Kako kreirati automatske profile na osnovu WiFi mreže koju koristite

  • Mrežni profili vam omogućavaju automatizaciju IP adrese, DNS-a, zaštitnog zida, VPN-a i dijeljenih resursa na osnovu WiFi mreže ili lokacije.
  • Alati poput Easy Net Switch, NetSetMan ili TCP/IP Manager proširuju izvorne funkcije Windowsa kako bi se okruženja prebacivala jednim klikom.
  • U korporativnim okruženjima, Intune centralno distribuira WiFi profile (uključujući PSK i EAP u XML formatu) na više platformi.
  • Dodatni sigurnosni profili, kao što su profili veze i IPsec profili na ruterima, upotpunjuju zaštitu i automatizaciju na svim lokacijama.
Joaquin Romero

19 minuta

Kako kreirati automatske profile za vašu Wi-Fi mrežu

Ako stalno prelazite između kućne Wi-Fi mreže, kancelarijske mreže, univerzitetske mreže ili mobilne pristupne tačke, ručna promjena mrežnih postavki je prava muka. Srećom, Windows i drugi operativni sistemi nude načine za... kreirajte automatske profile na osnovu WiFi mreže na koju se povezujete, kontrolisati koji je interfejs aktiviran u bilo kojem trenutku i primijeniti sigurnosne politike ili zaštitne zidove prilagođene svakom okruženju.

U ovom članku ćete detaljno vidjeti kako oni funkcionišu mrežni profiliŠta vam omogućavaju da radite u Windowsu, kako ih integrirati s alatima poput Intunea ili sigurnosnim rješenjima, koje programe trećih strana imate za daljnje korištenje i kako se sve ovo uklapa s konceptima poput lokacija, prioritetnih grupa interfejsa ili IPsec profila u korporativnim ruterima.

Šta je mrežni profil i zašto biste bili zainteresirani za njegovo korištenje?

Mrežni profil je u osnovi skup unaprijed definirani parametri koji se primjenjuju na vezu (ili nekoliko) ovisno o određenim uvjetima: WiFi mreža na koju se povezujete, aktivni interfejs, lokacija itd. Ovi parametri mogu varirati od IP i DNS adrese do pravila zaštitnog zida, korištenja VPN-a, štampača, dijeljenih resursa ili čak prilagođenih skripti.

U Windowsu, sistem već klasificira mreže kao javno ili privatnoKada se prvi put povežete na Wi-Fi ili LAN mrežu, sistem vas pita da li je to pouzdana mreža. Ako odgovorite potvrdno, smatra se privatnom; ako ne, javnom. Na osnovu ove odluke, sistem prilagođava zaštitni zid (firewall) i vidljivost vašeg uređaja na mreži, smanjujući sigurnost na kućnim mrežama ili malim kancelarijama, a pojačavajući je na mrežama u hotelima, aerodromima ili kafićima.

U a privatna mrežaWindows pretpostavlja da vi kontrolišete ko se povezuje i da su uređaji poznati. To vam omogućava, na primjer, da otkrijete druge računare na mreži, pristupite dijeljenim mapama, pošaljete zadatke štampanja na mrežne štampače ili koristite funkcije poput HomeGroup ili streaminga na Smart TV. Sistem smanjuje ograničenja jer razumije da je okruženje relativno sigurno.

U a javna mrežaWindows pretpostavlja da mreža nije pouzdana. Stoga onemogućava otkrivanje uređaja, dijeljenje datoteka i pisača i druge usluge koje bi vas mogle izložiti napadima s drugih povezanih uređaja. ranjivosti poput onih u WhatsAppuI dalje možete pretraživati ​​internet, ali vaš uređaj je izoliran od ostalih, što je ključno kada se povezujete na WiFi u trgovačkom centru, aerodromu ili otvorenoj mreži.

Problem nastaje kada se isti laptop premješta više mreža sa vrlo različitim zahtjevimaNekome bi mogla biti potrebna statička IP adresa, drugom DHCP; nekome bi moglo biti potrebno da koristite korporativni proxy, drugom da aktivirate VPN, a trećem možda ne. Ručna promjena ovoga svaki put je zamorna i sklona greškama. Tu dolaze do izražaja napredni mrežni profili, kako u Windowsu tako i putem specijaliziranih programa.

