Ako vytvoriť automatické profily na základe používanej siete Wi-Fi

  • Sieťové profily vám umožňujú automatizovať IP, DNS, firewall, VPN a zdieľané zdroje na základe WiFi siete alebo umiestnenia.
  • Nástroje ako Easy Net Switch, NetSetMan alebo TCP/IP Manager rozširujú natívne funkcie systému Windows o prepínanie prostredí jedným kliknutím.
  • V podnikových prostrediach Intune centrálne distribuuje profily WiFi (vrátane PSK a EAP v XML) na viacero platforiem.
  • Ďalšie bezpečnostné profily, ako napríklad profily pripojenia a profily IPsec na smerovačoch, dopĺňajú ochranu a automatizáciu naprieč lokalitami.
Joaquin Romero

19 minút

Ako vytvoriť automatické profily pre vašu Wi-Fi sieť

Ak neustále prepínate medzi domácou Wi-Fi sieťou, kancelárskou sieťou, univerzitnou sieťou alebo mobilným hotspotom, manuálna zmena nastavení siete je poriadna otrava. Našťastie, Windows a ďalšie operačné systémy ponúkajú spôsoby, ako... vytvárať automatické profily na základe siete Wi-Fi, ku ktorej sa pripájate, kontrolovať, ktoré rozhranie je v danom čase aktivované, a aplikovať bezpečnostné politiky alebo firewally prispôsobené každému prostrediu.

V tomto článku si podrobne ukážete, ako fungujú sieťové profilyČo vám umožňujú robiť v systéme Windows, ako ich integrovať s nástrojmi ako Intune alebo s bezpečnostnými riešeniami, aké programy tretích strán musíte použiť na ďalšie využitie a ako to všetko zapadá do konceptov, ako sú umiestnenia, prioritné skupiny rozhraní alebo profily IPsec v podnikových smerovačoch.

Čo je to sieťový profil a prečo by ste ho mali používať?

Sieťový profil je v podstate súbor preddefinované parametre, ktoré sa použijú na pripojenie (alebo niekoľko) v závislosti od určitých podmienok: sieť WiFi, ku ktorej sa pripájate, aktívne rozhranie, umiestnenie atď. Tieto parametre sa môžu pohybovať od IP a DNS až po pravidlá brány firewall, používanie VPN, tlačiarne, zdieľané zdroje alebo dokonca vlastné skripty.

V systéme Windows systém už klasifikuje siete ako verejné alebo súkromnéKeď sa prvýkrát pripojíte k sieti Wi-Fi alebo LAN, systém sa vás opýta, či ide o dôveryhodnú sieť. Ak odpoviete áno, sieť sa považuje za súkromnú; ak nie, za verejnú. Na základe tohto rozhodnutia systém upraví firewall a viditeľnosť vášho zariadenia v sieti, čím zníži zabezpečenie v domácich sieťach alebo malých kanceláriách a posilní ho v sieťach v hoteloch, na letiskách alebo v kaviarňach.

V jednom súkromná sieťSystém Windows predpokladá, že vy máte kontrolu nad tým, kto sa pripája, a že zariadenia sú známe. To vám napríklad umožňuje vyhľadávať iné počítače v sieti, pristupovať k zdieľaným priečinkom, odosielať tlačové úlohy do sieťových tlačiarní alebo používať funkcie ako Domáca skupina alebo streamovanie do inteligentného televízora. Systém znižuje obmedzenia, pretože chápe, že prostredie je relatívne bezpečné.

V jednom verejná sieťSystém Windows predpokladá, že sieť je nedôveryhodná. Preto zakáže vyhľadávanie zariadení, zdieľanie súborov a tlačiarní a ďalšie služby, ktoré by vás mohli vystaviť útokom z iných pripojených zariadení. zraniteľnosti ako tie v WhatsAppeStále môžete prehliadať internet, ale vaše zariadenie je izolované od zvyšku, čo je kľúčové pri pripojení k Wi-Fi sieti v nákupnom centre, na letisku alebo v otvorenej sieti.

