comunicazione IPSec sia conforme a FIPS 140-2, è necessario impostare la lunghezza della chiave di DH e RSA per la comunicazione IPSec su almeno 2048 bit nell'ambiente di rete al quale appartiene la macchina.

Solo la lunghezza della chiave per DH può essere specificata dalla macchina.

Annotarla durante la configurazione dell'ambiente, poiché sulla macchina non sono previste impostazioni per RSA.

È possibile registrare fino a 10 criteri di protezione.

Abilitazione di IPSec

Avviare la IU remota.Avvio della IU remota

Fare clic su [Impostazioni/Registrazione] nella pagina del portale. Schermata IU remota

Fare clic su [Impostazioni rete]

[Impostazioni IPSec].

Selezionare [Utilizzo IPSec] e fare clic su [OK].

Per ricevere solo pacchetti che corrispondono ai criteri di sicurezza, selezionare [Rifiutare] per [Ricezione pacchetti non associati a un criterio].

Registrazione dei criteri

Avviare la IU remota.Avvio della IU remota

Fare clic su [Impostazioni/Registrazione] nella pagina del portale. Schermata IU remota

Fare clic su [Impostazioni rete]

[Elenco criteri IPSec].

Fare clic su [Registrazione nuovo criterio IPSec].

Impostare i criteri.

[Nome criterio]

Immettere un nome per identificare i criteri.

[Attivazione/disattivazione criterio]

Selezionare [On] per abilitare i criteri registrati.

[Consentire solo 256 bit per lunghezza chiave AES]

Selezionare questa casella di controllo per limitare la lunghezza della chiave per il metodo di crittografia AES a 256 bit e soddisfare gli standard di autenticazione CC.

Configurare i parametri di applicazione IPSec.

Fare clic su [Impostazioni selettore].

Specificare l'indirizzo IP a cui applicare il criterio IPSec.

Specificare l’indirizzo IP di questa macchina in [Indirizzo locale] e specificare l’indirizzo IP del peer di comunicazione in [Indirizzo remoto].

[Tutti gli indirizzi IP]	IPSec viene applicato a tutti i pacchetti IP inviati e ricevuti.
[Indirizzo IPv4]	IPSec viene applicato ai pacchetti IP inviati e ricevuti dall'indirizzo IPv4 di questa macchina.
[Indirizzo IPv6]	IPSec viene applicato ai pacchetti IP inviati e ricevuti dall'indirizzo IPv6 di questa macchina.
[Tutti gli indirizzi IPv4]	IPSec viene applicato ai pacchetti IP inviati e ricevuti dall'indirizzo IPv4 del peer di comunicazione.
[Tutti gli indirizzi IPv6]	IPSec viene applicato ai pacchetti IP inviati e ricevuti dall'indirizzo IPv6 del peer di comunicazione.
[Impostazioni manuali IPv4]	Specificare l'indirizzo IPv4 a cui applicare l'IPSec. Selezionare [Indirizzo singolo] per immettere un indirizzo IPv4 singolo. Selezionare [Intervallo di indirizzi] per specificare un intervallo di indirizzi IPv4. Immettere un indirizzo separato per [Primo indirizzo] e [Ultimo indirizzo]. Selezionare [Impostazioni subnet] per specificare un intervallo di indirizzi IPv4 usando una subnet mask. Immettere valori separati per [Primo indirizzo] e [Impostazioni subnet].
[Impostazioni manuali IPv6]	Specificare l'indirizzo IPv6 a cui applicare l'IPSec. Selezionare [Indirizzo singolo] per immettere un indirizzo IPv6 singolo. Selezionare [Intervallo di indirizzi] per specificare un intervallo di indirizzi IPv6. Immettere un indirizzo separato per [Primo indirizzo] e [Ultimo indirizzo]. Selezionare [Indirizzo prefisso] per specificare un intervallo di indirizzi IPv6 usando un prefisso. Immettere valori separati per [Primo indirizzo] e [Lunghezza prefisso].

Specificare la porta a cui applicare l'IPSec.

