Utilizzo delle comunicazioni IPsec

Configurare l'impostazione se l'ambiente richiede IPsec.

La tecnologia IPsec impedisce la falsificazione o fuga dei dati sulla base del pacchetto IP grazie alla tecnologia di crittografia. Poiché IPsec crittografa i dati nel layer di rete, le comunicazioni sicure sono garantite anche se si usano protocolli in un layer superiori o in applicazioni che non supportano la crittografia.

  1. Nel modo amministratore, selezionare [Rete] - [Impostazioni TCP/IP] - [IPsec] - [Impostazioni IPsec], quindi fare clic su [OK].

  2. Fare clic su [Modifica] in [IKEv1] o [IKEv2] in [Impostazioni IPsec], quindi configurare le seguenti impostazioni.

    Impostazioni

    Descrizione

    [Algoritmo di crittografia]

    Selezionare l'algoritmo di crittografia per creare una chiave comune utilizzata nelle comunicazioni.

    [Algoritmo di autenticazione]

    Selezionare l'algoritmo di autenticazione per creare una chiave comune utilizzata nelle comunicazioni.

    [Periodo di validità della chiave di crittografia]

    Specificare il periodo di validità di una chiave comune per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.

    Quando questo periodo è scaduto, viene creata una nuova chiave. In questo modo la comunicazione viene resa sicura.

    [Gruppo Diffie-Hellman]

    Selezionare il Gruppo Diffie-Hellman.

    [Modo Negoziazione]

    Selezionare il metodo per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.

  3. In [SA] in [Impostazioni IPsec], fare clic su [Crea ora] e registrare l'Associazione sicurezza (SA).

    spiegazione supplementareÈ possibile registrare fino a dieci gruppi in SA.

    Impostazioni

    Descrizione

    [Nome]

    Inserire il nome SA (utilizzando da 1 a 10 caratteri, esclusi ").

    [Metodo di incapsulamento]

    Selezionare il modo operativo IPsec.

    [Protocollo di sicurezza]

    Selezionare un protocollo di sicurezza.

    [Metodo di scambio tasti]

    Selezionare il metodo di sostituzione tasti per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.

    [Punto di fine tunnel]

    Inserire l'indirizzo IP del gateway IPsec del peer.

    Questo parametro è richiesto quando [Tunnel] è selezionato in [Metodo di incapsulamento].

    [Durata dopo avere stabilito SA]

    Inserire la durata di una chiave comune utilizzata per crittografare le comunicazioni.

    [Impostazioni IKE]

    Configurare le impostazioni IKE utilizzate per SA.

    Questo parametro è richiesto quando [IKEv1] o [IKEv2] è selezionato in [Metodo di scambio tasti].

    [Metodo di autentic.]

    Selezionare un metodo di autenticazione.

    [Metodo di autenticazione locale]

    Selezionare il metodo di autenticazione di questa macchina quando [IKEv2] è stato selezionato in [Metodo di scambio tasti].

    [Metodo di autenticazione peer]

    Selezionare il metodo di autenticazione del peer quando [IKEv2] è stato selezionato in [Metodo di scambio tasti].

    [Algoritmo di crittografia ESP]

    Se si seleziona [ESP] per [Protocollo di sicurezza], configurare l'algoritmo di crittografia ESP.

    [Algoritmo di autenticazione ESP]

    Se si seleziona [ESP] per [Protocollo di sicurezza], configurare l'algoritmo di autenticazione ESP.

    [Algoritmo di autenticazione AH]

    Se si seleziona [AH] per [Protocollo di sicurezza], configurare l'algoritmo di autenticazione AH.

    [Perfetta segretezza di inoltro]

    Selezionare questa casella di controllo se si desidera aumentare il livello IKE.

    Selezionando questa casella di controllo di aumenta il tempo dedicato alle comunicazioni.

    [Gruppo Diffie-Hellman (IKEv1)]/[Gruppo Diffie-Hellman (IKEv2)]

    Selezionare il Gruppo Diffie-Hellman.

