Uso de IPSec
Utilice el protocolo de seguridad de IP (IPSec) para evitar la interceptación y la manipulación de paquetes de IP enviados y recibidos a través de una red de IP. De este modo, se lleva a cabo el cifrado en el nivel de protocolo de IP para garantizar la seguridad sin depender de ninguna aplicación ni configuración de red.
Condiciones aplicables y modos compatibles con IPSec
Paquetes a los que no se aplica IPSec
Paquetes que especifican una dirección de difusión, multidifusión o bucle invertido
Paquetes IKE enviados desde el puerto 500 de UDP
Paquetes de anuncios de vecinos y solicitudes de vecinos de ICMPv6
Modo de funcionamiento del protocolo de intercambio de claves (modos IKE)
Los modos IKE compatibles con el equipo son los modos principales que se usan para cifrar paquetes y el modo agresivo sin cifrado.
Modo de comunicación IPSec
El único modo de comunicación compatible con el equipo es el modo de transporte, que cifra únicamente la parte que no es el encabezado IP. El modo de túnel, que cifra todo el paquete IP, no es compatible.
Ajuste a FIPS 140
Durante la comunicación IPSec, independientemente de la opción [Establecer método de cifrado como FIPS 140], siempre se utiliza un módulo de cifrado que haya obtenido la autenticación FIPS 140. [Establecer método de cifrado como FIPS 140]
Para garantizar que la comunicación IPSec se ajusta a FIPS 140, deberá establecer la longitud de clave, tanto de DH como RSA, para la comunicación IPSec en 2048 bits o superior para el entorno de red al que pertenezca el equipo.
* Puede especificar la longitud de clave solo para la clave DH del equipo. No hay ninguna opción para la clave RSA del equipo, así que téngalo en cuenta cuando construya el entorno.
Uso de IPSec junto con el filtrado de direcciones IP
Cuando se envían paquetes, las opciones de filtrado de direcciones IP se aplican en primer lugar. Configuración de un firewall
Cuando se reciben los paquetes, las opciones de IPSec se aplican en primer lugar.
Configuración de directivas IPSec
Para establecer comunicación IPSec en el equipo, debe crear una directiva IPSec que incluya el rango aplicable y los algoritmos de autenticación y cifrado. La directiva se compone principalmente de los siguientes elementos:
Selección
Especifique los paquetes IP a los que se aplica la comunicación IPSec. Además de especificar la dirección IP del equipo y los dispositivos de comunicación, puede especificar sus números de puerto.
Modo de funcionamiento del protocolo de intercambio de claves (modo IKE)
El protocolo de intercambio de claves es compatible con la versión 1 del Internet Key Exchange (IKEv1). Para el método de autenticación, seleccione el método de clave precompartida o bien el método de firma digital.
Método de clave precompartida
Este método de autenticación utiliza una palabra clave común, denominada «clave compartida», para la comunicación entre el equipo y otros dispositivos.
Este método de autenticación utiliza una palabra clave común, denominada «clave compartida», para la comunicación entre el equipo y otros dispositivos.
Método de firma digital
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales.
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales.
* Debe configurar las opciones para activar el uso de SNTP.
ESP/AH
Configure las opciones de los protocolos ESP o AH que se utilizarán para la comunicación IPSec. Utilice Perfect Forward Secrecy (PFS) para una seguridad aún mayor.
Configuración de IPSec
Habilite el uso de IPSec y, a continuación, cree y registre la directiva IPSec. Si se han creado varias directivas, especifique el orden en el que se aplicarán. Puede crear hasta 10 directivas.
En esta sección se describe cómo configurar las opciones desde un ordenador mediante la IU remota.
En el panel de control, seleccione [
Configuración] en la pantalla [Inicio] o en otra pantalla y, a continuación, seleccione [Preferencias] para configurar las opciones. [Opciones de IPSec]
Se necesitan privilegios de Administrador o NetworkAdmin.
En el panel de control, seleccione [
Configuración] en la pantalla [Inicio] o en otra pantalla y, a continuación, seleccione [Preferencias] para configurar las opciones. [Opciones de IPSec]Se necesitan privilegios de Administrador o NetworkAdmin.
Preparativos necesarios
Conecte el equipo directamente a un ordenador en la misma red privada virtual (VPN) que el equipo. Confirme las condiciones de funcionamiento y finalice la configuración en el ordenador de antemano. IPSec
Prepare lo siguiente conforme al método de autenticación IKE:
Si utiliza el método de clave precompartida, active TLS para la comunicación con la IU remota. Uso de TLS
Cuando utilice el método de firma digital, prepare la clave y el certificado que hay que usar, y configure las opciones para permitir el uso de SNTP.
Si utiliza PFS, compruebe que PFS está habilitada en el dispositivo de comunicación.
