Configuration des réglages IPSec

L'utilisation du protocole IPSec permet d'empêcher des tiers d'intercepter ou d'interférer avec les paquets IP transportés sur le réseau IP. Parce que IPSec ajoute des fonctions de sécurité sur IP, une suite de protocoles de base utilisée pour Internet, il peut fournir une sécurité qui est indépendante des applications ou de la configuration du réseau. Pour effectuer des communications IPSec avec cet appareil, vous devez configurer des réglages tels que les paramètres d'application et l'algorithme pour l'authentification et le cryptage. Vous devez détenir les privilèges d'administrateur ou de NetworkAdmin pour configurer ces réglages.


Mode de communication Cet appareil ne prenant en charge que le mode de transport pour les communications IPSec, l'authentification et le cryptage ne sont appliqués qu'aux parties de données des paquets IP. Protocole d'échange de clés Cet appareil prend en charge Internet Key Exchange version 1 (IKEv1) pour l'échange de clés basé sur l'Internet Security Association et le Key Management Protocol (ISAKMP). Pour la méthode d'authentification, sélectionnez la méthode de la clé pré-partagée ou la méthode de la signature numérique. Pour configurer la méthode de la clé pré-partagée, vous devez choisir une phrase de passe (clé pré-partagée) à l'avance, qui est utilisée entre la machine et l'homologue de communication IPSec. Pour configurer la méthode de signature numérique, utilisez un certificat, une clé et un certificat au format PKCS#12 pour l'authentification mutuelle entre l'appareil et l'homologue de communication IPSec. Pour en savoir plus sur l'enregistrement de nouveaux certificats ou d'associations clés-certificats, consultez la section Enregistrement de la clé et du certificat pour les communications réseau. Notez que, pour que l'appareil utilise cette méthode, le protocole SNTP doit y être configuré. Réglages SNTP

Mode de communication

Cet appareil ne prenant en charge que le mode de transport pour les communications IPSec, l'authentification et le cryptage ne sont appliqués qu'aux parties de données des paquets IP.

Protocole d'échange de clés

Cet appareil prend en charge Internet Key Exchange version 1 (IKEv1) pour l'échange de clés basé sur l'Internet Security Association et le Key Management Protocol (ISAKMP). Pour la méthode d'authentification, sélectionnez la méthode de la clé pré-partagée ou la méthode de la signature numérique.

Pour configurer la méthode de la clé pré-partagée, vous devez choisir une phrase de passe (clé pré-partagée) à l'avance, qui est utilisée entre la machine et l'homologue de communication IPSec.

Pour configurer la méthode de signature numérique, utilisez un certificat, une clé et un certificat au format PKCS#12 pour l'authentification mutuelle entre l'appareil et l'homologue de communication IPSec. Pour en savoir plus sur l'enregistrement de nouveaux certificats ou d'associations clés-certificats, consultez la section Enregistrement de la clé et du certificat pour les communications réseau. Notez que, pour que l'appareil utilise cette méthode, le protocole SNTP doit y être configuré. Réglages SNTP


Indépendamment du réglage de <Formater Méthode de cryptage en FIPS 140-2> pour la communication IPSec, un module de cryptage qui a déjà obtenu la certification FIPS 140-2 doit être employé. Pour que la communication IPSec soit conforme à la norme FIPS 140-2, vous devez régler la longueur de clé de DH et RSA pour la communication IPSec à 2048 bits ou une valeur supérieure dans l'environnement de réseau dont fait partie l'appareil. Seule la longueur de clé pour DH peut être spécifiée à partir de l'appareil. Veuillez en tenir compte lors de la configuration de votre environnement, car l'appareil ne propose pas de réglages pour RSA. Vous pouvez enregistrer jusqu'à 10 règles de sécurité.

Indépendamment du réglage de <Formater Méthode de cryptage en FIPS 140-2> pour la communication IPSec, un module de cryptage qui a déjà obtenu la certification FIPS 140-2 doit être employé.

Pour que la communication IPSec soit conforme à la norme FIPS 140-2, vous devez régler la longueur de clé de DH et RSA pour la communication IPSec à 2048 bits ou une valeur supérieure dans l'environnement de réseau dont fait partie l'appareil.

Seule la longueur de clé pour DH peut être spécifiée à partir de l'appareil.

Veuillez en tenir compte lors de la configuration de votre environnement, car l'appareil ne propose pas de réglages pour RSA.

Vous pouvez enregistrer jusqu'à 10 règles de sécurité.

Appuyez sur

(Réglages/Enregistrement).

Appuyez sur <Préférences>

<Réseau>

<Réglages TCP/IP>

<Réglages IPSec>.

Réglez <Utiliser IPSec> sur <Oui>, et appuyez sur <Mémoriser>.

Spécifiez un nom pour la politique.

Appuyez sur <Nom de la politique>, saisissez le nom et appuyez sur <OK>.

Les imprimantes multifonctions Canon prennent en charge deux longueurs de clé pour la méthode de cryptage AES : 128 bits et 256 bits. Pour limiter la longueur de la clé à 256 bits et se conformer aux normes d'authentification CC, définissez Autoriser 256 bits seul pour longueur clé AES> sur Oui>.

