Configurar las opciones de IPSec

Por medio de IPSec, puede evitar que terceros intercepten los paquetes IP o los manipulen al transportarse por la red IP. Dado que IPSec añade funciones de seguridad a IP, un pack de protocolo básico para Internet, puede ofrecer seguridad que sea independiente de las aplicaciones o de la configuración de red. Para realizar comunicación IPSec con este equipo, debe configurar las opciones como la aplicación de parámetros y el algoritmo para la autenticación y el cifrado. Para poder configurar estas opciones hacen falta privilegios de Administrador o Administrador de red (NetworkAdmin).


Modo de comunicación Este equipo solo admite el modo de transporte para la comunicación IPSec. Como consecuencia, la autenticación y el cifrado solo se aplican a las partes de datos de los paquetes de IP. Protocolo de intercambio de claves Este equipo es compatible con la versión 1 del Internet Key Exchange (IKEv1), para intercambiar claves sobre la base de la Asociación de seguridad de Internet y el Protocolo de gestión de claves (ISAKMP). Para el método de autenticación, configure el método de clave precompartido o bien el método de firma. Al configurar el método de clave precompartida, tiene que decidir primero una frase de contraseña (clave precompartida), que se utiliza entre el equipo y el interlocutor de la comunicación IPSec. Al configurar el método de firma digital, utilice un certificado de CA y una clave y certificado con formato PKCS#12 para efectuar una autenticación mutua entre el equipo y el interlocutor de la comunicación IPSec. Para obtener más información sobre cómo registrar nuevos certificados de CA o claves/certificados, consulte Registrar una clave y el certificado para comunicación de red. Tenga en cuenta que, para utilizar este método, debe haberse configurado SNTP en el equipo. Configurar opciones de SNTP

Modo de comunicación

Este equipo solo admite el modo de transporte para la comunicación IPSec. Como consecuencia, la autenticación y el cifrado solo se aplican a las partes de datos de los paquetes de IP.

Protocolo de intercambio de claves

Este equipo es compatible con la versión 1 del Internet Key Exchange (IKEv1), para intercambiar claves sobre la base de la Asociación de seguridad de Internet y el Protocolo de gestión de claves (ISAKMP). Para el método de autenticación, configure el método de clave precompartido o bien el método de firma.

Al configurar el método de clave precompartida, tiene que decidir primero una frase de contraseña (clave precompartida), que se utiliza entre el equipo y el interlocutor de la comunicación IPSec.

Al configurar el método de firma digital, utilice un certificado de CA y una clave y certificado con formato PKCS#12 para efectuar una autenticación mutua entre el equipo y el interlocutor de la comunicación IPSec. Para obtener más información sobre cómo registrar nuevos certificados de CA o claves/certificados, consulte Registrar una clave y el certificado para comunicación de red. Tenga en cuenta que, para utilizar este método, debe haberse configurado SNTP en el equipo. Configurar opciones de SNTP


Se utilizará un módulo de cifrado que haya obtenido previamente la certificación FIPS140-2, independientemente de la configuración de <Establ. método de cifrado como FIPS 140-2> para la comunicación IPSec. Para cumplir con FIPS 140-2, debe establecer la longitud de la clave, tanto de DH como RSA, para la comunicación IPSec en 2048 bits o superior para el entorno de red al que pertenezca el equipo. Solo puede especificarse desde el equipo la longitud de la clave para DH. Téngalo en cuenta durante la configuración de su entorno, ya que no hay opciones para la RSA en el equipo. Puede registrar hasta 10 políticas de seguridad.

Se utilizará un módulo de cifrado que haya obtenido previamente la certificación FIPS140-2, independientemente de la configuración de <Establ. método de cifrado como FIPS 140-2> para la comunicación IPSec.

Para cumplir con FIPS 140-2, debe establecer la longitud de la clave, tanto de DH como RSA, para la comunicación IPSec en 2048 bits o superior para el entorno de red al que pertenezca el equipo.

Solo puede especificarse desde el equipo la longitud de la clave para DH.

Téngalo en cuenta durante la configuración de su entorno, ya que no hay opciones para la RSA en el equipo.

Puede registrar hasta 10 políticas de seguridad.

Pulse

(Configuración).

Pulse <Preferencias>

<Red>

<Opciones de IPSec>.

Active <Usar IPSec> (<Sí>) y pulse <Guardar>.

Especifique un nombre para la directiva.

Pulse <Nombre de directiva>, introduzca el nombre y pulse <Aceptar>.

