Come configurare le impostazioni IPsec
Leggere il codice QR con il dispositivo portatile.
Come si configurano le impostazioni IPsec?
Per garantire comunicazioni più sicure, questo dispositivo supporta il protocollo IPsec. Quando viene applicato, il protocollo IPsec crittografa i pacchetti di dati a livello di rete tramite una crittografia a chiave condivisa. Il dispositivo utilizza lo scambio del codice di crittografia per creare una chiave condivisa comune a mittente e destinatario. Per una sicurezza sempre maggiore, è inoltre possibile rinnovare periodicamente la chiave condivisa.
Importante
- IPsec non si applica ai dati ottenuti attraverso DHCP o DNS.
- Se non si riesce ad accedere a Web Image Monitor a causa di problemi di configurazione IPsec, disabilitare IPsec in [Admin. Tools] (Strumenti amministratore) dal pannello di controllo, quindi accedere a Web Image Monitor. Per ulteriori informazioni su come disabilitare IPsec dal pannello di controllo, consultare Disabilitazione di IPsec dal pannello di controllo.
Questa risposta illustra la procedura per specificare le impostazioni dello scambio del codice di crittografia. Per specificare le impostazioni dello scambio del codice di crittografia, è necessario innanzitutto configurare le impostazioni IPsec da Web Image Monitor e successivamente configurare le stesse impostazioni IPsec sul PC.
Dopo aver configurato IPSec, è possibile utilizzare il comando "Ping" per verificare se la connessione è stata stabilita in maniera corretta. Poiché la risposta è lenta durante lo scambio iniziale di codice, può essere necessario del tempo per avere la conferma che la trasmissione è stata stabilita.
Importante
- [IPsec Settings] (Impostazioni IPsec) viene visualizzato soltanto se è stata configurata la password amministratore. Specificarla mediante Web Image Monitor.
Nota
- Quando si inserisce un indirizzo IPv4, non iniziare i segmenti con zero. Per esempio: se l'indirizzo è "192.168.001.010", è necessario inserirlo come "192.168.1.10".
- I browser web consigliati sono Internet Explorer 10 o versione successiva, Microsoft Edge, Google Chrome, Firefox 3.0 o versione successiva e Safari 11.0 o versione successiva.
Avviare il browser Web.
Nella barra del browser Web inserire "http://(indirizzo IP della periferica)/" per accedere alla periferica.
Se si utilizza un server DNS o WINS ed è stato specificato il nome host del dispositivo, è possibile digitare il nome host anziché l'indirizzo IP.
Appare la pagina principale di Web Image Monitor.Fare clic su [IPsec Settings] (Impostazioni IPsec).
Fare clic sulla scheda [IPsec Policy List] (Elenco policy IPsec).
Selezionare nell’elenco il numero dell'impostazione che si desidera modificare, quindi fare clic su [Change] (Modifica).
Se necessario, modificare le impostazioni relative al protocollo IPsec.
Digitare la password amministratore, quindi fare clic su [Apply] (Applica).
Fare clic sulla scheda [IPsec Global Settings] (Impostazioni globali IPsec), quindi selezionare [Active] (Attivo) in [IPsec Function] (Funzione IPsec).
Se necessario, selezionare anche [Default Policy] (Policy predefinita), [Broadcast and Multicast Bypass] (Ignora broadcast e multicast) e [All ICMP Bypass] (Ignora ICMP).
Digitare la password amministratore, quindi fare clic su [Apply] (Applica).
Fare clic sulla scheda [IPsec Global Settings] (Impostazioni globali IPsec) nella pagina delle impostazioni IPsec per configurare le impostazioni globali IPsec.
Voce | Descrizione |
Funzione IPsec | Abilitare o disabilitare IPsec. |
Policy predefinita | Scegliere se consentire o meno la policy IPsec predefinita. |
Ignora broadcast e multicast | Selezionare i servizi ai quali non applicare la protezione IPsec tra: [DHCPv4], [DHCPv6], [SNMP], [mDNS], [NetBIOS], [UDP Port 53550] |
Ignora ICMP | Selezionare se applicare o meno la protezione IPsec ai pacchetti ICMP (IPv4 e IPv6) tra: [Active] (Attivo): Tutti i pacchetti ICMP verranno ignorati senza la protezione IPsec. Il comando “ping” (richiesta eco e risposta eco) non è incapsulato da IPsec. [Inactive] (Inattivo): Alcuni tipi di messaggio ICMP verranno ignorati senza la protezione IPsec. |
Per visualizzare l’elenco delle policy IPsec registrate, fare clic sulla scheda [IPsec Policy List] (Elenco policy IPsec) nella pagina delle impostazioni di sicurezza IP.
