Utilizzo delle comunicazioni IPsec

Configurare l'impostazione se l'ambiente richiede IPsec.

La tecnologia IPsec impedisce la falsificazione o fuga dei dati sulla base del pacchetto IP grazie alla tecnologia di crittografia. Poiché IPsec crittografa i dati nel layer di rete, le comunicazioni sicure sono garantite anche se si usano protocolli in un layer superiori o in applicazioni che non supportano la crittografia.

  1. Nel modo amministratore, selezionare [Rete] - [Impostazioni TCP/IP] - [IPsec] - [Impostazioni IPsec], quindi fare clic su [OK].

  2. Fare clic su [Modifica] in [IKEv1] o [IKEv2] in [Impostazioni IPsec], quindi configurare le seguenti impostazioni.

    Impostazioni

    Descrizione

    [Algoritmo di crittografia]

    Selezionare l'algoritmo di crittografia per creare una chiave comune utilizzata nelle comunicazioni.

    [Algoritmo di autenticazione]

    Selezionare l'algoritmo di autenticazione per creare una chiave comune utilizzata nelle comunicazioni.

    [Periodo di validità della chiave di crittografia]

    Specificare il periodo di validità di una chiave comune per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.

    Quando questo periodo è scaduto, viene creata una nuova chiave. In questo modo la comunicazione viene resa sicura.

    [Gruppo Diffie-Hellman]

    Selezionare il Gruppo Diffie-Hellman.

    [Modo Negoziazione]

    Selezionare il metodo per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.

  3. In [SA] in [Impostazioni IPsec], fare clic su [Crea ora] e registrare l'Associazione sicurezza (SA).

    spiegazione supplementareÈ possibile registrare fino a dieci gruppi in SA.

    Impostazioni

    Descrizione

    [Nome]

    Inserire il nome SA (utilizzando da 1 a 10 caratteri, esclusi ").

    [Metodo di incapsulamento]

    Selezionare un metodo di funzionamento di IPsec.

    [Protocollo di sicurezza]

    Selezionare un protocollo di sicurezza.

    [Metodo di scambio tasti]

    Selezionare il metodo di sostituzione chiave per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.

    [Punto di fine tunnel]

    Immettere l'indirizzo IP del gateway IPsec del peer.

    Questa impostazione è necessaria quando è stato selezionato [Tunnel] in [Modo incapsulamento].

    [Durata dopo avere stabilito SA]

    Inserire la durata di una chiave comune utilizzata per crittografare le comunicazioni.

    [Impostazioni IKE]

    Configurare le Impostazioni IKE utilizzate per questa SA.

    Questo parametro è richiesto quando [IKEv1] o [IKEv2] è selezionato in [Metodo di scambio tasti].

    [Metodo autenticazione]

    Selezionare un metodo di autenticazione.

    [Metodo di autenticazione locale]

    Selezionare il metodo di autenticazione di questa macchina quando [IKEv2] è stato selezionato in [Metodo di scambio tasti].

    [Metodo di autenticazione peer]

    Selezionare il metodo di autenticazione del peer quando [IKEv2] è stato selezionato in [Metodo di scambio tasti].

    [Algoritmo di crittografia ESP]

    Se si seleziona [ESP] per [Protocollo di sicurezza], configurare l'algoritmo di crittografia ESP.

    [Algoritmo di autenticazione ESP]

    Se si seleziona [ESP] per [Protocollo di sicurezza], configurare l'algoritmo di autenticazione ESP.

    [Algoritmo di autenticazione AH]

    Se si seleziona [AH] per [Protocollo di sicurezza], configurare l'algoritmo di autenticazione AH.

    [Perfetta segretezza di inoltro]

    Selezionare questa casella di controllo se si desidera incrementare la complessità di IKE.

    Selezionando questa casella, il tempo impiegato per la comunicazione aumenta.

    [Gruppo Diffie-Hellman (IKEv1)]/[Gruppo Diffie-Hellman (IKEv2)]

    Selezionare il Gruppo Diffie-Hellman.