Problém nastáva, keď sa ten istý notebook premiestňuje viacero sietí s veľmi odlišnými požiadavkamiJeden môže vyžadovať statickú IP adresu, iný používať DHCP; jeden môže vyžadovať použitie firemného proxy servera, ďalší aktivuje VPN a ďalší nemusí. Manuálna zmena zakaždým je zdĺhavá a náchylná na chyby. Tu prichádzajú na rad pokročilé sieťové profily, a to ako vo Windowse, tak aj prostredníctvom špecializovaných programov.

Automatizácia nastavení pri prepínaní sietí WiFi v systéme Windows

Systém Windows umožňuje definovať rôzne parametre pre každý sieťový profil (verejný alebo súkromný) a pre každé konkrétne pripojenie, ale integrovaná správa nie je dostatočná, ak chcete... Zmeňte IP, DNS, proxy, VPN a firewall naraz vždy, keď zistíte iný SSID. Na tento účel je obvyklým prístupom kombinácia toho, čo systém ponúka, s externými nástrojmi, ktoré spravujú pokročilé profily.

V grafickom rozhraní správy siete niektorých prostredí (napríklad distribúcií, ktoré používajú koncepty podobné NCP systému Solaris) sa rozlišuje reaktívne a pevné sieťové profilyReaktívny profil „Automatic“ sa najprv pokúsi nadviazať káblové pripojenie a ak sa to nepodarí, použije bezdrôtové pripojenie. Fixný profil „DefaultFixed“ definuje statickú sadu rozhraní, ktoré zostávajú nezmenené, kým sa neupravia pomocou nástrojov príkazového riadka.

Tieto profily riadia, ktoré rozhrania môžu byť aktivovať alebo deaktivovať kedykoľvekNa typickom notebooku s Ethernetom a Wi-Fi môžete chcieť používať iba Ethernet, keď je k dispozícii kábel, a Wi-Fi vypnúť z bezpečnostných dôvodov alebo naopak. Grafické používateľské rozhranie Sieťové nastavenia zvyčajne ponúka zobrazenia stavu pripojenia, sieťového profilu a vlastností pripojenia, kde môžete vidieť aktuálny stav, aktívny profil a konkrétne vlastnosti (IP adresa, IPv4/IPv6, obľúbené bezdrôtové siete atď.).

Okrem toho môžete definovať umiestnenia Tieto nastavenia zoskupujú konfigurácie, ako sú názvové služby, firewall a IPsec, a aktivujú sa manuálne alebo podmienečne podľa pravidiel (napríklad umiestnenie „Kancelária“, ak získate IP adresu z určitého rozsahu, a umiestnenie „Domov“ s rôznymi pravidlami). Naraz môže byť aktívne iba jedno umiestnenie a je možné ho zmeniť pomocou ikony stavu siete alebo pomocou príkazov ako netadm v systémoch podobných systému Solaris.

Programy na automatické vytváranie profilov pre každú WiFi sieť

Ak chcete ísť nad rámec toho, čo systém Windows štandardne ponúka, existujú špecifické nástroje, ktoré umožňujú vytvárať a používať kompletné sieťové profily Záleží to od siete (SSID), ku ktorej sa pripájate, alebo od aktívneho adaptéra. Mnohé z nich podporujú systémy Windows XP až Windows 11.

Jednoduché prepínanie siete

Jednoduché prepínanie siete Je to platený program pre Windows, ktorý vyniká obrovským množstvom sieťových nastavení, ktoré dokáže spracovať. Hoci jeho rozhranie pripomína éru Windows XP, zostáva kompatibilný s... Windows XP, 7, 8, 10 a 11a zahŕňa grafické rozhranie aj režim príkazového riadka pre pokročilých používateľov.