Configurez les paramètres d'application IPSec.

Appuyez sur <Réglages du sélecteur>.

Spécifiez l'adresse IP à laquelle appliquer la politique IPSec.

Spécifiez l'adresse IP de cet appareil dans <Adresse locale>, et spécifiez l'adresse IP de l'homologue de communication dans <Adresse distante>.

<Ttes les adr. IP>	IPSec est appliqué à tous les paquets envoyés et réceptionnés.
<Adresse IPv4>	IPSec est appliqué à tous les paquets IP envoyés à et réceptionnés depuis l'adresse IPv4 de cet appareil.
<Adresse IPv6>	IPSec est appliqué à tous les paquets IP envoyés à et réceptionnés depuis l'adresse IPv6 de cet appareil.
<Ttes les adr. IPv4>	IPSec est appliqué à tous les paquets IP envoyés à et réceptionnés depuis l'adresse IPv4 de l'homologue de communication.
<Ttes les adr. IPv6>	IPSec est appliqué à tous les paquets IP envoyés à et réceptionnés depuis l'adresse IPv6 de l'homologue de communication.
<Réglages man. IPv4>	Spécifiez l'adresse IPv4 à laquelle appliquer IPSec. Sélectionnez <Adresse unique> pour saisir une adresse IPv4 individuelle. Sélectionnez <Plage d'adresses> pour spécifier une plage d'adresses IPv4. Saisissez une adresse séparée pour <Première adresse> et <Dernière adresse>. Sélectionnez <Réglages sous-réseau> pour spécifier une plage d'adresses IPv4 en utilisant un masque de sous-réseau. Saisissez des valeurs séparées pour <Adresse> et <Masque de sous-réseau>.
<Réglages man. IPv6>	Spécifiez l'adresse IPv6 à laquelle appliquer IPSec. Sélectionnez <Adresse unique> pour saisir une adresse IPv6 individuelle. Sélectionnez <Plage d'adresses> pour spécifier une plage d'adresses IPv6. Saisissez une adresse séparée pour <Première adresse> et <Dernière adresse>. Sélectionnez <Spécifier préfixe> pour spécifier une plage d'adresses IPv6 en utilisant un préfixe. Saisissez des valeurs séparées pour <Adresse> et <Longueur préfixe>.

Spécifiez le port auquel appliquer IPSec.

Appuyez sur <Spécifier par n° de port> pour utiliser des numéros de port pour spécifier les ports auxquels appliquer IPSec. Sélectionnez <Tous les ports> pour appliquer IPSec à tous les numéros de port. Pour appliquer IPSec à un numéro de port spécifique, appuyez sur <Port unique> et saisissez le numéro de port. Une fois les ports spécifiés, appuyez sur <OK>. Spécifiez le port de cet appareil dans <Port local>, et spécifiez le port de l'homologue de communication dans <Port distant>.

Appuyez sur <Spécifier par nom de service> pour utiliser les noms de service pour spécifier les ports auxquels appliquer IPSec. Sélectionnez le service dans la liste, appuyez sur l'option <Act./désact. service> pour la régler sur <Oui>, et appuyez sur <OK>.

Appuyez sur <OK>.

Configurez les réglages d'authentification et de cryptage.

Appuyez sur <Réglages IKE>.

Configurez les réglages nécessaires.

Sélectionnez le mode de fonctionnement pour le protocole d'échange de clés. Lorsque le mode de fonctionnement est réglé sur <Principal>, la sécurité est renforcée parce que la session IKE est cryptée, mais un fardeau plus lourd est placé sur la communication par rapport au mode <Agressif> qui n'applique pas de cryptage.

<Validité>

Définissez la période de validité de l'IKE SA généré.

<Méthode d'authentification>

Sélectionnez l'une des méthodes d'authentification décrite ci-dessous.

<Méth. clé prépartagée>	Configurez la même phrase de passe (clé pré-partagée) que celle configurée pour l'homologue de communication. Appuyez sur <Clé partagée>, saisissez la chaîne de caractères à utiliser comme clé partagée, et appuyez sur <OK>.
<Méthode sign. num.>	Configurez la clé et le certificat à utiliser pour l'authentification mutuelle avec l'homologue de communication. Appuyez sur <Clé et certificat>, sélectionnez la clé et le certificat à utiliser, et appuyez sur <Définir en clé par déf.> <Oui> <OK>.

Sélectionnez <Auto> ou <Réglages manuels> pour définir la configuration de l'algorithme d'authentification et de cryptage de l'échange de clés de phase 1. Si vous sélectionnez <Auto>, un algorithme pouvant être utilisé à la fois par cet appareil et l'homologue de communication est automatiquement configuré. Si vous souhaitez configurer un algorithme particulier, sélectionnez <Réglages manuels>, puis effectuez les réglages ci-dessous.

<Authentification>	Sélectionnez l'algorithme de hachage.
<Cryptage>	Sélectionnez l'algorithme de cryptage.
<Groupe DH>	Sélectionnez le groupe pour la méthode d'échange de clés Diffie-Hellman pour définir la puissance des clés.

