כיצד ליצור פרופילים אוטומטיים המבוססים על רשת ה-WiFi בה אתה משתמש

  • פרופילי רשת מאפשרים לך להפוך IP, DNS, חומת אש, VPN ומשאבים משותפים לאוטומטיים בהתבסס על רשת ה-WiFi או המיקום.
  • כלים כמו Easy Net Switch, NetSetMan או TCP/IP Manager מרחיבים את הפונקציות המקוריות של Windows כדי להחליף סביבות בלחיצה אחת.
  • בסביבות ארגוניות, Intune מפיצה באופן מרכזי פרופילי WiFi (כולל PSK ו-EAP ב-XML) לפלטפורמות מרובות.
  • פרופילי אבטחה נוספים, כגון פרופילי חיבור ופרופילי IPsec בנתבים, משלימים את ההגנה והאוטומציה באתרים השונים.
Joaquin Romero

19 דקות

כיצד ליצור פרופילים אוטומטיים עבור רשת ה-Wi-Fi שלך

אם אתם עוברים כל הזמן בין ה-Wi-Fi הביתי, רשת המשרד, רשת האוניברסיטה או נקודת הגישה הניידת שלכם, שינוי ידני של הגדרות הרשת הוא טרחה של ממש. למרבה המזל, Windows ומערכות הפעלה אחרות מציעות דרכים לעשות זאת. צור פרופילים אוטומטיים המבוססים על רשת ה-WiFi שאליה אתה מתחבר, לשלוט באיזה ממשק מופעל בכל זמן נתון ולהחיל מדיניות אבטחה או חומות אש המותאמות לכל סביבה.

במאמר זה תראו, בפירוט רב, כיצד הם פועלים פרופילי רשתמה הם מאפשרים לך לעשות ב-Windows, כיצד לשלב אותם עם כלים כמו Intune או עם פתרונות אבטחה, אילו תוכנות צד שלישי יש לך כדי להתקדם הלאה, ואיך כל זה משתלב עם מושגים כמו מיקומים, קבוצות עדיפות ממשק או פרופילי IPsec בנתבים ארגוניים.

מהו פרופיל רשת ומדוע כדאי לך להשתמש בו?

פרופיל רשת הוא בעצם קבוצה של פרמטרים מוגדרים מראש המוחלים על חיבור (או כמה) בהתאם לתנאים מסוימים: רשת ה-WiFi שאליה אתה מתחבר, הממשק הפעיל, המיקום וכו'. פרמטרים אלה יכולים לנוע בין IP ו-DNS ועד כללי חומת אש, שימוש ב-VPN, מדפסות, משאבים משותפים או אפילו סקריפטים מותאמים אישית.

ב-Windows, המערכת כבר מסווגת רשתות כ- ציבורי או פרטיכשאתה מתחבר לרשת Wi-Fi או LAN בפעם הראשונה, המערכת שואלת אם זו רשת מהימנה. אם תענה כן, היא נחשבת פרטית; אם לא, ציבורית. בהתבסס על החלטה זו, היא מתאימה את חומת האש ואת הנראות של המכשיר שלך ברשת, מרפה את האבטחה ברשתות ביתיות או משרדים קטנים ומחזקת אותה ברשתות בבתי מלון, שדות תעופה או בתי קפה.

באחד רשת פרטיתWindows מניח שאתה שולט במי שמתחבר ושההתקנים ידועים. זה מאפשר לך, לדוגמה, לגלות מחשבים אחרים ברשת, לגשת לתיקיות משותפות, לשלוח עבודות הדפסה למדפסות רשת או להשתמש בתכונות כמו קבוצת בית או סטרימינג לטלוויזיה חכמה. המערכת מפחיתה את ההגבלות מכיוון שהיא מבינה שהסביבה מאובטחת יחסית.

באחד רשת ציבוריתWindows מניח שהרשת אינה מהימנה. לכן, הוא מבטל גילוי התקנים, שיתוף קבצים ומדפסות ושירותים אחרים שעלולים לחשוף אותך להתקפות מצד התקנים מחוברים אחרים. פגיעויות כמו אלו בוואטסאפעדיין ניתן לגלוש באינטרנט, אך המכשיר מבודד מהשאר, וזה קריטי כשמתחברים ל-WiFi בקניון, שדה תעופה או רשת פתוחה.