S programom Easy Net Switch môžete definovať profily, ktoré ovládajú prakticky všetko: IP adresa, maska ​​podsiete, brána, DNS, WINS, NetBIOS, MAC spoofing, WiFi, VPN, proxy, firewall, predvolená tlačiareň, sieťové disky, statické trasya dokonca spúšťať skripty alebo upravovať súbor hosts. Každý parameter je voliteľný; môžete sa obmedziť na IP a DNS alebo nastaviť veľmi zložitý profil pre firemné prostredie.

Vytvorenie profilu sa zvyčajne vykonáva kliknutím na tlačidlo „Nový“ pomocou základného sprievodcu, ktorého si potom môžete prispôsobiť. V sekcii „Sieť“ si vyberiete, či sa IP adresa a DNS získavajú cez DHCP alebo sú statické, a v časti „Rozšírené“ môžete upraviť WINS, NetBIOS, zmeniť MAC adresu, vymazať vyrovnávaciu pamäť DNS a mnoho ďalšieho. Pri použití profilu program zobrazí Zhrnutie zmien a prípadné chybyčo uľahčuje diagnostiku, ak niečo nefunguje.

V sekcii WiFi vám funkcia Easy Net Switch umožňuje definovať bezdrôtové profily prepojené s konkrétnymi SSIDMôžete vyhľadať dostupné siete alebo manuálne zadať názov a upraviť overenie: od predzdieľaných kľúčov (PSK) až po silné overenie pomocou protokolu RADIUS a rôznych protokolov EAP. To umožňuje napríklad automatickú prípravu profilu so správnym kľúčom, vhodného overenia EAP a v prípade potreby aj VPN vždy, keď uvidíte SSID spoločnosti.

Program tiež spravuje nastavenia pre firemný proxy (vrátane autentifikácie), Dial-Up, VPN a dokonca ponúka integrované nástroje ako ping a traceroute, ako aj widget na ploche na zobrazenie aktuálnej IP adresy za každých okolností. Medzi jeho možnosti patrí spustenie s Windowsom, minimalizácia na systémovú lištu, vypnutie automatickej detekcie siete Wi-Fi a ochrana prístupu k programu heslom, aby sa zabránilo neoprávneným zmenám.

Správca TCP/IP

Správca TCP/IP Je to bezplatný projekt s otvoreným zdrojovým kódom, ktorý síce nebol roky aktualizovaný, ale stále funguje dobre na novších verziách systému Windows. Zameriava sa na vytváranie neobmedzeného počtu sieťových profilov, ktoré rýchlo menia... Konfigurácia IP, maska ​​podsiete, brána, DNS, proxy, názov pracovnej skupiny a MAC adresa.

Jednou z jeho výhod je, že umožňuje importovať aktuálnu konfiguráciu Systém vám umožňuje vytvoriť profil z vašich existujúcich nastavení bez nutnosti manuálneho zadávania všetkých údajov. Ponúka tiež možnosť priradiť ku každému profilu dávkové súbory, takže jeho aktivácia automaticky vykoná ďalšie príkazy (napríklad pripojenie sieťových diskov alebo spustenie VPN).

Prepínanie medzi profilmi je možné vykonať zo samotného rozhrania alebo prostredníctvom klávesové skratkyIdeálne pre používateľov, ktorí potrebujú rýchlo prechádzať medzi prostrediami (firemná sieť, laboratórium, klient atď.). Okrem toho sa program automaticky aktualizuje cez web, keď sú k dispozícii nové verzie, čím sa eliminuje potreba manuálneho sťahovania.

IP Shifter

IP Shifter Je to ľahká a bezplatná možnosť určená pre tých, ktorí potrebujú niečo jednoduchšie. Podporuje systém Windows XP a novšie verzie vrátane Windows 10 a Windows 11a funguje s rôznymi adaptérmi, ethernetovými aj WiFi.