Automatizirajte postavke prilikom promjene WiFi mreža u Windowsu

Windows vam omogućava definiranje različitih parametara po mrežnom profilu (javnom ili privatnom) i po određenoj vezi, ali integrirano upravljanje nije dovoljno ako želite Promijenite IP, DNS, proxy, VPN i firewall odjednom svaki put kada otkrijete drugačiji SSID. Za ovo je uobičajeni pristup kombinovanje onoga što sistem nudi sa eksternim alatima koji upravljaju naprednim profilima.

U grafičkom interfejsu za upravljanje mrežom nekih okruženja (na primjer, distribucije koje koriste koncepte slične Solarisovim NCP-ovima) pravi se razlika reaktivni i fiksni mrežni profiliReaktivni profil "Automatic" prvo pokušava uspostaviti žičanu vezu, a ako to ne uspije, pribjegava bežičnoj vezi. Fiksni profil "DefaultFixed" definira statički skup interfejsa koji ostaju nepromijenjeni sve dok se ne modificiraju pomoću alata komandne linije.

Ovi profili kontrolišu koji interfejsi mogu biti aktivirati ili deaktivirati u bilo kojem trenutkuNa tipičnom laptopu s Ethernetom i Wi-Fi-jem, možda biste željeli koristiti samo Ethernet kada je kabel dostupan i isključiti Wi-Fi radi sigurnosti ili obrnuto. Grafički korisnički interfejs za mrežne postavke obično nudi prikaze statusa veze, mrežnog profila i svojstava veze, gdje možete vidjeti trenutni status, koji je profil aktivan i specifična svojstva (IP adresa, IPv4/IPv6, omiljene bežične mreže itd.).

Osim toga, možete definirati lokacije Ove postavke grupišu konfiguracije kao što su usluge imena, zaštitni zid i IPsec, a aktiviraju se ručno ili uvjetno prema pravilima (na primjer, lokacija "Ured" ako dobijete IP adresu iz određenog raspona i lokacija "Kuća" s različitim pravilima). Samo jedna lokacija može biti aktivna u jednom trenutku, a može se promijeniti putem ikone statusa mreže ili naredbama poput netadm na sistemima sličnim Solarisu.

Programi za automatsko kreiranje profila po WiFi mreži

Da bi se prevazišlo ono što Windows nudi po zadanim postavkama, postoje specifični alati koji omogućavaju kreirajte i primijenite kompletne mrežne profile To zavisi od mreže (SSID) na koju se povezujete ili aktivnog adaptera. Mnogi od njih podržavaju Windows XP do Windows 11.

Jednostavan prekidač za mrežu

Jednostavan prekidač za mrežu To je plaćeni program za Windows koji se ističe po ogromnom broju mrežnih postavki koje može obraditi. Iako njegov interfejs podsjeća na eru Windowsa XP, ostaje kompatibilan sa... Windows XP, 7, 8, 10 i 11, i uključuje i GUI i način rada komandne linije za napredne korisnike.

Pomoću Easy Net Switch-a možete definirati profile koji kontroliraju gotovo sve: IP adresa, maska ​​podmreže, gateway, DNS, WINS, NetBIOS, lažiranje MAC adrese, WiFi, VPN, proxy, zaštitni zid, zadani pisač, mrežni diskovi, statičke rutepa čak i pokretati skripte ili mijenjati hosts datoteku. Svaki parametar je opcionalan; možete se ograničiti na IP i DNS ili postaviti vrlo složen profil za korporativno okruženje.

Kreiranje profila se obično vrši klikom na dugme "Novo", koristeći osnovni čarobnjak koji zatim možete prilagoditi. U odjeljku "Mreža" birate da li se IP adresa i DNS dobijaju putem DHCP-a ili su statički, a u odjeljku "Napredno" možete mijenjati WINS, NetBIOS, mijenjati MAC adresu, brisati DNS keš memoriju i još mnogo toga. Prilikom primjene profila, program prikazuje Sažetak promjena i eventualnih grešakašto olakšava dijagnosticiranje ako nešto ne funkcionira.

