Configuració de les opcions d'IPSec

Si utilitzeu IPSec, podeu impedir la intercepció o la manipulació per part de tercers de paquets IP transportats per la xarxa IP. Com IPSec afegeix funcions de seguretat a IP, un conjunt de protocols bàsic utilitzat per a Internet, pot proporcionar seguretat independent d'aplicacions o de la configuració de xarxa. Per portar a terme la comunicació IPSec amb aquest equip, heu de configurar opcions com ara els paràmetres de l'aplicació i l'algorisme per a l'autenticació i el xifratge. Per configurar aquestes opcions calen privilegis d'administrador o d'administrador de xarxa (NetworkAdmin).
Mode de comunicació
Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP.
Protocol d'intercanvi de claus
Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital.
Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec.
Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP
Independentment de les opcions de <Mètode xifratge formats per a FIPS 140-2> per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140-2.
Per tal que la comunicació IPSec compleixi amb FIPS 140-2, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip.
Des de l'equip només es pot especificar la longitud de clau de DH.
Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA.
Podeu desar fins a 10 polítiques de seguretat.
1
Premeu .
2
Premeu <Preferències>  <Xarxa>  <Opcions de TCP/IP>  <Opcions d'IPSec>.
3
Establiu l'opció <Usar IPSec> en <On> i premeu <Desar>.
4
Especifiqueu un nom per a la directiva.
Premeu <Nom direct.>, introduïu el nom i premeu <Bé>.
Les impressores multiús de Canon admeten dues longituds de clau per al mètode de xifratge AES: 128 bits i 256 bits Per restringir la longitud de clau a 256 bits i complir les normes d'autenticació CC, establiu <Només permetre longitud de clau AES 256 bits> en <On>.
5
Configureu els paràmetres de l'aplicació l'IPSec.
1
Premeu <Opcions de selecció>.
2
Especifiqueu l'adreça IP a la qual s'ha d'aplicar la directiva IPSec.
Especifiqueu l'adreça IP d'aquest equip a <Adreça local> i especifiqueu l'adreça IP de l'interlocutor de la comunicació a <Adreça remota>.

<Totes les adreces IP>
IPSec s'aplica a tots els paquets IP enviats i rebuts.
<Adreça IPv4>
IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 d'aquest equip.
<Adreça IPv6>
IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 d'aquest equip.
<Totes les adrec. IPv4>
IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 de l'interlocutor de la comunicació.
<Totes les adrec. IPv6>
IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 de l'interlocutor de la comunicació.
<Configurac. man. IPv4>
Especifiqueu l'adreça IPv4 a la qual s'ha d'aplicar IPSec.
Seleccioneu <Adreça única> per introduir una adreça IPv4 individual.
Seleccioneu <Rang d'adreces> per especificar un rang d'adreces IPv4. Introduïu una adreça IP diferent per a <Primera adreça> i <Última adreça>.
Seleccioneu <Opcions de subxarxa> per especificar un rang d'adreces IPv4 utilitzant una màscara de subxarxa. Introduïu valors diferents per a <Adreça> i <Màscara de subxarxa>.
<Configurac. man. IPv6>
Especifiqueu l'adreça IPv6 a què s'aplicarà IPSec.
Seleccioneu <Adreça única> per introduir una única adreça IPv6.
Seleccioneu <Rang d'adreces> per especificar un interval d'adreces IPv6. Introduïu una adreça IP diferent per a <Primera adreça> i <Última adreça>.
Seleccioneu <Especificar prefix> per especificar un rang d'adreces IPv6 utilitzant un prefix. Introduïu valors diferents per a <Adreça> i <Longitud de prefix>.
3
Especifiqueu el port al qual s'ha d'aplicar IPSec.
Premeu <Especificar per número de port> per utilitzar números de port quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu <Tots els ports> per aplicar IPSec a tots els números de port. Per aplicar IPSec a un número de port específic, premeu <Port únic> i introduïu el número de port. Després d'especificar els ports, premeu <Bé>. Especifiqueu el port d'aquest equip a <Port local> i especifiqueu el port de l'interlocutor de la comunicació a <Port remot>.
Premeu <Especificar per nom de servei> per utilitzar noms de servei quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu el servei a la llista, premeu <Activ./Desac. servei> per establir-lo en <On> i premeu <Bé>.
4
Premeu <Bé>.
6
Configureu les opcions d'autenticació i xifratge.
1
Premeu <Opcions d'IKE>.
2
Configureu les opcions necessàries.
<Mode IKE>
Seleccioneu el mode d'operació per al protocol d'intercanvi de claus. Quan el mode d'operació està establert a <Principal>, la seguretat es millora perquè la pròpia sessió IKE està xifrada, però la càrrega de treball de la comunicació és major que la de la sessió <Agressiu>, que no realitza encriptació.