1
Inicie sesión en la IU remota como administrador. Iniciar la IU remota
2
En la página del portal de la IU remota, haga clic en [Configuración]. Página del portal de la IU remota
3
Haga clic en [Opciones de red].
Aparece la pantalla de opciones de red.
4
Haga clic en [Opciones de IPSec].
Aparece la pantalla [Opciones de IPSec].
5
Marque la casilla [Usar IPSec].
Para recibir solo paquetes que cumplan la directiva, seleccione [Rechazar] en [Recibir paquetes fuera de directiva].
6
Haga clic en [Bien].
Aparece de nuevo la pantalla de opciones de red.
7
Haga clic en [Lista de directivas IPSec].
Aparece la pantalla [Lista de directivas IPSec].
8
Haga clic en [Guardar nueva directiva IPSec].
Aparece la pantalla [Guardar directiva].
9
Especifique el nombre de directiva y seleccione [Sí] en [Directiva sí/no].
En el nombre de la directiva, introduzca un nombre que permita identificar la directiva utilizando caracteres alfanuméricos.
10
Restrinja la longitud de la clave AES, según sea necesario.
Para restringir la longitud de la clave AES a 256 bits, como cuando se desee cumplir con los estándares de autenticación CC, marque la casilla [Permitir solo 256 bits de longitud de clave AES].
* Los equipos multifunción de Canon admiten dos longitudes de clave para el método de cifrado AES: 128 bits y 256 bits.
11
Configure la selección.
1
Haga clic en [Opciones de selección].
Aparece la pantalla [Selección].
2
Configure la selección.
[Opciones de dirección local] y [Opciones de dirección remota]
Establezca la dirección IP a la que aplicar la comunicación IPSec. Especifique la dirección IP del equipo en [Opciones de dirección local] y la dirección IP del dispositivo de comunicación en [Opciones de dirección remota].
[Todas las direcciones IP]
Seleccione esta opción para aplicar IPSec a todos los paquetes IP.
[Dirección IPv4] o [Todas las direcciones IPv4]
Seleccione esta opción para aplicar la comunicación IPSec a los paquetes IP enviados y recibidos utilizando una dirección IPv4.
[Dirección IPv6] o [Todas las direcciones IPv6]
Seleccione esta opción para aplicar la comunicación IPSec a los paquetes IP enviados y recibidos utilizando una dirección IPv6.
[Configuración manual de IPv4]
Seleccione esta opción para especificar una dirección IPv4 a la que aplicar la comunicación IPSec. Utilice cualquiera de los siguientes métodos para especificar la dirección IPv4 a la que aplicar las opciones.
Cuando especifique una única dirección IPv4
Seleccione [Dirección única] e introduzca la dirección IPv4 en [Primera dirección].
Seleccione [Dirección única] e introduzca la dirección IPv4 en [Primera dirección].
Cuando especifique un rango de direcciones IPv4
Seleccione [Rango de direcciones] e introduzca las direcciones IPv4 en [Primera dirección] y [Última dirección].
Seleccione [Rango de direcciones] e introduzca las direcciones IPv4 en [Primera dirección] y [Última dirección].
Cuando especifique un rango de direcciones IPv4 utilizando una máscara de subred
Seleccione [Opciones de subred], introduzca la dirección IPv4 en [Primera dirección] e introduzca la máscara de subred en [Opciones de subred].
Seleccione [Opciones de subred], introduzca la dirección IPv4 en [Primera dirección] e introduzca la máscara de subred en [Opciones de subred].
[Configuración manual de IPv6]
Seleccione esta opción para especificar una dirección IPv6 a la que aplicar la comunicación IPSec. Utilice cualquiera de los siguientes métodos para especificar la dirección IPv6 a la que aplicar las opciones.
Cuando especifique una única dirección IPv6
Seleccione [Dirección única] e introduzca la dirección IPv6 en [Primera dirección].
Seleccione [Dirección única] e introduzca la dirección IPv6 en [Primera dirección].
Cuando especifique un rango de direcciones IPv6
Seleccione [Rango de direcciones] e introduzca las direcciones IPv6 en [Primera dirección] y [Última dirección].
Seleccione [Rango de direcciones] e introduzca las direcciones IPv6 en [Primera dirección] y [Última dirección].
Cuando especifique un rango de direcciones IPv6 utilizando un prefijo
Seleccione [Prefijo de direcciones], introduzca la dirección IPv6 en [Primera dirección] e introduzca la longitud de prefijo en [Longitud de prefijo].
Seleccione [Prefijo de direcciones], introduzca la dirección IPv6 en [Primera dirección] e introduzca la longitud de prefijo en [Longitud de prefijo].