U odjeljku WiFi, Easy Net Switch vam omogućava da definišete bežični profili povezani sa određenim SSID-ovimaMožete skenirati dostupne mreže ili ručno unijeti naziv i prilagoditi autentifikaciju: od unaprijed podijeljenih ključeva (PSK) do jake autentifikacije s RADIUS-om i raznim EAP protokolima. Ovo omogućava, na primjer, da se profil s ispravnim ključem, odgovarajućom EAP autentifikacijom i, ako je potrebno, VPN-om automatski pripremi svaki put kada vidite SSID kompanije.

Program također upravlja postavkama za korporativni punomoćnik (uključujući autentifikaciju), Dial-Up, VPN, pa čak nudi i integrirane alate poput pinga i traceroutea, kao i widget za radnu površinu za pregled trenutne IP adrese u svakom trenutku. Njegove opcije uključuju pokretanje s Windowsom, minimiziranje u sistemsku traku, onemogućavanje automatskog otkrivanja Wi-Fi mreže i zaštitu pristupa programu lozinkom kako bi se spriječile neovlaštene promjene.

TCP/IP menadžer

TCP/IP menadžer To je besplatan projekt otvorenog koda koji, iako nije ažuriran godinama, i dalje dobro radi na novijim verzijama Windowsa. Fokusira se na kreiranje neograničenog broja mrežnih profila koji brzo mijenjaju IP konfiguracija, maska ​​podmreže, gateway, DNS, proxy, naziv radne grupe i MAC adresa.

Jedna od njegovih prednosti je što omogućava uvoz trenutne konfiguracije Sistem vam omogućava da kreirate profil iz postojećih postavki bez potrebe da sve ručno unosite. Također nudi opciju povezivanja batch datoteka sa svakim profilom, tako da se njegovom aktivacijom automatski izvršavaju dodatne naredbe (na primjer, montiranje mrežnih diskova ili pokretanje VPN-a).

Prebacivanje između profila može se izvršiti iz samog interfejsa ili putem vruće tipkeIdealno za korisnike kojima je potrebno brzo prebacivanje između okruženja (korporativna mreža, laboratorija, klijent itd.). Nadalje, program se automatski ažurira putem weba kada su dostupne nove verzije, eliminirajući potrebu za ručnim preuzimanjem.

Promjena IP adrese

Promjena IP adrese To je lagana i besplatna opcija dizajnirana za one kojima je potrebno nešto jednostavnije. Podržava Windows XP i novije verzije, uključujući Windows 10 i Windows 11i radi s različitim adapterima, i Ethernet i WiFi.

Njegova glavna funkcija je da vam omogući promjenu bez ponovnog pokretanja IP konfiguracija, maska ​​podmreže, gateway i DNS adaptera. Također obrađuje konfiguracije proxyja za preglednike poput Microsoft Edgea ili Firefoxa, integrira brzu ping naredbu i može detektirati uređaje prisutne na LAN mreži, kao i prikazati javnu IP adresu koju internet vidi.

Nema nivo dubine kao Easy Net Switch ili NetSetMan, ali za... prebacivanje između dva ili tri osnovna okruženja (na primjer, statička IP adresa u industrijskoj mreži i DHCP kod kuće) je obično dovoljna.

NetSetMan

NetSetMan Vjerovatno je najmoćnija besplatna alternativa za Easy Net Switch. Ima besplatnu verziju sa do osam profila i plaćenu Pro verziju sa Neograničeni profili i više poslovno orijentisanih opcijaNjihova filozofija je da jednim klikom možete aktivirati kompletan set mrežnih postavki.

Među konfiguracijama koje omogućava su klasične (IP, maska, gateway, DNS), radna grupa, zadani štampač, mrežni diskovi, tabela usmjeravanja, SMTP server, naziv računara, MAC adresa, status mrežne kartice, brzina interfejsa, MTU, VLAN i još mnogo toga. Također možete definirati parametre VPN servera, pokretati batch, VBScript ili JavaScript skripte prilikom promjene profila, pokretati druge programe, pa čak i detaljno upravljati WiFi postavkama.