    [Impostazioni chiave manuale]

    Quando si utilizza una periferica che non supporta lo scambio automatico della chiave con IKE, ciascun parametro deve essere configurato manualmente.

    Questo parametro è richiesto quando [Tasto manuale] è selezionato in [Metodo di scambio tasti].

    [Algoritmo di crittografia]

    Selezionare l'algoritmo da usare per la crittografia.

    [Algoritmo di autenticazione]

    Selezionare l'algoritmo da utilizzare per l'autenticazione.

    [Indice SA]

    Specificare l'indice del parametro di sicurezza della SA da aggiungere all'intestazione IPsec.

    [Crittografia tasto comune]

    Specificare la chiave comune usata per la crittografia.

    È possibile specificare chiavi comuni differenti per l'invio e per la ricezione.

    [Autenticazione tasto comune]

    Specificare la chiave comune utilizzata per l'autenticazione.

    È possibile specificare chiavi comuni differenti per l'invio e per la ricezione.

  4. In [Peer] in [Impostazioni IPsec], fare clic su [Crea ora] e registrare i peer di questa macchina.

    spiegazione supplementareÈ possibile registrare fino a 10 peer.

    Impostazioni

    Descrizione

    [Nome]

    Inserire il nome peer (utilizzando da 1 a 10 caratteri, esclusi ").

    [Imposta indirizzo IP]

    Specificare l'indirizzo IP del peer.

    [Testo chiave precondivisa]

    Inserire il testo della chiave pre-condivisa da condividere con il peer.

    • [ASCII]: inserire il testo della chiave pre-condivisa utilizzando i caratteri ASCII (fino a 128).

    • [HEX]: inserire il testo della chiave pre-condivisa utilizzando i caratteri esadecimali (fino a 256).

    Specificare lo stesso testo di quello del peer.

    [Testo ID-tasto]

    Inserire l'ID tasto da specificare per la chiave pre-condivisa (utilizzando fino a 128 caratteri).

  5. In [Impostazioni Protocollo] in [Impostazioni IPsec], fare clic su [Crea ora] e specificare il protocollo utilizzato per le comunicazioni IPsec.

    spiegazione supplementareÈ possibile specificare fino a 10 protocolli.

    Impostazioni

    Descrizione

    [Nome]

    Inserire il nome protocollo (utilizzando da 1 a 10 caratteri, esclusi ").

    [Impostazioni identificazione protocollo]

    Selezionare un protocollo utilizzato per le comunicazioni IPsec.

    [Numero porta]

    Se sono state selezionate le opzioni [TCP] o [UDP] in [Impostazioni identificazione protocollo], specificare il numero della porta usata per le comunicazioni IPsec.

    [Tipo di messaggio ICMP]

    Selezionare il tipo di messaggio ICMP quando [ICMP] è stato selezionato in [Impostazioni identificazione protocollo].

    • [Rich./Risposta eco]: specificare un messaggio ICMP per la richiesta oppure la risposta eco.

    • [Nessuno]: non si deve specificare il tipo messaggio ICMP.

    [Tipo di messaggio ICMPv6]

    Selezionare il tipo di messaggio ICMP quando [ICMPv6] è stato selezionato in [Impostazioni identificazione protocollo].

    • [Rich./Risposta eco]: specificare un messaggio ICMP per la richiesta oppure la risposta eco.

    • [Nessuno]: non si deve specificare il tipo messaggio ICMP.

  6. Nel modo amministratore, selezionare [Rete] - [Impostazioni TCP/IP] - [IPsec] - [Impostazioni utilizzo IPsec], quindi fare clic su [OK].

  7. In [Impostazioni utilizzo IPsec], configurare le seguenti impostazioni.

    Impostazioni

    Descrizione

    [IPsec]

    Selezionare [ON] per usare IPsec.

    [Rilevazione Dead Peer]

    Se non è possibile confermare una risposta dal peer entro un certo periodo, SA e peer saranno eliminati.

    Selezionare un intervallo di tempo trascorso il quale al peer che non ha risposto saranno inviate le informazioni di conferma della sopravvivenza.

