Utilizzo delle comunicazioni IPsec
Configurare l'impostazione se l'ambiente richiede IPsec.
La tecnologia IPsec impedisce la falsificazione o fuga dei dati sulla base del pacchetto IP grazie alla tecnologia di crittografia. Poiché IPsec crittografa i dati nel layer di rete, le comunicazioni sicure sono garantite anche se si usano protocolli in un layer superiori o in applicazioni che non supportano la crittografia.
Nel modo amministratore, selezionare [Rete] - [Impostazioni TCP/IP] - [IPsec] - [Impostazioni IPsec], quindi fare clic su [OK].
Fare clic su [Modifica] in [IKEv1] o [IKEv2] in [Impostazioni IPsec], quindi configurare le seguenti impostazioni.
Impostazioni
Descrizione
[Algoritmo di crittografia]
Selezionare l'algoritmo di crittografia per creare una chiave comune utilizzata nelle comunicazioni.
[Algoritmo di autenticazione]
Selezionare l'algoritmo di autenticazione per creare una chiave comune utilizzata nelle comunicazioni.
[Periodo di validità della chiave di crittografia]
Specificare il periodo di validità di una chiave comune per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.
Quando questo periodo è scaduto, viene creata una nuova chiave. In questo modo la comunicazione viene resa sicura.
[Gruppo Diffie-Hellman]
Selezionare il Gruppo Diffie-Hellman.
[Modo Negoziazione]
Selezionare il metodo per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.
In [SA] in [Impostazioni IPsec], fare clic su [Crea ora] e registrare l'Associazione sicurezza (SA).
È possibile registrare fino a dieci gruppi in SA.
Impostazioni
Descrizione
[Nome]
Inserire il nome SA (utilizzando da 1 a 10 caratteri, esclusi ").
[Metodo di incapsulamento]
Selezionare un metodo di funzionamento di IPsec.
[Protocollo di sicurezza]
Selezionare un protocollo di sicurezza.
[Metodo di scambio tasti]
Selezionare il metodo di sostituzione chiave per creare in modo sicuro una chiave comune utilizzata per crittografare le comunicazioni.
[Punto di fine tunnel]
Immettere l'indirizzo IP del gateway IPsec del peer.
Questa impostazione è necessaria quando è stato selezionato [Tunnel] in [Modo incapsulamento].
[Durata dopo avere stabilito SA]
Inserire la durata di una chiave comune utilizzata per crittografare le comunicazioni.
[Impostazioni IKE]
Configurare le Impostazioni IKE utilizzate per questa SA.
Questo parametro è richiesto quando [IKEv1] o [IKEv2] è selezionato in [Metodo di scambio tasti].
[Metodo autenticazione]
Selezionare un metodo di autenticazione.
[Metodo di autenticazione locale]
Selezionare il metodo di autenticazione di questa macchina quando [IKEv2] è stato selezionato in [Metodo di scambio tasti].
[Metodo di autenticazione peer]
Selezionare il metodo di autenticazione del peer quando [IKEv2] è stato selezionato in [Metodo di scambio tasti].
[Algoritmo di crittografia ESP]
Se si seleziona [ESP] per [Protocollo di sicurezza], configurare l'algoritmo di crittografia ESP.
[Algoritmo di autenticazione ESP]
Se si seleziona [ESP] per [Protocollo di sicurezza], configurare l'algoritmo di autenticazione ESP.
[Algoritmo di autenticazione AH]
Se si seleziona [AH] per [Protocollo di sicurezza], configurare l'algoritmo di autenticazione AH.
[Perfetta segretezza di inoltro]
Selezionare questa casella di controllo se si desidera incrementare la complessità di IKE.
Selezionando questa casella, il tempo impiegato per la comunicazione aumenta.
[Gruppo Diffie-Hellman (IKEv1)]/[Gruppo Diffie-Hellman (IKEv2)]
Selezionare il Gruppo Diffie-Hellman.
[Impostazioni chiave manuale]
Quando si utilizza una periferica che non supporta lo scambio automatico della chiave con IKE, ciascun parametro deve essere configurato manualmente.
Questo parametro è richiesto quando [Tasto manuale] è selezionato in [Metodo di scambio tasti].
[Algoritmo di crittografia]
Selezionare l'algoritmo da usare per la crittografia.
[Algoritmo di autenticazione]
Selezionare l'algoritmo da utilizzare per l'autenticazione.
[Indice SA]
Specificare l'indice del parametro di sicurezza della SA da aggiungere all'intestazione IPsec.
[Crittografia tasto comune]
Specificare la chiave comune usata per la crittografia.
È possibile specificare chiavi comuni differenti per l'invio e per la ricezione.
[Autenticazione tasto comune]
Specificare la chiave comune utilizzata per l'autenticazione.
È possibile specificare chiavi comuni differenti per l'invio e per la ricezione.
In [Peer] in [Impostazioni IPsec], fare clic su [Crea ora] e registrare i peer di questa macchina.
È possibile registrare fino a 10 peer.
Impostazioni
Descrizione
[Nome]
Inserire il nome peer (utilizzando da 1 a 10 caratteri, esclusi ").
[Imposta indirizzo IP]
Specificare l'indirizzo IP del peer.
[Testo chiave precondivisa]
Inserire il testo della chiave pre-condivisa da condividere con il peer.
[ASCII]: inserire il testo della chiave pre-condivisa utilizzando i caratteri ASCII (fino a 128).
[HEX]: inserire il testo della chiave pre-condivisa utilizzando i caratteri esadecimali (fino a 256).
Specificare lo stesso testo di quello del peer.
[Testo ID-tasto]
Inserire l'ID tasto da specificare per la chiave pre-condivisa (utilizzando fino a 128 caratteri).
