Definindo as configurações IPSec

Ao usar IPSec, você pode evitar que terceiros interceptem ou alterem pacotes IP transportados pela rede IP. Como IPSec adiciona funções de segurança a um IP, uma suíte de protocolos básica usada para a Internet, ele pode fornecer segurança independente de aplicativos ou de configuração de rede. Para realizar uma comunicação IPSec com esta máquina, você deve definir configurações como a aplicação de parâmetros e o algoritmo para autenticação e criptografia. Privilégios de Administrador ou Administrador de Rede são necessários para definir essas configurações.


Modo de comunicação Esta máquina somente suporta modo de transporte para comunicação IPSec. Como resultado, autenticação e criptografia somente são aplicadas às porções de dados de pacotes IP. Protocolo de troca de chave Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para chaves de troca baseadas no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, configure o método de chave pré-compartilhada ou o método de assinatura digital. Ao configurar o método de chave pré-compartilhada, você precisa antes decidir uma senha (chave pré-compartilhada), que é usada entre a máquina e o ponto de comunicação IPSec. Quando configurar o método de assinatura digital, use um certificado CA e uma chave de formato e certificado PKCS#12 para realizar autenticação mútua entre a máquina e o ponto de comunicação IPSec. Para obter mais informações sobre o registro de novos certificados CA ou chaves/certificados, consulte Registrando uma chave e um certificado de comunicação de rede. Observe que SNTP deve ser configurado para a máquina antes de usar este método. Criando configurações de SNTP

Modo de comunicação

Esta máquina somente suporta modo de transporte para comunicação IPSec. Como resultado, autenticação e criptografia somente são aplicadas às porções de dados de pacotes IP.

Protocolo de troca de chave

Esta máquina suporta Internet Key Exchange versão 1 (IKEv1) para chaves de troca baseadas no Internet Security Association and Key Management Protocol (ISAKMP). Para o método de autenticação, configure o método de chave pré-compartilhada ou o método de assinatura digital.

Ao configurar o método de chave pré-compartilhada, você precisa antes decidir uma senha (chave pré-compartilhada), que é usada entre a máquina e o ponto de comunicação IPSec.

Quando configurar o método de assinatura digital, use um certificado CA e uma chave de formato e certificado PKCS#12 para realizar autenticação mútua entre a máquina e o ponto de comunicação IPSec. Para obter mais informações sobre o registro de novos certificados CA ou chaves/certificados, consulte Registrando uma chave e um certificado de comunicação de rede. Observe que SNTP deve ser configurado para a máquina antes de usar este método. Criando configurações de SNTP


Independente da configuração de <Formatar método codificação p/ FIPS 140-2> para comunicação IPSec, um módulo de criptografia que já tenha obtido a certificação FIPS140-2 será usado. Para tornar a comunicação IPSec compatível com FIPS 140-2, você deve definir o comprimento de chave de DH e RSA para comunicação IPSec como 2048 bits ou mais no ambiente de rede ao qual a máquina pertence. Somente o comprimento da chave para DH pode ser especificado a partir da máquina. Observe ao configurar seu ambiente, pois não há configurações para RSA na máquina. Você pode registrar até 10 políticas de segurança.

Independente da configuração de <Formatar método codificação p/ FIPS 140-2> para comunicação IPSec, um módulo de criptografia que já tenha obtido a certificação FIPS140-2 será usado.

Para tornar a comunicação IPSec compatível com FIPS 140-2, você deve definir o comprimento de chave de DH e RSA para comunicação IPSec como 2048 bits ou mais no ambiente de rede ao qual a máquina pertence.

Somente o comprimento da chave para DH pode ser especificado a partir da máquina.

Observe ao configurar seu ambiente, pois não há configurações para RSA na máquina.

Você pode registrar até 10 políticas de segurança.

Pressione

(Progrs./Gravar).

Pressione <Preferências>

<Rede>

<Programações TCP/IP>

<Programações IPSec>.

Configure <Utilizar IPSec> como <On> e pressione <Gravar>.

Especifique um nome para a política.

Pressione <Nome da política>, insira o nome e pressione <OK>.