Jeho hlavnou funkciou je umožniť vám zmenu bez reštartovania Konfigurácia IP adresy, masky podsiete, brány a DNS adaptérov. Taktiež spracováva konfigurácie proxy pre prehliadače ako Microsoft Edge alebo Firefox, integruje rýchly príkaz ping a dokáže detekovať zariadenia prítomné v sieti LAN, ako aj zobraziť verejnú IP adresu, ktorú vidí internet.

Nemá takú hĺbku ako Easy Net Switch alebo NetSetMan, ale pre prepínať medzi dvoma alebo tromi základnými prostrediami (napríklad statická IP adresa v priemyselnej sieti a DHCP doma) je zvyčajne postačujúca.

NetSetMan

NetSetMan Je to pravdepodobne najvýkonnejšia bezplatná alternatíva k Easy Net Switch. Má bezplatnú verziu s až ôsmimi profilmi a platenú verziu Pro s... Neobmedzené profily a viac možností zameraných na podnikanieIch filozofiou je, že jediným kliknutím môžete aktivovať kompletnú sadu sieťových nastavení.

Medzi konfigurácie, ktoré umožňuje, patria klasické (IP, maska, brána, DNS), pracovná skupina, predvolená tlačiareň, sieťové disky, smerovacia tabuľka, SMTP server, názov počítača, MAC adresa, stav sieťovej karty, rýchlosť rozhrania, MTU, VLAN a oveľa viac. Môžete tiež definovať parametre VPN servera, spúšťať dávkové, VBScript alebo JavaScript skripty pri prepínaní profilov, spúšťať iné programy a dokonca podrobne spravovať nastavenia WiFi.

Verzia Pro pridáva funkcie ako napríklad pokročilé konfigurácie proxy servera a sieťové doményTieto sú veľmi užitočné na integráciu s prostredím firemných domén a centralizovanými proxy servermi. Bezplatnú verziu však nemožno použiť na Windows Serveri a počet profilov je obmedzený na osem, čo treba mať na pamäti, ak spravujete veľa lokalít.

Profily WiFi spravované pomocou Microsoft Intune

V firemných prostrediach, kde spravujete stovky alebo tisíce zariadení, sa nemôžete spoliehať na to, že každý používateľ správne nakonfiguruje svoju Wi-Fi sieť. Tu prichádza na rad Microsoft Intune, ktorý vám umožňuje Vytvárajte profily WiFi a distribuujte ich do zariadení so systémom Windows, Android, iOS a macOS. a iné centralizovaným spôsobom.

Un Profil siete Wi-Fi v službe Intune Ide o sadu parametrov pripojenia (SSID, typ zabezpečenia, metóda overovania, heslo, certifikáty atď.) priradených skupinám používateľov alebo zariadení. Keď zariadenie prijme profil, sieť sa zobrazí v zozname známych sietí a ak je v dosahu, zariadenie sa môže automaticky pripojiť bez toho, aby používateľ musel meniť akékoľvek nastavenia.

Ak chcete v Intune vytvoriť štandardný profil siete WiFi, postupujte podobne ako pri iných politikách: otvoríte Centrum spravovania Microsoft IntunePrejdite do časti Zariadenia, Nastavenia, vytvorte novú politiku, vyberte platformu (Android, iOS, macOS, Windows 10/11 atď.) a ako typ profilu vyberte možnosť „Wi-Fi“ alebo zodpovedajúcu šablónu. Potom definujte názov profilu, popis a nakonfigurujte možnosti špecifické pre platformu: SSID, typ overenia (WPA2, WPA3, EAP-TLS atď.), použitie certifikátu, rozšírené parametre a nakoniec priraďte profil príslušným skupinám.

Alokáciu je možné filtrovať pomocou štítky rozsahuTieto funkcie sú užitočné na rozdelenie zodpovedností medzi rôzne IT tímy (napríklad lokálny tím podpory spravujúci iba jednu krajinu). Po distribúcii sa profil zobrazí v zozname profilov Intune a automaticky sa použije pri synchronizácii zariadení.

