Utilisation d'IPSec

Utilisez le protocole IPSec (IP Security Protocol) pour empêcher les écoutes électroniques et les altérations des paquets IP envoyés et réceptionnés via un réseau IP. IPSec exécute le chiffrement au niveau du protocole IP pour assurer la sécurité sans s'appuyer sur une application ou une configuration de réseau.
Conditions pour l'application d'IPSec et modes pris en charge
Configuration de la stratégie IPSec
Configuration d'IPSec

Conditions pour l'application d'IPSec et modes pris en charge

Paquets pour lesquels IPSec ne s'applique pas
Paquets spécifiant une adresse de bouclage, de diffusion ou de multidiffusion
Paquets IKE envoyés depuis un port UDP 500
Paquets de sollicitation de voisin et d'avertissement de voisin ICMPv6
Mode opérationnel du protocole d'échange de clé (mode IKE)
Le seul mode IKE pris en charge par l'appareil est le mode principal, qui est utilisé pour chiffrer les paquets. Le mode agressif non chiffrant n'est pas pris en charge.
Mode de communication
Le seul mode de communication pris en charge par l'appareil est le mode Transport, qui chiffre uniquement la partie des données sans l'en-tête IP. Le mode Tunnel, qui chiffre l'ensemble du paquet IP, n'est pas pris en charge.
Utilisation d'IPSec conjointement au filtrage des adresses IP
Les paramètres de filtrage des adresses IP sont appliqués en premier. Configuration du pare-feu

Configuration de la stratégie IPSec

Pour exécuter les communications IPSec sur l'appareil, vous devez créer une stratégie IPSec qui inclue la plage et les algorithmes applicables pour l'authentification et le chiffrement. La stratégie comprend essentiellement les éléments suivants.
Sélecteur
Spécifiez à quels paquets IP appliquer les communications IPSec. En plus de spécifier l'adresse IP de l'appareil et des périphériques communiquant avec l'appareil, vous pouvez aussi spécifier leurs numéros de port.
IKE
Le protocole d'échange de clé prend en charge IKEv1 (Internet Key Exchange version 1). Pour la méthode d'authentification, sélectionnez la méthode de la clé prépartagée ou la méthode des signatures numériques.
Méthode de la clé prépartagée :
Cette méthode d'authentification utilise un mot-clé commun, appelé clé partagée, pour les communications entre l'appareil et les autres appareils.
Méthode des signatures numériques
L'appareil et les autres appareils s'authentifient les uns les autres en vérifiant mutuellement leurs signatures numériques.
ESP et AH
Spécifiez les paramètres pour ESP ou AH, qui sont les protocoles utilisés pour les communications IPSec. ESP et AH peuvent être utilisés simultanément. Utilisez PFS (Perfect Forward Secrecy) pour une sécurité encore plus renforcée.

