Configurar as Programações IPSec

Se utilizar o IPSec, pode evitar que terceiros intercetem ou adulterem pacotes IP transportados através da rede IP. Uma vez que adiciona funções de segurança ao IP, um conjunto de protocolos básicos utilizados para a Internet, o IPSec pode fornecer uma segurança independente das aplicações ou da configuração da rede. Para realizar comunicação IPSec com esta máquina, tem de configurar programações como os parâmetros da aplicação e o algoritmo de codificação e autenticação. É necessário ter privilégios de administrador ou administrador de rede para configurar estas programações.


Modo de comunicação Esta máquina apenas suporta o modo de transporte para a comunicação IPSec. Como resultado, a autenticação e a codificação são aplicadas somente às partes de dados dos pacotes IP. Protocolo de troca de chave Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para a troca de chaves com base no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, programe o método de chave pré-partilhada ou o método de assinatura digital. Ao programar o método de chave pré-partilhada, é necessário decidir previamente uma frase-passe (chave pré-partilhada) que será utilizada entre a máquina e o par de comunicação IPSec. Ao programar o método de assinatura digital, utilize um certificado da CA e uma chave e certificado de formato PKCS#12 para realizar a autenticação mútua entre a máquina e o par de comunicação IPSec. Para obter mais informações sobre como gravar novos certificados da CA ou chaves/certificados, consulte Gravar a Chave e Certificado para Comunicação de Rede. Note que o SNTP tem de ser configurado para a máquina antes de utilizar este método. Especificar as programações de SNTP

Modo de comunicação

Esta máquina apenas suporta o modo de transporte para a comunicação IPSec. Como resultado, a autenticação e a codificação são aplicadas somente às partes de dados dos pacotes IP.

Protocolo de troca de chave

Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para a troca de chaves com base no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, programe o método de chave pré-partilhada ou o método de assinatura digital.

Ao programar o método de chave pré-partilhada, é necessário decidir previamente uma frase-passe (chave pré-partilhada) que será utilizada entre a máquina e o par de comunicação IPSec.

Ao programar o método de assinatura digital, utilize um certificado da CA e uma chave e certificado de formato PKCS#12 para realizar a autenticação mútua entre a máquina e o par de comunicação IPSec. Para obter mais informações sobre como gravar novos certificados da CA ou chaves/certificados, consulte Gravar a Chave e Certificado para Comunicação de Rede. Note que o SNTP tem de ser configurado para a máquina antes de utilizar este método. Especificar as programações de SNTP


Independentemente da programação de <Formatar método codificação p/FIPS 140-2> para comunicação IPSec, será utilizado um módulo de encriptação que já tenha obtido certificação FIPS140-2. Para fazer com que a comunicação IPSec respeite as FIPS 140-2, é necessário definir o comprimento da chave de DH e RSA para comunicação IPSec como 2048 bits ou superior no ambiente de rede a que a máquina pertence. Só é possível especificar o comprimento da chave de DH a partir da máquina. Preste atenção ao configurar o ambiente, uma vez que não existem programações de RSA na máquina. Pode gravar até 10 políticas de grupo.

Independentemente da programação de <Formatar método codificação p/FIPS 140-2> para comunicação IPSec, será utilizado um módulo de encriptação que já tenha obtido certificação FIPS140-2.

Para fazer com que a comunicação IPSec respeite as FIPS 140-2, é necessário definir o comprimento da chave de DH e RSA para comunicação IPSec como 2048 bits ou superior no ambiente de rede a que a máquina pertence.

Só é possível especificar o comprimento da chave de DH a partir da máquina.

Preste atenção ao configurar o ambiente, uma vez que não existem programações de RSA na máquina.

Pode gravar até 10 políticas de grupo.

Carregue em

(Programações/Gravação).

Carregue em <Preferências>

<Rede>

<Programações TCP/IP>

<Programações IPSec>.

Programe <Utilizar IPSec> para <Ligado> e carregue em <Gravar>.

Especifique um nome para a política.

Carregue em <Nome da política>, introduza o nome e carregue em <OK>.