Profily WiFi s konfiguráciou PSK a XML pomocou Intune

Kroky na vytvorenie automatických profilov vo vašej sieti Wi-Fi

Okrem štandardných profilov WiFi vám Intune umožňuje definovať Profily WiFi založené na predzdieľanom kľúči (PSK) a EAP pomocou vlastných direktív a WiFi CSP. Toto sa vykonáva prostredníctvom súborov XML, ktoré opisujú bezdrôtový profil a odosielajú sa do zariadení prostredníctvom OMA-URI.

Predzdieľané kľúče sa bežne používajú na overovať používateľov v domácich WiFi sieťach alebo malých bezdrôtových lokálnych sieťach LANPomocou služby Intune môžete vytvoriť vlastnú politiku konfigurácie zariadenia, ktorá obsahuje profil Wi-Fi vo formáte XML a konfiguráciu OMA-URI, ktorá ju doručí do operačného systému. Táto možnosť je k dispozícii pre Android (vrátane režimov profilu Enterprise a Work), Windows a siete založené na protokole EAP.

Aby to fungovalo, musíte si pripraviť súbor XML, ktorý popisuje profil vrátane Názov profilu, SSID (v texte a hexadecimálnom formáte), typ overenia, typ šifrovania, kľúč, režim pripojenia, či je sieť skrytáatď. Voliteľne môžete extrahovať tento XML súbor z počítača so systémom Windows, ktorý už má nakonfigurovanú sieť, pomocou príkazov netsh.

Vytvorenie vlastnej politiky v Intune zahŕňa návrat do sekcie Zariadenia, Nastavenia, vytvorenie novej politiky, výber platformy a výber typu „Vlastná“. V rámci možnosti konfigurácie Pridajte nový záznam OMA-URI s uvedením:

  • názov a popis konfigurácie.
  • El OMA-URI vhodné, napríklad:
    • V systéme Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
    • V systéme Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • Typ údajov „Reťazec“.
  • V časti „Hodnota“ sa nachádza kompletný XML profilu WiFi.

Je dôležité, aby hodnota {SSID} v OMA-URI zodpovedala popisný názov siete v profile XMLAk názov obsahuje medzery, musia byť v OMA-URI kódované ako %20. Okrem toho v XML pole Musí zostať hodnota „false“, aby sa kľúč odosielal v otvorenom texte (zašifrovaný riadiacim kanálom, ale nie zahalený v XML). Ak je nastavená hodnota „true“, zariadenie môže očakávať zašifrované heslo a pripojenie sa nepodarí.

Všeobecný príklad WiFi profilu s PSK by zahŕňal blokovanie s názvom, SSID v hexadecimálnom formáte a textom, ESS , auto , blok s typom overovania (napr. WPA2PSK) a šifrovaním (AES) a blokovým s prístupová fráza , nepravdivé a heslo , kde „heslo“ je kľúč v otvorenom texte.

Pre siete založené na protokole EAP je XML oveľa zložitejší, pretože obsahuje konfigurácie EapHostConfig, certifikáty, overenie servera, haš zoznamy CA, EKU atď.Definujú sa parametre ako typ EAP (napr. 13 pre EAP-TLS), zdroj poverení (úložisko certifikátov), ​​či je povolené overovanie serverom a možné filtre certifikátov pomocou EKU na overenie klienta.

Po vytvorení vlastnej politiky sa priradí rovnakým skupinám, aké by ste použili so štandardným profilom Wi-Fi. Pri registrácii alebo synchronizácii zariadenie prijme súbor XML, importuje ho ako bezdrôtový profil a je pripravené na automatické pripojenie k danej sieti.