    [Impostazioni chiave manuali]

    Quando si utilizza una periferica che non supporta lo scambio automatico di chiavi con IKE, configurare manualmente ogni parametro.

    Questo parametro è richiesto quando [Tasto manuale] è selezionato in [Metodo di scambio tasti].

    [Algoritmo di crittografia]

    Selezionare l'algoritmo da usare per la crittografia.

    [Algoritmo di autenticazione]

    Selezionare l'algoritmo da usare per l'autenticazione.

    [Indice SA]

    Specificare l'Indice parametro di sicurezza SA da aggiungere all'intestazione IPsec.

    [Crittografia tasto comune]

    Specificare il tasto comune utilizzato per la crittografia.

    È possibile specificare tasti comuni differenti per l'invio e la ricezione.

    [Autenticazione tasto comune]

    Specificare il tasto comune utilizzato per l'autenticazione.

    È possibile specificare tasti comuni differenti per l'invio e la ricezione.

  4. In [Peer] in [Impostazioni IPsec], fare clic su [Crea ora] e registrare i peer di questa macchina.

    spiegazione supplementareÈ possibile registrare fino a 10 peer.

    Impostazioni

    Descrizione

    [Nome]

    Inserire il nome peer (utilizzando da 1 a 10 caratteri, esclusi ").

    [Imposta indirizzo IP]

    Specificare l'indirizzo IP del peer.

    [Testo della chiave pre-condivisa]

    Inserire il testo della chiave pre-condivisa da condividere con il peer.

    • [ASCII]: inserire il testo della chiave pre-condivisa utilizzando i caratteri ASCII (fino a 128).

    • [HEX]: inserire il testo della chiave pre-condivisa utilizzando i caratteri esadecimali (fino a 256).

    Specificare lo stesso testo di quello del peer.

    [Testo ID-tasto]

    Inserire l'ID tasto da specificare per la chiave pre-condivisa (utilizzando fino a 128 caratteri).

  5. In [Impostazioni Protocollo] in [Impostazioni IPsec], fare clic su [Crea ora] e specificare il protocollo utilizzato per le comunicazioni IPsec.

    spiegazione supplementareÈ possibile specificare fino a 10 protocolli.

    Impostazioni

    Descrizione

    [Nome]

    Inserire il nome protocollo (utilizzando da 1 a 10 caratteri, esclusi ").

    [Impostazioni identificazione protocollo]

    Selezionare un protocollo utilizzato per le comunicazioni IPsec.

    [Numero di porta]

    Se si seleziona [TCP] o [UDP] in [Impostazioni identificazione protocollo], specificare il numero di porta usato per le comunicazioni IPsec.

    [Tipo di messaggio ICMP]

    Selezionare il tipo di messaggio ICMP quando [ICMP] è stato selezionato in [Impostazioni identificazione protocollo].

    • [Rich./Risposta eco]: specificare un messaggio ICMP per la richiesta oppure la risposta eco.

    • [Nessuno]: non si deve specificare il tipo messaggio ICMP.

    [Tipo di messaggio ICMPv6]

    Selezionare il tipo di messaggio ICMP quando [ICMPv6] è stato selezionato in [Impostazioni identificazione protocollo].

    • [Rich./Risposta eco]: specificare un messaggio ICMP per la richiesta oppure la risposta eco.

    • [Nessuno]: non si deve specificare il tipo messaggio ICMP.

  6. Nel modo amministratore, selezionare [Rete] - [Impostazioni TCP/IP] - [IPsec] - [Impostazioni utilizzo IPsec], quindi fare clic su [OK].

  7. In [Impostazioni utilizzo IPsec], configurare le seguenti impostazioni.

    Impostazioni

    Descrizione

    [IPsec]

    Selezionare [ON] per usare IPsec.

    [Rilevazione Dead Peer]

    Se il peer non conferma una risposta per un certo periodo, il SA con il peer sarà eliminato.

    Selezionare un periodo che trascorre prima dell'invio delle informazioni di conferma della sopravvivenza al peer su come non ha risposto.