הבעיה מתעוררת כאשר מזיזים את אותו מחשב נייד רשתות מרובות עם דרישות שונות מאודייתכן שאחד ידרוש כתובת IP סטטית, אחר ישתמש ב-DHCP; אחד ידרוש ממך לעבור דרך פרוקסי ארגוני, אחר להפעיל VPN, ואחר לא. שינוי ידני בכל פעם הוא מייגע ונוטה לשגיאות. כאן נכנסים לתמונה פרופילי רשת מתקדמים, הן ב-Windows והן באמצעות תוכנות ייעודיות.

אוטומציה של הגדרות בעת החלפת רשתות WiFi ב-Windows

Windows מאפשר לך להגדיר פרמטרים שונים לכל פרופיל רשת (ציבורי או פרטי) ולכל חיבור ספציפי, אך הניהול המשולב לוקה בחסר אם אתה רוצה בכך. שנה IP, DNS, פרוקסי, VPN וחומת אש בבת אחת בכל פעם שאתה מזהה SSID שונה. לשם כך, הגישה הרגילה היא לשלב את מה שהמערכת מציעה עם כלים חיצוניים המנהלים פרופילים מתקדמים.

בממשק ניהול הרשת הגרפי של סביבות מסוימות (לדוגמה, הפצות המשתמשות במושגים דומים ל-NCP של סולאריס) מתבצעת הבחנה פרופילי רשת ריאקטיביים וקבועיםהפרופיל הריאקטיבי "אוטומטי" מנסה תחילה ליצור חיבור קווי, ואם זה נכשל, הוא עובר לחיבור אלחוטי. הפרופיל הקבוע "DefaultFixed" מגדיר קבוצה סטטית של ממשקים שנשארים ללא שינוי עד לשינוי באמצעות כלי שורת פקודה.

פרופילים אלה שולטים באילו ממשקים ניתן להשתמש להפעיל או לבטל בכל עתבמחשב נייד טיפוסי עם Ethernet ו-Wi-Fi, ייתכן שתרצו להשתמש ב-Ethernet רק כאשר כבל זמין ולכבות את Wi-Fi לצורך אבטחה, או להיפך. ממשק המשתמש הגרפי של העדפות הרשת מציע בדרך כלל תצוגות של סטטוס חיבור, פרופיל רשת ומאפייני חיבור, שבהן תוכלו לראות את הסטטוס הנוכחי, איזה פרופיל פעיל ומאפיינים ספציפיים (כתובת IP, IPv4/IPv6, רשתות אלחוטיות מועדפות וכו').

בנוסף, ניתן להגדיר מיקומים הגדרות אלה מקבצות יחד תצורות כגון שירותי שמות, חומת אש ו-IPsec, ומופעלות באופן ידני או מותנה בהתאם לכללים (לדוגמה, מיקום "משרד" אם אתה מקבל כתובת IP מטווח מסוים, ומיקום "בית" עם מדיניות שונה). רק מיקום אחד יכול להיות פעיל בכל פעם, וניתן לשנות אותו מסמל סטטוס הרשת או באמצעות פקודות כמו netadm במערכות דמויות Solaris.

תוכניות ליצירת פרופילים אוטומטיים לכל רשת WiFi

כדי לחרוג ממה ש-Windows מציע כברירת מחדל, ישנם כלים ספציפיים המאפשרים צור ויישום של פרופילי רשת מלאים זה תלוי ברשת (SSID) שאליה אתה מתחבר או במתאם הפעיל. רבים מהם תומכים ב-Windows XP עד Windows 11.

מתג רשת קל

מתג רשת קל זוהי תוכנה בתשלום עבור Windows שבולטת במספר העצום של הגדרות רשת שהיא יכולה להתמודד איתן. למרות שהממשק שלה מזכיר את עידן Windows XP, היא נותרה תואמת ל- חלונות XP, 7, 8, 10 ו-11, וכולל גם ממשק משתמש גרפי וגם מצב שורת פקודה למשתמשים מתקדמים.

