Configurar programações IPSec

Se utilizar o IPSec, pode evitar que terceiros intercetem ou adulterem pacotes IP transportados através da rede IP. Uma vez que adiciona funções de segurança ao IP, um conjunto de protocolos básicos utilizados para a Internet, o IPSec pode fornecer uma segurança independente das aplicações ou da configuração da rede. Para realizar comunicação IPSec com esta máquina, tem de configurar programações como os parâmetros da aplicação e o algoritmo de codificação e autenticação. É necessário ter privilégios de administrador ou administrador de rede para configurar estas programações. Verifique os requisitos do sistema antes de executar o procedimento abaixo. Características técnicas
Modo de comunicação
Esta máquina apenas suporta o modo de transporte para a comunicação IPSec. Como resultado, a autenticação e a codificação são aplicadas somente às partes de dados dos pacotes IP.
Protocolo de troca de chave
Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para a troca de chaves com base no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, programe o método de chave pré-partilhada ou o método de assinatura digital.
Ao programar o método de chave pré-partilhada, é necessário decidir previamente uma frase-passe (chave pré-partilhada) que será utilizada entre a máquina e o par de comunicação IPSec.
Ao programar o método de assinatura digital, utilize um certificado da CA e uma chave e certificado de formato PKCS#12 para realizar a autenticação mútua entre a máquina e o par de comunicação IPSec. Para obter mais informações sobre como gravar novos certificados da CA ou chaves/certificados, consulte Gravar a chave e certificado para comunicação de rede. Note que o SNTP tem de ser configurado para a máquina antes de utilizar este método. Especificar as programações de SNTP
Independentemente da programação de <Formatar método codificação p/FIPS 140-2> para comunicação IPSec, será utilizado um módulo de codificação que já tenha obtido certificação FIPS140-2.
Para fazer com que a comunicação IPSec respeite as FIPS 140-2, é necessário definir o comprimento da chave de DH e RSA para comunicação IPSec como 2048 bits ou superior no ambiente de rede a que a máquina pertence.
Só é possível especificar o comprimento da chave de DH a partir da máquina.
Preste atenção ao configurar o ambiente, uma vez que não existem programações de RSA na máquina.
1
Carregue em .
2
Carregue em <Preferências>  <Rede>  <Programações TCP/IP>  <Programações IPSec>.
3
Programe <Utilizar IPSec> para <Ligado> e carregue em <Gravar>.
4
Especifique um nome para a política.
Carregue em <Nome da política>, introduza o nome e carregue em <OK>.
As impressoras multifunções da Canon suportam dois comprimentos de chave para o método de codificação AES: 128 bits e 256 bits. Para limitar o comprimento de chave a 256 bits e cumprir as normas de autenticação CC, programe <Permitir só 256 bits como Comprimento chave AES> para <Ligado>.
5
Configure os parâmetros da aplicação IPSec.
1
Carregue em <Programações do seletor>.
2
Especifique o endereço IP ao qual pretende aplicar a política IPSec.
Especifique o endereço IP desta máquina em <Endereço local> e especifique o endereço IP do par de comunicação em <Endereço remoto>.

<Todos os ender. IP>
O IPSec é aplicado a todos os pacotes IP enviados e recebidos.
<Endereço IPv4>
O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv4 desta máquina.
<Endereço IPv6>
O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv6 desta máquina.
<Todos os ender. IPv4>
O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv4 do par de comunicação.
<Todos os ender. IPv6>
O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv6 do par de comunicação.
<Progr. man. IPv4>
Especifique o endereço IPv4 ao qual pretende aplicar o IPSec.
Selecione <Único endereço> para introduzir um endereço IPv4 individual.
Selecione <Intervalo de endereço> para especificar um intervalo de endereços IPv4. Introduza um endereço separado para <Primeiro endereço> e <Último endereço>.
Selecione <Program. de subrede> para especificar um intervalo de endereços IPv4 utilizando uma máscara de subrede. Introduza valores separados para <Endereço> e <Máscara de subrede>.
<Progr. man. IPv6>
Especifique o endereço IPv6 ao qual pretende aplicar o IPSec.
Selecione <Único endereço> para introduzir um endereço IPv6 individual.
Selecione <Intervalo de endereço> para especificar um intervalo de endereços IPv6. Introduza um endereço separado para <Primeiro endereço> e <Último endereço>.
Selecione <Especificar prefixo> para especificar um intervalo de endereços IPv6 utilizando um prefixo. Introduza valores separados para <Endereço> e <Comprim. prefixo>.
3
Especifique a porta à qual pretende aplicar o IPSec.
