Configurazione delle impostazioni IPSec

Utilizzando IPSec, è possibile impedire a terze parti di intercettare o manomettere i pacchetti IP trasportati sulla rete IP. Poiché IPSec aggiunge delle funzioni di sicurezza a IP, famiglia di protocolli base utilizzata per Internet, può fornire una sicurezza che non dipende dalle applicazioni o dalla configurazione di rete. Per eseguire la comunicazione IPSec con questa macchina, è necessario configurare impostazioni quali i parametri di applicazione e l'algoritmo per l'autenticazione e la crittografia. Per configurare queste impostazioni sono necessari i privilegi di Amministratore o Amministratore di rete.


Modalità di comunicazione Questa macchina supporta solo la modalità di trasporto per la comunicazione IPSec. Di conseguenza, l'autenticazione e la crittografia sono applicate solamente alle porzioni di dati dei pacchetti IP. Protocollo di scambio chiavi Questa macchina supporta Internet Key Exchange versione 1 (IKEv1) per lo scambio di codici in base al protocollo ISAKMP (Internet Security Association and Key Management Protocol). Per il metodo di autenticazione, impostare il metodo codice precondiviso o il metodo firma digitale. Quando si imposta il metodo codice precondiviso, è necessario stabilire prima una passphrase (codice precondiviso), che sarà utilizzata tra la macchina e il peer di comunicazione IPSec. Quando si imposta il metodo firma digitale, utilizzare un certificato CA e un codice in formato PKCS#12 per eseguire la reciproca autenticazione tra la macchina e il peer di comunicazione IPSec. Per ulteriori informazioni sulla registrazione di nuovi certificati CA o nuovi codici/certificati, vedere Registrazione del codice e del certificato per la comunicazione di rete. Si noti che SNTP deve essere configurato per la macchina prima di utilizzare questo metodo. Impostazioni SNTP

Modalità di comunicazione

Questa macchina supporta solo la modalità di trasporto per la comunicazione IPSec. Di conseguenza, l'autenticazione e la crittografia sono applicate solamente alle porzioni di dati dei pacchetti IP.

Protocollo di scambio chiavi

Questa macchina supporta Internet Key Exchange versione 1 (IKEv1) per lo scambio di codici in base al protocollo ISAKMP (Internet Security Association and Key Management Protocol). Per il metodo di autenticazione, impostare il metodo codice precondiviso o il metodo firma digitale.

Quando si imposta il metodo codice precondiviso, è necessario stabilire prima una passphrase (codice precondiviso), che sarà utilizzata tra la macchina e il peer di comunicazione IPSec.

Quando si imposta il metodo firma digitale, utilizzare un certificato CA e un codice in formato PKCS#12 per eseguire la reciproca autenticazione tra la macchina e il peer di comunicazione IPSec. Per ulteriori informazioni sulla registrazione di nuovi certificati CA o nuovi codici/certificati, vedere Registrazione del codice e del certificato per la comunicazione di rete. Si noti che SNTP deve essere configurato per la macchina prima di utilizzare questo metodo. Impostazioni SNTP


Indipendentemente dall'impostazione di <Standardizz. metodo crittogr. su FIPS 140-2> per la comunicazione IPSec, viene utilizzato un modulo di crittografia che ha già ottenuto la certificazione FIPS140-2. Affinché la comunicazione IPSec sia conforme a FIPS 140-2, è necessario impostare la lunghezza della chiave di DH e RSA per la comunicazione IPSec su almeno 2048 bit nell'ambiente di rete al quale appartiene la macchina. Solo la lunghezza della chiave per DH può essere specificata dalla macchina. Annotarla durante la configurazione dell'ambiente, poiché sulla macchina non sono previste impostazioni per RSA. È possibile registrare fino a 10 criteri di protezione.

Indipendentemente dall'impostazione di <Standardizz. metodo crittogr. su FIPS 140-2> per la comunicazione IPSec, viene utilizzato un modulo di crittografia che ha già ottenuto la certificazione FIPS140-2.

Affinché la comunicazione IPSec sia conforme a FIPS 140-2, è necessario impostare la lunghezza della chiave di DH e RSA per la comunicazione IPSec su almeno 2048 bit nell'ambiente di rete al quale appartiene la macchina.

Solo la lunghezza della chiave per DH può essere specificata dalla macchina.

Annotarla durante la configurazione dell'ambiente, poiché sulla macchina non sono previste impostazioni per RSA.

È possibile registrare fino a 10 criteri di protezione.

Premere

(Impostazioni/Registrazione).

Premere <Preferenze>

<Rete>

<Impostazioni IPSec>.

Impostare <Utilizzo IPSec> su <On> e premere <Registra>.

Specificare un nome per il criterio.

Premere <Nome criterio>, inserire il nome e premere <OK>.

