Si të krijoni profile automatike bazuar në rrjetin WiFi që përdorni

  • Profilet e rrjetit ju lejojnë të automatizoni IP, DNS, firewall, VPN dhe burimet e përbashkëta bazuar në rrjetin ose vendndodhjen WiFi.
  • Mjete si Easy Net Switch, NetSetMan ose TCP/IP Manager zgjerojnë funksionet vendase të Windows për të ndërruar mjediset me një klikim.
  • Në mjediset e korporatave, Intune shpërndan në mënyrë qendrore profilet WiFi (duke përfshirë PSK dhe EAP në XML) në platforma të shumta.
  • Profilet shtesë të sigurisë, siç janë profilet e lidhjes dhe profilet IPsec në routerë, plotësojnë mbrojtjen dhe automatizimin në të gjitha faqet.
Joaquin Romero

Minuta 19

Si të krijoni profile automatike për rrjetin tuaj Wi-Fi

Nëse kaloni vazhdimisht midis Wi-Fi-t të shtëpisë, rrjetit të zyrës, rrjetit të universitetit ose hotspot-it tuaj celular, ndryshimi manual i cilësimeve të rrjetit është një problem i vërtetë. Për fat të mirë, Windows dhe sistemet e tjera operative ofrojnë mënyra për të... krijoni profile automatike bazuar në rrjetin WiFi me të cilin lidheni, kontrolloni se cila ndërfaqe aktivizohet në çdo kohë të caktuar dhe zbatoni politika sigurie ose mure zjarri të përshtatura për secilin mjedis.

Në këtë artikull do të shihni, në detaje të shkëlqyera, se si funksionojnë ato profilet e rrjetitÇfarë ju lejojnë të bëni në Windows, si t'i integroni ato me mjete si Intune ose me zgjidhje sigurie, cilat programe të palëve të treta duhet të përdorni për të vazhduar më tej dhe si përshtatet e gjithë kjo me koncepte të tilla si vendndodhjet, grupet me përparësi të ndërfaqes ose profilet IPsec në routerat e ndërmarrjeve.

Çfarë është një profil rrjeti dhe pse do të ishit të interesuar ta përdornit atë?

Një profil rrjeti është në thelb një grup i parametra të paracaktuar që aplikohen në një lidhje (ose disa) në varësi të kushteve të caktuara: rrjeti WiFi me të cilin lidheni, ndërfaqja aktive, vendndodhja, etj. Këta parametra mund të variojnë nga IP dhe DNS te rregullat e firewall-it, përdorimi i VPN-së, printerët, burimet e përbashkëta ose edhe skriptet e personalizuara.

Në Windows, sistemi tashmë i klasifikon rrjetet si publike apo privateKur lidheni për herë të parë me një rrjet Wi-Fi ose LAN, sistemi pyet nëse është një rrjet i besuar. Nëse përgjigjeni po, konsiderohet privat; nëse jo, publik. Bazuar në këtë vendim, ai rregullon firewall-in dhe dukshmërinë e pajisjes suaj në rrjet, duke zbutur sigurinë në rrjetet e shtëpive ose zyrat e vogla dhe duke e forcuar atë në rrjetet në hotele, aeroporte ose kafene.

Në një rrjet privatWindows supozon se ju kontrolloni se kush lidhet dhe që pajisjet janë të njohura. Kjo ju lejon, për shembull, të zbuloni kompjuterë të tjerë në rrjet, të hyni në dosje të përbashkëta, të dërgoni punë printimi te printerët e rrjetit ose të përdorni veçori si HomeGroup ose transmetimi në një Smart TV. Sistemi zvogëlon kufizimet sepse e kupton që mjedisi është relativisht i sigurt.

Në një rrjeti publikWindows supozon se rrjeti nuk është i besueshëm. Prandaj, ai çaktivizon zbulimin e pajisjeve, ndarjen e skedarëve dhe printerëve, si dhe shërbime të tjera që mund t'ju ekspozojnë ndaj sulmeve nga pajisje të tjera të lidhura. dobësi si ato në WhatsAppMund të shfletoni ende internetin, por pajisja juaj është e izoluar nga pjesa tjetër, gjë që është thelbësore kur lidheni me WiFi-në në një qendër tregtare, aeroport ose në një rrjet të hapur.