Voce | Descrizione |
Nr. | Numero policy IPsec. |
Nome | Visualizza il nome della policy IPsec. |
Impostazioni indirizzo | Visualizza il filtro dell'indirizzo IP della policy IPsec come segue: Indirizzo remoto/lunghezza prefisso |
Azione | Visualizza l'azione della policy IPsec come "Allow" (Permetti), "Drop" (Rifiuta) o "Require Security" (Richiedi sicurezza). |
Stato | Visualizza lo stato della policy IPsec come "Active" (Attivo) o "Inactive" (Inattivo). |
Per configurare le policy IPsec, selezionare la policy IPsec desiderata, quindi fare clic su [Change] (Modifica) per aprire la pagina "IPsec Policy Settings" (Impostazioni policy IPsec). Nella pagina "IPsec Policy Settings” (Impostazioni policy IPsec) è possibile configurare le seguenti impostazioni.
Impostazioni policy IP
Voce | Descrizione |
Nr. | Specificare un numero compreso tra 1 e 10 per la policy IPsec. Il numero specificato determinerà la posizione della policy nella lista policy IPsec. La ricerca delle policy viene eseguita in base all'ordine della lista. Se il numero specificato è stato già assegnato a un'altra policy, quella che si sta configurando prenderà il numero della policy precedente e la policy precedente e tutte quelle successive verranno rinumerate di conseguenza. |
Attività | Abilitare o disabilitare la policy. |
Nome | Immettere il nome della policy. Può contenere fino a 16 caratteri. |
Tipo indirizzo | Selezionare IPv4 o IPv6 come tipo di indirizzo IP da utilizzare nella comunicazione IPsec. |
Indirizzo locale | Visualizza l'indirizzo IP di questo dispositivo. |
Indirizzo remoto | Immettere l'indirizzo IPv4 o IPv6 del dispositivo con il quale comunicare. Può contenere fino a 39 caratteri. |
Lunghezza prefisso | Inserire la lunghezza del prefisso dell'indirizzo remoto, utilizzando un valore compreso tra 1 e 128. Se questa impostazione viene lasciata vuota, verrà selezionato automaticamente "32" (IPv4) o "128" (IPv6). |
Azione | Specificare come vengono elaborati i pacchetti IP, scegliendo tra le seguenti opzioni:
|
Impostazioni IPsec
Voce | Descrizione |
Tipo di encapsulation | Specificare il tipo di incapsulamento, scegliendo tra:
|
Protocollo di sicurezza | Selezionare il protocollo di sicurezza tra:
|
Algoritmo autenticazione per AH | Specificare l’algoritmo di autenticazione da applicare quando si seleziona [AH] o [ESP&AH] per [Security Protocol] (Protocollo di sicurezza) scegliendo tra: [MD5], [SHA1] |
Algoritmo crittografia per ESP | Specificare l'algoritmo di crittografia da applicare quando si seleziona [ESP] o [ESP&AH] per [Security Protocol] (Protocollo di sicurezza) scegliendo tra: [None] (Nessuno), [DES], [3DES], [AES-128], [AES-192], [AES-256] |
Algoritmo autenticazione per ESP | Specificare l’algoritmo di autenticazione da applicare quando si seleziona [ESP] per [Security Protocol] (Protocollo di sicurezza) scegliendo tra: [MD5], [SHA1] |
Durata | Specificare la durata dell'IPsec SA (Security Association) come periodo di tempo o volume di dati. La SA scadrà una volta terminato il periodo di tempo specificato o una volta raggiunto il volume di dati specificato. Se si specifica sia un periodo di tempo sia un volume di dati, la SA scadrà non appena verrà raggiunto uno dei due limiti specificati e quindi si otterrà una nuova SA tramite negoziazione. Per specificare la durata della SA come periodo di tempo, digitare un numero di secondi. Per specificare la durata della SA come volume di dati digitare un numero di KB. |