Le stampanti multifunzione Canon supportano due lunghezze di chiave per il metodo di crittografia AES: 128 bit e 256 bit. Per limitare la lunghezza della chiave a 256 bit e soddisfare agli standard di autenticazione CC, impostare <Consentire solo 256 bit per lunghezza chiave AES> su <On>.

Configurare i parametri di applicazione IPSec.

Premere <Impostazioni selettore>.

Specificare l'indirizzo IP a cui applicare il criterio IPSec.

Specificare l'indirizzo IP di questa macchina in <Indirizzo locale> e specificare l'indirizzo IP del peer di comunicazione in <Indirizzo remoto>.

<Tutti gli indirizzi IP>	IPSec viene applicato a tutti i pacchetti IP inviati e ricevuti.
<Indirizzo IPv4>	IPSec viene applicato ai pacchetti IP inviati e ricevuti dall'indirizzo IPv4 di questa macchina.
<Indirizzo IPv6>	IPSec viene applicato ai pacchetti IP inviati e ricevuti dall'indirizzo IPv6 di questa macchina.
<Tutti gli indirizzi IPv4>	IPSec viene applicato ai pacchetti IP inviati e ricevuti dall'indirizzo IPv4 del peer di comunicazione.
<Tutti gli indirizzi IPv6>	IPSec viene applicato ai pacchetti IP inviati e ricevuti dall'indirizzo IPv6 del peer di comunicazione.
<Impostazioni manuali IPv4>	Specificare l'indirizzo IPv4 a cui applicare l'IPSec. Selezionare <Indirizzo singolo> per inserire un indirizzo IPv4 singolo. Selezionare <Intervallo di indirizzi> per specificare un intervallo di indirizzi IPv4. Inserire un indirizzo separato per <Primo indirizzo> e <Ultimo indirizzo>. Selezionare <Impostazioni subnet> un intervallo di indirizzi IPv4 usando una subnet mask. Inserire valori separati per <Indirizzo> e <Subnet mask>.
<Impostazioni manuali IPv6>	Specificare l'indirizzo IPv6 a cui applicare l'IPSec. Selezionare <Indirizzo singolo> per inserire un indirizzo IPv6 singolo. Selezionare <Intervallo di indirizzi> per specificare un intervallo di indirizzi IPv6. Inserire un indirizzo separato per <Primo indirizzo> e <Ultimo indirizzo>. Selezionare <Specifica prefisso> un intervallo di indirizzi IPv6 usando un prefisso. Inserire valori separati per <Indirizzo> e <Lunghezza prefisso>.

Specificare la porta a cui applicare l'IPSec.

Premere <Specifica per numero di porta> per utilizzare i numeri di porta quando si specificano le porte a cui applicare l'IPSec. Selezionare <Tutte le porte> per applicare l'IPSec a tutti i numeri di porta. Per applicare l'IPSec ad un numero di porta specifico, premere <Porta singola> e inserire il numero di porta. Dopo aver specificato le porte, premere <OK>. Specificare la porta di questa macchina in <Porta locale> e specificare la porta del peer di comunicazione in <Porta remota>.

Premere <Specifica per nome servizio> per utilizzare i nomi dei servizi quando si specificano le porte a cui si applica l'IPSec. Selezionare il servizio nell'elenco, premere <Servizio On/Off> per impostarlo su <On> e premere <OK>.

Premere <OK>.

Configurare le impostazioni di autenticazione e crittografia.

Premere <Impostazioni IKE>.

Configurare le impostazioni necessarie.

Selezionare la modalità di funzionamento del protocollo di scambio tasti. Quando la modalità di funzionamento è impostata su <Principale>, la sicurezza è migliorata perché la sessione IKE stessa è criptata, ma un carico maggiore è posto sulla comunicazione rispetto a <Aggressive>, che non esegue la crittografia.

<Validità>

Impostare il periodo di scadenza dell'IKE SA generato.

Selezionare uno dei metodi di autenticazione descritti di seguito.

<Met. chiave già condivisa>	Impostare la stessa passphrase (codice precondiviso) impostata per il peer di comunicazione. Premere <Chiave condivisa>, inserire la stringa di caratteri da utilizzare come codice condiviso e premere <OK>.
<Metodo firma digitale>	Impostare il codice e il certificato da utilizzare per l'autenticazione reciproca con il peer di comunicazione. Premere <Chiave e certificato>, selezionare il codice e il certificato da utilizzare e premere <Impost.come chiav.predef.> <Sì> <OK>.

Selezionare <Autom.> o <Impostazioni manuali> per impostare come specificare l'algoritmo di autenticazione e crittografia per IKE fase 1. Se si seleziona <Autom.>, viene impostato automaticamente un algoritmo che può essere utilizzato sia dalla macchina che dal peer di comunicazione. Se si desidera specificare un determinato algoritmo, selezionare <Impostazioni manuali> e configurare le impostazioni riportate di seguito.