Carregue em <Especificar por número de porta> para utilizar números de portas quando especificar as portas às quais o IPSec se aplica. Selecione <Todas as portas> para aplicar o IPSec a todos os números de porta. Para aplicar o IPSec a um determinado número de porta, carregue em <Porta única> e introduza o número da porta. Depois de especificar as portas, carregue em <OK>. Especifique a porta desta máquina em <Porta local> e especifique a porta do par de comunicação em <Porta remota>.
Carregue em <Especificar por nome de serviço> para utilizar nomes de serviço quando especificar as portas às quais o IPSec se aplica. Selecione o serviço na lista, carregue em <Serviço lig./desligado> para o programar para <Ligado> e carregue em <OK>.
4
Carregue em <OK>.
6
Configure as programações de autenticação e codificação.
1
Carregue em <Programações IKE>.
2
Configure as programações necessárias.
<Modo IKE>
Selecione o modo de operação do protocolo Key Exchange. A segurança é reforçada se selecionar <Principal> porque é codificada a sessão do IKE propriamente dita, mas a velocidade da sessão é mais lenta do que com <Agressivo>, que não codifica toda a sessão.
<Método de autenticação>
Selecione um dos métodos de autenticação descritos abaixo.
<Método chave pré-partilh.>
Programe a mesma frase-passe (chave pré-partilhada) que está programada para o par de comunicação. Carregue em <Chave partilhada>, introduza a sequência de caracteres para utilizar como chave partilhada e carregue em <OK>.
<Método de assin. digital>
Programe a chave e certificado a utilizar para autenticação mútua com o par de comunicação. Carregue em <Chave e certificado>, selecione a chave e certificado a utilizar e carregue em <Esp. como chv. pré-p.>  <Sim>  <OK>.
<Algoritmo autenticação/codificação>
Selecione <Auto> ou <Progs manuais> para programar como especificar o algoritmo de autenticação e codificação para o IKE fase 1. Se selecionar <Auto>, é programado automaticamente um algoritmo que pode ser utilizado tanto por esta máquina como pelo par de comunicação. Se pretender especificar um determinado algoritmo, selecione <Progs manuais> e configure as programações abaixo.
<Autenticação>
Selecione o algoritmo de cardinal.
<Codificação>
Selecione o algoritmo de codificação.
<Grupo DH>
Selecione o grupo para o método de troca de chave Diffie-Hellman para programar a força da chave.
3
Carregue em <OK>.
7
Configure as programações da comunicação IPSec.
1
Carregue em <Programações de rede IPSec>.
2
Configure as programações necessárias.
<Validade>
Programe um período de validade para o IKE SA e o IPSec SA gerados. Não se esqueça de programar <Hora> ou <Formato>. Se programar ambos, o período de validade termina quando um dos valores for atingido.
<PFS>
Se programar a função Perfect Forward Secrecy (PFS) para <Ligado>, o segredo da chave de codificação é aumentado, mas a velocidade de comunicação é mais lenta. Além disso, a função PFS deve estar ativada no dispositivo par de comunicação.
<Algoritmo autenticação/codificação>
Selecione <Auto> ou <Progs manuais> para programar como especificar o algoritmo de autenticação e codificação para o IKE fase 2. Se selecionar <Auto>, o algoritmo de autenticação e codificação ESP é programado automaticamente. Se pretender especificar um determinado método de autenticação, carregue em <Progs manuais> e selecione um dos métodos de autenticação abaixo.
<ESP>
A autenticação e a codificação são realizadas. Selecione o algoritmo para <Autenticação ESP> e <Codificação ESP>. Selecione <NULO> se não pretender programar o algoritmo de codificação ou autenticação.
<ESP (AES-GCM)>
A AES-GCM é utilizada como o algoritmo ESP e a autenticação e codificação são realizadas.
<AH (SHA1)>
A autenticação é realizada, mas os dados não são codificados. SHA1 é utilizado como o algoritmo.
3
Carregue em <OK> <OK>.
8
Ativa as políticas gravadas e verifica a ordem de prioridade.
Selecione as políticas gravadas na lista e carregue em <Ativ./desat. política> para mudar para <Ligado>.
As políticas são aplicadas na ordem em que são apresentadas, começando pelo topo. Se pretender alterar a ordem de prioridade, selecione uma política na lista e carregue em <Aumentar prioridade> ou em <Diminuir prioridade>.
Se não pretender enviar ou receber pacotes que não correspondam às políticas, selecione <Rejeitar> para <Receber pacotes sem políticas>.
9
Carregue em <OK>.
10
Carregue em     <Aplicar alter. progs>  <Sim>.
Gestão das políticas IPSec
É possível editar políticas no ecrã apresentado no passo 3.
Para editar os detalhes de uma política, selecione a política na lista e carregue em <Editar>.
Para desativar uma política, selecione a política na lista e carregue em <Ativ./desat. política>.
Para apagar uma política, selecione a política na lista e carregue em <Apagar>  <Sim>.
1Y6H-0C6