<Validity>
Establiu el període de caducitat del IKE SA generat.
<Mètode d'autenticació>
Seleccioneu un dels mètodes d'autenticació descrits a continuació.
<Mètode clau precompart.>
Establiu la mateixa contrasenya (clau precompartida) que s'ha establert per a l'interlocutor de la comunicació. Premeu <Clau compartida>, introduïu la cadena de caràcters que cal utilitzar com a clau compartida i premeu <Bé>.
<Mètode de signat. digit.>
Establiu la clau i el certificat que cal utilitzar per a l'autenticació mútua amb l'interlocutor de la comunicació. Premeu <Clau i certificat>, seleccioneu la clau i certificat que cal utilitzar i premeu <Convertir en predetermin.>  <Sí>  <Bé>.
<Algorisme d'autenticació/xifratge>
Seleccioneu <Auto> o <Configuració manual> per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 1. Si seleccioneu <Auto>, s'establirà automàticament un algorisme que pot ser utilitzat tant per aquest equip com per l'interlocutor de la comunicació. Si voleu especificar un algorisme específic, seleccioneu <Configuració manual> i configureu les opcions següents.
<Autenticació>
Seleccioneu l'algorisme hash.
<Xifratge>
Seleccioneu l'algorisme de xifratge.
<Grup DH>
Seleccioneu el grup per al mètode d'intercanvi de clau Diffie-Hellman per establir la seguretat de la clau.
3
Premeu <Bé>.
Si s'estableix <Mode IKE> en <Principal> a la pantalla <Opcions d'IKE> i s'estableix <Mètode d'autenticació> en <Mètode clau precompart.>, s'apliquen les restriccions següents quan es desen diverses polítiques de seguretat.
Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una política de seguretat, totes les claus compartides per a la política de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP).
Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una política de seguretat, la prioritat de la política de seguretat està per sota de les polítiques de seguretat per a les qual s'hagi especificat una única direcció.
7
Configureu les opcions de comunicació d'IPSec.
1
Premeu <Opcions de xarxa IPSec>.
2
Configureu les opcions necessàries.
<Validesa>
Establiu el període de caducitat del IPSec SA generat. Assegureu-vos d'establir <Hora> o <Mida>. Si establiu tots dos, s'aplicarà l'opció amb el valor que s'aconsegueixi primer.
<PFS>
Si establiu la funció PFS (Perfect Forward Secrecy) en <On>, la confidencialitat de la clau de xifratge augmenta, però la velocitat de la comunicació es redueix. A més a més, la funció PFS s'ha d'activar al dispositiu interlocutor de la comunicació.
<Algorisme d'autenticació/xifratge>
Seleccioneu <Auto> o <Configuració manual> per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 2. Si seleccioneu <Auto>, l'algorisme d'autenticació i xifratge s'estableix automàticament. Si voleu especificar un mètode d'autenticació específic, premeu <Configuració manual> i seleccioneu un dels mètodes d'autenticació següents.
<ESP>
Es porta a terme tant l'autenticació com el xifratge. Seleccioneu l'algorisme per a <Autenticació ESP> i <Xifratge ESP>. Si no voleu utilitzar l'algorisme d'autenticació o de xifratge, seleccioneu <NUL>.
<ESP (AES-GCM)>
AES-GCM s'utilitza com a algorisme d'ESP, i es porta a terme tant l'autenticació com el xifratge.
<AH (SHA1)>
Es porta a terme l'autenticació, però les dades no es xifren. S'utilitza SHA1 com a algorisme.
3
Premeu <Bé> <Bé>.
8
Activeu les directives desades i comproveu l'ordre de prioritat.
Seleccioneu les directives desades de la llista, i premeu <Activ./Desac. directiva> per establir-les en <On>.
Les directives s'apliquen en l'ordre en què apareixen a la llista, començant des de la part superior. Si voleu canviar l'ordre de prioritat, seleccioneu una directiva de la llista i premeu <Elevar prioritat> o <Reduir prioritat>.
Si no voleu enviar ni rebre paquets que no corresponguin a les directives, seleccioneu <Rebutjar> per a <Rebre paquets fora de directiva>.
9
Premeu <Bé>.
10
Premeu  <Aplicar canv. a opcs.>  <Sí>.
Gestió de directives IPSec
Podeu editar directives a la pantalla que es mostra al pas 3.
Per editar els detalls d'una directiva, seleccioneu-la a la llista i premeu <Editar>.
Per desactivar una directiva, seleccioneu-la a la llista i premeu <Activ./Desac. directiva>.
Per eliminar una política, seleccioneu-la a la llista i premeu <Eliminar>  <Sí>.
66YE-0AE