As impressoras multifuncionais suportam comprimentos de duas chaves para o método de criptografia AES: 128 bits e 256 bits. Para restringir o comprimento da chave para 256 bits e atender os padrões de autenticação CC, configure <Perm. só 256 bits como Comprim. chave AES> como <On>.

Configure os parâmetros de aplicação IPSec.

Pressione <Programações do seletor>.

Especifique o endereço IP ao qual aplicar a política IPSec.

Especifique o endereço IP desta máquina em <Endereço local> e especifique o endereço IP do ponto de comunicação em <Endereço remoto>.

<Todos os ender. IP>	IPSec é aplicado a todos os pacotes IP enviados e recebidos.
<Endereço IPv4>	IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv4 desta máquina.
<Endereço IPv6>	IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv6 desta máquina.
<Todos os end. IPv4>	IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv4 do ponto de comunicação.
<Todos os end. IPv6>	IPSec é aplicado aos pacotes IP enviados e recebidos do endereço IPv6 do ponto de comunicação.
<Progr. man. IPv4>	Especifique o endereço IPv4 ao qual aplicar o IPSec. Selecione <Único endereço> para inserir um endereço IPv4 individual. Selecione <Intervalo de endereço> para especificar um intervalo de endereços IPv4. Insira um endereço separado para <Primeiro endereço> e <Último endereço>. Selecione <Program. de subrede> para especificar um intervalo de endereços IPv4 usando uma máscara de sub-rede. Insira valores separados para <Endereço> e <Máscara de subrede>.
<Progr. man. IPv6>	Especifique o endereço IPv6 ao qual aplicar o IPSec. Selecione <Único endereço> para inserir um endereço IPv6 individual. Selecione <Intervalo de endereço> para especificar um intervalo de endereços IPv6. Insira um endereço separado para <Primeiro endereço> e <Último endereço>. Selecione <Especificar prefixo> para especificar um intervalo de endereços IPv6 usando um prefixo. Insira valores separados para <Endereço> e <Comprim. prefixo>.

Especifique a porta à qual aplicar o IPSec.

Pressione <Especificar por número de porta> para usar números de porta quando especificar as portas às quais o IPSec se aplica. Selecione <Todas as portas> para aplicar o IPSec a todos os números de porta. Para aplicar o IPSec a um número de porta específico, pressione <Porta única> e insira o número da porta. Após especificar as portas, pressione <OK>. Especifique a porta nesta máquina em <Porta local> e especifique a porta do ponto de comunicação em <Porta remota>.

Pressione <Especificar por nome serviço> para usar nomes de serviço ao especificar as portas às quais o IPSec se aplica. Selecione o serviço na lista, pressione <Serviço lig./desligado> para configurá-lo como <On> e pressione <OK>.

Pressione <OK>.

Defina as configurações de autenticação e criptografia.

Pressione <Programações IKE>.

Defina as configurações necessárias.

Selecione o modo de operação para o protocolo de troca de chave. Quando o modo de operação é definido com <Principal> , a segurança é maior pois a própria sessão IKE é criptografada, porém com uma carga mais alta na comunicação, em comparação a <Agressivo>, que não realiza a criptografia.

Defina o período de vencimento do IKE SA gerado.

<Método de autenticação>

Selecione um dos métodos de autenticação descritos abaixo.

<Mét. chave pré-partilh.>	Configure a mesma senha (chave pré-compartilhada) que foi configurada para o ponto de comunicação. Pressione <Chave partilhada>, insira a sequência de caracteres a usar como a chave compartilhada e pressione <OK>.
<Método de assin. digital>	Configure a chave e o certificado que serão usados para autenticação mútua com o ponto de comunicação. Pressione <Chave e certificado>, selecione a chave e o certificado que serão usados e pressione <Esp. como chv. pré-p.> <Yes> <OK>.

Selecione <Auto> ou <Progs manuais> para configurar como especificar o algoritmo de autenticação e criptografia para IKE fase 1. Se você selecionar <Auto>, um algoritmo que possa ser usado por esta máquina e pelo ponto de comunicação será definido automaticamente. Se você quer especificar um determinado algoritmo, selecione <Progs manuais> e defina as configurações a seguir.

