Configuració de les opcions d'IPSec

Si utilitzeu IPSec, podeu impedir la intercepció o la manipulació per part de tercers de paquets IP transportats per la xarxa IP. Com IPSec afegeix funcions de seguretat a IP, un conjunt de protocols bàsic utilitzat per a Internet, pot proporcionar seguretat independent d'aplicacions o de la configuració de xarxa. Per portar a terme la comunicació IPSec amb aquest equip, heu de configurar opcions com ara els paràmetres de l'aplicació i l'algorisme per a l'autenticació i el xifratge. Per configurar aquestes opcions calen privilegis d'administrador o d'administrador de xarxa (NetworkAdmin).


Mode de comunicació Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP. Protocol d'intercanvi de claus Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital. Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec. Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP

Mode de comunicació

Aquest equip només admet el mode de transport per a la comunicació IPSec. Com a resultat, l'autenticació i el xifratge només s'apliquen a les parts de dades dels paquets IP.

Protocol d'intercanvi de claus

Aquest equip admet IKEv1 (Internet Key Exchange version 1) per intercanviar claus basant-se en el protocol ISAKMP (Internet Security Association and Key Management Protocol). Per al mètode d'autenticació, establiu el mètode de clau precompartida o el mètode de signatura digital.

Quan establiu el mètode de clau precompartida, heu de decidir per endavant una contrasenya (clau precompartida), que s'utilitzarà entre l'equip i l'interlocutor de la comunicació IPSec.

Quan establiu el mètode de signatura digital, utilitzeu un certificat de CA i una clau i un certificat en format PKCS#12 per portar a terme l'autenticació mútua entre l'equip i l'interlocutor de la comunicació IPSec. Per obtenir més informació sobre com desar certificats de CA nous o claus/certificats, vegeu Desament d'una clau i un certificat per a la comunicació de xarxa. Tingueu en compte que, per poder utilitzar aquest mètode, cal configurar SNTP per a l'equip. Configuració d'opcions de SNTP


Independentment de les opcions de <Mètode xifratge formats per a FIPS 140> per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140-2. Per tal que la comunicació IPSec compleixi amb FIPS 140, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip. Des de l'equip només es pot especificar la longitud de clau de DH. Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA. Podeu desar fins a 10 directives de seguretat.

Independentment de les opcions de <Mètode xifratge formats per a FIPS 140> per a la comunicació IPSec, s'utilitzarà un mòdul de xifratge que ja disposi del certificat FIPS140-2.

Per tal que la comunicació IPSec compleixi amb FIPS 140, heu d'establir la longitud de clau de DH i RSA per a la comunicació IPSec en 2048 bits o més en l'entorn de xarxa al qual pertanyi l'equip.

Des de l'equip només es pot especificar la longitud de clau de DH.

Tingueu-ho en compte quan configureu l'entorn, perquè a l'equip no hi ha opcions per a RSA.

Podeu desar fins a 10 directives de seguretat.

Premeu

(Configuració).

Premeu <Preferències>

<Xarxa>

<Opcions d'IPSec>.

Establiu l'opció <Usar IPSec> en <On> i premeu <Desar>.

Especifiqueu un nom per a la directiva.

Premeu <Nom direct.>, introduïu el nom i premeu <Bé>.

Les impressores multiús de Canon admeten dues longituds de clau per al mètode de xifratge AES: 128 bits i 256 bits Per restringir la longitud de clau a 256 bits i complir les normes d'autenticació CC, establiu <Només permetre longitud de clau AES 256 bits> en <On>.

Configureu els paràmetres de l'aplicació l'IPSec.

Premeu <Opcions de selecció>.

Especifiqueu l'adreça IP a la qual s'ha d'aplicar la directiva IPSec.

Especifiqueu l'adreça IP d'aquest equip a <Adreça local> i especifiqueu l'adreça IP de l'interlocutor de la comunicació a <Adreça remota>.