PFS per chiave | Abilitare o disabilitare PFS (Perfect Forward Secrecy). |
Impostazioni IKE
Voce | Descrizione |
Versione IKE | Visualizza la versione IKE. |
Algoritmo crittografia | Specificare l'algoritmo di crittografia scegliendo tra: [DES], [3DES], [AES-128], [AES-192], [AES-256] |
Algoritmo autenticazione | Specificare l'algoritmo di autenticazione scegliendo tra: [MD5], [SHA1] |
Durata IKE | Specificare la durata della ISAKMP SA come periodo di tempo. Immettere un numero di secondi. |
Gruppo Diffie-Hellman IKE | Selezionare il gruppo Diffie-Hellman IKE da utilizzare nella generazione del codice di crittografia IKE scegliendo tra: [DH1], [DH2] |
Chiave precondivisa | Specificare la chiave precondivisa da utilizzare per l'autenticazione di un dispositivo di comunicazione. Può contenere fino a 32 caratteri. |
PFS per chiave | Abilitare o disabilitare PFS (Perfect Forward Secrecy). |
Specificare sul computer esattamente le stesse impostazioni IPsec SA specificate sul dispositivo. I metodi di impostazione differiscono in base al sistema operativo del computer. La seguente procedura è basata su Windows 10 in un ambiente IPv4 e rappresenta un esempio.
Dal menu [Start], fare clic su [Control Panel] (Pannello di controllo), [System and Security] (Sistema e sicurezza), quindi fare clic su [Administrative Tools] (Strumenti amministratore).
Fare doppio clic su [Local Security Policy] (Criteri di protezione locale), quindi fare clic su [IP Security Policies on Local Computer] (Criteri di protezione IP su computer locale).
Nel menu "Azione", fare clic su [Create IP Security Policy...] (Crea criterio di protezione IP...).
Appare la procedura guidata dei criteri di sicurezza IP.
Fare clic su [Avanti].
Inserire il nome dei criteri di sicurezza in "Nome", quindi fare clic su [Next] (Avanti).
Deselezionare la casella di controllo "Attiva la regola di risposta predefinita (solo versione precedente di Windows)", quindi fare clic su [Next] (Avanti).
Selezionare "Modifica proprietà", quindi fare clic su [Finish] (Fine).
Fare clic su [Settings...] (Impostazioni...) nella scheda "Generale".
In "Autentica e genera una nuova chiave ogni", inserire lo stesso periodo di validità (in minuti) specificato sul dispositivo in [IKE Life Time] (Durata IKE), quindi fare clic su [Methods...] (Metodi...).
Verificare che le impostazioni dell'algoritmo di crittografia ("Crittografia"), dell'algoritmo hash ("Integrità") e del gruppo Diffie-Hellman IKE ("Gruppo Diffie-Hellman") in "Ordine di preferenza metodi di protezione" corrispondano a quelle specificate sul dispositivo in [IKE Settings] (Impostazioni IKE).
Se le impostazioni non sono visualizzate, fare clic su [Aggiungi...].
Fare clic due volte su [OK].
Fare clic su [Add...] (Aggiungi...) nella scheda "Regole".
Appare la procedura guidata Regola di sicurezza.
Fare clic su [Avanti].
Selezionare "Questa regola non specifica un tunnel", quindi fare clic su [Next] (Avanti).
Selezionare il tipo di rete per IPsec, quindi fare clic su [Next] (Avanti).
Fare clic su [Add...] (Aggiungi...) nell'elenco dei filtri IP.
In [Name] (Nome), inserire un nome di filtro IP, quindi fare clic su [Add...] (Aggiungi...).
Appare la procedura guidata per il filtro IP.
Fare clic su [Avanti].
In [Description:] (Descrizione:), inserire un nome o una spiegazione dettagliata del filtro IP, quindi fare clic su [Next] (Avanti).
Sarà possibile fare clic su [Avanti] e procedere con la fase successiva senza inserire nessuna informazione in questo campo.
