Configuració de les opcions d'IPSec

Si utilitzeu IPSec, podeu impedir la intercepció o la manipulació per part de tercers de paquets IP transportats per la xarxa IP. Com IPSec afegeix funcions de seguretat a IP, un conjunt de protocols bàsic utilitzat per a Internet, pot proporcionar seguretat independent d'aplicacions o de la configuració de xarxa. Per portar a terme la comunicació IPSec amb aquest equip, heu de configurar opcions com ara els paràmetres de l'aplicació i l'algorisme per a l'autenticació i el xifratge. Per configurar aquestes opcions calen privilegis d'administrador o d'administrador de xarxa (NetworkAdmin).


Mode de comunicació Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP. Protocol d'intercanvi de claus Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital. Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec. Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP

Mode de comunicació

Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP.

Protocol d'intercanvi de claus

Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital.

Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec.

Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP


Independentment de les opcions de <Mètode xifratge formats per a FIPS 140> per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140. Per tal que la comunicació IPSec compleixi amb FIPS 140, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip. Des de l'equip només es pot especificar la longitud de clau de DH. Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA. Podeu desar fins a 10 directives de seguretat.

Independentment de les opcions de <Mètode xifratge formats per a FIPS 140> per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140.

Per tal que la comunicació IPSec compleixi amb FIPS 140, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip.

Des de l'equip només es pot especificar la longitud de clau de DH.

Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA.

Podeu desar fins a 10 directives de seguretat.

Premeu

(Configuració).

Premeu <Preferències>

<Xarxa>

<Opcions d'IPSec>.

Establiu l'opció <Usar IPSec> en <On> i premeu <Desar>.

Especifiqueu un nom per a la directiva.

Premeu <Nom direct.>, introduïu el nom i premeu <Bé>.

Les impressores multiús de Canon admeten dues longituds de clau per al mètode de xifratge AES: 128 bits i 256 bits Per restringir la longitud de clau a 256 bits i complir les normes d'autenticació CC, establiu <Només permetre longitud de clau AES 256 bits> en <On>.

Configureu els paràmetres de l'aplicació l'IPSec.

Premeu <Opcions de selecció>.

Especifiqueu l'adreça IP a la qual s'ha d'aplicar la directiva IPSec.

Especifiqueu l'adreça IP d'aquest equip a <Adreça local> i especifiqueu l'adreça IP de l'interlocutor de la comunicació a <Adreça remota>.

<Totes les adreces IP>	IPSec s'aplica a tots els paquets IP enviats i rebuts.
<Adreça IPv4>	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 d'aquest equip.
<Adreça IPv6>	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 d'aquest equip.
<Totes les adrec. IPv4>	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 de l'interlocutor de la comunicació.
<Totes les adrec. IPv6>	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 de l'interlocutor de la comunicació.
<Configurac. man. IPv4>	Especifiqueu l'adreça IPv4 a la qual s'ha d'aplicar IPSec. Seleccioneu <Adreça única> per introduir una adreça IPv4 individual. Seleccioneu <Rang d'adreces> per especificar un rang d'adreces IPv4. Introduïu una adreça IP diferent per a <Primera adreça> i <Última adreça>. Seleccioneu <Opcions de subxarxa> per especificar un rang d'adreces IPv4 utilitzant una màscara de subxarxa. Introduïu valors diferents per a <Adreça> i <Màscara de subxarxa>.
<Configurac. man. IPv6>	Especifiqueu l'adreça IPv6 a què s'aplicarà IPSec. Seleccioneu <Adreça única> per introduir una única adreça IPv6. Seleccioneu <Rang d'adreces> per especificar un interval d'adreces IPv6. Introduïu una adreça IP diferent per a <Primera adreça> i <Última adreça>. Seleccioneu <Especificar prefix> per especificar un rang d'adreces IPv6 utilitzant un prefix. Introduïu valors diferents per a <Adreça> i <Longitud de prefix>.

Especifiqueu el port al qual s'ha d'aplicar IPSec.

Premeu <Especificar per número de port> per utilitzar números de port quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu <Tots els ports> per aplicar IPSec a tots els números de port. Per aplicar IPSec a un número de port específic, premeu <Port únic> i introduïu el número de port. Després d'especificar els ports, premeu <Bé>. Especifiqueu el port d'aquest equip a <Port local> i especifiqueu el port de l'interlocutor de la comunicació a <Port remot>.

Premeu <Especificar per nom de servei> per utilitzar noms de servei quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu el servei a la llista, premeu <Activ./Desac. servei> per establir-lo en <On> i premeu <Bé>.

Premeu <Bé>.

Configureu les opcions d'autenticació i xifratge.

Premeu <Opcions d'IKE>.

Configureu les opcions necessàries.

Seleccioneu el mode d'operació per al protocol d'intercanvi de claus. Quan el mode d'operació està establert a <Principal>, la seguretat es millora perquè la pròpia sessió IKE està xifrada, però la càrrega de treball de la comunicació és major que la de la sessió <Agressiu>, que no realitza xifratge.