Vytvorenie XML súboru z existujúceho WiFi pripojenia

V mnohých prípadoch je pohodlnejšie nechať systém Windows vygenerovať súbor XML z existujúceho, funkčného pripojenia. Ak to chcete urobiť v počítači so systémom Windows, postupujte podľa týchto základných krokov: exportovať profil siete Wi-Fi:

  1. Vytvorte lokálny priečinok, napríklad c:\WiFi.
  2. Otvorte príkazový riadok ako správca.
  3. beh netsh wlan zobraziť profily zobraziť názvy existujúcich profilov.
  4. Exportujte požadovaný profil pomocou
    netsh wlan export profile name="ProfileName" folder="c:\WiFi".

Ak profil obsahuje predzdieľaný kľúč a chcete, aby XML obsahoval heslo v obyčajnom texte (čo je potrebné na správne použitie v Intune), pridá sa tento parameter. kľúč = jasný do príkazu export. Vygenerovaný súbor XML (s názvom podobným názvu Wi-Fi-ProfileName.xml) je možné otvoriť v textovom editore, skontrolovať ho a skopírovať priamo do konfiguračnej hodnoty OMA-URI v Intune.

Je potrebné sledovať určité detaily, ako napríklad prvok Exportovaný profil neobsahuje medzery, ktoré by mohli spôsobiť chyby pri alokácii pri používaní Intune, alebo že hodnota zhodujú sa so zadaným SSID. Okrem toho musia byť špeciálne znaky v XML (ako napríklad ampersand &) správne escapované, aby sa predišlo chybám pri spracovaní.

Najlepšie postupy pri používaní PSK a rotujúcich kľúčov

Pri správe WiFi sietí s PSK v podnikovom prostredí je nevyhnutné plánovať striedanie heslaNáhla zmena hesla bez varovania môže odpojiť mnoho zariadení, ktoré sa spoliehajú na túto sieť na komunikáciu s Intune a prijímanie nových nastavení.

Odporúča sa najprv skontrolovať, či zariadenia dokážu pripojiť sa priamo k prístupovému bodu Pri plánovanej konfigurácii navrhnite zmenu kľúča tak, aby existovalo alternatívne internetové pripojenie: hosťovská sieť, dočasná paralelná sieť Wi-Fi alebo mobilné dáta. Takto, aj keď firemná Wi-Fi sieť zmení svoj PSK, zariadenia môžu na prijatie nového profilu použiť sekundárne pripojenie.

Taktiež je vhodné naplánovať nasadenie nových profilov v mimo špičky a upozorniť používateľov, že pripojenie môže byť na určitý čas obmedzené. To znižuje vplyv na produktivitu a uľahčuje monitorovanie chýb alebo anomálií počas procesu.

Profily sieťového pripojenia a pravidlá brány firewall

Niektoré bezpečnostné riešenia, ako napríklad balíky ochrany koncových bodov (hexlock), umožňujú definovať vlastné profily sieťového pripojenia Tieto profily sa používajú na konkrétne pripojenia na základe spúšťačov alebo podmienok. Pridávajú ďalšiu vrstvu do konfigurácie systému Windows, upravujú bránu firewall, viditeľnosť zariadenia a ďalšie ochrany podľa siete.

V konzole s pokročilou konfiguráciou sa zvyčajne nachádza sekcia „Profily sieťového pripojenia“ s preddefinovanými profilmi, ako napríklad súkromný y Público Tieto profily nie je možné upravovať ani mazať. Súkromný profil je určený pre dôveryhodné siete (domáce alebo kancelárske), kde je povolený prístup k zdieľaným súborom, tlačiarňam, prichádzajúcej komunikácii RPC a vzdialenej ploche. Verejný profil naopak blokuje zdieľanie súborov a zdrojov a je určený pre nedôveryhodné siete.