בעזרת Easy Net Switch תוכלו להגדיר פרופילים ששולטים כמעט בכל דבר: כתובת IP, מסיכת רשת משנה, שער, DNS, WINS, NetBIOS, זיוף MAC, WiFi, VPN, פרוקסי, חומת אש, מדפסת ברירת מחדל, כונני רשת, נתיבים סטטייםואפילו להריץ סקריפטים או לשנות את קובץ ה-hosts. כל פרמטר הוא אופציונלי; ניתן להגביל את עצמכם לכתובת ה-IP וה-DNS או להגדיר פרופיל מורכב מאוד עבור סביבה ארגונית.

יצירת פרופיל מתבצעת בדרך כלל על ידי לחיצה על כפתור "חדש", באמצעות אשף בסיסי שניתן להתאים אישית לאחר מכן. בקטע "רשת", ניתן לבחור האם כתובת ה-IP וה-DNS מתקבלים דרך DHCP או שהם סטטיים, ובקטע "מתקדם" ניתן לשנות WINS, NetBIOS, לשנות את כתובת ה-MAC, לנקות את מטמון ה-DNS ועוד. בעת החלת פרופיל, התוכנית מציגה... סיכום השינויים ואם היו שגיאות כלשהןמה שמקל על האבחון אם משהו לא עובד.

במקטע WiFi, Easy Net Switch מאפשר לך להגדיר פרופילים אלחוטיים המקושרים ל-SSIDs ספציפייםניתן לסרוק רשתות זמינות או להזין את השם באופן ידני, ולהתאים את האימות: ממפתחות משותפים מראש (PSK) ועד לאימות חזק עם RADIUS ופרוטוקולי EAP שונים. זה מאפשר, לדוגמה, להכין באופן אוטומטי את הפרופיל עם המפתח הנכון, אימות EAP מתאים, ובמידת הצורך, את ה-VPN בכל פעם שרואים את ה-SSID של החברה.

התוכנה מנהלת גם הגדרות עבור פרוקסי תאגידי (כולל אימות), Dial-Up, VPN, ואפילו מציע כלים משולבים כמו ping ו-traceroute, כמו גם ווידג'ט לשולחן העבודה לצפייה בכתובת ה-IP הנוכחית בכל עת. האפשרויות שלו כוללות התחלה עם Windows, מזעור למגש המערכת, השבתת זיהוי אוטומטי של רשתות Wi-Fi והגנה בסיסמא על גישה לתוכניות כדי למנוע שינויים לא מורשים.

מנהל TCP/IP

מנהל TCP/IP זהו פרויקט חינמי וקוד פתוח שלמרות שלא עודכן במשך שנים, עדיין עובד היטב בגרסאות האחרונות של Windows. הוא מתמקד ביצירת פרופילי רשת ללא הגבלה שמשנים במהירות את תצורת IP, מסיכת רשת משנה, שער, DNS, פרוקסי, שם קבוצת עבודה וכתובת MAC.

אחד היתרונות שלו הוא שהוא מאפשר ייבוא ​​התצורה הנוכחית המערכת מאפשרת לך ליצור פרופיל מההגדרות הקיימות שלך מבלי שתצטרך להזין הכל ידנית. היא מציעה גם אפשרות לשייך קבצי אצווה לכל פרופיל, כך שהפעלתו תבצע אוטומטית פקודות נוספות (לדוגמה, התקנת כונני רשת או הפעלת VPN).

ניתן לעבור בין פרופילים מהממשק עצמו או דרך מקשים חמיםאידיאלי למשתמשים שצריכים לעבור במהירות בין סביבות (רשת ארגונית, מעבדה, לקוח וכו'). יתר על כן, התוכנה מתעדכנת אוטומטית דרך האינטרנט כאשר גרסאות חדשות זמינות, מה שמבטל את הצורך בהורדות ידניות.

מעביר IP

מעביר IP זוהי אפשרות קלת משקל וחינמית המיועדת למי שזקוק למשהו פשוט יותר. היא תומכת ב-Windows XP ובגרסאות מתקדמות יותר, כולל Windows 10 ו- Windows 11ועובד עם מתאמים שונים, גם Ethernet וגם WiFi.