<Autenticação>	Selecione o algoritmo de cardinal.
<Encryption>	Selecione o algoritmo de codificação.
<DH Group>	Selecione o grupo para o método de troca de chave Diffie-Hellman para configurar a força da chave.

Pressione <OK>.


Se <Modo IKE> está configurado como <Principal> na tela de <Programações IKE> e <Método de autenticação> está configurado como <Mét. chave pré-partilh.>, as seguintes restrições se aplicam ao registro de múltiplas políticas de segurança. Chave de método de chave pré-compartilhada: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, todas as chaves compartilhadas para essa política de segurança serão iguais (isso não se aplica quando um único endereço é especificado). Prioridade: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, a prioridade dessa política de segurança ficará abaixo de políticas de segurança com apenas um endereço especificado.

Se <Modo IKE> está configurado como <Principal> na tela de <Programações IKE> e <Método de autenticação> está configurado como <Mét. chave pré-partilh.>, as seguintes restrições se aplicam ao registro de múltiplas políticas de segurança.

Chave de método de chave pré-compartilhada: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, todas as chaves compartilhadas para essa política de segurança serão iguais (isso não se aplica quando um único endereço é especificado).

Prioridade: ao especificar múltiplos endereços IP remotos aos quais a política de segurança será aplicada, a prioridade dessa política de segurança ficará abaixo de políticas de segurança com apenas um endereço especificado.

Defina as configurações de comunicação IPSec.

Pressione <Programações de rede IPSec>.

Defina as configurações necessárias.

Defina o período de vencimento do IPSec SA gerado. Certifique-se de configurar <Hora> ou <Formato>. Se ambos forem configurados, a configuração com o valor a ser atingido primeiro será aplicada.

<PFS>

Se você configurar a função Perfect Forward Secrecy (PFS) como <On>, o segredo da chave de criptografia aumentará, mas a velocidade de comunicação será reduzida. Além disso, a função PFS deverá ser ativada no dispositivo do ponto de comunicação.

Selecione <Auto> ou <Progs manuais> para configurar como especificar o algoritmo de autenticação e criptografia para IKE fase 2. Se você selecionar <Auto>, o algoritmo de autenticação e criptografia ESP será configurado automaticamente. Se você quiser especificar um determinado método de autenticação, pressione <Progs manuais> e selecione um dos métodos de autenticação a seguir.

<ESP>	Autenticação e criptografia são executadas. Selecione o algoritmo para <ESP Authentication> e <ESP Encryption>. Selecione <NULL> se não deseja configurar o algoritmo de autenticação ou criptografia.
<ESP (AES-GCM)>	AES-GCM é usado como o algoritmo ESP e autenticação e criptografia são executadas.
<AH (SHA1)>	Autenticação é executada, mas dados não são criptografados. SHA1 é usado como o algoritmo.

Pressione <OK>

<OK>.

Ative as políticas registradas e verifique a ordem de prioridade.

Selecione as políticas registradas na lista e pressione <Ativ./desat. política> para colocá-las como <On>, ativas.

As políticas são aplicadas na ordem em que são listadas, começando no topo. Se você deseja alterar a ordem de prioridade, selecione uma política na lista e pressione <Aument. priorid.> ou <Diminuir priorid.>.

Se você não deseja enviar ou receber pacotes que não correspondem às políticas, selecione <Rejeitar> para <Receber pacotes sem políticas>.

Pressione <OK>.

Pressione

(Progrs./Gravar)

<Yes>.


Gerenciando políticas IPSec Você pode editar políticas na tela exibida na etapa 3. Para editar os detalhes de uma política, selecione a política na lista e pressione <Edit>. Para desativar uma política, selecione a política na lista e pressione <Ativ./desat. política>. Para excluir uma política, selecione a política na lista e pressione <Delete> <Yes>.

Definindo as configurações IPSec

Modo de comunicação

Protocolo de troca de chave

Gerenciando políticas IPSec