Las impresoras multifunción de Canon son compatibles con dos longitudes de clave para el método de cifrado AES: 128 y 256 bit. Para restringir la longitud de clave a 256 bit y cumplir los estándares de autenticación de CC, establezca <Permitir solo 256 bits de longitud de clave AES> en <Sí>.

Configure los parámetros de la aplicación IPSec.

Pulse <Opciones de selección>.

Especifique la dirección IP a la que aplicar la directiva IPSec.

Especifique la dirección IP de este equipo en <Dirección local>, y especifique la dirección IP del interlocutor de la comunicación en <Dirección remota>.

<Todas las direc. IP>	IPSec se aplica a todos los paquetes IP enviados y recibidos.
<Dirección IPv4>	IPSec se aplica a paquetes IP enviados y recibidos de la dirección IPv4 de este equipo.
<Dirección IPv6>	IPSec se aplica a paquetes IP enviados y recibidos de la dirección IPv6 de este equipo.
<Todas las direc. IPv4>	IPSec se aplica a paquetes IP enviados y recibidos de la dirección IPv4 del interlocutor de la comunicación.
<Todas las direc. IPv6>	IPSec se aplica a paquetes IP enviados y recibidos de la dirección IPv6 del interlocutor de la comunicación.
<Configurac. man. IPv4>	Especifique la dirección IPv4 a la que aplicar IPSec. Seleccione <Dirección única> para introducir una dirección IPv4 individual. Seleccione <Rango de direcciones> para especificar un rango de direcciones IPv4. Introduzca una dirección aparte para <Primera dirección> y <Última dirección>. Seleccione <Opciones de subred> para especificar un rango de direcciones IPv4 mediante una máscara de subred. Introduzca los valores separados para <Dirección> y <Máscara de subred>.
<Configurac. man. IPv6>	Especifique la dirección IPv6 a la que aplicar IPSec. Seleccione <Dirección única> para introducir una dirección IPv6 individual. Seleccione <Rango de direcciones> para especificar un rango de direcciones IPv6. Introduzca una dirección aparte para <Primera dirección> y <Última dirección>. Seleccione <Especificar prefijo> para especificar un rango de direcciones IPv6 mediante un prefijo. Introduzca los valores separados para <Dirección> y <Longitud de prefijo>.

Especifique el puerto al que aplicar IPSec.

Pulse <Especificar por n.º de puerto> para utilizar los números de puerto al especificar los puertos a los que se aplica IPSec. Seleccione <Todos los puertos> para aplicar IPSec a todos los números de puerto. Para aplicar IPSec a un número de puerto concreto, pulse <Puerto único> e introduzca el número de puerto. Tras especificar los puertos, pulse <Aceptar>. Especifique el puerto de este equipo en <Puerto local>, y especifique el puerto del interlocutor de la comunicación en <Puerto remoto>.

Pulse <Especificar por nombre servicio> para utilizar nombres de servicio al especificar los puertos a los que se aplica IPSec. Seleccione el servicio en la lista, pulse <Activ./Desac. servicio> para activarlo (<Sí>) y pulse <Aceptar>.

Pulse <Aceptar>.

Configure las opciones de autenticación y cifrado.

Pulse <Opciones de IKE>.

Configure las opciones necesarias.

Seleccione el modo de funcionamiento para el protocolo de intercambio de claves. La seguridad mejora si se configura el modo de funcionamiento en <Principal> porque la sesión IKE en sí está cifrada, pero se pone una carga mayor en la comunicación que con <Agresivo>, que no ejecuta el cifrado.

Configure el periodo de caducidad para la SA de IKE generada.

<Método de autenticación>

Seleccione uno de los métodos de autenticación descritos a continuación.

<Método clave precompart.>	Establezca la misma frase de contraseña (clave precompartida) que se ha configurado para el interlocutor de la comunicación. Pulse <Clave compartida>, introduzca la cadena de caracteres para utilizar como clave compartida y pulse <Aceptar>.
<Método de firma digital>	Configure la clave y certificado para utilizar para la autenticación mutua con el interlocutor de la comunicación. Pulse <Clave y certificado>, seleccione la clave y certificado para utilizar y pulse <Convertir en prefijada> <Sí> <Aceptar>.