Pro verzija dodaje funkcije kao što su napredne konfiguracije proxyja i mrežne domeneOvo je veoma korisno za integraciju sa okruženjima korporativnih domena i centralizovanim proxy serverima. Međutim, besplatna verzija se ne može koristiti na Windows Serveru i ograničava broj profila na osam, što treba imati na umu ako upravljate mnogim lokacijama.

WiFi profili upravljani putem Microsoft Intunea

U korporativnim okruženjima gdje upravljate stotinama ili hiljadama uređaja, ne možete se osloniti na to da će svaki korisnik ispravno konfigurirati svoju Wi-Fi mrežu. Tu nastupa Microsoft Intune, koji vam omogućava da Kreirajte WiFi profile i distribuirajte ih na Windows, Android, iOS i macOS uređaje. i drugi, na centralizovan način.

Un Intune WiFi profil To je skup parametara veze (SSID, tip sigurnosti, metoda autentifikacije, lozinka, certifikati itd.) dodijeljenih grupama korisnika ili uređaja. Nakon što uređaj primi profil, mreža se pojavljuje na listi poznatih mreža i, ako je unutar dometa, uređaj se može automatski povezati bez potrebe da korisnik mijenja bilo kakve postavke.

Da biste kreirali standardni WiFi profil u Intuneu, slijedite sličan postupak kao i za druge politike: pristupate Centar za administraciju Microsoft IntuneaIdite na Uređaji, Postavke, kreirajte novu politiku, odaberite platformu (Android, iOS, macOS, Windows 10/11, itd.) i odaberite "Wi-Fi" ili odgovarajući predložak kao vrstu profila. Zatim definirajte naziv profila, opis i konfigurirajte opcije specifične za platformu: SSID, vrstu autentifikacije (WPA2, WPA3, EAP-TLS, itd.), korištenje certifikata, napredne parametre i na kraju dodijelite profil odgovarajućim grupama.

Alokacija se može filtrirati pomoću oznake opsegaOvo je korisno za razdvajanje odgovornosti između različitih IT timova (na primjer, lokalni tim za podršku koji upravlja samo jednom zemljom). Nakon distribucije, profil se pojavljuje na listi Intune profila i automatski se primjenjuje kada se uređaji sinhronizuju.

WiFi profili s PSK i XML konfiguracijom pomoću Intunea

Koraci za kreiranje automatskih profila na vašoj Wi-Fi mreži

Pored standardnih WiFi profila, Intune vam omogućava da definišete WiFi profili zasnovani na unaprijed podijeljenom ključu (PSK) i EAP-u korištenjem prilagođenih direktiva i WiFi CSP-a. To se radi putem XML datoteka koje opisuju bežični profil i šalju se uređajima putem OMA-URI-ja.

Unaprijed podijeljeni ključevi se obično koriste za autentifikuje korisnike na kućnim WiFi mrežama ili malim bežičnim LAN mrežamaPomoću Intunea možete kreirati prilagođenu politiku konfiguracije uređaja koja sadrži Wi-Fi profil u XML formatu i OMA-URI konfiguraciju koja ga dostavlja operativnom sistemu. Ova opcija je dostupna za Android (uključujući načine rada Enterprise i Work profila), Windows i mreže zasnovane na EAP-u.

Da bi to funkcioniralo, potrebno je pripremiti XML datoteku koja opisuje profil, uključujući Naziv profila, SSID (u tekstu i heksadecimalnom obliku), vrsta autentifikacije, vrsta šifriranja, ključ, način povezivanja, da li je mreža skrivenaitd. Opcionalno, možete izdvojiti ovaj XML sa Windows računara koji već ima konfigurisanu mrežu pomoću netsh naredbi.

Kreiranje prilagođene politike u Intuneu uključuje povratak na Uređaje, Postavke, kreiranje nove politike, odabir platforme i odabir tipa "Prilagođeno". Unutar opcije konfiguracije Dodajte novi OMA-URI unos koji označava:

  • ime i opis konfiguracije.
  • El OMA-URI pogodno, na primjer:
    • Na Androidu: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
    • Na Windowsu: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • Tip podataka "Niz".
  • U «Value», kompletan XML WiFi profila.