Problemi lind kur i njëjti laptop lëvizet përreth. rrjete të shumëfishta me kërkesa shumë të ndryshmeDikush mund të kërkojë një adresë IP statike, një tjetër të përdorë DHCP; dikush mund të kërkojë që të kaloni nëpër një proxy të korporatës, një tjetër të aktivizojë një VPN, dhe një tjetër mund të mos e bëjë. Ndryshimi i kësaj manualisht çdo herë është i lodhshëm dhe i prirur ndaj gabimeve. Këtu hyjnë në lojë profilet e avancuara të rrjetit, si në Windows ashtu edhe përmes programeve të specializuara.

Automatizoni cilësimet kur ndërroni rrjetet WiFi në Windows

Windows ju lejon të përcaktoni parametra të ndryshëm për profilin e rrjetit (publik ose privat) dhe për lidhje specifike, por menaxhimi i integruar është i pamjaftueshëm nëse dëshironi. Ndryshoni IP-në, DNS-in, proxy-n, VPN-në dhe firewall-in të gjitha në të njëjtën kohë çdo herë që zbuloni një SSID të ndryshëm. Për këtë, qasja e zakonshme është të kombinoni atë që ofron sistemi me mjete të jashtme që menaxhojnë profile të përparuara.

Në ndërfaqen grafike të menaxhimit të rrjetit të disa mjediseve (për shembull, shpërndarjet që përdorin koncepte të ngjashme me NCP-të e Solaris) bëhet një dallim profile rrjeti reaktive dhe fikseProfili reaktiv "Automatic" fillimisht përpiqet të krijojë një lidhje me tel dhe, nëse kjo dështon, përdor një lidhje pa tel. Profili i fiksuar "DefaultFixed" përcakton një grup statik ndërfaqesh që mbeten të pandryshuara derisa të modifikohen duke përdorur mjetet e linjës së komandës.

Këto profile kontrollojnë se cilat ndërfaqe mund të jenë aktivizoni ose çaktivizoni në çdo kohëNë një laptop tipik me Ethernet dhe Wi-Fi, mund të dëshironi të përdorni vetëm Ethernet kur ka një kabllo dhe ta çaktivizoni Wi-Fi për siguri, ose anasjelltas. Ndërfaqja grafike e preferencave të rrjetit zakonisht ofron pamje të statusit të lidhjes, profilit të rrjetit dhe vetive të lidhjes, ku mund të shihni statusin aktual, cili profil është aktiv dhe veti specifike (adresa IP, IPv4/IPv6, rrjetet pa tel të preferuara, etj.).

Përveç kësaj, ju mund të përcaktoni vende Këto cilësime grupojnë së bashku konfigurime të tilla si shërbimet e emrave, firewall dhe IPsec, dhe aktivizohen manualisht ose me kusht sipas rregullave (për shembull, një vendndodhje "Zyrë" nëse merrni një adresë IP nga një diapazon i caktuar, dhe një vendndodhje "Shtëpi" me politika të ndryshme). Vetëm një vendndodhje mund të jetë aktive në të njëjtën kohë, dhe kjo mund të ndryshohet nga ikona e statusit të rrjetit ose me komanda si netadm në sisteme të ngjashme me Solaris.

Programe për të krijuar profile automatike për rrjetin WiFi

Për të shkuar përtej asaj që ofron Windows si parazgjedhje, ekzistojnë mjete specifike që lejojnë krijoni dhe aplikoni profile të plota të rrjetit Varet nga rrjeti (SSID) me të cilin lidheni ose nga përshtatësi aktiv. Shumë prej tyre mbështesin Windows XP deri në Windows 11.

Ndërrues i lehtë i rrjetit

Ndërrues i lehtë i rrjetit Është një program me pagesë për Windows që dallohet për numrin e madh të cilësimeve të rrjetit që mund të trajtojë. Edhe pse ndërfaqja e tij të kujton epokën e Windows XP, ai mbetet i pajtueshëm me Windows XP, 7, 8, 10 dhe 11, dhe përfshin si GUI ashtu edhe modalitetin e linjës së komandës për përdoruesit e përparuar.

