Utilisation d’IPSec
Utilisez le protocole IPSec (IP Security Protocol) pour empêcher les écoutes électroniques et les altérations des paquets IP envoyés et réceptionnés via un réseau IP. IPSec exécute le chiffrement au niveau du protocole IP pour assurer la sécurité sans s'appuyer sur une application ou une configuration de réseau.
Conditions pour l’application d’IPSec et modes pris en charge
Paquets pour lesquels IPSec ne s’applique pas
Paquets spécifiant une adresse de bouclage, de diffusion ou de multidiffusion
Paquets IKE envoyés depuis un port UDP 500
Paquets de sollicitation de voisin et d'avertissement de voisin ICMPv6
Mode opérationnel du protocole d’échange de clé (modes IKE)
Les seuls modes IKE pris en charge par la machine sont le mode principal, qui est utilisé pour chiffrer les paquets, et le mode agressif sans cryptage.
Mode de communication par IPSec
Le seul mode de communication pris en charge par l'appareil est le mode Transport, qui chiffre uniquement la partie des données sans l'en-tête IP. Le mode Tunnel, qui chiffre l'ensemble du paquet IP, n'est pas pris en charge.
Conformité à la norme FIPS 140
Lors d’une communication IPSec, quel que soit le réglage de [Formater Méthode de cryptage en FIPS 140], un module de cryptage ayant obtenu l’authentification FIPS 140 est toujours utilisé. [Formater Méthode de cryptage en FIPS 140]
Pour que la communication IPSec soit conforme à la norme FIPS 140, vous devez configurer la longueur des clés DH et RSA pour la communication IPSec à 2048 bits ou plus dans l’environnement réseau auquel la machine appartient.
* Vous pouvez spécifier la longueur de la clé uniquement pour la clé DH sur la machine. Il n’y a pas de paramètre pour la clé RSA sur la machine, il faut donc en tenir compte lors de la création de l’environnement.
Utilisation d’IPSec conjointement au filtrage des adresses IP
Lorsque les paquets sont envoyés, les paramètres de filtrage d’adresse IP sont appliqués en premier. Mise en place d’un pare-feu
Lorsque les paquets sont reçus, les paramètres IPSec sont appliqués en premier.
Configuration de la stratégie IPSec
Pour exécuter les communications IPSec sur la machine, vous devez créer une stratégie IPSec qui inclue la plage et les algorithmes applicables pour l’authentification et le cryptage. La stratégie comprend essentiellement les éléments suivants :
Sélecteur
Spécifiez à quels paquets IP appliquer les communications IPSec. En plus de spécifier l’adresse IP de la machine et des périphériques communiquant avec l’appareil, vous pouvez aussi spécifier leurs numéros de port.
Mode opérationnel du protocole d’échange de clé (mode IKE)
Le protocole d’échange de clés prend en charge l’Internet Key Exchange version 1 (IKEv1). Pour la méthode d’authentification, sélectionnez la méthode de la clé pré-partagée ou la méthode de la signature numérique.
Méthode de la clé pré-partagée
Cette méthode d’authentification utilise un mot-clé commun, appelé clé partagée, pour les communications entre la machine et les autres appareils.
Cette méthode d’authentification utilise un mot-clé commun, appelé clé partagée, pour les communications entre la machine et les autres appareils.
Méthode des signatures numériques
La machine et les autres appareils s’authentifient les uns les autres en vérifiant mutuellement leurs signatures numériques.
La machine et les autres appareils s’authentifient les uns les autres en vérifiant mutuellement leurs signatures numériques.
* Vous devez configurer les paramètres pour permettre l’utilisation de SNTP.
ESP/AH
Configurez les paramètres des protocoles ESP ou AH à utiliser pour la communication IPSec. Utilisez Perfect Forward Secrecy (PFS) pour une sécurité accrue.
Configuration d’IPSec
Activez l’utilisation d’IPSec, puis créez et enregistrez la stratégie IPSec. Si vous créez plusieurs stratégies, indiquez l’ordre dans lequel elles doivent être appliquées. Vous pouvez créer jusqu’à 10 stratégies.
Cette section décrit la procédure de configuration des réglages avec l'interface utilisateur distante depuis un ordinateur.