In [Impostazioni Protocollo] in [Impostazioni IPsec], fare clic su [Crea ora] e specificare il protocollo utilizzato per le comunicazioni IPsec.
È possibile specificare fino a 10 protocolli.
Impostazioni
Descrizione
[Nome]
Inserire il nome protocollo (utilizzando da 1 a 10 caratteri, esclusi ").
[Impostazioni identificazione protocollo]
Selezionare un protocollo utilizzato per le comunicazioni IPsec.
[Numero porta]
Se sono state selezionate le opzioni [TCP] o [UDP] in [Impostazioni identificazione protocollo], specificare il numero della porta usata per le comunicazioni IPsec.
[Tipo di messaggio ICMP]
Selezionare il tipo di messaggio ICMP quando [ICMP] è stato selezionato in [Impostazioni identificazione protocollo].
[Rich./Risposta eco]: specificare un messaggio ICMP per la richiesta oppure la risposta eco.
[Nessuno]: non si deve specificare il tipo messaggio ICMP.
[Tipo di messaggio ICMPv6]
Selezionare il tipo di messaggio ICMP quando [ICMPv6] è stato selezionato in [Impostazioni identificazione protocollo].
[Rich./Risposta eco]: specificare un messaggio ICMP per la richiesta oppure la risposta eco.
[Nessuno]: non si deve specificare il tipo messaggio ICMP.
Nel modo amministratore, selezionare [Rete] - [Impostazioni TCP/IP] - [IPsec] - [Impostazioni utilizzo IPsec], quindi fare clic su [OK].
In [Impostazioni utilizzo IPsec], configurare le seguenti impostazioni.
Impostazioni
Descrizione
[IPsec]
Selezionare [ON] per usare IPsec.
[Rilevazione Dead Peer]
Se non è possibile confermare una risposta dal peer entro un certo periodo, SA e peer saranno eliminati.
Selezionare un intervallo di tempo trascorso il quale al peer che non ha risposto saranno inviate le informazioni di conferma della sopravvivenza.
[Cookie]
Selezionare se attivare la difesa utilizzando i cookie contro gli attacchi Denial of Service.
[Impostazioni pass ICMP]
Selezionare se applicare IPsec all'Internet Control Message Protocol (ICMP).
Selezionare [Abilita] per consentire il passaggio dei pacchetti ICMP senza l'applicazione di IPsec all'ICMP.
[Impostazioni pass ICMPv6]
Selezionare se applicare IPsec all'Internet Control Message Protocol per IPv6 (ICMPv6).
Selezionare [Abilita] per consentire il passaggio dei pacchetti ICMPv6 senza l'applicazione di IPsec all'ICMPv6.
[Azione predefinita]
Selezionare un'azione da svolgere se nessuna impostazione soddisfa la [Politica IPsec] mentre le comunicazioni IPsec sono attivate.
Selezionare [Rifiuta] per ignorare i pacchetti IP che non soddisfano le impostazioni [Politica IPsec].
[Impostazioni livello verifica certificato]
Per verificare il certificato, selezionare le voci da controllare.
Se si seleziona [Confermare] in ogni voce, il certificato viene verificato in ogni voce.
[Periodo di validità]
Confermare se il certificato è ancora valido.
[Confermare] è specificato in modo predefinito.
[Utilizzo tasti]
Confermare se il certificato è utilizzato secondo lo scopo a cui è destinato, approvato dall'autore del certificato.
[Non confermare] è specificato in modo predefinito.
[Catena]
Confermare se esiste un problema nella catena del certificato (percorso del certificato).
La catena è validata referenziando i certificati esterni gestiti su questa macchina.
[Non confermare] è specificato in modo predefinito.
[Conferma data di scadenza]
Confermare se il certificato è scaduto.
Confermare la scadenza del certificato nel seguente ordine.
Servizio OCSP (Online Certificate Status Protocol)
CRL (Certificate Revocation List)
[Non confermare] è specificato in modo predefinito.
In [Politica IPsec] in [Impostazioni utilizzo IPsec], fare clic su [Crea ora], quindi configurare le seguenti impostazioni.
È possibile specificare le condizioni dei pacchetti IP perché passino o consentano i pacchetti IP che soddisfano ognuna delle condizioni.
Impostazioni
Descrizione
[Nome]
Inserire il nome per la politica IPsec (utilizzando da 1 a 10 caratteri, esclusi ").
[Peer]
Selezionare un'impostazione peer.
Selezionare un'impostazione da quelle registrate in [Peer] in [Impostazioni IPsec].
[Impostazioni protocollo]
Selezionare un protocollo.
Selezionare un'impostazione da quelle registrate in [Impostazioni Protocollo] in [Impostazioni IPsec].
[Impostazioni IPsec]
Selezionare un'impostazione peer.
Selezionare un'impostazione da quelle registrate in [SA] in [Impostazioni IPsec].
[Direzione comunicazione]
Selezionare una direzione delle comunicazioni IPsec.
[Azione]
Selezionare un'azione da svolgere per i pacchetti IP che soddisfano i requisiti stabiliti in [Peer], [Impostazioni protocollo] e [Direzione comunicazione].
[Protetto]: protegge i pacchetti IP che soddisfano le condizioni.
[Permetti]: non protegge i pacchetti IP che soddisfano le condizioni.
[Blocca]: ignora i pacchetti IP che soddisfano le condizioni.
[Annulla]: rifiuta i pacchetti IP che soddisfano le condizioni.
Nel modo amministratore, selezionare [Rete] - [Imp. TCP/IP] - [IPsec] - [Controllo comunicazioni], quindi verificare che una connessione con un peer possa essere stabilita normalmente dall'impostazione specificata.
Inserire l'indirizzo IP in [Indirizzo IP], quindi fare clic su [Contr. conness].