Selezionare "Indirizzo IP" in "Indirizzo sorgente", quindi fare clic su [Next] (Avanti).
Selezionare "Indirizzo IP specifico o sottorete" in "Indirizzo di destinazione", digitare l'indirizzo IP del dispositivo e fare clic su [Next] (Avanti).
Per il tipo di protocollo IPsec, selezionare "Qualsiasi" e fare clic su [Next] (Avanti).
Fare clic su [Finish] (Fine) e quindi su [OK].
Selezionare il filtro IP appena creato e fare clic su [Next] (Avanti).
Fare clic su [Add...] (Aggiungi...) in Azione del filtro.
Appare la procedura guidata di azione del filtro.
Fare clic su [Avanti].
In [Name] (Nome), digitare un nome di filtro, quindi fare clic su [Next] (Avanti).
Selezionare "Negozia sicurezza", quindi fare clic su [Next] (Avanti).
Selezionare una delle opzioni per i computer con cui comunicare, quindi fare clic su [Next] (Avanti).
Selezionare "Personalizzato" e fare clic su [Settings...] (Impostazioni...).
Quando per il dispositivo si seleziona [ESP] in [Security Protocol] (Protocollo di sicurezza) in [IPsec Settings] (Impostazioni IPsec), selezionare [Data integrity and encryption (ESP)] (Integrità dati con crittografia (ESP)) e configurare le seguenti impostazioni:
Per [Integrity algorithm] (Algoritmo di integrità) impostare lo stesso valore di [Authentication Algorithm for ESP] (Algoritmo autenticazione per ESP) specificato sul dispositivo.
Per [Encryption algorithm] (Algoritmo di crittografia) impostare lo stesso valore di [Encryption Algorithm for ESP] (Algoritmo di crittografia per ESP) specificato sul dispositivo.Quando per il dispositivo si seleziona [AH] in [Security Protocol] (Protocollo di sicurezza) in [IPsec Settings] (Impostazioni IPsec), selezionare [Data and address integrity without encryption (AH)] (Integrità dati e indirizzi, senza crittografia (AH)) e configurare le seguenti impostazioni:
Per [Integrity algorithm] (Algoritmo di integrità) impostare lo stesso valore di [Authentication Algorithm for AH] (Algoritmo autenticazione per ESP) specificato sul dispositivo.
Deselezionare la casella di controllo [Integrità dati con crittografia (ESP)].Quando per il dispositivo si seleziona [ESP&AH] in [Security Protocol] (Protocollo di sicurezza) in [IPsec Settings] (Impostazioni IPsec), selezionare [Data and address integrity without encryption (AH)] (Integrità dati e indirizzi, senza crittografia (AH)) e configurare le seguenti impostazioni:
Per [Integrity algorithm] (Algoritmo di integrità) in [Data and address integrity without encryption (AH)] (Integrità dati e indirizzi, senza crittografia (AH)) impostare lo stesso valore di [Authentication Algorithm for AH] (Algoritmo di autenticazione per AH) specificato sul dispositivo.
Per [Encryption algorithm] (Algoritmo di crittografia) in [Data integrity and encryption (ESP)] (Integrità dati con crittografia (ESP)) impostare lo stesso valore di [Encryption Algorithm for ESP] (Algoritmo crittografia per ESP) specificato sul dispositivo.Nelle impostazioni della chiave di sessione, selezionare "Genera nuova chiave ogni", quindi immettere lo stesso periodo di validità (in [Secondi] o [Kbyte]) specificato sul dispositivo per [Life Time] (Durata).
Fare clic su [OK] quindi su [Next] (Avanti).
Fare clic su [Fine].
Se si sta utilizzando IPv6 con Windows Vista o una versione successiva di Windows, è necessario ripetere questa procedura dalla fase 12 e specificare ICMPv6 come eccezione. Una volta raggiunto il punto 22, selezionare [58] come numero di protocollo per il tipo di protocollo di destinazione "Altro", quindi impostare [Negotiate security] (Negozia protezione) su [Permit] (Autorizza).
Selezionare il filtro appena creato e fare clic su [Next] (Avanti).