תפקידו העיקרי הוא לאפשר לך לשנות מבלי להפעיל מחדש את תצורת IP, מסיכת רשת משנה, שער ו-DNS של המתאמים. הוא גם מטפל בתצורות פרוקסי עבור דפדפנים כמו Microsoft Edge או Firefox, משלב פקודת ping מהירה, ויכול לזהות את המכשירים הקיימים ברשת המקומית, וכן להציג את כתובת ה-IP הציבורית שהאינטרנט רואה.

אין לו את רמת העומק של Easy Net Switch או NetSetMan, אבל עבור מעבר בין שתיים או שלוש סביבות בסיסיות (לדוגמה, כתובת IP סטטית ברשת תעשייתית ו-DHCP בבית) בדרך כלל מספיקה.

NetSetMan

NetSetMan זוהי כנראה האלטרנטיבה החינמית החזקה ביותר ל-Easy Net Switch. יש לה גרסה חינמית עם עד שמונה פרופילים וגרסת Pro בתשלום עם פרופילים ללא הגבלה ואפשרויות עסקיות נוספותהפילוסופיה שלהם היא שבלחיצה אחת ניתן להפעיל סט שלם של הגדרות רשת.

בין התצורות שהיא מאפשרת נמצאות התצורות הקלאסיות (IP, מסכה, שער, DNS), ה- קבוצת עבודה, מדפסת ברירת מחדל, כונני רשת, טבלת ניתוב, שרת SMTP, שם מחשב, כתובת MAC, סטטוס כרטיס רשת, מהירות ממשק, MTU, VLAN ועוד הרבה יותר. ניתן גם להגדיר פרמטרים של שרת VPN, להפעיל קבצי batch, VBScript או JavaScript בעת החלפת פרופילים, להפעיל תוכניות אחרות ואפילו לנהל הגדרות WiFi בפירוט.

גרסת ה-Pro מוסיפה תכונות כגון תצורות פרוקסי מתקדמות ודומייני רשתאלה שימושיים מאוד לשילוב עם סביבות דומיין ארגוניות ושרתי פרוקסי מרכזיים. עם זאת, לא ניתן להשתמש בגרסה החינמית בשרת Windows והיא מגבילה את מספר הפרופילים לשמונה, דבר שכדאי לזכור אם אתם מנהלים מיקומים רבים.

פרופילי WiFi המנוהלים באמצעות Microsoft Intune

בסביבות ארגוניות שבהן אתם מנהלים מאות או אלפי מכשירים, אינכם יכולים לסמוך על כל משתמש שיגדיר נכון את רשת ה-Wi-Fi שלו. כאן נכנס לתמונה Microsoft Intune, ומאפשר לכם צור פרופילי WiFi והפץ אותם למכשירי Windows, Android, iOS ו-macOS. ואחרים, באופן מרוכז.

Un פרופיל WiFi של Intune זוהי קבוצה של פרמטרי חיבור (SSID, סוג אבטחה, שיטת אימות, סיסמה, אישורים וכו') המוקצים לקבוצות של משתמשים או מכשירים. לאחר שמכשיר מקבל את הפרופיל, הרשת מופיעה ברשימת הרשתות הידועות, ואם היא בטווח קליטה, המכשיר יכול להתחבר אוטומטית מבלי שהמשתמש יצטרך לשנות הגדרות כלשהן.

כדי ליצור פרופיל WiFi סטנדרטי ב-Intune, עליך לבצע תהליך דומה לזה של מדיניות אחרת: אתה ניגש אל מרכז הניהול של מיקרוסופט אינטוןעבור אל התקנים, הגדרות, צור מדיניות חדשה, בחר את הפלטפורמה (אנדרואיד, iOS, macOS, Windows 10/11 וכו') ובחר "Wi-Fi" או את התבנית המתאימה כסוג הפרופיל. לאחר מכן הגדירו את שם הפרופיל, תיאור, והגדירו את האפשרויות הספציפיות לפלטפורמה: SSID, סוג אימות (WPA2, WPA3, EAP-TLS וכו'), שימוש באישור, פרמטרים מתקדמים, ולבסוף הקצה את הפרופיל לקבוצות המתאימות.

ניתן לסנן את ההקצאה באמצעות תוויות היקףאלה שימושיים להפרדת אחריות בין צוותי IT שונים (לדוגמה, צוות תמיכה מקומי המנהל מדינה אחת בלבד). לאחר הפצת הפרופיל, הוא מופיע ברשימת הפרופילים של Intune ומוחל אוטומטית כאשר המכשירים מסתנכרנים.

