Definindo as configurações IPSec

Ao usar IPSec, você pode evitar que terceiros interceptem ou alterem pacotes IP transportados pela rede IP. Como IPSec adiciona funções de segurança a um IP, uma suíte de protocolos básica usada para a Internet, ele pode fornecer segurança independente de aplicativos ou de configuração de rede. Para realizar uma comunicação IPSec com esta máquina, você deve definir configurações como a aplicação de parâmetros e o algoritmo para autenticação e criptografia. Privilégios de Administrador ou Administrador de Rede são necessários para definir essas configurações.
Modo de comunicação
Esta máquina somente suporta modo de transporte para comunicação IPSec. Como resultado, autenticação e criptografia somente são aplicadas às porções de dados de pacotes IP.
Protocolo de troca de chave
Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para chaves de troca baseadas no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, configure o método de chave pré-compartilhada ou o método de assinatura digital.
Ao configurar o método de chave pré-compartilhada, você precisa antes decidir uma senha (chave pré-compartilhada), que é usada entre a máquina e o ponto de comunicação IPSec.
Quando configurar o método de assinatura digital, use um certificado CA e uma chave de formato e certificado PKCS#12 para realizar autenticação mútua entre a máquina e o ponto de comunicação IPSec. Para obter mais informações sobre o registro de novos certificados CA ou chaves/certificados, consulte Registrando uma chave e um certificado de comunicação de rede. Observe que SNTP deve ser configurado para a máquina antes de usar este método. Criando configurações de SNTP
Independente da configuração de <Format Encryption Method to FIPS 140-2> para comunicação IPSec, um módulo de criptografia que já tenha obtido a certificação FIPS140-2 será usado.
Para tornar a comunicação IPSec compatível com FIPS 140-2, você deve definir o comprimento de chave de DH e RSA para comunicação IPSec como 2048 bits ou mais no ambiente de rede ao qual a máquina pertence.
Somente o comprimento da chave para DH pode ser especificado a partir da máquina.
Observe ao configurar seu ambiente, pois não há configurações para RSA na máquina.
Você pode registrar até 10 políticas de segurança.
1
Pressione  (Settings/Registration).
2
Pressione <Preferences>  <Network>  <TCP/IP Settings>  <IPSec Settings>.
3
Configure <Use IPSec> como <On> e pressione <Register>.
4
Especifique um nome para a política.
Pressione <Policy Name>, insira o nome e pressione <OK>.
As impressoras multifuncionais suportam comprimentos de duas chaves para o método de criptografia AES: 128 bits e 256 bits. Para restringir o comprimento da chave para 256 bits e atender os padrões de autenticação CC, configure <Only Allow 256-bit for AES Key Length> como <On>.
5
Configure os parâmetros de aplicação IPSec.
1
Pressione <Selector Settings>.
2
Especifique o endereço IP ao qual aplicar a política IPSec.
Especifique o endereço IP desta máquina em <Local Address> e especifique o endereço IP do ponto de comunicação em <Remote Address>.

<All IP Addresses>
IPSec é aplicado a todos os pacotes IP enviados e recebidos.
<IPv4 Address>
IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv4 desta máquina.
<IPv6 Address>
IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv6 desta máquina.
<All IPv4 Addresses>
IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv4 do ponto de comunicação.
<All IPv6 Addresses>
IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv6 do ponto de comunicação.
<IPv4 Manual Settings>
Especifique o endereço IPv4 ao qual aplicar o IPSec.
Selecione <Single Address> para inserir um endereço IPv4 individual.
Selecione <Address Range> para especificar um intervalo de endereços IPv4. Insira um endereço separado para <First Address> e <Last Address>.
Selecione <Subnet Settings> para especificar um intervalo de endereços IPv4 usando uma máscara de sub-rede. Insira valores separados para <Address> e <Subnet Mask>.
<IPv6 Manual Settings>
Especifique o endereço IPv6 ao qual aplicar o IPSec.
Selecione <Single Address> para inserir um endereço IPv6 individual.
Selecione <Address Range> para especificar um intervalo de endereços IPv6. Insira um endereço separado para <First Address> e <Last Address>.
Selecione <Specify Prefix> para especificar um intervalo de endereços IPv6 usando um prefixo. Insira valores separados para <Address> e <Prefix Length>.
3
Especifique a porta à qual aplicar o IPSec.
Pressione <Specify by Port Number> para usar números de porta quando especificar as portas às quais o IPSec se aplica. Selecione <All Ports> para aplicar o IPSec a todos os números de porta. Para aplicar o IPSec a um número de porta específico, pressione <Single Port> e insira o número da porta. Após especificar as portas, pressione <OK>. Especifique a porta nesta máquina em <Local Port> e especifique a porta do ponto de comunicação em <Remote Port>.
Pressione <Specify by Service Name> para usar nomes de serviço ao especificar as portas às quais o IPSec se aplica. Selecione o serviço na lista, pressione <Service On/Off> para configurá-lo como <On> e pressione <OK>.