Okrem týchto profilov si môžete vytvoriť vlastné profily a upraviť parametre, ako je názov, popis, ďalšie dôveryhodné adresy, či sa pripojenie považuje za dôveryhodné (pridanie celých podsietí do zabezpečenej oblasti) a povoliť funkcie, ako napríklad „Správa o slabom šifrovaní WiFi“, ktorá vás upozorní, keď sa pripojíte k otvoreným alebo slabo chráneným sieťam.

Každý profil môže mať aktivátoryTo znamená, že ide o podmienky, ktoré musia byť splnené, aby sa profil mohol použiť na pripojenie: IP adresa brány, SSID siete Wi-Fi, typ siete atď. Profily sa vyhodnocujú podľa priority a použije sa prvý profil, ktorý spĺňa podmienky. To umožňuje napríklad mať špecifický profil pre firemnú Wi-Fi sieť, všeobecný profil pre domáce siete a veľmi obmedzujúci profil pre akúkoľvek neznámu verejnú sieť.

Správa profilov a lokalít v pokročilých prostrediach

V pokročilejších systémoch alebo v podnikových sieťach so systémom Solaris alebo inými platformami sa koncept sieťového profilu kombinuje s Jednotky konfigurácie siete (NCU), prioritné skupiny a umiestneniaProstredníctvom grafického rozhrania sieťových nastavení alebo príkazov ako ipadm, dladm, netcfg a netadm môžete vytvárať reaktívne a fixné profily, zoskupovať rozhrania a definovať pravidlá aktivácie.

Zobrazenie sieťového profilu v grafickom používateľskom rozhraní zobrazuje zoznam dostupných profilovs indikátormi zobrazujúcimi, ktorý z nich je aktívny. Systémom definované profily, ako napríklad „Automatický“ a „PredvolenýPevný“, nie je možné upravovať ani mazať, ale môžete si vytvoriť viacero vlastných reaktívnych profilov. Každý profil obsahuje sadu pripojení (NCU), ktoré sa aktivujú alebo deaktivujú, keď profil nadobudne účinnosť.

Na organizáciu rozhraní sa používajú nasledujúce prvky: prioritné skupiny s tromi hlavnými typmi:

  • Exkluzívne: aktívne môže byť iba jedno pripojenie v skupine a kým je jedno aktívne, skupiny s nižšou prioritou sa nedotknú.
  • Zdieľané: všetky možné pripojenia v skupine sú aktivované a pokiaľ je aspoň jedno aktívne, nižšie skupiny sa nepoužívajú.
  • Všetky: všetky musia byť aktívne; ak jeden zlyhá, všetky sa deaktivujú bez pokusu o skupiny s nižšou prioritou.

Napríklad profil „Automatický“ má zvyčajne v skupine s najvyššou prioritou nasledujúce položky: káblové rozhraniaBezdrôtové pripojenia sú v skupine s nižšou prioritou. Preto, ak je k dispozícii kábel, Ethernet má vždy prioritu a Wi-Fi sa vyhýba, pokiaľ to nie je absolútne nevyhnutné.

Vzhľadom k tomu, sieťových umiestneníTieto nastavenia zoskupujú konfigurácie pre názvové služby (DNS, LDAP atď.) a zabezpečenie (konfiguračné súbory pre firewally IP a IPsec). Je možné definovať systémové umiestnenia (Automatické, NoNet, DefaultFixed), manuálne umiestnenia alebo podmienené umiestnenia. Manuálne umiestnenia sa aktivujú manuálne prostredníctvom dialógového okna Umiestnenia, zatiaľ čo podmienené umiestnenia sa aktivujú na základe pravidiel (napr. typ siete, získaná IP adresa atď.).

Z grafického rozhrania môžete zmeniť režim aktivácie lokality, nastaviť ho na „iba manuálne“ alebo „spúšťané pravidlami“ a upraviť tieto pravidlá tak, aby presne definovali V akých situáciách sa používa každý súbor politík?Aktivácia novej lokality vždy deaktivuje predchádzajúcu, čím sa zabezpečí, že v danom čase je aktívna iba jedna.