Seleccione <Auto> o <Configuración manual> para configurar cómo especificar el algoritmo de autenticación y cifrado para IKE fase 1. Si selecciona <Auto>, se configura automáticamente un algoritmo que puede ser utilizado por este equipo y el interlocutor de la comunicación. Si desea especificar un algoritmo concreto, seleccione <Configuración manual> y configure las opciones a continuación.

<Autenticación>	Seleccione el algoritmo hash.
<Cifrado>	Seleccione el algoritmo de cifrado.
<Grupo DH>	Seleccione el grupo para el método de intercambio de claves Diffie-Hellman para configurar la longitud de la clave.

Pulse <Aceptar>.


Cuando <Modo IKE> está establecido en <Principal> en la pantalla <Opciones de IKE> y <Método de autenticación> está establecido en <Método clave precompart.>, se aplicarán las siguientes restricciones al registrar varias políticas de seguridad. Clave del método de clave precompartida: al especificar varias direcciones IP a las que se aplica una política de seguridad, todas las claves compartidas con esa política de seguridad son idénticas (esto no se aplica cuando se especifica una sola dirección). Prioridad: al especificar varias direcciones IP a las que se aplica una política de seguridad, la prioridad de esa política de seguridad está por debajo de las políticas de seguridad para las cuales se ha especificado una sola dirección.

Cuando <Modo IKE> está establecido en <Principal> en la pantalla <Opciones de IKE> y <Método de autenticación> está establecido en <Método clave precompart.>, se aplicarán las siguientes restricciones al registrar varias políticas de seguridad.

Clave del método de clave precompartida: al especificar varias direcciones IP a las que se aplica una política de seguridad, todas las claves compartidas con esa política de seguridad son idénticas (esto no se aplica cuando se especifica una sola dirección).

Prioridad: al especificar varias direcciones IP a las que se aplica una política de seguridad, la prioridad de esa política de seguridad está por debajo de las políticas de seguridad para las cuales se ha especificado una sola dirección.

Configure las opciones de comunicación IPSec.

Pulse <Opciones de red IPSec>.

Configure las opciones necesarias.

Configure el periodo de caducidad para la SA de IPSec generada. Recuerde configurar <Hora> o <Tamaño>. Si configura ambas opciones, se aplicará la opción cuyo valor se alcance primero.

<PFS>

Si activa la función de Confidencialidad directa total (PFS) (<Sí>), aumenta la confidencialidad de la clave de cifrado, pero la velocidad de la comunicación es menor. Por otra parte, hay que habilitar la función PFS en el dispositivo del interlocutor de la comunicación.

Seleccione <Auto> o <Configuración manual> para configurar cómo especificar el algoritmo de autenticación y cifrado para IKE fase 2. Si selecciona <Auto>, se configura automáticamente el algoritmo de autenticación y cifrado ESP. Si desea especificar un método de autenticación concreto, pulse <Configuración manual> y seleccione uno de los métodos de comunicación a continuación.

<ESP>	Se lleva a cabo la autenticación y el cifrado. Seleccione el algoritmo para <Autentic. ESP> y <Cifrado ESP>. Seleccione <NULO> si no desea configurar el algoritmo de autenticación y cifrado.
<ESP (AES-GCM)>	AES-GCM se emplea como algoritmo ESP, y se lleva a acabo la autenticación y el cifrado.
<AH (SHA1)>	Se lleva a cabo la autenticación pero los datos no se cifran. SHA1 se utiliza como algoritmo.

Pulse <Aceptar>

<Aceptar>.

Habilite las directivas registradas y consulte el orden de prioridad.

Seleccione las directivas registradas de la lista y pulse <Directiva sí/no> para activarlas (<Sí>).

Las directivas se aplican en el orden en que se listan, empezando por arriba. Si desea cambiar el orden de prioridad, seleccione una directiva de la lista y pulse<Elevar prioridad> o <Reducir prioridad>.

Si no desea enviar o recibir paquetes que no corresponden a las directivas, seleccione <Rechazar> para <Recibir paquetes fuera de directiva>.

Pulse <Aceptar>.

Pulse

(Configuración)

<Sí>.


Gestionar directivas IPSec Puede editar las directivas en la pantalla que aparece en el paso 3. Para editar los detalles de una directiva, selecciónela en la lista y pulse <Editar>. Para deshabilitar una directiva, selecciónela en la lista y pulse <Directiva sí/no>. Para eliminar una directiva, selecciónela en la lista y pulse <Eliminar>. <Sí>.

Configurar las opciones de IPSec

Modo de comunicación

Protocolo de intercambio de claves

Gestionar directivas IPSec