<Autenticazione>	Selezionare l'algoritmo hash.
<Crittografia>	Selezionare l'algoritmo di crittografia.
<Gruppo DH>	Selezionare il gruppo per il metodo di scambio codice Diffie-Hellman per impostare la forza del codice.

Premere <OK>.


Quando <Modo IKE> è impostato su <Principale> nella schermata <Impostazioni IKE> e <Metodo di autenticazione> è impostato su <Met. chiave già condivisa>, si applicano le seguenti limitazioni quando si registrano più criteri di protezione. Chiave metodo chiave precondivisa: quando si specificano più indirizzi IP remoti a cui si deve applicare un criterio di protezione, tutte le chiavi condivise per tale criterio di protezione sono identiche (non si applica quando è specificato un singolo indirizzo). Priorità: quando si specificano più indirizzi IP remoti a cui si deve applicare un criterio di protezione, la priorità di tale criterio di protezione è inferiore ai criteri di protezione per cui si specifica un singolo indirizzo.

Quando <Modo IKE> è impostato su <Principale> nella schermata <Impostazioni IKE> e <Metodo di autenticazione> è impostato su <Met. chiave già condivisa>, si applicano le seguenti limitazioni quando si registrano più criteri di protezione.

Chiave metodo chiave precondivisa: quando si specificano più indirizzi IP remoti a cui si deve applicare un criterio di protezione, tutte le chiavi condivise per tale criterio di protezione sono identiche (non si applica quando è specificato un singolo indirizzo).

Priorità: quando si specificano più indirizzi IP remoti a cui si deve applicare un criterio di protezione, la priorità di tale criterio di protezione è inferiore ai criteri di protezione per cui si specifica un singolo indirizzo.

Configurare le impostazioni di comunicazione IPSec.

Premere <Impostazioni rete IPSec>.

Configurare le impostazioni necessarie.

<Validità>

Impostare il periodo di scadenza dell'IPSec SA generato. Assicurarsi di impostare <Interv.> o <Dimensione>. Se si impostano entrambi, viene applicata l'impostazione con il valore raggiunto per primo.

<PFS>

Se si imposta la funzione Perfect Forward Secrecy (PFS) su <On>, la segretezza del codice di crittografia aumenta, ma la velocità di comunicazione diminuisce. Inoltre, la funzione PFS deve essere abilitata sul dispositivo del peer di comunicazione.

Selezionare <Autom.> o <Impostazioni manuali> per impostare come specificare l'algoritmo di autenticazione e crittografia per IKE fase 2. Se si seleziona <Autom.>, l'algoritmo di autenticazione e crittografia ESP viene impostato automaticamente. Se si desidera specificare un determinato metodo di autenticazione, premere <Impostazioni manuali> e selezionare uno dei metodi di autenticazione descritti di seguito.

<ESP>	L'autenticazione e la crittografia vengono entrambe eseguite. Selezionare l'algoritmo per <Auten. ESP> e <Crittografia ESP>. Selezionare <NULL> se non si desidera impostare l'algoritmo di autenticazione o crittografia.
<ESP (AES-GCM)>	AES-GCM viene utilizzato come algoritmo ESP e l'autenticazione e la crittografia vengono eseguite entrambe.
<AH (SHA1)>	Viene eseguita l'autenticazione, ma i dati non vengono crittografati. SHA1 viene utilizzato come algoritmo.

Premere <OK>

<OK>.

Abilitare i criteri registrati e verificare l'ordine di priorità.

Selezionare i criteri registrati dall'elenco e premere <Attiv./disatt. criterio> per attivarli (<On>).

I criteri vengono applicati nell'ordine in cui sono elencati, a partire dall'alto. Se si desidera cambiare l'ordine di priorità, selezionare un criterio nell'elenco e premere <Alzare priorità> o <Abbassare priorità>.

Se non si desidera inviare o ricevere dei pacchetti che non corrispondono ai criteri, selezionare <Rifiutare> per <Ricez. pacchetti non associati a un criterio>.

Premere <OK>.

Premere

(Impostazioni/Registrazione)

<Applic.variaz.impost.>

<Sì>.


Gestione dei criteri IPSec È possibile modificare i criteri sulla schermata visualizzata al passo 3. Per modificare i dettagli di un criterio, selezionare il criterio nell'elenco e premere <Modifica>. Per disabilitare un criterio, selezionare il criterio nell'elenco e premere <Attiv./disatt. criterio>. Per eliminare un criterio, selezionare il criterio nell'elenco e premere <Elimina> <Sì>.

Configurazione delle impostazioni IPSec

Modalità di comunicazione

Protocollo di scambio chiavi

Gestione dei criteri IPSec