Sur le panneau de commande, sélectionnez [
Réglages/Enregistrement] dans l'écran [Accueil] ou un autre écran, puis sélectionnez [Préférences] pour configurer les réglages. [Réglages IPSec]
Vous devez détenir les droits d'Administrator ou de NetworkAdmin.
Sur le panneau de commande, sélectionnez [
Réglages/Enregistrement] dans l'écran [Accueil] ou un autre écran, puis sélectionnez [Préférences] pour configurer les réglages. [Réglages IPSec]Vous devez détenir les droits d'Administrator ou de NetworkAdmin.
Préparatifs nécessaires
Connectez l'appareil directement à un ordinateur connecté au même réseau privé virtuel (VPN) que celui de l'appareil. Vérifiez les conditions de fonctionnement, puis terminez la configuration sur l'ordinateur. IPSec
Préparez ce qui suit en fonction de la méthode d'authentification IKE utilisée :
Si vous utilisez la méthode de la clé prépartagée, activez TLS pour les communications avec l’interface utilisateur distante. Utilisation de TLS
Lorsque vous utilisez la méthode de signature numérique, préparez la clé et le certificat à utiliser et configurez les paramètres pour permettre l’utilisation de SNTP.
Si vous utilisez PFS, vérifiez que PFS est activé sur le périphérique communiquant avec l'appareil.
1
Connectez-vous à l'interface utilisateur distante en tant qu'administrateur. Démarrage de l'interface utilisateur distante
2
Sur la page Portail de l'interface utilisateur distante, cliquez sur [Réglages/Enregistrement]. Page du portail de l’interface utilisateur distante
3
Cliquez sur [Réglages réseau].
L’écran des réglages du réseau s’affiche.
4
Cliquez sur [Réglages IPSec].
L'écran [Réglages IPSec] s'affiche.
5
Cochez la case [Utiliser IPSec].
Pour ne recevoir que les paquets conformes à la stratégie, sélectionnez [Refuser] dans [Réception des paquets sans politique].
6
Cliquez sur [OK].
L’écran des paramètres du réseau s’affiche à nouveau.
7
Cliquez sur [Liste de politique IPSec].
L'écran [Liste de politique IPSec] s'affiche.
8
Cliquez sur [Mémoriser la nouvelle politique IPSec].
L'écran [Mémoriser politique] s'affiche.
9
Spécifiez le nom de la stratégie et sélectionnez [Oui] dans [Activer/désactiver politique].
Pour le nom de la stratégie, saisissez un nom pour identifier la stratégie en utilisant des caractères alphanumériques.
10
Limitez la longueur de la clé AES, si nécessaire.
Pour limiter la longueur de la clé AES à 256 bits, par exemple lorsque vous souhaitez respecter les normes d’authentification CC, cochez la case [Autoriser uniquement 256 bits pour la longueur de clé AES].
* Les machines multifonctions Canon prennent en charge deux longueurs de clé pour la méthode de cryptage AES : 128 bits et 256 bits.
11
Réglez le sélecteur.
1
Cliquez sur [Réglages du sélecteur].
L'écran [Sélecteur] s'affiche.
2
Réglez le sélecteur.
[Réglages adresse locale] et [Réglages adresse distante]
Configurez l’adresse IP à laquelle appliquer la communication IPSec. Spécifiez l’adresse IP de la machine dans [Réglages adresse locale] et l’adresse IP de l’appareil communicant dans [Réglages adresse distante].
[Toutes les adresses IP]
Sélectionnez ce paramètre pour appliquer IPSec à tous les paquets IP.
[Adresse IPv4] ou [Toutes les adresses IPv4]
Sélectionnez cette option pour appliquer la communication IPSec aux paquets IP envoyés et reçus à l’aide d’une adresse IPv4.
[Adresse IPv6] ou [Toutes les adresses IPv6]
Sélectionnez cette option pour appliquer la communication IPSec aux paquets IP envoyés et reçus à l’aide d’une adresse IPv6.
[Réglages manuels IPv4]
Sélectionnez cette option pour spécifier une adresse IPv4 à laquelle appliquer la communication IPSec. Utilisez l’une des méthodes suivantes pour spécifier l’adresse IPv4 à laquelle appliquer les paramètres.
Lors de la spécification d’une seule adresse IPv4
Sélectionnez [Adresse unique], et saisissez l’adresse IPv4 dans [Première adresse].
Sélectionnez [Adresse unique], et saisissez l’adresse IPv4 dans [Première adresse].