Selezionare [Specifica per numero di porta] per utilizzare i numeri di porta quando si specificano le porte cui applicare IPSec. Selezionare [Tutte le porte] per applicare IPSec a tutti i numeri di porta. Per applicare IPSec a un numero di porta specifico, selezionare [Porta singola] e immettere il numero di porta. Specificare la porta di questa macchina in [Porta locale], quindi specificare la porta del peer di comunicazione in [Porta remota].

Per specificare le porte alle quali applicare IPSec in base al nome del servizio, selezionare [Specifica per nome servizio] e selezionare i servizi da utilizzare.

Fare clic su [OK].

Configurare le impostazioni di autenticazione e crittografia.

Fare clic su [Impostazioni IKE].

Configurare le impostazioni necessarie.

[Modo IKE]

Selezionare la modalità operativa per il protocollo di scambio chiave. La sicurezza aumenta se si seleziona [Principale] poiché la sessione IKE stessa è crittografata, ma la velocità della sessione è più lenta rispetto a quando si seleziona [Aggressive], che non esegue la crittografia dell’intera sessione.

[Validità]

Impostare il periodo di scadenza dell'IKE SA generato.

[Metodo di autenticazione]

Selezionare uno dei metodi di autenticazione descritti di seguito.

[Metodo chiave già condivisa]	Impostare la stessa passphrase (chiave pre-condivisa) impostata per il peer di comunicazione. Selezionare [Impostazioni chiave condivisa], immettere la stringa di caratteri da utilizzare come chiave condivisa e selezionare [OK].
[Metodo firma digitale]	Impostare la chiave e il certificato da utilizzare per l’autenticazione reciproca con il peer di comunicazione. Fare clic su [Chiave e certificato], quindi fare clic su [Usare] per la chiave da utilizzare.

[Algoritmo autenticazione/crittografia]

Selezionare [Autom.] o [Impostazioni manuali] per impostare come specificare l’algoritmo di autenticazione e crittografia per IKE fase 1. Se si seleziona [Autom.], viene impostato automaticamente un algoritmo che può essere utilizzato sia dalla macchina sia dal peer di comunicazione. Se si desidera specificare un algoritmo particolare, selezionare [Impostazioni manuali] e configurare le impostazioni riportate di seguito.

[Autenticazione]	Selezionare l'algoritmo hash.
[Crittografia]	Selezionare l'algoritmo di crittografia.
[Gruppo DH]	Selezionare il gruppo per il metodo di scambio codice Diffie-Hellman per impostare la forza del codice.

Fare clic su [OK].


Quando [Modo IKE] è impostato su [Principale] sulla schermata [IKE] e [Metodo di autenticazione] è impostato su [Metodo chiave già condivisa], si applicano le seguenti limitazioni quando si registrano più criteri di protezione. Chiave metodo chiave precondivisa: quando si specificano più indirizzi IP remoti a cui si deve applicare un criterio di protezione, tutte le chiavi condivise per tale criterio di protezione sono identiche (non si applica quando è specificato un singolo indirizzo). Priorità: quando si specificano più indirizzi IP remoti a cui si deve applicare un criterio di protezione, la priorità di tale criterio di protezione è inferiore ai criteri di protezione per cui si specifica un singolo indirizzo.

Quando [Modo IKE] è impostato su [Principale] sulla schermata [IKE] e [Metodo di autenticazione] è impostato su [Metodo chiave già condivisa], si applicano le seguenti limitazioni quando si registrano più criteri di protezione.

Chiave metodo chiave precondivisa: quando si specificano più indirizzi IP remoti a cui si deve applicare un criterio di protezione, tutte le chiavi condivise per tale criterio di protezione sono identiche (non si applica quando è specificato un singolo indirizzo).

Priorità: quando si specificano più indirizzi IP remoti a cui si deve applicare un criterio di protezione, la priorità di tale criterio di protezione è inferiore ai criteri di protezione per cui si specifica un singolo indirizzo.

Configurare le impostazioni di comunicazione IPSec.