<Totes les adreces IP>	IPSec s'aplica a tots els paquets IP enviats i rebuts.
<Adreça IPv4>	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 d'aquest equip.
<Adreça IPv6>	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv6 d'aquest equip.
<Totes les adrec. IPv4>	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 de l'interlocutor de la comunicació.
<Totes les adrec. IPv6>	IPSec s'aplica als paquets IP enviats a i rebuts de l'adreça IPv4 de l'interlocutor de la comunicació.
<Configurac. man. IPv4>	Especifiqueu l'adreça IPv4 a la qual s'ha d'aplicar IPSec. Seleccioneu <Adreça única> per introduir una adreça IPv4 individual. Seleccioneu <Rang d'adreces> per especificar un rang d'adreces IPv4. Introduïu una adreça IP diferent per a <Primera adreça> i <Última adreça>. Seleccioneu <Opcions de subxarxa> per especificar un rang d'adreces IPv4 utilitzant una màscara de subxarxa. Introduïu valors diferents per a <Adreça> i <Màscara de subxarxa>.
<Configurac. man. IPv6>	Especifiqueu l'adreça IPv6 a què s'aplicarà IPSec. Seleccioneu <Adreça única> per introduir una única adreça IPv6. Seleccioneu <Rang d'adreces> per especificar un interval d'adreces IPv6. Introduïu una adreça IP diferent per a <Primera adreça> i <Última adreça>. Seleccioneu <Especificar prefix> per especificar un rang d'adreces IPv6 utilitzant un prefix. Introduïu valors diferents per a <Adreça> i <Longitud de prefix>.

Especifiqueu el port al qual s'ha d'aplicar IPSec.

Premeu <Especificar per número de port> per utilitzar números de port quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu <Tots els ports> per aplicar IPSec a tots els números de port. Per aplicar IPSec a un número de port específic, premeu <Port únic> i introduïu el número de port. Després d'especificar els ports, premeu <Bé>. Especifiqueu el port d'aquest equip a <Port local> i especifiqueu el port de l'interlocutor de la comunicació a <Port remot>.

Premeu <Especificar per nom de servei> per utilitzar noms de servei quan especifiqueu els ports als quals s'aplica IPSec. Seleccioneu el servei a la llista, premeu <Activ./Desac. servei> per establir-lo en <On> i premeu <Bé>.

Premeu <Bé>.

Configureu les opcions d'autenticació i xifratge.

Premeu <Opcions d'IKE>.

Configureu les opcions necessàries.

Seleccioneu el mode d'operació per al protocol d'intercanvi de claus. Quan el mode d'operació està establert a <Principal>, la seguretat es millora perquè la pròpia sessió IKE està xifrada, però la càrrega de treball de la comunicació és major que la de la sessió <Agressiu>, que no realitza xifratge.

Establiu el període de caducitat del IKE SA generat.

<Mètode d'autenticació>

Seleccioneu un dels mètodes d'autenticació descrits a continuació.

<Mètode clau precompart.>	Establiu la mateixa contrasenya (clau precompartida) que s'ha establert per a l'interlocutor de la comunicació. Premeu <Clau compartida>, introduïu la cadena de caràcters que cal utilitzar com a clau compartida i premeu <Bé>.
<Mètode de signat. digit.>	Establiu la clau i el certificat que cal utilitzar per a l'autenticació mútua amb l'interlocutor de la comunicació. Premeu <Clau i certificat>, seleccioneu la clau i certificat que cal utilitzar i premeu <Convertir en predetermin.> <Sí> <Bé>.

Seleccioneu <Auto> o <Configuració manual> per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 1. Si seleccioneu <Auto>, s'establirà automàticament un algorisme que pot ser utilitzat tant per aquest equip com per l'interlocutor de la comunicació. Si voleu especificar un algorisme específic, seleccioneu <Configuració manual> i configureu les opcions següents.

<Autenticació>	Seleccioneu l'algorisme hash.
<Xifratge>	Seleccioneu l'algorisme de xifratge.
<Grup DH>	Seleccioneu el grup per al mètode d'intercanvi de clau Diffie-Hellman per establir la seguretat de la clau.