Važno je da vrijednost {SSID} u OMA-URI odgovara opisni naziv mreže u XML profiluAko naziv sadrži razmake, oni moraju biti kodirani kao %20 u OMA-URI. Dodatno, u XML-u, polje Mora ostati netačno kako bi se ključ slao u običnom tekstu (šifriran kanalom za upravljanje, ali ne i maskiran unutar XML-a). Ako se postavi na tačno, uređaj bi mogao očekivati ​​šifriranu lozinku i ne bi se uspio povezati.

Generički primjer WiFi profila s PSK-om uključivao bi blokadu s imenom, SSID-om u heksadecimalnom formatu i tekstom, ESS , automobil , blok s vrstom autentifikacije (npr. WPA2PSK) i enkripcijom (AES), te blokom sa lozinka , lažno i lozinka , gdje je "lozinka" ključ otvorenog teksta.

Za mreže zasnovane na EAP-u, XML je mnogo složeniji jer uključuje konfiguracije EapHostConfig, certifikati, validacija servera, CA hash liste, EKU, itd.Definirani su parametri kao što su EAP tip (npr. 13 za EAP-TLS), izvor akreditiva (skladište certifikata), da li je dozvoljena validacija servera i mogući filteri certifikata koji koriste EKU-ove za autentifikaciju klijenta.

Nakon što se kreira prilagođena politika, ona se dodjeljuje istim grupama koje biste koristili sa standardnim Wi-Fi profilom. Prilikom registracije ili sinhronizacije, uređaj prima XML datoteku, uvozi je kao bežični profil i spreman je za automatsko povezivanje s tom mrežom.

Kreirajte XML iz postojeće WiFi veze

U mnogim slučajevima, praktičnije je pustiti Windows da generira XML iz postojeće, funkcionalne veze. Da biste to učinili na Windows računaru, možete slijediti ove osnovne korake: izvoz WiFi profila:

  1. Kreirajte lokalnu mapu, na primjer, c:\WiFi.
  2. Otvorite komandni redak kao administrator.
  3. Bježi netsh wlan show profiles da biste vidjeli nazive postojećih profila.
  4. Izvezite željeni profil pomoću
    netsh wlan export profile name=»NazivProfila» folder=c:\WiFi.

Ako profil uključuje unaprijed podijeljeni ključ i želite da XML sadrži lozinku u običnom tekstu (neophodno da bi je Intune ispravno koristio), dodaje se parametar. ključ = jasno u naredbu za izvoz. Generirana XML datoteka (s nazivom sličnim Wi-Fi-ProfileName.xml) može se otvoriti pomoću tekstualnog editora, pregledati i kopirati direktno u OMA-URI konfiguracijsku vrijednost u Intuneu.

Potrebno je pratiti određene detalje, kao što je element Izvezeni profil ne uključuje razmake koji bi mogli uzrokovati greške u alokaciji prilikom korištenja Intune-a ili vrijednost odgovara navedenom SSID-u. Osim toga, specijalni znakovi u XML-u (kao što je ampersand &) moraju biti pravilno izbjegnuti kako bi se izbjegle greške u obradi.

Najbolje prakse pri korištenju PSK-a i rotirajućih tipki

Prilikom upravljanja WiFi mrežama sa PSK-om u korporativnom okruženju, bitno je planirati rotacija lozinkeNagla promjena lozinke bez upozorenja može prekinuti vezu s mnogim uređajima koji se oslanjaju na tu mrežu za komunikaciju s Intuneom i primanje novih postavki.

Preporučljivo je prvo provjeriti da li uređaji mogu povežite se direktno na pristupnu tačku S planiranom konfiguracijom, dizajnirajte promjenu ključa tako da postoji alternativna internet veza: mreža za goste, privremena paralelna Wi-Fi mreža ili mobilni podaci. Na ovaj način, čak i ako korporativni Wi-Fi promijeni svoj PSK, uređaji mogu koristiti sekundarnu vezu za primanje novog profila.

Također je preporučljivo zakazati implementaciju novih profila u van vršnih sati i obavijestiti korisnike da povezivost može biti pogođena određeni vremenski period. Ovo smanjuje utjecaj na produktivnost i olakšava praćenje grešaka ili anomalija tokom procesa.

