HomeWeb Management ToolUtilizzo delle comunicazioni IPsec

Utilizzo delle comunicazioni IPsec

Configurare l'impostazione se l'ambiente richiede IPsec.

La tecnologia IPsec impedisce la falsificazione o fuga dei dati sulla base del pacchetto IP grazie alla tecnologia di crittografia. Poiché IPsec crittografa i dati nel layer di rete, le comunicazioni sicure sono garantite anche se si usano protocolli in un layer superiori o in applicazioni che non supportano la crittografia.

  1. Selezionare [Rete] - [Impostazione TCP/IP] - [IPsec] - [Impostazioni IPsec] nella modalità amministratore di Web Connection (oppure da [Utilità] - [Amministratore] di questa macchina) e fare clic su [OK].

  2. Fare clic su [Modifica] in [IKEv1] o [IKEv2] in [Impostazioni IPsec], quindi configurare le seguenti impostazioni.

    Impostazione

    Descrizione

    [Algoritmo di crittografia]

    Selezionare l'algoritmo di crittografia per creare una chiave comune utilizzata nelle comunicazioni.

    [Algoritmo di autenticazione]

    Selezionare l'algoritmo di autenticazione per creare una chiave comune utilizzata nelle comunicazioni.

    [Periodo di validità della chiave di crittografia]

    Specificare il periodo di validità di una chiave comune per crearne una in modo sicuro, da usare per crittografare le comunicazioni (predefinito: [28800] sec.).

    Quando questo periodo è scaduto, viene creata una nuova chiave. In questo modo la comunicazione viene resa sicura.

    [Gruppo Diffie-Hellman]

    Selezionare il Gruppo Diffie-Hellman (predefinito: [Gruppo 2]).

    [Modalità negoziazione]

    Selezionare il Modo Negoziazione (predefinito: [Modo Com]). Questa opzione non è disponibile in [IKEv2].

  3. Da [SA] in [Impostazione IPsec], fare clic su [Registrazione] e registrare l'associazione di sicurezza (SA).

    • È possibile registrare fino a dieci gruppi in SA.

    Impostazione

    Descrizione

    [Nome]

    Inserire il nome SA (utilizzando da 1 a 10 caratteri, esclusi ").

    [Modalità incapsulamento]

    Selezionare il modo operativo IPsec (predefinito: [Trasporto]).

    [Protocollo di sicurezza]

    Selezionare un protocollo di sicurezza.

    [Metodo di scambio tasti]

    Selezionare il metodo di sostituzione della chiave per creare in modo sicuro una chiave comune da usare per crittografare le comunicazioni (predefinito: [IKEv1]).

    [Punto di fine tunnel]

    Se si seleziona [tunnel] in [Modalità incapsulamento], inserire l'indirizzo IP del gateway IPsec utilizzato come peer.

    [Durata dopo avere stabilito SA]

    Inserire la durata di una chiave comune utilizzata per crittografare le comunicazioni (predefinito: [3600] sec.).

    [Impostazioni IKE]

    Configurare le impostazioni IKE utilizzate per SA. Questo parametro è richiesto quando [IKEv1] o [IKEv2] è selezionato in [Metodo di scambio tasti].

    • [Metodo di autenticazione]: selezionare il metodo di autenticazione.

    • [Metodo di autenticazione locale]: selezionare il metodo di autenticazione di questa macchina quando [IKEv2] è selezionato in [Metodo di scambio tasti].

    • [Metodo di autenticazione peer]: selezionare il metodo di autenticazione peer quando [IKEv2] è selezionato in [Metodo di scambio tasti].

    • [ESN]: quando si applica il numero di sequenza esteso a 64 bit, impostare questa opzione su ON.

    • [Riproduci rilevamento]: quando si abilita la funzione difesa ripetizione, impostare questa opzione su ON.

    • [Algoritmo di criptatura ESP]: se si seleziona [ESP] per [Protocollo di sicurezza], configurare l'algoritmo di criptatura ESP.

    • [Algoritmo di autenticazione ESP]: se si seleziona [ESP] per [Protocollo di sicurezza], configurare l'algoritmo di autenticazione ESP.

    • [Algoritmo di autenticazione AH]: se si seleziona [AH] per [Protocollo di sicurezza], configurare l'algoritmo di autenticazione AH.

    • [Perfect Forward-Secrecy]: quando si aumenta l'intensità IKE, impostare questa opzione su ON. Impostando su ON aumenta il tempo impiegato per la comunicazione.

  4. Da [Peer] in [Impostazioni IPsec], fare clic su [Registrazione] e registrare i peer di questa macchina.

    • È possibile registrare fino a 10 peer.

    Impostazione

    Descrizione

    [Peer]

    Quando si registra un peer, impostare questa opzione su ON (predefinito: OFF).

    [Nome]

    Inserire il nome peer (utilizzando da 1 a 10 caratteri, esclusi ").

    [Imposta indirizzo IP]

    Selezionare il metodo per specificare l'indirizzo peer. Specificare l'indirizzo IP del peer a seconda del metodo selezionato.

    [Testo chiave pre-condivisa]

    Inserire il testo della chiave pre-condivisa da condividere con un peer utilizzando fino a 128 caratteri ASCII o fino a 256 caratteri esadecimali.

    Specificare lo stesso testo di quello del peer.

    [Testo ID-chiave]

    Inserire l'ID tasto da specificare per la chiave pre-condivisa (utilizzando fino a 128 byte).

  5. Da [Impostazione protocollo] in [Impostazioni IPsec], fare clic su [Registrazione] e specificare il protocollo utilizzato per la comunicazione IPsec.

