Configuració de les opcions d'IPSec

Si utilitzeu IPSec, podeu impedir la intercepció o la manipulació per part de tercers de paquets IP transportats per la xarxa IP. Com IPSec afegeix funcions de seguretat a IP, un conjunt de protocols bàsic utilitzat per a Internet, pot proporcionar seguretat independent d'aplicacions o de la configuració de xarxa. Per portar a terme la comunicació IPSec amb aquest equip, heu de configurar opcions com ara els paràmetres de l'aplicació i l'algorisme per a l'autenticació i el xifratge. Per configurar aquestes opcions calen privilegis d'administrador.

Habilitar IPSec

Registre d'una política


Mode de comunicació Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP. Protocol d'intercanvi de claus Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital. Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec. Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP

Mode de comunicació

Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP.

Protocol d'intercanvi de claus

Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital.

Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec.

Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP


Independentment de les opcions de [Mètode xifratge formats per a FIPS 140] per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140. Per tal que la comunicació IPSec compleixi amb FIPS 140, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip. Des de l'equip només es pot especificar la longitud de clau de DH. Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA. Podeu desar fins a 10 directives de seguretat.

Independentment de les opcions de [Mètode xifratge formats per a FIPS 140] per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140.

Per tal que la comunicació IPSec compleixi amb FIPS 140, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip.

Des de l'equip només es pot especificar la longitud de clau de DH.

Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA.

Podeu desar fins a 10 directives de seguretat.

Habilitar IPSec

Inicieu Remote UI (IU remota). Inici de Remote UI (IU remota)

Feu clic a [Settings/Registration] a la pàgina del portal. Pantalla de Remote UI (IU remota)

Feu clic a [Network Settings]

[IPSec Settings].

Seleccioneu [Use IPSec] i feu clic a [OK].

Per rebre només paquets que corresponen a la política de seguretat, seleccioneu [Reject] per a [Receive Non-Policy Packets].

Registre d'una política

Inicieu Remote UI (IU remota). Inici de Remote UI (IU remota)

Feu clic a [Settings/Registration] a la pàgina del portal. Pantalla de Remote UI (IU remota)

Feu clic a [Network Settings]

[IPSec Policy List].

Feu clic a [Register New IPSec Policy].

Establiu una política.

[Policy Name]

Introduïu un nom per identificar la política.

[Policy On/Off]

Seleccioneu [On] per activar la política desada.

[Only Allow 256-bit for AES Key Length]

Seleccioneu aquesta casella per limitar la longitud de la clau del mètode de xifratge AES a 256 bits i complir amb les normes d'autenticació CC.

Configureu els paràmetres de l'aplicació l'IPSec.

Feu clic a [Selector Settings].

Especifiqueu l'adreça IP a la qual s'ha d'aplicar la directiva IPSec.

Especifiqueu l'adreça IP d'aquest equip a [Local Address] i especifiqueu l'adreça IP de l'interlocutor de la comunicació a [Remote Address].

[All IP Addresses]	IPSec s'aplica a tots els paquets IP enviats i rebuts.
[IPv4 Address]	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 d'aquest equip.
[IPv6 Address]	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 d'aquest equip.
[All IPv4 Addresses]	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 de l'interlocutor de la comunicació.
[All IPv6 Addresses]	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 de l'interlocutor de la comunicació.
[IPv4 Manual Settings]	Especifiqueu l'adreça IPv4 a què s'aplicarà IPSec. Seleccioneu [Single Address] per introduir una adreça IPv4 individual. Seleccioneu [Range Address] per especificar un rang d'adreces IPv4. Introduïu una adreça IP diferent per a [First Address] i [Last Address]. Seleccioneu [Subnet Settings] per especificar un rang d'adreces IPv4 utilitzant una màscara de subxarxa. Introduïu valors diferents per a [First Address] i [Subnet Settings].
[IPv6 Manual Settings]	Especifiqueu l'adreça IPv6 a què s'aplicarà IPSec. Seleccioneu [Single Address] per introduir una única adreça IPv6. Seleccioneu [Range Address] per especificar un interval d'adreces IPv6. Introduïu una adreça IP diferent per a [First Address] i [Last Address]. Seleccioneu [Prefix Address] per especificar un rang d'adreces IPv6 utilitzant un prefix. Introduïu valors diferents per a [First Address] i [Prefix Length].

Especifiqueu el port al qual s'ha d'aplicar IPSec.

Seleccioneu [Specify by Port Number] per utilitzar números de port quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu [All Ports] per aplicar IPSec a tots els números de port. Per aplicar IPSec a un número de port específic, seleccioneu [Single Port] i introduïu el número de port. Especifiqueu el port d'aquest equip a [Local Port] i especifiqueu el port de l'interlocutor de la comunicació a [Remote Port].

Per especificar els ports als quals s'aplicarà IPSec segons el nom del servei, seleccioneu [Specify by Service Name] i els serveis que s'utilitzaran.

Feu clic a [OK].

Configureu les opcions d'autenticació i xifratge.

Feu clic a [IKE Settings].

Configureu les opcions necessàries.

[IKE Mode]

Seleccioneu el mode d'operació per al protocol d'intercanvi de claus. La seguretat augmenta si seleccioneu [Main] perquè la sessió IKE està xifrada, però la velocitat de la sessió és més lenta que amb [Aggressive], que no xifra la sessió sencera.

[Validity]

Establiu el període de caducitat del IKE SA generat.

[Authentication Method]

Seleccioneu un dels mètodes d'autenticació descrits a continuació.