Establiu el període de caducitat del IKE SA generat.

<Mètode d'autenticació>

Seleccioneu un dels mètodes d'autenticació descrits a continuació.

<Mètode clau precompart.>	Establiu la mateixa contrasenya (clau precompartida) que s'ha establert per a l'interlocutor de la comunicació. Premeu <Clau compartida>, introduïu la cadena de caràcters que cal utilitzar com a clau compartida i premeu <Bé>.
<Mètode de signat. digit.>	Establiu la clau i el certificat que cal utilitzar per a l'autenticació mútua amb l'interlocutor de la comunicació. Premeu <Clau i certificat>, seleccioneu la clau i certificat que cal utilitzar i premeu <Convertir en predetermin.> <Sí> <Bé>.

Seleccioneu <Auto> o <Configuració manual> per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 1. Si seleccioneu <Auto>, s'establirà automàticament un algorisme que pot ser utilitzat tant per aquest equip com per l'interlocutor de la comunicació. Si voleu especificar un algorisme específic, seleccioneu <Configuració manual> i configureu les opcions següents.

<Autenticació>	Seleccioneu l'algorisme hash.
<Xifratge>	Seleccioneu l'algorisme de xifratge.
<Grup DH>	Seleccioneu el grup per al mètode d'intercanvi de clau Diffie-Hellman per establir la seguretat de la clau.

Premeu <Bé>.


Si s'estableix <Mode IKE> en <Principal> a la pantalla <Opcions d'IKE> i s'estableix <Mètode d'autenticació> en <Mètode clau precompart.>, s'apliquen les restriccions següents quan es desen diverses directives de seguretat. Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, totes les claus compartides per a la directiva de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP). Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, la prioritat de la directiva de seguretat està per sota de les directives de seguretat per a les qual s'hagi especificat una única direcció.

Si s'estableix <Mode IKE> en <Principal> a la pantalla <Opcions d'IKE> i s'estableix <Mètode d'autenticació> en <Mètode clau precompart.>, s'apliquen les restriccions següents quan es desen diverses directives de seguretat.

Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, totes les claus compartides per a la directiva de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP).

Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, la prioritat de la directiva de seguretat està per sota de les directives de seguretat per a les qual s'hagi especificat una única direcció.

Configureu les opcions de comunicació d'IPSec.

Premeu <Opcions de xarxa IPSec>.

Configureu les opcions necessàries.

Establiu el període de caducitat del IPSec SA generat. Assegureu-vos d'establir <Hora> o <Mida>. Si establiu tots dos, s'aplicarà l'opció amb el valor que s'aconsegueixi primer.

<PFS>

Si establiu la funció PFS (Perfect Forward Secrecy) en <On>, la confidencialitat de la clau de xifratge augmenta, però la velocitat de la comunicació es redueix. A més a més, la funció PFS s'ha d'activar al dispositiu interlocutor de la comunicació.

Seleccioneu <Auto> o <Configuració manual> per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 2. Si seleccioneu <Auto>, l'algorisme d'autenticació i xifratge s'estableix automàticament. Si voleu especificar un mètode d'autenticació específic, premeu <Configuració manual> i seleccioneu un dels mètodes d'autenticació següents.

<ESP>	Es porta a terme tant l'autenticació com el xifratge. Seleccioneu l'algorisme per a <Autenticació ESP> i <Xifratge ESP>. Si no voleu utilitzar l'algorisme d'autenticació o de xifratge, seleccioneu <NUL>.
<ESP (AES-GCM)>	AES-GCM s'utilitza com a algorisme d'ESP, i es porta a terme tant l'autenticació com el xifratge.
<AH (SHA1)>	Es porta a terme l'autenticació, però les dades no es xifren. S'utilitza SHA1 com a algorisme.

Premeu <Bé>

<Bé>.

Activeu les directives desades i comproveu l'ordre de prioritat.

Seleccioneu les directives desades de la llista, i premeu <Activ./Desac. directiva> per establir-les en <On>.

Les directives s'apliquen en l'ordre en què apareixen a la llista, començant des de la part superior. Si voleu canviar l'ordre de prioritat, seleccioneu una directiva de la llista i premeu <Elevar prioritat> o <Reduir prioritat>.

Si no voleu enviar ni rebre paquets que no corresponguin a les directives, seleccioneu <Rebutjar> per a <Rebre paquets fora de directiva>.

Premeu <Bé>.

Premeu

(Configuració)

<Sí>.


Gestió de directives IPSec Podeu editar directives a la pantalla que es mostra al pas 3. Per editar els detalls d'una directiva, seleccioneu-la a la llista i premeu <Editar>. Per desactivar una directiva, seleccioneu-la a la llista i premeu <Activ./Desac. directiva>. Per eliminar una directiva, seleccioneu-la a la llista i premeu <Eliminar> <Sí>.

Configuració de les opcions d'IPSec

Mode de comunicació

Protocol d'intercanvi de claus

Gestió de directives IPSec