Profili mrežne veze i pravila zaštitnog zida

Neka sigurnosna rješenja, kao što su paketi za zaštitu krajnjih tačaka (hexlock), omogućavaju definiranje prilagođeni profili mrežne veze Ovi profili se primjenjuju na određene veze na osnovu okidača ili uslova. Oni dodaju dodatni sloj konfiguraciji Windowsa, prilagođavajući zaštitni zid, vidljivost uređaja i druge zaštite u skladu s mrežom.

U konzoli za naprednu konfiguraciju obično postoji odjeljak "Profili mrežne veze" s unaprijed definiranim profilima kao što su Privado y javnost Ovi profili se ne mogu mijenjati ili brisati. Privatni profil je namijenjen pouzdanim mrežama (kućnim ili kancelarijskim), gdje je dozvoljen pristup dijeljenim datotekama, štampačima, dolaznoj RPC komunikaciji i udaljenoj radnoj površini. Javni profil, s druge strane, blokira dijeljenje datoteka i resursa i namijenjen je nepouzdanim mrežama.

Pored ovih profila, možete kreirati prilagođeni profili i prilagodite parametre kao što su naziv, opis, dodatne pouzdane adrese, da li se veza smatra pouzdanom (dodavanje cijelih podmreža u sigurno područje) i omogućite funkcije kao što je "Izvještaj o slaboj WiFi enkripciji", koji vas upozorava kada se povežete na otvorene ili slabo zaštićene mreže.

Svaki profil može imati aktivatoriTo jest, uslovi koji moraju biti ispunjeni da bi se profil primijenio na vezu: IP adresa mrežnog prolaza, SSID Wi-Fi mreže, tip mreže itd. Profili se ocjenjuju prema redoslijedu prioriteta, a primjenjuje se prvi koji ispunjava uslove. Ovo omogućava, na primjer, da imate specifični profil za Wi-Fi kompanije, generički za kućne mreže i vrlo restriktivan za bilo koju nepoznatu javnu mrežu.

Upravljanje profilima i lokacijama u naprednim okruženjima

U naprednijim sistemima ili u poslovnim mrežama sa Solarisom ili drugim platformama, koncept mrežnog profila se kombinuje sa Jedinice za konfiguraciju mreže (NCU), prioritetne grupe i lokacijePutem grafičkog interfejsa Network Preferences ili komandi kao što su ipadm, dladm, netcfg i netadm, možete kreirati reaktivne i fiksne profile, grupirati interfejse i definirati pravila aktivacije.

Prikaz mrežnog profila grafičkog korisničkog interfejsa prikazuje lista dostupnih profilas indikatorima koji pokazuju koji je aktivan. Sistemski definirani profili, kao što su "Automatski" i "ZadanoFiksni", ne mogu se uređivati ​​ili brisati, ali možete kreirati više prilagođenih reaktivnih profila. Svaki profil uključuje skup veza (NCU) koje se aktiviraju ili deaktiviraju kada profil stupi na snagu.

Za organizaciju interfejsa koriste se sljedeći elementi: prioritetne grupe sa tri glavne vrste:

  • Ekskluzivno: samo jedna veza u grupi može biti aktivna, i dok je jedna aktivna, grupe nižeg prioriteta se ne diraju.
  • Dijeljeno: sve moguće veze u grupi su aktivirane i sve dok je barem jedna aktivna, niže grupe se ne koriste.
  • Sve: sve moraju biti aktivne; ako jedna ne uspije, sve se deaktiviraju, bez pokušaja grupa nižeg prioriteta.

Na primjer, profil "Automatski" obično ima sljedeće u svojoj grupi s najvišim prioritetom: žičani interfejsiBežične veze su u grupi nižeg prioriteta. Stoga, ako je kabel dostupan, Ethernet uvijek ima prioritet, a Wi-Fi se izbjegava osim ako nije apsolutno neophodno.

Što se tiče mrežne lokacijeOve postavke grupišu konfiguracije za usluge imenovanja (DNS, LDAP, itd.) i sigurnost (konfiguracijske datoteke za IP i IPsec zaštitne zidove). Mogu se definirati sistemske lokacije (Automatski, NoNet, DefaultFixed), ručne lokacije ili uvjetne lokacije. Ručne lokacije se aktiviraju ručno putem dijaloškog okvira Lokacije, dok se uvjetne lokacije aktiviraju na osnovu pravila (npr. tip mreže, dobivena IP adresa, itd.).