פרופילי WiFi עם תצורת PSK ו-XML באמצעות Intune

שלבים ליצירת פרופילים אוטומטיים ברשת ה-Wi-Fi שלך

בנוסף לפרופילי WiFi סטנדרטיים, Intune מאפשר לך להגדיר פרופילי WiFi המבוססים על מפתח משותף מראש (PSK) ו-EAP באמצעות הנחיות מותאמות אישית ו-WiFi CSP. זה נעשה באמצעות קבצי XML המתארים את הפרופיל האלחוטי ונשלחים למכשירים דרך OMA-URI.

מפתחות משותפים מראש משמשים בדרך כלל עבור אימות משתמשים ברשתות WiFi ביתיות או ברשתות LAN אלחוטיות קטנותבעזרת Intune, ניתן ליצור מדיניות תצורת מכשירים מותאמת אישית המכילה את פרופיל ה-Wi-Fi בפורמט XML ותצורת OMA-URI המספקת אותו למערכת ההפעלה. אפשרות זו זמינה עבור Android (כולל מצבי פרופיל Enterprise ו-Work), Windows ורשתות מבוססות EAP.

כדי שזה יעבוד, עליך להכין קובץ XML שמתאר את הפרופיל, כולל שם פרופיל, SSID (בטקסט ובאותיות הקסדצימליות), סוג אימות, סוג הצפנה, מפתח, מצב חיבור, האם הרשת מוסתרתוכו'. לחלופין, ניתן לחלץ XML זה ממחשב Windows שכבר מוגדר עם הרשת באמצעות פקודות netsh.

יצירת מדיניות מותאמת אישית ב-Intune כרוכה בחזרה למכשירים, הגדרות, יצירת מדיניות חדשה, בחירת הפלטפורמה ובחירת "מותאם אישית" כסוג. בתוך אפשרויות תצורה הוסף ערך OMA-URI חדש המציין:

  • שם ותיאור התצורה.
  • El OMA-URI מתאים, לדוגמה:
    • באנדרואיד: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
    • ב-Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • סוג הנתונים "מחרוזת".
  • ב-«Value», קובץ ה-XML המלא של פרופיל ה-WiFi.

חשוב שהערך של {SSID} ב-OMA-URI יתאים ל- שם רשת תיאורי בפרופיל XMLאם השם מכיל רווחים, יש לקודד אותם כ-%20 ב-OMA-URI. בנוסף, ב-XML, השדה עליו להישאר false (false) כדי שהמפתח יישלח בטקסט רגיל (מוצפן על ידי ערוץ הניהול, אך לא מוסתר בתוך ה-XML). אם מוגדר כ-true (אמת), המכשיר עלול לצפות לסיסמה מוצפנת ולא להתחבר.

דוגמה כללית לפרופיל WiFi עם PSK תכלול חסימה עם השם, ה-SSID באותיות הקסדצימליות ובטקסט, ESS , מְכוֹנִית , בלוק עם סוג האימות (למשל, WPA2PSK) וההצפנה (AES), ובלוק עִם משפט מעבר , שֶׁקֶר ו סִיסמָה , כאשר "password" הוא מפתח הטקסט הרגיל.

עבור רשתות מבוססות EAP, ה-XML מורכב הרבה יותר משום שהוא כולל תצורות של EapHostConfig, אישורים, אימות שרת, רשימות גיבוב של CA, EKU וכו'.מוגדרים פרמטרים כגון סוג ה-EAP (למשל, 13 עבור EAP-TLS), מקור האישורים (מאגר האישורים), האם אימות שרת מותר או לא, ומסנני אישורים אפשריים המשתמשים ב-EKUs של אימות לקוח.

לאחר יצירת המדיניות המותאמת אישית, היא מוקצית לאותן קבוצות שבהן הייתם משתמשים עם פרופיל Wi-Fi סטנדרטי. בעת רישום או סנכרון, המכשיר מקבל את קובץ ה-XML, מייבא אותו כפרופיל אלחוטי ומוכן להתחבר אוטומטית לרשת זו.