Me Easy Net Switch mund të përcaktoni profile që kontrollojnë praktikisht gjithçka: Adresa IP, maska ​​e nënrrjetit, porta hyrëse, DNS, WINS, NetBIOS, falsifikim MAC, WiFi, VPN, proxy, firewall, printer parazgjedhur, disqe rrjeti, rrugë statikedhe madje të ekzekutoni skripte ose të modifikoni skedarin hosts. Çdo parametër është opsional; mund të kufizoheni në IP dhe DNS ose të konfiguroni një profil shumë kompleks për një mjedis të korporatës.

Krijimi i një profili zakonisht bëhet duke klikuar butonin "I Ri", duke përdorur një asistent bazë që mund ta personalizoni. Në seksionin "Rrjeti", ju zgjidhni nëse adresa IP dhe DNS merren nëpërmjet DHCP apo janë statike, dhe në "Të Avancuara" mund të modifikoni WINS, NetBIOS, të ndryshoni adresën MAC, të pastroni memorien e përkohshme të DNS dhe shumë më tepër. Kur aplikoni një profil, programi shfaq një Përmbledhje e ndryshimeve dhe nëse ka pasur ndonjë gabimgjë që e bën më të lehtë diagnostikimin nëse diçka nuk funksionon.

Në seksionin WiFi, Easy Net Switch ju lejon të përcaktoni profile pa tel të lidhura me SSID specifikeMund të skanoni për rrjete të disponueshme ose të futni emrin manualisht dhe të rregulloni autentifikimin: nga çelësat e parapërcaktuar (PSK) në autentifikim të fortë me RADIUS dhe protokolle të ndryshme EAP. Kjo lejon, për shembull, që profili me çelësin e saktë, autentifikimi i duhur EAP dhe, nëse është e nevojshme, VPN të përgatiten automatikisht sa herë që shihni SSID-në e kompanisë.

Programi gjithashtu menaxhon cilësimet për përfaqësues i korporatës (duke përfshirë vërtetimin), Dial-Up, VPN, dhe madje ofron mjete të integruara si ping dhe traceroute, si dhe një vegël për desktopin për të parë adresën aktuale IP në çdo kohë. Opsionet e tij përfshijnë nisjen me Windows, minimizimin në tabaka e sistemit, çaktivizimin e zbulimit automatik të rrjetit Wi-Fi dhe aksesin e programit me fjalëkalim për të parandaluar ndryshimet e paautorizuara.

Menaxheri TCP/IP

Menaxheri TCP/IP Është një projekt falas dhe me burim të hapur që, megjithëse nuk është përditësuar prej vitesh, ende funksionon mirë në versionet e fundit të Windows. Ai përqendrohet në krijimin e profileve të rrjetit të pakufizuara që ndryshojnë shpejt Konfigurimi i IP-së, maska ​​e nënrrjetit, porta hyrëse, DNS, ndërmjetësi, emri i grupit të punës dhe adresa MAC.

Një nga avantazhet e saj është se lejon importo konfigurimin aktual Sistemi ju lejon të krijoni një profil nga cilësimet tuaja ekzistuese pa pasur nevojë të futni manualisht gjithçka. Ai gjithashtu ofron mundësinë për të shoqëruar skedarë grumbull me secilin profil, në mënyrë që aktivizimi i tij të ekzekutojë automatikisht komanda shtesë (për shembull, montimi i disqeve të rrjetit ose hapja e një VPN).

Kalimi midis profileve mund të bëhet nga vetë ndërfaqja ose nëpërmjet çelësat e nxehtëIdeale për përdoruesit që duhet të lëvizin shpejt midis mjediseve (rrjet korporativ, laborator, klient, etj.). Për më tepër, programi përditësohet automatikisht nëpërmjet internetit kur janë të disponueshme versione të reja, duke eliminuar nevojën për shkarkime manuale.

Zhvendosës IP

Zhvendosës IP Është një opsion i lehtë dhe falas, i projektuar për ata që kanë nevojë për diçka më të thjeshtë. Mbështet Windows XP dhe versionet e mëvonshme, duke përfshirë Windows 10 dhe Windows 11dhe funksionon me adaptorë të ndryshëm, si Ethernet ashtu edhe WiFi.