Selezionare una delle opzioni per un metodo di autenticazione, quindi fare clic su [Next] (Avanti).
Fare clic su [Finish] (Fine), quindi due volte su [OK].
I nuovi criteri di sicurezza IP (impostazioni IPsec) sono specificati.
Fare clic su [IP Security Policies on Local Computer] (Criteri di protezione IP su computer locale).
Fare clic con il tasto destro del mouse sui criteri di sicurezza appena creati, dopo averli selezionati, quindi fare clic su [Assign] (Assegna).
Le impostazioni IPsec sono attivate sul computer.
Nota
- Per disabilitare le impostazioni IPsec del computer, selezionare i criteri di sicurezza, fare clic con il tasto destro e poi fare clic su [Un-assign] (Annulla assegnazione).
Ulteriori informazioni
IPsec si compone di due funzioni principali: la funzione di crittografia, che assicura la riservatezza dei dati e la funzione di autenticazione che verifica il mittente e l'integrità dei dati. La funzione IPsec di questo dispositivo supporta due protocolli di sicurezza: il protocollo ESP, che abilita entrambe le funzioni IPsec contemporaneamente, e il protocollo AH, che abilita solo la funzione di autenticazione.
Protocollo ESP
Il protocollo ESP garantisce trasmissioni sicure utilizzando sia la crittografia che l'autenticazione. Questo protocollo non offre l'autenticazione tramite header.
- Perché la crittografia avvenga correttamente, sia il mittente che il destinatario devono specificare lo stesso algoritmo di crittografia e codice di crittografia. L'algoritmo e il codice di crittografia vengono specificati automaticamente.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
Protocollo AH
Il protocollo AH fornisce trasmissione sicura mediante la sola autenticazione del pacchetto, testate incluse.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
Protocollo AH + Protocollo ESP
Se combinati, i protocolli ESP e AH forniscono la trasmissione sicura mediante crittografia e autenticazione. Questi protocolli forniscono l'autenticazione della testata.
- Perché la crittografia avvenga correttamente, sia il mittente che il destinatario devono specificare lo stesso algoritmo di crittografia e codice di crittografia. L'algoritmo e il codice di crittografia vengono specificati automaticamente.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
Nota
- Alcuni sistemi operativi usano il termine "Compatibilità" al posto di "Autenticazione".
Questo dispositivo utilizza lo scambio del codice di crittografia come metodo di impostazione del codice. Con questo metodo, accordi come l'algoritmo e il codice IPsec devono essere specificati sia per il mittente sia per il destinatario. Tali accordi formano ciò che è conosciuto come SA (Security Association). La comunicazione IPsec è possibile solo se le impostazioni SA del mittente e del destinatario sono identiche.
Le impostazioni SA vengono configurate automaticamente sui dispositivi di entrambi. Prima che possa essere stabilita la IPsec SA, tuttavia, è necessario che l'impostazione ISAKMP SA (Fase 1) venga configurata automaticamente. Una volta effettuato ciò, le impostazioni IPsec SA (Fase 2), che consentono la reale trasmissione IPsec, vengono configurate automaticamente.
Inoltre, per una maggiore sicurezza, SA può essere aggiornato automaticamente applicando un periodo di validità (limite di tempo) per le sue impostazioni. Questo dispositivo supporta solo IKEv1 per lo scambio del codice di crittografia.
È possibile configurare più impostazioni in SA.Impostazioni 1-10
È possibile impostare dieci set separati di informazioni SA (ad esempio i diversi codici condivisi e algoritmi IPsec).
I criteri IPsec vengono ricercati uno ad uno, a partire dal [No.1] (N. 1).Importante
- Questa funzione è disponibile solo quando viene specificata una password amministratore.
Premere il tasto [Menu].
Premere il tasto [] o [] per selezionare [Admin. Tools] (Strumenti amministratore), quindi premere il tasto [OK].
Se necessario, inserire la password amministratore.
Premere il tasto [] o [] per selezionare [IPsec], quindi premere il tasto [OK].
Premere il tasto [] o [] per selezionare [Active] (Attivo) o [Inactive] (Inattivo), quindi premere il tasto [OK].
Premere il tasto [Menu] per tornare alla schermata iniziale.