צור את קובץ ה-XML מחיבור WiFi קיים

במקרים רבים, נוח יותר לאפשר ל-Windows לייצר את קובץ ה-XML מחיבור קיים ופעיל. כדי לעשות זאת במחשב Windows, ניתן לבצע את השלבים הבסיסיים הבאים: ייצוא פרופיל ה-WiFi:

  1. צור תיקייה מקומית, לדוגמה, c:\WiFi.
  2. פתח שורת פקודה כמנהל.
  3. לָרוּץ הצגת פרופילי wlan netsh כדי לראות את שמות הפרופילים הקיימים.
  4. ייצא את הפרופיל הרצוי באמצעות
    netsh wlan export profile name=»ProfileName» folder=c:\WiFi.

אם הפרופיל כולל מפתח משותף מראש וברצונך שה-XML יכיל את הסיסמה בטקסט רגיל (הכרחי לשימוש נכון ב-Intune), הפרמטר נוסף. מפתח = ברור לפקודת הייצוא. ניתן לפתוח את קובץ ה-XML שנוצר (עם שם דומה ל-Wi-Fi-ProfileName.xml) באמצעות עורך טקסט, לסקור אותו ולהעתיק אותו ישירות לערך התצורה של OMA-URI ב-Intune.

יש לעקוב אחר פרטים מסוימים, כמו האלמנט הפרופיל המיוצא אינו כולל רווחים שעלולים לגרום לשגיאות הקצאה בעת שימוש ב-Intune, או שהערך תואמים ל-SSID שצוין. בנוסף, תווים מיוחדים ב-XML (כגון סימן &) חייבים להיות מבוקרים כראוי כדי למנוע שגיאות עיבוד.

שיטות עבודה מומלצות בעת שימוש ב-PSK ובסיבוב מקשים

בעת ניהול רשתות WiFi עם PSK בסביבה ארגונית, חיוני לתכנן את סיבוב סיסמהשינוי סיסמה בפתאומיות ללא תכנון מראש עלול לנתק מכשירים רבים המסתמכים על רשת זו כדי לתקשר עם Intune ולקבל את ההגדרות החדשות.

מומלץ לבדוק תחילה שהמכשירים יכולים להתחבר ישירות לנקודת הגישה עם התצורה המתוכננת, תכננו את שינוי המפתח כך שיהיה חיבור אינטרנט חלופי: רשת אורח, רשת Wi-Fi מקבילית זמנית או נתונים סלולריים. בדרך זו, גם אם ה-Wi-Fi הארגוני משנה את ה-PSK שלו, מכשירים יוכלו להשתמש בחיבור המשני כדי לקבל את הפרופיל החדש.

מומלץ גם לתזמן את פריסת הפרופילים החדשים ב שעות שפל ולהודיע ​​למשתמשים כי הקישוריות עשויה להיות מושפעת למשך זמן מה. זה מפחית את ההשפעה על הפרודוקטיביות ומקל על ניטור שגיאות או אנומליות במהלך התהליך.

פרופילי חיבור רשת וכללי חומת אש

חלק מפתרונות האבטחה, כגון חבילות הגנה על נקודות קצה (הקסלוק), מאפשרים הגדרה פרופילי חיבור רשת מותאמים אישית פרופילים אלה מוחלים על חיבורים ספציפיים בהתבסס על טריגרים או תנאים. הם מוסיפים שכבה נוספת לתצורת Windows, תוך התאמת חומת האש, נראות המכשיר והגנות אחרות בהתאם לרשת.

במסוף התצורה המתקדם, בדרך כלל ישנו מדור "פרופילי חיבור רשת" עם פרופילים מוגדרים מראש כגון פרטים y Público לא ניתן לשנות או למחוק פרופילים אלה. הפרופיל הפרטי מיועד לרשתות מהימנות (ביתיות או משרדיות), שבהן מותרת גישה לקבצים משותפים, מדפסות, תקשורת RPC נכנסת ושולחן עבודה מרוחק. הפרופיל הציבורי, לעומת זאת, חוסם שיתוף קבצים ומשאבים ומיועד לרשתות לא מהימנות.