    [Cookie]

    Selezionare se attivare la difesa utilizzando i cookie contro gli attacchi Denial of Service.

    [Impostazioni pass ICMP]

    Selezionare se applicare IPsec all'Internet Control Message Protocol (ICMP).

    Selezionare [Abilita] per consentire il passaggio dei pacchetti ICMP senza l'applicazione di IPsec all'ICMP.

    [Impostazioni pass ICMPv6]

    Selezionare se applicare IPsec all'Internet Control Message Protocol per IPv6 (ICMPv6).

    Selezionare [Abilita] per consentire il passaggio dei pacchetti ICMPv6 senza l'applicazione di IPsec all'ICMPv6.

    [Azione predefinita]

    Selezionare un'azione da svolgere se nessuna impostazione soddisfa la [Politica IPsec] mentre le comunicazioni IPsec sono attivate.

    Selezionare [Rifiuta] per ignorare i pacchetti IP che non soddisfano le impostazioni [Politica IPsec].

    [Impostazioni livello verifica certificato]

    Per verificare il certificato, selezionare le voci da controllare.

    Se si seleziona [Confermare] in ogni voce, il certificato viene verificato in ogni voce.

    [Periodo di validità]

    Confermare se il certificato è ancora valido.

    [Confermare] è specificato in modo predefinito.

    [Utilizzo tasti]

    Confermare se il certificato è utilizzato secondo lo scopo a cui è destinato, approvato dall'autore del certificato.

    [Non confermare] è specificato in modo predefinito.

    [Catena]

    Confermare se esiste un problema nella catena del certificato (percorso del certificato).

    La catena è validata referenziando i certificati esterni gestiti su questa macchina.

    [Non confermare] è specificato in modo predefinito.

    [Conferma data di scadenza]

    Confermare se il certificato è scaduto.

    Confermare la scadenza del certificato nel seguente ordine.

    • Servizio OCSP (Online Certificate Status Protocol)

    • CRL (Certificate Revocation List)

    [Non confermare] è specificato in modo predefinito.

  8. In [Politica IPsec] in [Impostazioni utilizzo IPsec], fare clic su [Crea ora], quindi configurare le seguenti impostazioni.

    spiegazione supplementareÈ possibile specificare le condizioni dei pacchetti IP perché passino o consentano i pacchetti IP che soddisfano ognuna delle condizioni.

    Impostazioni

    Descrizione

    [Nome]

    Inserire il nome per la politica IPsec (utilizzando da 1 a 10 caratteri, esclusi ").

    [Peer]

    Selezionare un'impostazione peer.

    Selezionare un'impostazione da quelle registrate in [Peer] in [Impostazioni IPsec].

    [Impostazioni protocollo]

    Selezionare un protocollo.

    Selezionare un'impostazione da quelle registrate in [Impostazioni Protocollo] in [Impostazioni IPsec].

    [Impostazioni IPsec]

    Selezionare un'impostazione peer.

    Selezionare un'impostazione da quelle registrate in [SA] in [Impostazioni IPsec].

    [Direzione comunicazione]

    Selezionare una direzione delle comunicazioni IPsec.

    [Azione]

    Selezionare un'azione da svolgere per i pacchetti IP che soddisfano i requisiti stabiliti in [Peer], [Impostazioni protocollo] e [Direzione comunicazione].

    • [Protetto]: protegge i pacchetti IP che soddisfano le condizioni.

    • [Permetti]: non protegge i pacchetti IP che soddisfano le condizioni.

    • [Blocca]: ignora i pacchetti IP che soddisfano le condizioni.

    • [Annulla]: rifiuta i pacchetti IP che soddisfano le condizioni.

  9. Nel modo amministratore, selezionare [Rete] - [Imp. TCP/IP] - [IPsec] - [Controllo comunicazioni], quindi verificare che una connessione con un peer possa essere stabilita normalmente dall'impostazione specificata.

    spiegazione supplementareInserire l'indirizzo IP in [Indirizzo IP], quindi fare clic su [Contr. conness].