Premeu <Bé>.


Si s'estableix <Mode IKE> en <Principal> a la pantalla <Opcions d'IKE> i s'estableix <Mètode d'autenticació> en <Mètode clau precompart.>, s'apliquen les restriccions següents quan es desen diverses directives de seguretat. Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, totes les claus compartides per a la directiva de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP). Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, la prioritat de la directiva de seguretat està per sota de les directives de seguretat per a les qual s'hagi especificat una única direcció.

Si s'estableix <Mode IKE> en <Principal> a la pantalla <Opcions d'IKE> i s'estableix <Mètode d'autenticació> en <Mètode clau precompart.>, s'apliquen les restriccions següents quan es desen diverses directives de seguretat.

Clau del mètode de clau precompartida: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, totes les claus compartides per a la directiva de seguretat en qüestió seran idèntiques (no aplicable si s'especifica una única adreça IP).

Prioritat: si especifiqueu diverses adreces IP remotes a les quals cal aplicar una directiva de seguretat, la prioritat de la directiva de seguretat està per sota de les directives de seguretat per a les qual s'hagi especificat una única direcció.

Configureu les opcions de comunicació d'IPSec.

Premeu <Opcions de xarxa IPSec>.

Configureu les opcions necessàries.

Establiu el període de caducitat del IPSec SA generat. Assegureu-vos d'establir <Hora> o <Mida>. Si establiu tots dos, s'aplicarà l'opció amb el valor que s'aconsegueixi primer.

<PFS>

Si establiu la funció PFS (Perfect Forward Secrecy) en <On>, la confidencialitat de la clau de xifratge augmenta, però la velocitat de la comunicació es redueix. A més a més, la funció PFS s'ha d'activar al dispositiu interlocutor de la comunicació.

Seleccioneu <Auto> o <Configuració manual> per establir com cal especificar l'algorisme d'autenticació i xifratge per a IKE fase 2. Si seleccioneu <Auto>, l'algorisme d'autenticació i xifratge s'estableix automàticament. Si voleu especificar un mètode d'autenticació específic, premeu <Configuració manual> i seleccioneu un dels mètodes d'autenticació següents.

<ESP>	Es porta a terme tant l'autenticació com el xifratge. Seleccioneu l'algorisme per a <Autenticació ESP> i <Xifratge ESP>. Si no voleu utilitzar l'algorisme d'autenticació o de xifratge, seleccioneu <NUL>.
<ESP (AES-GCM)>	AES-GCM s'utilitza com a algorisme d'ESP, i es porta a terme tant l'autenticació com el xifratge.
<AH (SHA1)>	Es porta a terme l'autenticació, però les dades no es xifren. S'utilitza SHA1 com a algorisme.

Premeu <Bé>

<Bé>.

Activeu les directives desades i comproveu l'ordre de prioritat.

Seleccioneu les directives desades de la llista, i premeu <Activ./Desac. directiva> per establir-les en <On>.

Les directives s'apliquen en l'ordre en què apareixen a la llista, començant des de la part superior. Si voleu canviar l'ordre de prioritat, seleccioneu una directiva de la llista i premeu <Elevar prioritat> o <Reduir prioritat>.

Si no voleu enviar ni rebre paquets que no corresponguin a les directives, seleccioneu <Rebutjar> per a <Rebre paquets fora de directiva>.

Premeu <Bé>.

Premeu

(Configuració)

<Sí>.


Gestió de directives IPSec Podeu editar directives a la pantalla que es mostra al pas 3. Per editar els detalls d'una directiva, seleccioneu-la a la llista i premeu <Editar>. Per desactivar una directiva, seleccioneu-la a la llista i premeu <Activ./Desac. directiva>. Per eliminar una política, seleccioneu-la a la llista i premeu <Eliminar> <Sí>.

Configuració de les opcions d'IPSec

Mode de comunicació

Protocol d'intercanvi de claus

Gestió de directives IPSec