בנוסף לפרופילים אלה, ניתן ליצור פרופילים בהתאמה אישית ולהתאים פרמטרים כגון שם, תיאור, כתובות מהימנות נוספות, האם החיבור נחשב מהימן (הוספת תת-רשתות שלמות לאזור המאובטח), ולהפעיל תכונות כגון "דוח הצפנת WiFi חלשה", אשר מתריע בפניך כשאתה מתחבר לרשתות פתוחות או מוגנות בצורה גרועה.

כל פרופיל יכול להכיל מפעיליםכלומר, תנאים שחייבים להתקיים כדי שפרופיל יוחל על חיבור: כתובת IP של השער, SSID של ה-Wi-Fi, סוג הרשת וכו'. הפרופילים מוערכים לפי סדר עדיפות, והראשון שתואם את התנאים מוחל. זה מאפשר, למשל, פרופיל ספציפי עבור ה-Wi-Fi של החברה, פרופיל כללי עבור רשתות ביתיות ופרופיל מגביל מאוד עבור כל רשת ציבורית לא ידועה.

ניהול פרופילים ומיקומים בסביבות מתקדמות

במערכות מתקדמות יותר או ברשתות ארגוניות עם סולאריס או פלטפורמות אחרות, מושג פרופיל הרשת משולב עם יחידות תצורת רשת (NCUs), קבוצות עדיפות ומיקומיםבאמצעות ממשק גרפי של העדפות רשת או פקודות כגון ipadm, dladm, netcfg ו- netadm, ניתן ליצור פרופילים ריאקטיביים וקבועים, לקבץ ממשקים ולהגדיר כללי הפעלה.

תצוגת פרופיל הרשת של ממשק המשתמש הגרפי מציגה רשימת פרופילים זמיניםעם מחוונים המראים איזה מהם פעיל. פרופילים המוגדרים על ידי המערכת, כגון "Automatic" ו-"DefaultFixed", אינם ניתנים לעריכה או למחיקה, אך ניתן ליצור מספר פרופילים ריאקטיביים מותאמים אישית. כל פרופיל כולל קבוצת חיבורים (NCUs) המופעלים או מושבתים כאשר הפרופיל נכנס לתוקף.

כדי לארגן ממשקים, משתמשים באמצעים הבאים: קבוצות עדיפות עם שלושה סוגים עיקריים:

  • בלעדי: רק חיבור אחד בקבוצה יכול להיות פעיל, ובזמן שאחד מהם פעיל, קבוצות בעלות עדיפות נמוכה יותר אינן נוגעות.
  • משותף: כל החיבורים האפשריים בקבוצה מופעלים, וכל עוד לפחות אחד פעיל, קבוצות נמוכות יותר אינן בשימוש.
  • הכל: כולם חייבים להיות פעילים; אם אחד נכשל, כולם מושבתים, מבלי לנסות קבוצות בעלות עדיפות נמוכה יותר.

לדוגמה, הפרופיל "אוטומטי" בדרך כלל מכיל את הדברים הבאים בקבוצת העדיפות הגבוהה ביותר שלו: ממשקים קווייםחיבורים אלחוטיים נמצאים בקבוצת עדיפות נמוכה יותר. לכן, אם כבל זמין, Ethernet תמיד מקבל עדיפות, ו-Wi-Fi נמנע אלא אם כן הכרחי לחלוטין.

כ מיקומי רשתהגדרות אלו מקבצות תצורות עבור שירותי שמות (DNS, LDAP וכו') ואבטחה (קבצי תצורה עבור חומות אש של IP ו-IPsec). ניתן להגדיר מיקומי מערכת (Automatic, NoNet, DefaultFixed), מיקומים ידניים או מיקומים מותנים. מיקומים ידניים מופעלים באופן ידני דרך תיבת הדו-שיח מיקומים, בעוד שמיקומים מותנים מופעלים על סמך כללים (למשל, סוג רשת, כתובת IP שהתקבלה וכו').

מהממשק הגרפי ניתן לשנות את מצב ההפעלה של מיקום, להגדיר אותו ל"ידני בלבד" או "מופעל על ידי כללים", ולערוך כללים אלה כדי להגדיר במדויק באילו מצבים נעשה שימוש בכל קבוצת מדיניות?הפעלת מיקום חדש תמיד מבטלת את הקודם, ומבטיחה שרק אחד מהם יהיה פעיל בכל רגע נתון.