    • È possibile specificare fino a 10 protocolli.

    Impostazione

    Descrizione

    [Impostazione protocollo]

    Quando si registra l'impostazione di protocollo, impostare questa opzione su ON (predefinito: OFF).

    [Nome]

    Inserire il nome gruppo con il protocollo specificato (utilizzando da 1 a 10 caratteri, escluso ").

    [Impostazioni identificazione protocollo]

    Selezionare un protocollo utilizzato per la comunicazione IPsec (predefinito: [Nessuna selezione]).

    [Numero di porta]

    Se si seleziona [TCP] o [UDP] in [Impostazioni identificazione protocollo], specificare il numero di porta usato per le comunicazioni IPsec.

    [Tipo messaggio ICMP]

    Specificare il tipo di messaggio ICMP quando [ICMP] è stato selezionato in [Impostazioni identificazione protocollo].

    [Tipo messaggio ICMPv6]

    Specificare il tipo di messaggio ICMP quando [ICMPv6] è stato selezionato in [Impostazioni identificazione protocollo].

  6. Selezionare [Rete] - [Impostazione TCP/IP] - [IPsec] - [Abilita IPsec] nella modalità amministratore di Web Connection (oppure da [Utilità] - [Amministratore] di questa macchina) e fare clic su [OK].

  7. In [Abilita IPsec], configurare le seguenti impostazioni.

    Impostazione

    Descrizione

    [IPsec]

    Quando si utilizza IPsec, impostare questa opzione su ON (predefinito: OFF).

    [Rilevazione Dead Peer]

    Se il peer non conferma una risposta per un certo periodo, il SA con il peer sarà eliminato. Selezionare il periodo che trascorre prima dell'invio delle informazioni di conferma della sopravvivenza al peer su come non ha risposto (predefinito: [15] sec.).

    [Cookie]

    Selezionare se attivare la difesa utilizzando i cookie contro gli attacchi Denial of Service (predefinito: [Disabilita]).

    [Pass ICMP]

    Selezionare se applicare IPsec all'Internet Control Message Protocol (ICMP) (predefinito: [Disabilita]). Selezionare [Abilita] per consentire il passaggio dei pacchetti ICMP senza l'applicazione di IPsec all'ICMP.

    [Pass ICMPv6]

    Selezionare se applicare IPsec all'Internet Control Message Protocol per IPv6 (ICMPv6) (predefinito: [Disabilita]). Selezionare [Abilita] per consentire il passaggio dei pacchetti ICMPv6 senza l'applicazione di IPsec all'ICMPv6.

    [azione predefinita]

    Selezionare un'azione da svolgere se nessuna impostazione soddisfa la [Politica IPsec] mentre le comunicazioni IPsec sono attivate (predefinito: [Permetti]). Selezionare [Rifiuta] per ignorare i pacchetti IP che non soddisfano le impostazioni [Politica IPsec].

    [Impostazioni livello verifica certificato]

    Per verificare il certificato, selezionare le voci da controllare.

    • [Data di scadenza]: verificare se il certificato rientra nel periodo di validità (predefinito: ON).

    • [Utilizzo tasti]: verificare se il certificato è utilizzato secondo lo scopo a cui è destinato, approvato dall'autore del certificato (predefinito: OFF).

    • [Catena]: verificare se esiste un problema nella catena del certificato (percorso del certificato) (predefinito: OFF). La catena è validata referenziando i certificati esterni gestiti su questa macchina.

    • [Conferma data di scadenza]: verificare se il certificato è scaduto (predefinito: OFF). La conferma della data di scadenza è eseguita nell'ordine di servizio OCSP (Online Certificate Status Protocol) e CRL (Certificate Revocation List).

  8. Da [Politica IPsec] in [Abilita IPsec], fare clic su [Registrazione], quindi configurare le seguenti impostazioni.

    • È possibile specificare le condizioni dei pacchetti IP perché passino o consentano i pacchetti IP che soddisfano ognuna delle condizioni.

    Impostazione

    Descrizione

    [Politica IPsec]

    Selezionare se utilizzare la Politica IPsec (predefinito: [OFF]).

    [Nome]

    Inserire il nome per la politica IPsec (utilizzando da 1 a 10 caratteri, esclusi ").

    [Peer]

    Selezionare un'impostazione peer. Selezionare un'impostazione da quelle registrate in [Peer] in [Impostazioni IPsec].

    [Impostazione protocollo]

    Selezionare un protocollo. Selezionare un'impostazione da quelle registrate in [Impostazioni Protocollo] in [Impostazioni IPsec].

    [Impostazioni IPsec]

    Selezionare un'impostazione SA. Selezionare un'impostazione da quelle registrate in [SA] in [Impostazioni IPsec].

    [Tipo di comunicazione]

    Selezionare una direzione delle comunicazioni IPsec.

    [Azione]

    Selezionare l'operazione per il pacchetto IP che coincide con la condizione specificata.

    • [Protetto]: proteggi i pacchetti IP che soddisfano le condizioni.

    • [Permetti]: non proteggere i pacchetti IP che soddisfano le condizioni.

    • [Rifiuta]: ignora i pacchetti IP che soddisfano le condizioni.

    • [Annulla]: rifiuta i pacchetti IP che soddisfano le condizioni.

  9. Selezionare [IPsec] - [Controllo comunicazioni], quindi verificare che una connessione con un peer possa essere stabilita normalmente dall'impostazione specificata.

    • Inserire l'indirizzo IP in [Indirizzo IP], quindi fare clic su [Contr conness].