Iz grafičkog korisničkog interfejsa možete promijeniti način aktivacije lokacije, postaviti ga na "samo ručno" ili "aktivirano pravilima" i urediti ta pravila kako biste precizno definirali U kojim situacijama se koristi svaki skup politika?Aktiviranje nove lokacije uvijek deaktivira prethodnu, osiguravajući da je u bilo kojem trenutku aktivna samo jedna.

IPsec profili na ruterima za sigurne veze

Cijeli ovaj sistem profiliranja nije ograničen samo na uređaje krajnjih korisnika. Primjenjuje se i na profesionalne rutere, kao što je ova serija. Cisco RV160 i RV260Koriste se IPsec profili koji definiraju kako je promet između web-lokacija zaštićen korištenjem VPN-a.

Un IPsec profil Grupira algoritme i parametre korištene u pregovorima o ključevima (faza I i IKE) i šifriranju podataka (faza II). To uključuje aspekte kao što su algoritam za šifriranje (3DES, AES-128, AES-192, AES-256), metoda autentifikacije (MD5, SHA1, SHA2-256), Diffie-Hellmanova grupa (npr. Grupa 2 od 1024 bita ili Grupa 5 od 1536 bita), trajanje sigurnosnih asocijacija (SA) i da li se koristi automatski način šifriranja (IKEv1 ili IKEv2) ili ručni način šifriranja.

La faza I Uspostavlja sigurnu, autentificiranu komunikaciju između dvije VPN krajnje tačke, pregovarajući o ključevima i autentificirajući peer-ove. U ovoj fazi, bira se IKEv1 ili IKEv2, zajedno s DH grupom, algoritmom za šifriranje i hashom za autentifikaciju, kao i životnim vijekom SA (na primjer, 28800 sekundi). IKEv2 se obično preferira jer je efikasniji, zahtijeva manje razmjene paketa i podržava više opcija za autentifikaciju.

La faza II On se bavi šifriranjem stvarnog prometa. Vi definirate hoćete li koristiti ESP (za šifriranje i, opcionalno, autentifikaciju) ili AH (samo autentifikaciju, bez povjerljivosti), ponovo odaberete algoritme za šifriranje i hashiranje, provjerite je li željena Perfect Forward Secrecy (PFS) i prilagodite vijek trajanja IPsec SA (na primjer, 3600 sekundi). Preporuka je obično da vijek trajanja Faze I bude veći nego u fazi IItako da se ključevi podataka obnavljaju češće od ključeva kanala.

U konfiguraciji RV160/RV260, idite na VPN meni > IPSec VPN > IPSec profili, dodajte novi profil, nazovite ga (na primjer, "HomeOffice"), odaberite način kreiranja ključa (Automatski), IKE verziju (idealno IKEv2 ako je oba kraja podržavaju), parametre Faze I i Faze II, omogućite PFS ako je moguće i ponovo odaberite DH grupu za Fazu II. Na kraju, primijenite i sačuvajte konfiguraciju kako bi se zadržala nakon ponovnog pokretanja sistema kopiranjem konfiguracija koja se pokreće pri pokretanju.

Ključno je da oba kraja tunela od lokacije do lokacije imaju isti parametri profila (isti algoritmi, životni vijekovi, IKE verzija, PSK ili certifikati, itd.). U suprotnom, pregovori će propasti i tunel neće biti uspostavljen.

Zajedno, ova kombinacija WiFi profila, mrežnih profila, lokacija, Intune konfiguracije i IPsec profila na ruterima omogućava vam da izgradite okruženja u kojima se vaš računar, laptop ili mobilni uređaj gotovo automatski prilagođava mreži na kojoj se nalazi: Odaberite pravi interfejs, primijenite ispravnu sigurnost, povežite se na WiFi bez intervencije korisnika, aktivirajte VPN kada je potrebno i prilagodite zaštitni zid kontekstu.To je, na kraju krajeva, najpraktičniji i najsigurniji način za kreiranje automatskih profila na osnovu WiFi mreže koju koristite. Podijelite ove informacije tako da više korisnika zna o ovoj temi..