[Pre-Shared Key Method]	Establiu la mateixa contrasenya (clau precompartida) que s'ha establert per a l'interlocutor de la comunicació. Seleccioneu [Shared Key Settings], introduïu la cadena de caràcters que cal utilitzar com a clau compartida i seleccioneu [OK].
[Digital Signature Method]	Establiu la clau i el certificat que cal utilitzar per a l'autenticació mútua amb l'interlocutor de la comunicació. Feu clic a [Key and Certificate] i a [Use] per a la clau que s'utilitzarà.

[Authentication/Encryption Algorithm]

Seleccioneu [Auto] o [Manual Settings] per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 1. Si seleccioneu [Auto], s'establirà automàticament un algorisme que pot ser utilitzat tant per aquest equip com per l'interlocutor de la comunicació. Si voleu especificar un algorisme específic, seleccioneu [Manual Settings] i configureu les opcions següents.

[Authentication]	Seleccioneu l'algorisme hash.
[Encryption]	Seleccioneu l'algorisme de xifratge.
[DH Group]	Seleccioneu el grup per al mètode d'intercanvi de clau Diffie-Hellman per establir la seguretat de la clau.

Feu clic a [OK].


Si s'estableix [IKE Mode] en [Main] a la pantalla [IKE] i s'estableix [Authentication Method] en [Pre-Shared Key Method], s'apliquen les restriccions següents quan es desen diverses polítiques de seguretat. Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, totes les claus compartides per a la directiva de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP). Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, la prioritat de la directiva de seguretat està per sota de les directives de seguretat per a les qual s'hagi especificat una única direcció.

Si s'estableix [IKE Mode] en [Main] a la pantalla [IKE] i s'estableix [Authentication Method] en [Pre-Shared Key Method], s'apliquen les restriccions següents quan es desen diverses polítiques de seguretat.

Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, totes les claus compartides per a la directiva de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP).

Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, la prioritat de la directiva de seguretat està per sota de les directives de seguretat per a les qual s'hagi especificat una única direcció.

Configureu les opcions de comunicació d'IPSec.

Feu clic a [IPSec Network Settings].

Configureu les opcions necessàries.

[Validity]

Establiu el període de caducitat del IPSec SA generat. Assegureu-vos d'establir [Time] o [Size]. Si establiu tots dos, s'aplicarà l'opció amb el valor que s'aconsegueixi primer.

[PFS]

Si seleccioneu [Use PFS], la confidencialitat de la clau de xifratge augmenta, però es reduirà la velocitat de comunicació. A més a més, la funció Perfect Forward Secrecy (PFS) s'ha d'activar al dispositiu interlocutor de la comunicació.

[Authentication/Encryption Algorithm]

Seleccioneu [Auto] o [Manual Settings] per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 2. Si seleccioneu [Auto], l'algorisme d'autenticació i xifratge s'estableix automàticament. Si voleu especificar un mètode d'autenticació específic, seleccioneu [Manual Settings] i seleccioneu un dels mètodes d'autenticació següents.

[ESP]	Es porta a terme tant l'autenticació com el xifratge. Seleccioneu l'algorisme per a [ESP Authentication] i [ESP Encryption]. Si no voleu utilitzar l'algorisme d'autenticació o de xifratge, seleccioneu [NULL].
[ESP (AES-GCM)]	AES-GCM s'utilitza com a algorisme d'ESP, i es porta a terme tant l'autenticació com el xifratge.
[AH (SHA1)]	Es porta a terme l'autenticació, però les dades no es xifren. S'utilitza SHA1 com a algorisme.

Feu clic a [OK].

Activeu les directives desades i comproveu l'ordre de prioritat.

Les directives s'apliquen en l'ordre en què apareixen a la llista, començant des de la part superior. Si voleu canviar l'ordre de prioritat, seleccioneu una directiva de la llista i feu clic a [Raise Priority] o [Lower Priority].


Gestió de directives IPSec Podeu editar directives a la pantalla que es mostra al pas 4. Per editar els detalls d'una política, feu clic al nom de la política a la llista. Per desactivar una política, feu clic al nom de la política a la llista seleccioneu [Off] per a [Policy On/Off] feu clic a [OK]. Per eliminar una política, seleccioneu-la a la llista feu clic a [Delete] [OK]. Ús del tauler de control També podeu activar o desactivar la comunicació IPSec a <Estb> a la pantalla <Inici>. <Opcions d'IPSec> Importació per lots/Exportació per lots Aquesta configuració es pot importar/exportar amb models que admeten la importació per lots d'aquesta configuració. Importació/exportació de les dades d'opcions Aquesta opció s'inclou a [Settings/Registration Basic Information] quan s'exporten lots. Importació/exportació de totes les opcions

Gestió de directives IPSec

Podeu editar directives a la pantalla que es mostra al pas 4.

Per editar els detalls d'una política, feu clic al nom de la política a la llista.

Per desactivar una política, feu clic al nom de la política a la llista

seleccioneu [Off] per a [Policy On/Off]

feu clic a [OK].

Per eliminar una política, seleccioneu-la a la llista

feu clic a [Delete]

[OK].

Ús del tauler de control

També podeu activar o desactivar la comunicació IPSec a <Estb> a la pantalla <Inici>. <Opcions d'IPSec>

Importació per lots/Exportació per lots

Aquesta configuració es pot importar/exportar amb models que admeten la importació per lots d'aquesta configuració. Importació/exportació de les dades d'opcions

Aquesta opció s'inclou a [Settings/Registration Basic Information] quan s'exporten lots. Importació/exportació de totes les opcions