    [Cookie]

    Selezionare se attivare la difesa utilizzando i cookie contro gli attacchi Denial of Service.

    [Impostazioni pass. ICMP]

    Selezionare se applicare IPsec all'Internet Control Message Protocol (ICMP).

    Selezionare [Abilita] per consentire il passaggio dei pacchetti ICMP senza l'applicazione di IPsec all'ICMP.

    [Impostazioni pass. ICMPv6]

    Selezionare se applicare IPsec all'Internet Control Message Protocol per IPv6 (ICMPv6).

    Selezionare [Abilita] per consentire il passaggio dei pacchetti ICMPv6 senza l'applicazione di IPsec all'ICMPv6.

    [azione predefinita]

    Selezionare un'azione da svolgere se nessuna impostazione soddisfa la [Politica IPsec] mentre le comunicazioni IPsec sono attivate.

    Selezionare [Rifiuta] per ignorare i pacchetti IP che non soddisfano le impostazioni [Politica IPsec].

    [Impostazioni livello verifica certificato]

    Per verificare il certificato, selezionare le voci da controllare.

    Se si seleziona [Confermare] in ogni voce, il certificato viene verificato in ogni voce.

    [Periodo di validità]

    Confermare se il certificato è ancora valido.

    [Confermare] è specificato in modo predefinito.

    [Utilizzo tasti]

    Confermare se il certificato è utilizzato secondo lo scopo a cui è destinato, approvato dall'autore del certificato.

    [Non confermare] è specificato in modo predefinito.

    [Catena]

    Confermare se esiste un problema nella catena del certificato (percorso del certificato).

    La catena è validata referenziando i certificati esterni gestiti su questa macchina.

    [Non confermare] è specificato in modo predefinito.

    [Conferma data di scadenza]

    Confermare se il certificato è scaduto.

    Confermare la scadenza del certificato nel seguente ordine.

    • Servizio OCSP (Online Certificate Status Protocol)

    • CRL (Certificate Revocation List)

    [Non confermare] è specificato in modo predefinito.

  8. In [Politica IPsec] in [Impostazioni utilizzo IPsec], fare clic su [Crea ora], quindi configurare le seguenti impostazioni.

    spiegazione supplementareÈ possibile specificare le condizioni dei pacchetti IP perché passino o consentano i pacchetti IP che soddisfano ognuna delle condizioni.

    Impostazioni

    Descrizione

    [Nome]

    Inserire il nome per la politica IPsec (utilizzando da 1 a 10 caratteri, esclusi ").

    [Peer]

    Selezionare un'impostazione peer.

    Selezionare un'impostazione da quelle registrate in [Peer] in [Impostazioni IPsec].

    [Specifica protocollo]

    Selezionare un protocollo.

    Selezionare un'impostazione da quelle registrate in [Impostazioni Protocollo] in [Impostazioni IPsec].

    [Impostazioni IPsec]

    Selezionare un'impostazione peer.

    Selezionare un'impostazione da quelle registrate in [SA] in [Impostazioni IPsec].

    [Direzione comunicazione]

    Selezionare una direzione delle comunicazioni IPsec.

    [Azione]

    Selezionare un'azione da svolgere per i pacchetti IP che soddisfano [Peer], [Impostazioni Protocollo] e [Direzione comunicazione].

    • [Protetto]: proteggi i pacchetti IP che soddisfano le condizioni.

    • [Permetti]: non proteggere i pacchetti IP che soddisfano le condizioni.

    • [Rifiuta]: ignora i pacchetti IP che soddisfano le condizioni.

    • [Annulla]: rifiuta i pacchetti IP che soddisfano le condizioni.

  9. Nel modo amministratore, selezionare [Rete] - [Imp. TCP/IP] - [IPsec] - [Controllo comunicazioni], quindi verificare che una connessione con un peer possa essere stabilita normalmente dall'impostazione specificata.

    spiegazione supplementareInserire l'indirizzo IP in [Indirizzo IP], quindi fare clic su [Contr. conness].