Lors de la spécification d’une plage d’adresses IPv4
Sélectionnez [Plage d'adresses] et saisissez les adresses IPv4 dans [Première adresse] et [Dernière adresse].
Sélectionnez [Plage d'adresses] et saisissez les adresses IPv4 dans [Première adresse] et [Dernière adresse].
Lors de la spécification d’une plage d’adresses IPv4 à l’aide d’un masque de sous-réseau
Sélectionnez [Réglages de sous-réseau], saisissez l’adresse IPv4 dans [Première adresse] et saisissez le masque de sous-réseau dans [Réglages de sous-réseau].
Sélectionnez [Réglages de sous-réseau], saisissez l’adresse IPv4 dans [Première adresse] et saisissez le masque de sous-réseau dans [Réglages de sous-réseau].
[Réglages manuels IPv6]
Sélectionnez cette option pour spécifier une adresse IPv6 à laquelle appliquer la communication IPSec. Utilisez l’une des méthodes suivantes pour spécifier l’adresse IPv6 à laquelle appliquer les paramètres.
Lors de la spécification d’une seule adresse IPv6
Sélectionnez [Adresse unique] et saisissez l’adresse IPv6 dans [Première adresse].
Sélectionnez [Adresse unique] et saisissez l’adresse IPv6 dans [Première adresse].
Lors de la spécification d’une plage d’adresses IPv6
Sélectionnez [Plage d'adresses] et saisissez les adresses IPv6 dans [Première adresse] et [Dernière adresse].
Sélectionnez [Plage d'adresses] et saisissez les adresses IPv6 dans [Première adresse] et [Dernière adresse].
Lors de la spécification d’une plage d’adresses IPv6 à l’aide d’un préfixe
Sélectionnez [Adresse de préfixe], saisissez l’adresse IPv6 dans [Première adresse], et saisissez la longueur du préfixe dans [Longueur du préfixe].
Sélectionnez [Adresse de préfixe], saisissez l’adresse IPv6 dans [Première adresse], et saisissez la longueur du préfixe dans [Longueur du préfixe].
[Réglages de port]
Configurez les ports auxquels appliquer la communication IPSec.
[Spécifier par numéro de port]
Sélectionnez cette option pour utiliser les numéros de port lors de la spécification des ports auxquels s’applique la communication IPSec. Spécifiez le numéro de port de la machine dans [Port local], et spécifiez le numéro de port de l’appareil communicant dans [Port distant].
Pour appliquer la communication IPSec à tous les numéros de port, sélectionnez [Tous les ports].
Pour appliquer la communication IPSec à un numéro de port spécifique, appuyez sur [Port unique] et saisissez le numéro de port.
[Spécifier par nom de service]
Cochez cette case pour utiliser les noms de service lors de la spécification des ports auxquels s’applique la communication IPSec. Cochez les cases des services auxquels appliquer la communication IPSec.
3
Cliquez sur [OK].
L'écran [Mémoriser politique] s'affiche.
12
Configurez les paramètres IKE.
1
Cliquez sur [Réglages IKE].
L'écran [IKE] s'affiche.
2
Configurez les paramètres IKE.
[Mode IKE]
Sélectionnez le mode de fonctionnement du protocole d’échange de clés. Lorsque [Principal] est sélectionné, la sécurité est renforcée car la session IKE elle-même est cryptée, mais la communication est plus lente que [Agressif], qui ne procède pas au cryptage.
[Validité]
Saisissez la période de validité d'IKE SA (ISAKMP SA) à utiliser pour le chemin de communication de contrôle en minutes.
[Méthode d'authentification]
Sélectionnez la méthode d'authentification de l'appareil.
Si vous sélectionnez [Méthode clé prépartagée], cliquez sur [Réglages clé partagée] 
saisissez la chaîne de caractères à utiliser comme clé partagée en caractères alphanumériques cliquez sur [OK].
saisissez la chaîne de caractères à utiliser comme clé partagée en caractères alphanumériques cliquez sur [OK].Si vous sélectionnez [Méthode de signature numérique], cliquez sur [Clé et certificat] [Utiliser] de la clé et du certificat à utiliser.
[Utiliser] de la clé et du certificat à utiliser.[Algorithme d'authentification/cryptage]
Configurez l’algorithme d’authentification et de cryptage pour la phase 1 d’IKE.