As impressoras multifunções da Canon suportam dois comprimentos de chave para o método de codificação AES: 128 bits e 256 bits. Para limitar o comprimento de chave a 256 bits e cumprir as normas de autenticação CC, programe <Permitir só 256 bits como Comprimento chave AES> para <Ligado>.

Configure os parâmetros da aplicação IPSec.

Carregue em <Programações do seletor>.

Especifique o endereço IP ao qual pretende aplicar a política IPSec.

Especifique o endereço IP desta máquina em <Endereço local> e especifique o endereço IP do par de comunicação em <Endereço remoto>.

<Todos os ender. IP>	O IPSec é aplicado a todos os pacotes IP enviados e recebidos.
<Endereço IPv4>	O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv4 desta máquina.
<Endereço IPv6>	O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv6 desta máquina.
<Todos os ender. IPv4>	O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv4 do par de comunicação.
<Todos os ender. IPv6>	O IPSec é aplicado aos pacotes IP enviados e recebidos a partir do endereço IPv6 do par de comunicação.
<Progr. man. IPv4>	Especifique o endereço IPv4 ao qual pretende aplicar o IPSec. Selecione <Único endereço> para introduzir um endereço IPv4 individual. Selecione <Intervalo de endereço> para especificar um intervalo de endereços IPv4. Introduza um endereço separado para <Primeiro endereço> e <Último endereço>. Selecione <Program. de subrede> para especificar um intervalo de endereços IPv4 utilizando uma máscara de subrede. Introduza valores separados para <Endereço> e <Máscara de subrede>.
<Progr. man. IPv6>	Especifique o endereço IPv6 ao qual pretende aplicar o IPSec. Selecione <Único endereço> para introduzir um endereço IPv6 individual. Selecione <Intervalo de endereço> para especificar um intervalo de endereços IPv6. Introduza um endereço separado para <Primeiro endereço> e <Último endereço>. Selecione <Especificar prefixo> para especificar um intervalo de endereços IPv6 utilizando um prefixo. Introduza valores separados para <Endereço> e <Comprim. prefixo>.

Especifique a porta à qual pretende aplicar o IPSec.

Carregue em <Especificar por número de porta> para utilizar números de portas quando especificar as portas às quais o IPSec se aplica. Selecione <Todas as portas> para aplicar o IPSec a todos os números de porta. Para aplicar o IPSec a um determinado número de porta, carregue em <Porta única> e introduza o número da porta. Depois de especificar as portas, carregue em <OK>. Especifique a porta desta máquina em <Porta local> e especifique a porta do par de comunicação em <Porta remota>.

Carregue em <Especificar por nome de serviço> para utilizar nomes de serviço quando especificar as portas às quais o IPSec se aplica. Selecione o serviço na lista, carregue em <Serviço lig./desligado> para o programar para <Ligado> e carregue em <OK>.

Carregue em <OK>.

Configure as programações de autenticação e codificação.

Carregue em <Programações IKE>.

Configure as programações necessárias.

Selecione o modo de operação do protocolo Key Exchange. Quando o modo de operação estiver configurado em <Principal>, a segurança é elevada porque a própria sessão IKE é encriptada, mas uma maior exigência é colocada sobre a comunicação em comparação com <Agressivo>, que não efetua encriptação.

Configure o período de expiração da IKE SA gerada.

<Método de autenticação>

Selecione um dos métodos de autenticação descritos abaixo.

<Método chave pré-partilh.>	Programe a mesma frase-passe (chave pré-partilhada) que está programada para o par de comunicação. Carregue em <Chave partilhada>, introduza a sequência de caracteres para utilizar como chave partilhada e carregue em <OK>.
<Método de assin. digital>	Programe a chave e certificado a utilizar para autenticação mútua com o par de comunicação. Carregue em <Chave e certificado>, selecione a chave e certificado a utilizar e carregue em <Esp. como chv. pré-p.> <Sim> <OK>.

Selecione <Auto> ou <Progs manuais> para programar como especificar o algoritmo de autenticação e codificação para o IKE fase 1. Se selecionar <Auto>, é programado automaticamente um algoritmo que pode ser utilizado tanto por esta máquina como pelo par de comunicação. Se pretender especificar um determinado algoritmo, selecione <Progs manuais> e configure as programações abaixo.