Profily IPsec na smerovačoch pre zabezpečené pripojenia

Celý tento profilačný systém nie je obmedzený len na zariadenia koncových používateľov. Vzťahuje sa aj na profesionálne routery, ako napríklad séria . Cisco RV160 a RV260Používajú sa profily IPsec, ktoré definujú, ako je prevádzka medzi lokalitami chránená pomocou VPN.

Un IPsec profil Zoskupuje algoritmy a parametre používané pri vyjednávaní kľúčov (fáza I a IKE) a šifrovaní údajov (fáza II). Zahŕňa to aspekty ako šifrovací algoritmus (3DES, AES-128, AES-192, AES-256), metódu autentifikácie (MD5, SHA1, SHA2-256), skupinu Diffie-Hellman (napr. Skupina 2 s 1024 bitmi alebo Skupina 5 s 1536 bitmi), trvanie bezpečnostných asociácií (SA) a to, či sa používa automatický režim kľúčovania (IKEv1 alebo IKEv2) alebo manuálny režim kľúčovania.

La fáza I Vytvára bezpečnú, overenú komunikáciu medzi dvoma koncovými bodmi VPN, vyjednáva kľúče a overuje uzly. V tejto fáze sa vyberá IKEv1 alebo IKEv2 spolu so skupinou DH, šifrovacím algoritmom a overovacím hashom, ako aj s dobou životnosti SA (napríklad 28800 sekúnd). IKEv2 sa zvyčajne uprednostňuje, pretože je efektívnejší, vyžaduje menej výmeny paketov a podporuje viac možností overovania.

La fáza II Zaoberá sa šifrovaním samotnej prevádzky. Definujete, či sa má použiť ESP (na šifrovanie a voliteľne aj autentifikáciu) alebo AH (iba autentifikácia bez dôvernosti), znova vyberiete šifrovacie a hašovacie algoritmy, skontrolujete, či je požadované Perfect Forward Secrecy (PFS), a upravíte životnosť IPsec SA (napríklad 3600 sekúnd). Odporúčanie je zvyčajne, aby životnosť fázy I bola väčší ako vo fáze IItakže dátové kľúče sa obnovujú častejšie ako kanálové kľúče.

V konfigurácii zariadenia RV160/RV260 prejdite do ponuky VPN > IPSec VPN > IPSec profily, pridajte nový profil, pomenujte ho (napríklad „HomeOffice“), vyberte režim vytvárania kľúčov (Automaticky), verziu IKE (ideálne IKEv2, ak ju podporujú obe strany), parametre Fáza I a Fáza II, povoľte PFS, ak je to možné, a znova vyberte skupinu DH pre Fázu II. Nakoniec použite a uložte konfiguráciu, aby sa zachovala aj po reštartovaní, skopírovaním konfigurácia spustená pri štarte.

Je nevyhnutné, aby oba konce tunela medzi lokalitami mali rovnaké parametre profilu (rovnaké algoritmy, doby životnosti, verzia IKE, PSK alebo certifikáty atď.). V opačnom prípade vyjednávanie zlyhá a tunel sa nevytvorí.

Táto kombinácia profilov WiFi, sieťových profilov, umiestnení, konfigurácie Intune a profilov IPsec na smerovačoch vám umožňuje vytvoriť prostredia, v ktorých sa váš počítač, notebook alebo mobilné zariadenie takmer automaticky prispôsobí sieti, v ktorej sa nachádza: Vyberte si správne rozhranie, použite správne zabezpečenie, pripojte sa k Wi-Fi bez zásahu používateľa, aktivujte VPN podľa potreby a prispôsobte firewall kontextu.To je nakoniec najpraktickejší a najbezpečnejší spôsob, ako vytvoriť automatické profily na základe používanej WiFi siete. Zdieľajte tieto informácie, aby sa o téme dozvedelo viac používateľov..