Funksioni i tij kryesor është t'ju lejojë të ndryshoni pa e rinisur Konfigurimi i IP-së, maska ​​e nënrrjetit, porta hyrëse dhe DNS të adaptorëve. Gjithashtu trajton konfigurimet e proxy-t për shfletues si Microsoft Edge ose Firefox, integron një komandë të shpejtë ping dhe mund të zbulojë pajisjet e pranishme në LAN, si dhe të shfaqë adresën publike IP që sheh interneti.

Nuk ka nivelin e thellësisë së Easy Net Switch ose NetSetMan, por për kaloni midis dy ose tre mjediseve bazë (për shembull, një adresë IP statike në një rrjet industrial dhe DHCP në shtëpi) zakonisht është e mjaftueshme.

NetSetMan

NetSetMan Është ndoshta alternativa më e fuqishme falas për Easy Net Switch. Ka një version falas me deri në tetë profile dhe një version Pro me pagesë me Profile të pakufizuara dhe më shumë opsione të orientuara drejt biznesitFilozofia e tyre është se me një klikim të vetëm mund të aktivizoni një sërë të plotë cilësimesh të rrjetit.

Ndër konfigurimet që lejon janë ato klasike (IP, maskë, gateway, DNS), grupi i punës, printeri parazgjedhur, disqet e rrjetit, tabela e rrugëzimit, serveri SMTP, emri i PC-së, adresa MAC, statusi i kartës së rrjetit, shpejtësia e ndërfaqes, MTU, VLAN dhe shumë më tepër. Gjithashtu mund të përcaktoni parametrat e serverit VPN, të nisni skripte batch, VBScript ose JavaScript kur ndërroni profilet, të ekzekutoni programe të tjera dhe madje të menaxhoni cilësimet e WiFi-t në detaje.

Versioni Pro shton veçori të tilla si konfigurime të përparuara të proxy-t dhe domeneve të rrjetitKëto janë shumë të dobishme për integrimin me mjediset e domeneve të korporatave dhe serverat proxy të centralizuar. Megjithatë, versioni falas nuk mund të përdoret në Windows Server dhe kufizon numrin e profileve në tetë, diçka që duhet ta mbani mend nëse menaxhoni shumë lokacione.

Profilet e WiFi-së të menaxhuara me Microsoft Intune

Në mjediset e korporatave ku menaxhoni qindra ose mijëra pajisje, nuk mund të mbështeteni te secili përdorues për të konfiguruar rrjetin e tij Wi-Fi siç duhet. Këtu hyn në lojë Microsoft Intune, duke ju lejuar të Krijo profile WiFi dhe shpërndaji ato në pajisjet Windows, Android, iOS dhe macOS. dhe të tjerë, në mënyrë të centralizuar.

Un Profili i Intune WiFi Është një grup parametrash lidhjeje (SSID, lloji i sigurisë, metoda e vërtetimit, fjalëkalimi, certifikatat, etj.) të caktuara për grupe përdoruesish ose pajisjesh. Pasi një pajisje merr profilin, rrjeti shfaqet në listën e rrjeteve të njohura dhe, nëse është brenda rrezes së veprimit, pajisja mund të lidhet automatikisht pa pasur nevojë që përdoruesi të ndryshojë ndonjë cilësim.

Për të krijuar një profil standard WiFi në Intune, duhet të ndiqni një proces të ngjashëm me politikat e tjera: duhet të keni akses në Qendra e Administrimit të Microsoft IntuneShko te Pajisjet, Cilësimet, krijo një politikë të re, zgjidh platformën (Android, iOS, macOS, Windows 10/11, etj.) dhe zgjidh "Wi-Fi" ose shabllonin përkatës si llojin e profilit. Pastaj përcaktoni emrin e profilit, një përshkrim dhe konfiguroni opsionet specifike të platformës: SSID, llojin e autentifikimit (WPA2, WPA3, EAP-TLS, etj.), përdorimin e certifikatës, parametrat e avancuar dhe së fundmi cakto profilin në grupet përkatëse.

Ndarja mund të filtrohet me etiketat e fushëveprimitKëto janë të dobishme për ndarjen e përgjegjësive midis ekipeve të ndryshme të IT-së (për shembull, një ekip mbështetës lokal që menaxhon vetëm një vend). Pasi shpërndahet, profili shfaqet në listën e profileve të Intune dhe zbatohet automatikisht kur pajisjet sinkronizohen.