Appuyez sur <OK>.


Si <Mode IKE> est défini sur <Principal> dans l'écran <Réglages IKE> et <Méthode d'authentification> est défini sur <Méth. clé prépartagée>, les restrictions suivantes sont d'application lors de l'enregistrement de plusieurs règles de sécurité. Clé selon la méthode des clés pré-partagées : lors de la spécification de plusieurs adresses IP distantes auxquelles une règle de sécurité doit être appliquée, toutes les clés partagées correspondant à cette règle de sécurité sont identiques (cela ne s'applique pas lorsqu'une seule adresse est spécifiée). Priorité : lors de la spécification de plusieurs adresses IP distantes auxquelles une règle de sécurité doit être appliquée, la priorité de cette règle de sécurité est inférieure aux règles de sécurité pour lesquelles une seule adresse est spécifiée.

Si <Mode IKE> est défini sur <Principal> dans l'écran <Réglages IKE> et <Méthode d'authentification> est défini sur <Méth. clé prépartagée>, les restrictions suivantes sont d'application lors de l'enregistrement de plusieurs règles de sécurité.

Clé selon la méthode des clés pré-partagées : lors de la spécification de plusieurs adresses IP distantes auxquelles une règle de sécurité doit être appliquée, toutes les clés partagées correspondant à cette règle de sécurité sont identiques (cela ne s'applique pas lorsqu'une seule adresse est spécifiée).

Priorité : lors de la spécification de plusieurs adresses IP distantes auxquelles une règle de sécurité doit être appliquée, la priorité de cette règle de sécurité est inférieure aux règles de sécurité pour lesquelles une seule adresse est spécifiée.

Configurer les réglages de communication IPSec.

Appuyez sur <Réglages réseau IPSec>.

Configurez les réglages nécessaires.

<Validité>

Définissez la période de validité de l'IKE SA généré. Assurez-vous d'attribuer une valeur au paramètre <Heure> ou <Format>. Si vous attribuez une valeur aux deux paramètres, la valeur atteinte en premier est appliquée.

<PFS>

Si vous réglez la fonction Perfect Forward Secrecy (PFS) sur <Oui>, la confidentialité de la clé de cryptage est renforcée, mais la vitesse de communication est plus lente. En outre, la fonction PFS doit être activée sur l'homologue de communication.

Sélectionnez <Auto> ou <Réglages manuels> pour définir la configuration de l'algorithme d'authentification et de cryptage de l'échange de clés de phase 2. Si vous sélectionnez <Auto>, l'algorithme d'authentification et de cryptage ESP est automatiquement défini. Si vous souhaitez définir une méthode d'authentification particulière, appuyez sur <Réglages manuels>, puis sélectionnez l'une des méthodes d'authentification ci-dessous.

<ESP>	L'authentification et le cryptage sont tous deux exécutés. Sélectionnez l'algorithme pour <Auth. ESP> et <Cryptage ESP>. Sélectionnez <NULL> si vous ne voulez pas configurer l'algorithme d'authentification ou de cryptage.
<ESP (AES-GCM)>	AES-GCM est utilisé comme algorithme ESP, et l'authentification et le cryptage sont tous deux exécutés.
<AH (SHA1)>	L'authentification est exécutée, mais les données ne sont pas cryptées. SHA1 est utilisé comme algorithme.

Appuyez sur <OK>

<OK>.

Activez les politiques enregistrées et vérifiez l'ordre de priorité.

Sélectionnez les politiques enregistrées dans la liste et appuyez sur <Act./désact. politique> pour les activer <Oui>.

Les politiques sont appliquées dans l'ordre de la liste en commençant par le haut. Si vous souhaitez modifier l'ordre de priorité, sélectionnez une politique dans la liste et appuyez sur <Augmenter la priorité> ou <Réduire la priorité>.

Si vous ne voulez pas envoyer ou recevoir des paquets qui ne correspondent pas aux politiques, sélectionnez <Refuser> pour <Recevoir des paquets sans politique>.

Appuyez sur <OK>.

Appuyez sur

(Réglages/Enregistrement)

<Appl. modif. régl.>

<Oui>.


Gestion des politiques IPSec Vous pouvez modifier les politiques sur l'écran affiché à l'étape 3. Pour modifier les détails d'une politique, sélectionnez la politique dans la liste et appuyez sur <Modifier>. Pour désactiver une politique, sélectionnez la politique dans la liste et appuyez sur <Act./désact. politique>. Pour supprimer une politique, sélectionnez-la dans la liste et appuyez sur <Supprimer> <Oui>.

Gestion des politiques IPSec

Vous pouvez modifier les politiques sur l'écran affiché à l'étape 3.

Pour modifier les détails d'une politique, sélectionnez la politique dans la liste et appuyez sur <Modifier>.

Pour désactiver une politique, sélectionnez la politique dans la liste et appuyez sur <Act./désact. politique>.

Pour supprimer une politique, sélectionnez-la dans la liste et appuyez sur <Supprimer>

<Oui>.