Pour configurer automatiquement un algorithme pouvant être utilisé à la fois par cette machine et par l’appareil communicant, sélectionnez [Auto].
Pour spécifier un algorithme particulier, sélectionnez [Réglages manuels] et configurez les paramètres [Authentification], [Cryptage] et [Groupe DH].
[Authentification] : Sélectionnez l’algorithme de hachage.
[Cryptage] : Sélectionnez l’algorithme de cryptage.
[Groupe DH] : Sélectionnez le groupe Diffie-Hellman utilisé pour déterminer la force de la clé.
Lorsque [Mode IKE] est réglé sur [Principal] et [Méthode d'authentification] est réglée sur [Méthode clé prépartagée] Si vous spécifiez plus d’une adresse dans [Réglages adresse distante] dans les paramètres du sélecteur, les restrictions suivantes s’appliquent lorsque vous créez plusieurs stratégies : Dans le cas des stratégies pour lesquelles plusieurs adresses sont spécifiées, toutes les clés partagées doivent être configurées sur la même chaîne. Les stratégies ayant plus d’une adresse spécifiée ne peuvent pas avoir une priorité plus élevée que les stratégies n’ayant qu’une seule adresse spécifiée. |
3
Cliquez sur [OK].
L'écran [Mémoriser politique] s'affiche à nouveau.
13
Configurez les réglages de réseau d’IPSec.
1
Cliquez sur [Réglages réseau IPSec].
L'écran [Réseau IPSec] s'affiche.
2
Configurez les réglages de réseau d’IPSec.
[Validité]
Spécifiez la période de validité d'IPSec SA à utiliser pour le chemin de communication des données en durée, en taille ou en durée et en taille.
Si vous cochez la case [Durée], saisissez la période de validité en minutes.
Si vous cochez la case [Taille], saisissez la période de validité en mégaoctets.
Si vous cochez les deux cases, l’élément dont la valeur est atteinte en premier est appliqué.
[PFS]
Cochez cette case pour configurer PFS pour la clé de session.
[Algorithme d'authentification/cryptage]
Configurez l’algorithme d’authentification et de cryptage pour la phase 2 d’IKE.
Pour configurer automatiquement l’authentification ESP et l’algorithme de cryptage, sélectionnez [Auto].
Pour spécifier une méthode d’authentification particulière, sélectionnez [Réglages manuels], puis choisissez l’une des méthodes d’authentification suivantes.
[ESP] :
L’authentification et le cryptage sont tous deux effectués.
Sélectionnez l’algorithme dans [Authentification ESP] et [Cryptage ESP]. Si vous ne souhaitez pas configurer d’algorithme, sélectionnez [NULL].
L’authentification et le cryptage sont tous deux effectués.
Sélectionnez l’algorithme dans [Authentification ESP] et [Cryptage ESP]. Si vous ne souhaitez pas configurer d’algorithme, sélectionnez [NULL].
[ESP (AES-GCM)] :
L’authentification et le cryptage sont tous deux effectués.
L’algorithme utilisé est AES-GCM.
L’authentification et le cryptage sont tous deux effectués.
L’algorithme utilisé est AES-GCM.
[AH (SHA1)] :
L’authentification est effectuée, mais les données ne sont pas cryptées.
L’algorithme utilisé est SHA1.
L’authentification est effectuée, mais les données ne sont pas cryptées.
L’algorithme utilisé est SHA1.
[Mode de connexion]
L'appareil ne prend en charge que le mode Transport.
3
Cliquez sur [OK].
L'écran [Mémoriser politique] s'affiche à nouveau.
14
Cliquez sur [OK].
La stratégie créée est ajoutée à l’écran [Liste de politique IPSec].
Si plusieurs stratégies sont enregistrées
Sélectionnez une stratégie et cliquez sur [Augmenter la priorité] ou [Réduire la priorité] pour modifier l’ordre de priorité. Les stratégies de niveau supérieur sont prioritaires lorsqu’elles sont appliquées à la communication IPSec.
15
Cliquez sur [Appliquer modifications de réglage] [OK].
[OK].Les réglages sont appliqués.
16
Déconnectez-vous de l'interface utilisateur distante.
REMARQUE
Modification des stratégies enregistrées
Pour modifier les informations enregistrées, cliquez sur le nom de la stratégie à modifier sur l’écran [Liste de politique IPSec].