פרופילי IPsec על נתבים לחיבורים מאובטחים

כל מערכת הפרופילינג הזו אינה מוגבלת למכשירי משתמש קצה. היא חלה גם על נתבים מקצועיים, כמו הסדרה. סיסקו RV160 ו-RV260פרופילי IPsec משמשים כדי להגדיר כיצד תעבורה בין אתרים מוגנת באמצעות VPN.

Un פרופיל IPsec הוא מקבץ את האלגוריתמים והפרמטרים המשמשים במשא ומתן על מפתחות (שלב I ו-IKE) ובהצפנת נתונים (שלב II). זה כולל היבטים כגון אלגוריתם ההצפנה (3DES, AES-128, AES-192, AES-256), שיטת האימות (MD5, SHA1, SHA2-256), קבוצת Diffie-Hellman (למשל, קבוצה 2 של 1024 סיביות או קבוצה 5 של 1536 סיביות), משך זמן שיוכי האבטחה (SAs), והאם נעשה שימוש במצב קידוד אוטומטי (IKEv1 או IKEv2) או במצב קידוד ידני.

La שלב א' היא יוצרת תקשורת מאובטחת ומאומתת בין שתי נקודות הקצה של ה-VPN, משא ומתן על מפתחות ומאמתת את העמיתים. בשלב זה, נבחר IKEv1 או IKEv2, יחד עם קבוצת ה-DH, אלגוריתם ההצפנה וגיבוב האימות, כמו גם זמן החיים של SA (לדוגמה, 28800 שניות). IKEv2 מועדף בדרך כלל מכיוון שהוא יעיל יותר, דורש פחות חילופי מנות ותומך ביותר אפשרויות אימות.

La שלב ב' הוא מטפל בהצפנת התעבורה עצמה. אתה מגדיר אם להשתמש ב-ESP (להצפנה, ובאופן אופציונלי, לאימות) או ב-AH (אימות בלבד, ללא סודיות), בוחר שוב את אלגוריתמי ההצפנה וה-hashing, בודק אם רצוי סודיות קדימה מושלמת (PFS), ומתאים את אורך החיים של IPsec SA (לדוגמה, 3600 שניות). ההמלצה היא בדרך כלל שאורך החיים של שלב I יהיה... גדול יותר מזה של שלב IIכך שמפתחות נתונים מתחדשים בתדירות גבוהה יותר ממקשות ערוצים.

בתצורה של RV160/RV260, עבור לתפריט VPN > IPSec VPN > פרופילי IPSec, הוסף פרופיל חדש, תן לו שם (לדוגמה, "HomeOffice"), בחר את מצב יצירת המפתח (Automatic), את גרסת ה-IKE (רצוי IKEv2 אם שני הקצוות תומכים בה), את הפרמטרים של Phase I ו-Phase II, הפעל PFS אם אפשר, ובחר שוב את קבוצת DH עבור Phase II. לבסוף, החל ושמור את התצורה כך שהיא תישאר גם לאחר אתחול מחדש על ידי העתקת ה- תצורה פועלת בעת ההפעלה.

חיוני ששני קצוות המנהרה מאתר לאתר יהיו אותם פרמטרים של פרופיל (אותם אלגוריתמים, משכי חיים, גרסת IKE, PSK או אישורים וכו'). אחרת, המשא ומתן ייכשל והמנהרה לא תיווצר.

יחד, שילוב זה של פרופילי WiFi, פרופילי רשת, מיקומים, תצורת Intune ופרופילי IPsec בנתבים מאפשר לך לבנות סביבות שבהן המחשב, המחשב הנייד או המכשיר הנייד שלך מסתגלים כמעט באופן אוטומטי לרשת בה הוא מחובר. בחרו את הממשק הנכון, החלו את האבטחה הנכונה, התחברו ל-WiFi ללא התערבות המשתמש, הפעילו את ה-VPN בעת הצורך והתאימו את חומת האש להקשר.זוהי, בסופו של דבר, הדרך המעשית והבטוחה ביותר ליצור פרופילים אוטומטיים המבוססים על רשת ה-WiFi בה אתם משתמשים. שתף מידע זה כדי שיותר משתמשים ידעו על הנושא..