Profilet WiFi me konfigurim PSK dhe XML duke përdorur Intune

Hapat për të krijuar profile automatike në rrjetin tuaj Wi-Fi

Përveç profileve standarde të WiFi-së, Intune ju lejon të përcaktoni Profilet WiFi bazuar në çelësin e parapërbashkët (PSK) dhe EAP duke përdorur direktiva të personalizuara dhe WiFi CSP. Kjo bëhet përmes skedarëve XML që përshkruajnë profilin pa tel dhe u dërgohen pajisjeve përmes OMA-URI.

Çelësat e parapërcaktuar përdoren zakonisht për autentifikoni përdoruesit në rrjetet WiFi në shtëpi ose rrjetet e vogla LAN pa telMe Intune, mund të krijoni një politikë të personalizuar të konfigurimit të pajisjes që përmban profilin Wi-Fi në format XML dhe një konfigurim OMA-URI që e dërgon atë në sistemin operativ. Ky opsion është i disponueshëm për Android (duke përfshirë modalitetet e profilit Enterprise dhe Work), Windows dhe rrjetet e bazuara në EAP.

Që të funksionojë, duhet të përgatitni një skedar XML që përshkruan profilin, duke përfshirë Emri i profilit, SSID (në tekst dhe heksadecimal), lloji i vërtetimit, lloji i enkriptimit, çelësi, mënyra e lidhjes, nëse rrjeti është i fshehuretj. Opsionale, mund ta nxirrni këtë XML nga një kompjuter me Windows që tashmë e ka rrjetin të konfiguruar duke përdorur komandat netsh.

Krijimi i një politike të personalizuar në Intune përfshin kthimin te Pajisjet, Cilësimet, krijimin e një politike të re, zgjedhjen e platformës dhe zgjedhjen e "Personalizuar" si lloj. Brenda opsionet e konfigurimit Shtoni një hyrje të re OMA-URI që tregon:

  • emër dhe përshkrimi i konfigurimit.
  • El OMA-URI i përshtatshëm, për shembull:
    • Në Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Cilësimet
    • Në Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • Lloji i të dhënave "String".
  • Në «Value», XML-i i plotë i profilit WiFi.

Është e rëndësishme që vlera e {SSID} në OMA-URI të përputhet me emri përshkrues i rrjetit në profilin XMLNëse emri përmban hapësira, ato duhet të kodohen si %20 në OMA-URI. Përveç kësaj, në XML, fusha Duhet të mbetet i pavërtetë në mënyrë që çelësi të dërgohet në tekst të thjeshtë (i enkriptuar nga kanali i menaxhimit, por jo i errësuar brenda XML-së). Nëse vendoset në të vërtetë, pajisja mund të presë një fjalëkalim të enkriptuar dhe të mos arrijë të lidhet.

Një shembull i përgjithshëm i një profili WiFi me PSK do të përfshinte një bllok me emrin, SSID-në në formë heksademi dhe tekstin, ESS , makinë , një bllok me llojin e autentifikimit (p.sh., WPA2PSK) dhe enkriptimin (AES), dhe një bllok me Fjalëkalim , i rremë dhe fjalëkalim , ku "fjalëkalimi" është çelësi i tekstit të thjeshtë.

Për rrjetet e bazuara në EAP, XML është shumë më kompleks sepse përfshin konfigurime të EapHostConfig, certifikatat, validimi i serverit, listat e hash-it CA, EKU, etj.Përcaktohen parametra të tillë si lloji EAP (p.sh., 13 për EAP-TLS), burimi i kredencialeve (depoja e certifikatave), nëse lejohet apo jo validimi i serverit dhe filtrat e mundshëm të certifikatave duke përdorur EKU të vërtetimit të klientit.

Pasi të krijohet politika e personalizuar, ajo u caktohet të njëjtave grupe që do të përdornit me një profil standard Wi-Fi. Gjatë regjistrimit ose sinkronizimit, pajisja merr skedarin XML, e importon atë si një profil pa tel dhe është gati të lidhet automatikisht me atë rrjet.