Configuration d'IPSec

Activez l'utilisation d'IPSec, puis créez et enregistrez la stratégie IPSec. Si vous créez plusieurs stratégies, indiquez l'ordre dans lequel elles doivent être appliquées.
Cette section décrit la procédure de configuration des paramètres avec l'interface utilisateur distante depuis un ordinateur.
Sur le panneau de commande, sélectionnez [Menu] dans l'écran [Accueil], puis sélectionnez [Préférences] pour configurer les paramètres. Notez que vous ne pouvez utiliser le panneau de commande que pour activer ou désactiver IPSec. [Utiliser IPSec]
Vous devez détenir les droits d'administrateur. Vous devez redémarrer l'appareil pour appliquer les paramètres.
Préparatifs nécessaires
Connectez l'appareil directement à un ordinateur connecté au même réseau privé virtuel (VPN) que celui de l'appareil. Vérifiez les conditions de fonctionnement, puis terminez la configuration sur l'ordinateur. IPSec
Préparez ce qui suit en fonction de la méthode d'authentification IKE utilisée :
Si vous utilisez la méthode de la clé prépartagée, activez TLS pour les communications avec l'interface utilisateur distante. Utilisation de TLS
Si vous utilisez la méthode des signatures numériques, préparez la clé avec certificat à utiliser. Gestion et vérification d'une clé avec certificat
Si vous utilisez PFS, vérifiez que PFS est activé sur le périphérique communiquant avec l'appareil.
1
Connectez-vous à l'interface utilisateur distante en mode Administrateur du système. Démarrage de l'interface utilisateur distante
2
Sur le page Portail de l'interface utilisateur distante, cliquez sur [Réglages/Enregistrement]. Page Portail de l'interface utilisateur distante
3
Cliquez sur [Réglages réseau] [Réglages IPSec] [Modifier].
L'écran [Modifier les réglages IPSec] s'affiche.
4
Cochez la case [Utiliser IPSec], puis cliquez sur [OK].
Pour ne recevoir que les paquets qui satisfont à la stratégie, cochez la case [Recevoir des paquets sans politique].
5
Cliquez sur [Mémoriser une nouvelle politique].
L'écran [Mémoriser une nouvelle politique IPSec] s'affiche.
6
Dans [Réglages de la politique], saisissez le nom de la stratégie, puis cochez la case [Activer la politique].
Pour le nom de la stratégie, saisissez un nom pour identifier la stratégie en caractères alphanumériques à un octet.
7
Dans [Réglages du sélecteur], réglez le sélecteur.
[Réglages de l'adresse locale]
Sélectionnez le type d'adresse IP de l'appareil auquel la stratégie est appliquée.
Pour appliquer IPSec à tous les paquets IP, sélectionnez [Toutes les adresses IP].
Pour appliquer IPSec aux paquets IP envoyés et réceptionnés via une adresse IPv4 o IPv6, sélectionnez [Adresse IPv4] ou [Adresse IPv6].
[Réglages de l'adresse distante]
Sélectionnez le type d'adresse IP du périphérique communiquant avec l'appareil auquel la stratégie est appliquée.
Pour appliquer IPSec à tous les paquets IP, sélectionnez [Toutes les adresses IP].
Pour appliquer IPSec aux paquets IP envoyés et réceptionnés via une adresse IPv4 o IPv6, sélectionnez [Toutes les adresses IPv4] ou [Toutes les adresses IPv6].
Pour spécifier une adresse IPv4 ou IPv6 à laquelle IPSec est appliqué, sélectionnez [Réglages manuels IPv4] ou [Réglages manuels IPv6].
[Adresses à régler manuellement]
Si vous sélectionnez [Réglages manuels IPv4] ou [Réglages manuels IPv6], saisissez l'adresse IP. Vous pouvez aussi spécifier une plage d'adresses IP en utilisant un trait d'union (-).
Exemple de saisie :
Une adresse IPv4
192.168.0.10
Une adresse IPv6
fe80::10
Spécification d'une plage
192.168.0.10-192.168.0.20
[Réglages du sous-réseau]
Si vous sélectionnez [Réglages manuels IPv4], vous pouvez utiliser un masque de sous-réseau pour spécifier une plage d'adresses IPv4.
Exemple de saisie :
255.255.255.240
[Longueur du préfixe]
Si vous sélectionnez [Réglages manuels IPv6], vous pouvez utiliser une longueur de préfixe pour spécifier une plage d'adresses IPv6. Saisissez une longueur de préfixe comprise entre 0 et 128.
[Réglages du port]
Spécifiez le port auquel IPSec est appliqué dans [Port local] sur l'appareil et dans [Port distant] sur le périphérique communiquant avec l'appareil.
Pour appliquer IPSec à tous les numéros de port, sélectionnez [Tous les ports].
Pour appliquer IPSec à un protocole spécifique comme HTTP ou WSD, sélectionnez [Port unique], puis saisissez le numéro de port du protocole.
8
Dans [Réglages IKE], configurez IKE.
[Mode IKE]
L'appareil ne prend en charge que le mode principal.
[Méthode d'authentification]
Sélectionnez la méthode d'authentification de l'appareil.
Si vous sélectionnez [Méthode Clé prépartagée], cliquez sur [Réglages de la clé partagée] saisissez la chaîne de caractères à utiliser comme clé partagée en caractères alphanumériques à un octet cliquez sur [OK].
Si vous sélectionnez [Méthode Signature numérique], cliquez sur [Clé et certificat] [Mémoriser la clé par défaut] à droite de la clé avec certificat à utiliser.
[Validité]
Saisissez la période de validité d'IKE SA (ISAKMP SA) à utiliser pour le chemin de communication de contrôle en minutes.
[Algorithme authentification/cryptage]
Sélectionnez l'algorithme à utiliser pour l'échange de clé.
9
Dans [Réglages du réseau IPSec], configurez les paramètres de réseau d'IPSec.
[Utiliser PFS]
Cochez cette case pour configurer PFS pour la clé de session.
[Validité]
Spécifiez la période de validité d'IPSec SA à utiliser pour le chemin de communication des données en durée, en taille ou en durée et en taille.
Si vous cochez la case [Spécifier par durée], saisissez la période de validité en minutes.
Si vous cochez la case [Spécifier par taille], saisissez la période de validité en mégaoctets.
Si vous cochez les deux cases, l'élément dont la valeur est atteinte en premier est appliqué.
[Algorithme authentification/cryptage]
Cochez cette case en fonction de l'en-tête IPSec (ESP et AH) à utiliser et de son algorithme.
[Authentification ESP]
Si vous sélectionnez [ESP], sélectionnez l'algorithme d'authentification. Pour exécuter l'authentification ESP, sélectionnez [SHA1]. Sinon, sélectionnez [Ne pas utiliser].
[Cryptage ESP]
Si vous sélectionnez [ESP], sélectionnez l'algorithme de chiffrement. Si vous ne souhaitez pas spécifier l'algorithme, sélectionnez [NULL]. Pour désactiver le chiffrement, sélectionnez [Ne pas utiliser].
[Mode de connexion]
L'appareil ne prend en charge que le mode Transport.
10
Cliquez sur [OK].
La stratégie nouvellement enregistrée est ajoutée aux [Politiques IPSec mémorisées] dans l'écran [Réglages IPSec].
Si plusieurs stratégies sont enregistrées
Cliquez sur [Vers le haut] ou sur [Vers le bas] à droite du nom de la stratégie pour établir sa priorité. L'application aux communications IPSec des stratégies placées sur les niveaux les plus hauts est prioritaire.
11
Redémarrez l'appareil. Redémarrage de la machine
Les paramètres sont appliqués.
Modification des stratégies enregistrées
Pour modifier les informations enregistrées, cliquez sur le nom de la stratégie à modifier dans [Politiques IPSec mémorisées] dans l'écran [Réglages IPSec].
8KJW-082