Fare clic su [Impostazioni rete IPSec].

Configurare le impostazioni necessarie.

[Validità]

Impostare il periodo di scadenza dell’IPSec SA generato. Assicurarsi di impostare [Intervallo] o [Dimensione]. Se si impostano entrambi, viene applicata l’impostazione con il valore raggiunto per primo.

[PFS]

Se si seleziona [Utilizzo PFS], la segretezza della chiave di crittografia viene aumentata ma la velocità di comunicazione è più lenta. Inoltre, la funzione PFS (Perfect Forward Secrecy) deve essere abilitata sul dispositivo peer di comunicazione.

[Algoritmo autenticazione/crittografia]

Selezionare [Autom.] o [Impostazioni manuali] per impostare come specificare l’algoritmo di autenticazione e crittografia per IKE fase 2. Se si seleziona [Autom.], l’algoritmo di autenticazione e crittografia ESP viene impostato automaticamente. Se si desidera specificare un metodo di autenticazione particolare, selezionare [Impostazioni manuali] e selezionare uno dei metodi di autenticazione descritti di seguito.

[ESP]	L’autenticazione e la crittografia vengono entrambe eseguite. Selezionare l’algoritmo per [Autenticazione ESP] e [Crittografia ESP]. Selezionare [NULL] se non si desidera impostare l’algoritmo di autenticazione o crittografia.
[ESP (AES-GCM)]	AES-GCM viene utilizzato come algoritmo ESP e l'autenticazione e la crittografia vengono eseguite entrambe.
[AH (SHA1)]	Viene eseguita l'autenticazione, ma i dati non vengono crittografati. SHA1 viene utilizzato come algoritmo.

Fare clic su [OK].

Abilitare i criteri registrati e verificare l'ordine di priorità.

I criteri vengono applicati nell’ordine in cui sono elencati, a partire dall’alto. Se si desidera cambiare l’ordine di priorità, selezionare un criterio nell’elenco e fare clic su [Alzare priorità] o [Abbassare priorità].


Gestione dei criteri IPSec È possibile modificare i criteri sulla schermata visualizzata al passo 4. Per modificare i dettagli di un criterio, fare clic sul nome del criterio nell’elenco. Per disabilitare un criterio, fare clic sul nome del criterio nell’elenco selezionare [Off] per [Attivazione/disattivazione criterio] fare clic su [OK]. Per eliminare un criterio, selezionare il criterio nell’elenco fare clic su [Elimina] [OK]. Utilizzo del pannello comandi È inoltre possibile abilitare o disabilitare la comunicazione IPSec da <Imposta> nella schermata <Home>. <Impostazioni IPSec> Importazione batch/Esportazione batch Questa impostazione può essere importata/esportata con i modelli che ne supportano l'importazione batch. Importazione/esportazione dei dati di impostazione Queste impostazioni sono incluse in [Informazioni principali di Impostazioni/Registrazione] durante l'esportazione dei lotti. Importazione/esportazione di tutte le impostazioni

Gestione dei criteri IPSec

È possibile modificare i criteri sulla schermata visualizzata al passo 4.

Per modificare i dettagli di un criterio, fare clic sul nome del criterio nell’elenco.

Per disabilitare un criterio, fare clic sul nome del criterio nell’elenco

selezionare [Off] per [Attivazione/disattivazione criterio]

fare clic su [OK].

Per eliminare un criterio, selezionare il criterio nell’elenco

fare clic su [Elimina]

[OK].

Utilizzo del pannello comandi

È inoltre possibile abilitare o disabilitare la comunicazione IPSec da <Imposta> nella schermata <Home>. <Impostazioni IPSec>

Importazione batch/Esportazione batch

Questa impostazione può essere importata/esportata con i modelli che ne supportano l'importazione batch. Importazione/esportazione dei dati di impostazione

Queste impostazioni sono incluse in [Informazioni principali di Impostazioni/Registrazione] durante l'esportazione dei lotti. Importazione/esportazione di tutte le impostazioni