4
Pressione <OK>.
6
Defina as configurações de autenticação e criptografia.
1
Pressione <IKE Settings>.
2
Defina as configurações necessárias.
<IKE Mode>
Selecione o modo de operação para o protocolo de troca de chave. Quando o modo de operação é definido com <Main> , a segurança é maior pois a própria sessão IKE é criptografada, porém com uma carga mais alta na comunicação, em comparação a <Aggressive>, que não realiza a criptografia.
<Validity>
Defina o período de vencimento do IKE SA gerado.
<Authentication Method>
Selecione um dos métodos de autenticação descritos abaixo.
<Pre-Shared Key Method>
Configure a mesma senha (chave pré-compartilhada) que foi configurada para o ponto de comunicação. Pressione <Shared Key>, insira a sequência de caracteres a usar como a chave compartilhada e pressione <OK>.
<Digital Sig. Method>
Configure a chave e o certificado que serão usados para autenticação mútua com o ponto de comunicação. Pressione <Key and Certificate>, selecione a chave e o certificado que serão usados e pressione <Set as Default Key>  <Yes>  <OK>.
<Authentication/Encryption Algorithm>
Selecione <Auto> ou <Manual Settings> para configurar como especificar o algoritmo de autenticação e criptografia para IKE fase 1. Se você selecionar <Auto>, um algoritmo que possa ser usado por esta máquina e pelo ponto de comunicação será definido automaticamente. Se você quer especificar um determinado algoritmo, selecione <Manual Settings> e defina as configurações a seguir.
<Authentication>
Selecione o algoritmo hash.
<Encryption>
Selecione o algoritmo de codificação.
<DH Group>
Selecione o grupo para o método de troca de chave Diffie-Hellman para configurar a força da chave.
3
Pressione <OK>.
Se <IKE Mode> está configurado como <Main> na tela de <IKE Settings> e <Authentication Method> está configurado como <Pre-Shared Key Method>, as seguintes restrições se aplicam ao registro de múltiplas políticas de segurança.
Chave de método de chave pré-compartilhada: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, todas as chaves compartilhadas para essa política de segurança serão iguais (isso não se aplica quando um único endereço é especificado).
Prioridade: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, a prioridade dessa política de segurança ficará abaixo de políticas de segurança com apenas um endereço especificado.
7
Defina as configurações de comunicação IPSec.
1
Pressione <IPSec Network Settings>.
2
Defina as configurações necessárias.
<Validity>
Defina o período de vencimento do IPSec SA gerado. Certifique-se de configurar <Time> ou <Size>. Se ambos forem configurados, a configuração com o valor a ser atingido primeiro será aplicada.
<PFS>
Se você configurar a função Perfect Forward Secrecy (PFS) como <On>, o segredo da chave de criptografia aumentará, mas a velocidade de comunicação será reduzida. Além disso, a função PFS deverá ser ativada no dispositivo do ponto de comunicação.
<Authentication/Encryption Algorithm>
Selecione <Auto> ou <Manual Settings> para configurar como especificar o algoritmo de autenticação e criptografia para IKE fase 2. Se você selecionar <Auto>, o algoritmo de autenticação e criptografia ESP será configurado automaticamente. Se você quiser especificar um determinado método de autenticação, pressione <Manual Settings> e selecione um dos métodos de autenticação a seguir.
<ESP>
Autenticação e criptografia são executadas. Selecione o algoritmo para <ESP Authentication> e <ESP Encryption>. Selecione <NULL> se não deseja configurar o algoritmo de autenticação ou criptografia.
<ESP (AES-GCM)>
AES-GCM é usado como o algoritmo ESP e autenticação e criptografia são executadas.
<AH (SHA1)>
Autenticação é executada, mas dados não são criptografados. SHA1 é usado como o algoritmo.
3
Pressione <OK> <OK>.
8
Ative as políticas registradas e verifique a ordem de prioridade.
Selecione as políticas registradas na lista e pressione <Policy On/Off> para colocá-las como <On>, ativas.
As políticas são aplicadas na ordem em que são listadas, começando no topo. Se você deseja alterar a ordem de prioridade, selecione uma política na lista e pressione <Raise Priority> ou <Lower Priority>.
Se você não deseja enviar ou receber pacotes que não correspondem às políticas, selecione <Reject> para <Receive Non-Policy Packets>.
9
Pressione <OK>.
10
Pressione  (Settings/Registration)   (Settings/Registration) <Apply Set. Changes>  <Yes>.
Gerenciando políticas IPSec
Você pode editar políticas na tela exibida na etapa 3.
Para editar os detalhes de uma política, selecione a política na lista e pressione <Edit>.
Para desativar uma política, selecione a política na lista e pressione <Policy On/Off>.
Para excluir uma política, selecione a política na lista e pressione <Delete>  <Yes>.
6H3C-0CY