Krijo XML nga një lidhje ekzistuese WiFi

Në shumë raste, është më e përshtatshme të lejosh Windows-in të gjenerojë XML-in nga një lidhje ekzistuese që funksionon. Për ta bërë këtë në një kompjuter me Windows, mund të ndiqni këto hapa bazë: eksportoni profilin e WiFi-së:

  1. Krijo një dosje lokale, për shembull, c:\WiFi.
  2. Hapni një dritare komande si administrator.
  3. run netsh profilet tregojnë WLAN për të parë emrat e profileve ekzistuese.
  4. Eksportoni profilin e dëshiruar me
    netsh wlan eksport profilin emri = »ProfileName» folder = c:\WiFi.

Nëse profili përfshin një çelës të parapërcaktuar dhe dëshironi që XML të përmbajë fjalëkalimin në tekst të thjeshtë (e nevojshme që Intune ta përdorë atë siç duhet), parametri shtohet. çelësi = i qartë te komanda e eksportimit. Skedari XML i gjeneruar (me një emër të ngjashëm me Wi-Fi-ProfileName.xml) mund të hapet me një redaktues teksti, të rishikohet dhe kopjohet direkt në vlerën e konfigurimit OMA-URI në Intune.

Disa detaje duhet të monitorohen, siç është elementi Profili i eksportuar nuk përfshin hapësira që mund të shkaktojnë gabime në alokim gjatë përdorimit të Intune, ose që vlera përputhet me SSID-në e specifikuar. Përveç kësaj, karakteret speciale në XML (siç është simboli &) duhet të shmangen siç duhet për të shmangur gabimet e përpunimit.

Praktikat më të mira kur përdorni PSK dhe rrotulloni tastet

Kur menaxhoni rrjetet WiFi me PSK në një mjedis korporativ, është thelbësore të planifikoni rrotullimi i fjalëkalimitNdryshimi i menjëhershëm i fjalëkalimit pa paralajmërim mund të shkëpusë shumë pajisje që mbështeten në atë rrjet për të komunikuar me Intune dhe për të marrë cilësimet e reja.

Këshillohet që së pari të kontrolloni nëse pajisjet mund të lidheni direkt me pikën e aksesit Me konfigurimin e planifikuar, projektoni ndryshimin e çelësit në mënyrë që të ketë një lidhje alternative interneti: një rrjet mysafirësh, një rrjet paralel Wi-Fi i përkohshëm ose të dhëna celulare. Në këtë mënyrë, edhe nëse Wi-Fi i korporatës ndryshon PSK-në e tij, pajisjet mund të përdorin lidhjen dytësore për të marrë profilin e ri.

Gjithashtu këshillohet që të planifikohet vendosja e profileve të reja në orët jashtë orarit të pikut dhe njoftojnë përdoruesit se lidhja mund të preket për një periudhë kohore. Kjo zvogëlon ndikimin në produktivitet dhe lehtëson monitorimin e gabimeve ose anomalive gjatë procesit.

Profilet e lidhjes së rrjetit dhe rregullat e firewall-it

Disa zgjidhje sigurie, të tilla si paketat e mbrojtjes së pikave fundore (Gjashtëkëndësh), lejojnë përcaktimin profile të personalizuara të lidhjes së rrjetit Këto profile aplikohen në lidhje specifike bazuar në shkaktarë ose kushte. Ato shtojnë një shtresë shtesë në konfigurimin e Windows, duke rregulluar firewall-in, dukshmërinë e pajisjes dhe mbrojtje të tjera sipas rrjetit.

Në konsolën e konfigurimit të avancuar, zakonisht ekziston një seksion "Profilet e Lidhjes së Rrjetit" me profile të paracaktuara si p.sh. privat y Publik Këto profile nuk mund të modifikohen ose fshihen. Profili Privat është i menduar për rrjete të besuara (shtëpi ose zyrë), ku lejohet qasja në skedarë të përbashkët, printera, komunikim hyrës RPC dhe desktop të largët. Profili Publik, nga ana tjetër, bllokon ndarjen e skedarëve dhe burimeve dhe është i menduar për rrjete jo të besueshme.