<Autenticação>	Selecione o algoritmo de cardinal.
<Codificação>	Selecione o algoritmo de codificação.
<Grupo DH>	Selecione o grupo para o método de troca de chave Diffie-Hellman para programar a força da chave.

Carregue em <OK>.


Quando <Modo IKE> está programado para <Principal> no ecrã <Programações IKE> e <Método de autenticação> está programado para <Método chave pré-partilh.>, as restrições seguintes aplicam-se ao gravar várias políticas de segurança. Chave de método de chave pré-partilhada: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, todas as chaves partilhadas dessa política de segurança são idênticas (o mesmo não se aplica quando especifica um único endereço). Prioridade: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, a prioridade dessa política de segurança é inferior a políticas de segurança com um único endereço especificado.

Quando <Modo IKE> está programado para <Principal> no ecrã <Programações IKE> e <Método de autenticação> está programado para <Método chave pré-partilh.>, as restrições seguintes aplicam-se ao gravar várias políticas de segurança.

Chave de método de chave pré-partilhada: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, todas as chaves partilhadas dessa política de segurança são idênticas (o mesmo não se aplica quando especifica um único endereço).

Prioridade: ao especificar vários endereços IP remotos aos quais uma política de segurança deverá ser aplicada, a prioridade dessa política de segurança é inferior a políticas de segurança com um único endereço especificado.

Configure as programações da comunicação IPSec.

Carregue em <Programações de rede IPSec>.

Configure as programações necessárias.

Configure o período de expiração da IPSec SA gerada. Não se esqueça de programar <Hora> ou <Formato>. Se definir ambos, a configuração com o valor que é alcançado primeiro é a aplicada.

<PFS>

Se programar a função Perfect Forward Secrecy (PFS) para <Ligado>, o segredo da chave de codificação é aumentado, mas a velocidade de comunicação é mais lenta. Além disso, a função PFS deve estar ativada no dispositivo par de comunicação.

Selecione <Auto> ou <Progs manuais> para programar como especificar o algoritmo de autenticação e codificação para o IKE fase 2. Se selecionar <Auto>, o algoritmo de autenticação e codificação ESP é programado automaticamente. Se pretender especificar um determinado método de autenticação, carregue em <Progs manuais> e selecione um dos métodos de autenticação abaixo.

<ESP>	A autenticação e a codificação são realizadas. Selecione o algoritmo para <Autenticação ESP> e <Codificação ESP>. Selecione <NULO> se não pretender programar o algoritmo de codificação ou autenticação.
<ESP (AES-GCM)>	A AES-GCM é utilizada como o algoritmo ESP e a autenticação e codificação são realizadas.
<AH (SHA1)>	A autenticação é realizada, mas os dados não são codificados. SHA1 é utilizado como o algoritmo.

Carregue em <OK>

<OK>.

Ativa as políticas gravadas e verifica a ordem de prioridade.

Selecione as políticas gravadas na lista e carregue em <Ativ./desat. política> para mudar para <Ligado>.

As políticas são aplicadas na ordem em que são apresentadas, começando pelo topo. Se pretender alterar a ordem de prioridade, selecione uma política na lista e carregue em <Aumentar prioridade> ou em <Diminuir prioridade>.

Se não pretender enviar ou receber pacotes que não correspondam às políticas, selecione <Rejeitar> para <Receber pacotes sem políticas>.

Carregue em <OK>.

Carregue em

(Programações/Gravação)

<Sim>.


Gestão das políticas IPSec É possível editar políticas no ecrã apresentado no passo 3. Para editar os detalhes de uma política, selecione a política na lista e carregue em <Editar>. Para desativar uma política, selecione a política na lista e carregue em <Ativ./desat. política>. Para apagar uma política, selecione a política na lista e carregue em <Apagar> <Sim>.

Configurar as Programações IPSec

Modo de comunicação

Protocolo de troca de chave

Gestão das políticas IPSec