Përveç këtyre profileve, mund të krijoni profile me porosi dhe rregulloni parametra të tillë si emri, përshkrimi, adresat shtesë të besuara, nëse lidhja konsiderohet e besuar (duke shtuar nënrrjete të tëra në zonën e sigurt) dhe aktivizoni veçori të tilla si "Raporti i Enkriptimit të Dobët WiFi", i cili ju njofton kur lidheni me rrjete të hapura ose të mbrojtura dobët.

Çdo profil mund të ketë aktivizuesitDomethënë, kushtet që duhet të përmbushen që një profil të aplikohet në një lidhje: adresa IP e portës hyrëse, SSID e Wi-Fi, lloji i rrjetit, etj. Profilet vlerësohen sipas një rendi përparësie dhe zbatohet i pari që përputhet me kushtet. Kjo lejon, për shembull, të kesh një profil specifik për Wi-Fi-në e kompanisë, një të përgjithshëm për rrjetet e shtëpisë dhe një shumë kufizues për çdo rrjet publik të panjohur.

Menaxhimi i profilit dhe vendndodhjes në mjedise të përparuara

Në sisteme më të përparuara ose në rrjetet e ndërmarrjeve me Solaris ose platforma të tjera, koncepti i profilit të rrjetit kombinohet me Njësitë e Konfigurimit të Rrjetit (NCU), grupet prioritare dhe vendndodhjetPërmes një ndërfaqeje grafike të Preferencave të Rrjetit ose komandave të tilla si ipadm, dladm, netcfg dhe netadm, mund të krijoni profile reaktive dhe fikse, të gruponi ndërfaqe dhe të përcaktoni rregulla aktivizimi.

Pamja e Profilit të Rrjetit e GUI shfaq një lista e profileve të disponueshmeme tregues që tregojnë se cili është aktiv. Profilet e përcaktuara nga sistemi, si "Automatic" dhe "DefaultFixed", nuk mund të modifikohen ose fshihen, por ju mund të krijoni profile të shumëfishta reaktive të personalizuara. Çdo profil përfshin një grup lidhjesh (NCU) që aktivizohen ose çaktivizohen kur profili hyn në fuqi.

Për të organizuar ndërfaqet, përdoren materialet e mëposhtme: grupet prioritare me tre lloje kryesore:

  • Ekskluzive: vetëm një lidhje në grup mund të jetë aktive, dhe ndërsa një është aktive, grupet me përparësi më të ulët nuk preken.
  • I përbashkët: të gjitha lidhjet e mundshme në grup aktivizohen dhe, për sa kohë që të paktën një është aktive, grupet më të ulëta nuk përdoren.
  • Të gjitha: të gjitha duhet të jenë aktive; nëse njëra dështon, të gjitha çaktivizohen, pa u përpjekur të aktivizohen grupet me përparësi më të ulët.

Profili "Automatik", për shembull, zakonisht ka sa vijon në grupin e tij me përparësi më të lartë: ndërfaqe me telaLidhjet pa tel janë në një grup me përparësi më të ulët. Prandaj, nëse është i disponueshëm një kabllo, Ethernet ka gjithmonë përparësi dhe Wi-Fi shmanget përveç nëse është absolutisht e nevojshme.

Si vendndodhjet e rrjetitKëto cilësime grupojnë konfigurime për shërbimet e emrave (DNS, LDAP, etj.) dhe sigurinë (skedarët e konfigurimit për firewall-et IP dhe IPsec). Mund të përcaktohen vendndodhjet e sistemit (Automatic, NoNet, DefaultFixed), vendndodhjet manuale ose vendndodhjet e kushtëzuara. Vendndodhjet manuale aktivizohen manualisht përmes kutisë së dialogut Vendndodhjet, ndërsa vendndodhjet e kushtëzuara aktivizohen bazuar në rregulla (p.sh., lloji i rrjetit, adresa IP e marrë, etj.).

Nga GUI mund të ndryshoni modalitetin e aktivizimit të një vendndodhjeje, ta vendosni atë në "vetëm manual" ose "të aktivizuar nga rregullat" dhe t'i modifikoni ato rregulla për të përcaktuar saktësisht Në cilat situata përdoret secili grup politikash?Aktivizimi i një vendndodhjeje të re çaktivizon gjithmonë atë të mëparshmen, duke siguruar që vetëm një të jetë aktive në çdo kohë të caktuar.

Profilet IPsec në routerë për lidhje të sigurta

I gjithë ky sistem profilizimi nuk kufizohet vetëm në pajisjet e përdoruesit fundor. Ai zbatohet edhe për routerat profesionalë, siç është seria. Cisco RV160 dhe RV260Përdoren profile IPsec që përcaktojnë se si mbrohet trafiku midis faqeve duke përdorur VPN.

Un Profili IPsec Ai grupon algoritmet dhe parametrat e përdorur në negocimin e çelësave (faza I dhe IKE) dhe enkriptimin e të dhënave (faza II). Kjo përfshin aspekte të tilla si algoritmi i enkriptimit (3DES, AES-128, AES-192, AES-256), metoda e autentifikimit (MD5, SHA1, SHA2-256), grupi Diffie-Hellman (p.sh., Grupi 2 prej 1024 bitësh ose Grupi 5 prej 1536 bitësh), kohëzgjatja e shoqatave të sigurisë (SA) dhe nëse përdoret modaliteti automatik i çelësimit (IKEv1 ose IKEv2) apo modaliteti manual i çelësimit.

La faza I Ai krijon një komunikim të sigurt dhe të autentifikuar midis dy pikave fundore të VPN-së, duke negociuar çelësat dhe duke autentifikuar kolegët. Në këtë fazë, zgjidhet IKEv1 ose IKEv2, së bashku me grupin DH, algoritmin e enkriptimit dhe hash-in e autentifikimit, si dhe jetëgjatësinë e SA (për shembull, 28800 sekonda). IKEv2 zakonisht preferohet sepse është më efikas, kërkon më pak shkëmbim paketash dhe mbështet më shumë opsione autentifikimi.

La faza II Ai merret me enkriptimin e trafikut aktual. Ju përcaktoni nëse do të përdorni ESP (për enkriptim dhe, opsionalisht, autentifikim) ose AH (vetëm autentifikim, pa konfidencialitet), zgjidhni përsëri algoritmet e enkriptimit dhe hashimit, kontrolloni nëse dëshirohet Sekreti i Përsosur Përpara (PFS) dhe rregulloni jetëgjatësinë e IPsec SA (për shembull, 3600 sekonda). Rekomandimi është zakonisht që jetëgjatësia e Fazës I të jetë më i madh se ai i fazës IInë mënyrë që çelësat e të dhënave të rinovohen më shpesh sesa çelësat e kanalit.

Në konfigurimin e një RV160/RV260, shkoni te menyja VPN > IPSec VPN > IPSec Profiles, shtoni një profil të ri, emërtojeni (për shembull, "HomeOffice"), zgjidhni modalitetin e krijimit të çelësit (Automatic), versionin IKE (idealisht IKEv2 nëse të dy palët e mbështesin), parametrat e Fazës I dhe Fazës II, aktivizoni PFS nëse është e mundur dhe zgjidhni përsëri grupin DH për Fazën II. Së fundmi, aplikoni dhe ruani konfigurimin në mënyrë që të vazhdojë gjatë rinisjeve duke kopjuar konfigurimi po funksionon në fillim.

Është thelbësore që të dy skajet e një tuneli nga një vend në tjetrin të kenë të njëjtat parametra të profilit (të njëjtat algoritme, jetëgjatësi, versioni IKE, PSK ose certifikata, etj.). Përndryshe, negocimi do të dështojë dhe tuneli nuk do të krijohet.

Të marra së bashku, ky kombinim i profileve WiFi, profileve të rrjetit, vendndodhjeve, konfigurimit të Intune dhe profileve IPsec në routerë ju lejon të ndërtoni mjedise ku kompjuteri, laptopi ose pajisja juaj mobile përshtatet pothuajse automatikisht me rrjetin në të cilin ndodhet. Zgjidhni ndërfaqen e duhur, aplikoni sigurinë e duhur, lidheni me WiFi pa ndërhyrjen e përdoruesit, aktivizoni VPN kur është e nevojshme dhe përshtatni murin e zjarrit sipas kontekstit.Kjo është, në fund të fundit, mënyra më praktike dhe e sigurt për të krijuar profile automatike bazuar në rrjetin WiFi që përdorni. Ndani këtë informacion në mënyrë që më shumë përdorues të dinë rreth temës..