[Opciones de puerto]
Establezca los puertos a los que aplicar la comunicación IPSec.
[Especificar por n.º de puerto]
Seleccione esta opción para utilizar números de puerto al especificar los puertos a los que se aplica la comunicación IPSec. Especifique el número de puerto del equipo en [Puerto local] y especifique el número de puerto del dispositivo de comunicación en [Puerto remoto].
Para aplicar la comunicación IPSec a todos los números de puerto, seleccione [Todos los puertos].
Para aplicar la comunicación IPSec a un número de puerto específico, pulse [Puerto único] e introduzca el número de puerto.
[Especificar por nombre de servicio]
Seleccione esta opción para utilizar los nombres de servicio al especificar los puertos a los que se aplica la comunicación IPSec. Marque las casillas de los servicios a los que aplicar la comunicación IPSec.
3
Haga clic en [Bien].
Aparece la pantalla [Guardar directiva].
12
Configure las opciones de IKE.
1
Haga clic en [Opciones de IKE].
Aparece la pantalla [IKE].
2
Configure las opciones de IKE.
[Modo IKE]
Seleccione el modo de funcionamiento del protocolo. Cuando se selecciona [Principal], la seguridad mejora porque la sesión IKE en sí está cifrada, pero la comunicación es más lenta que con[Agresivo], que no ejecuta el cifrado.
[Validez]
Introduzca en minutos el periodo válido de la SA de IKE (SA de ISAKMP) que se usará como ruta de comunicación de control.
[Método de autenticación]
Seleccione el método de autenticación del equipo.
Si selecciona [Método de clave precompartida], haga clic en [Opciones de clave compartida] 
introduzca la cadena que se usará como clave compartida utilizando caracteres alfanuméricos haga clic en [Bien].
introduzca la cadena que se usará como clave compartida utilizando caracteres alfanuméricos haga clic en [Bien].Si selecciona [Método de firma digital], haga clic en [Clave y certificado] [Usar] de la clave y el certificado que hay que usar.
[Usar] de la clave y el certificado que hay que usar.[Algoritmo de autenticación/cifrado]
Configure el algoritmo de autenticación y cifrado para la fase 1 de IKE.
Para establecer automáticamente un algoritmo que pueda ser utilizado tanto por este equipo como por el dispositivo de comunicación, seleccione [Auto].
Para especificar un algoritmo concreto, seleccione [Configuración manual] y configure las opciones [Autenticación], [Cifrado] y [Grupo DH].
[Autenticación]: seleccione el algoritmo hash.
[Cifrado]: seleccione el algoritmo de cifrado.
[Grupo DH]: seleccione el grupo Diffie-Hellman utilizado para determinar la fuerza de la clave.
Cuando [Modo IKE] se ha establecido en [Principal] y [Método de autenticación] se ha establecido en [Método de clave precompartida] Si especifica más de una dirección en [Opciones de dirección remota] en las opciones de selección, se aplicarán las siguientes restricciones al crear varias directivas: Para las directivas con más de una dirección especificada, todas las claves compartidas deben establecerse en la misma cadena. Las directivas con más de una dirección especificada no pueden tener una prioridad mayor que las directivas con una sola dirección especificada. |
3
Haga clic en [Bien].
Vuelve a aparecer la pantalla [Guardar directiva].
13
Configure las opciones de red IPSec.
1
Haga clic en [Opciones de red IPSec].
Aparece la pantalla [Red IPSec].
2
Configure las opciones de red IPSec.
[Validez]
Especifique el periodo válido de la SA de IPSec que se usará como ruta de comunicación de control en tiempo, tamaño o ambos.
Si marca la casilla [Período], introduzca el periodo válido en minutos.
Si marca la casilla [Tamaño], introduzca el periodo válido en megabytes.
Si marca ambas, se aplica el elemento cuyo valor especificado ocurra primero.
[PFS]
Marque esta casilla para configurar PFS en la clave de sesión.
[Algoritmo de autenticación/cifrado]
Establezca el algoritmo de autenticación y cifrado para la fase 2 de IKE.
Para configurar automáticamente el algoritmo de autenticación y cifrado ESP, seleccione [Auto].
Para especificar un método de autenticación concreto, seleccione [Configuración manual] y seleccione uno de los siguientes métodos de autenticación.
[ESP]:
Se lleva a cabo la autenticación y el cifrado.
Seleccione el algoritmo en [Autenticación ESP] y [Cifrado ESP]. Si no desea configurar el algoritmo, seleccione [NULO].
Se lleva a cabo la autenticación y el cifrado.
Seleccione el algoritmo en [Autenticación ESP] y [Cifrado ESP]. Si no desea configurar el algoritmo, seleccione [NULO].
[ESP (AES-GCM)]:
Se lleva a cabo la autenticación y el cifrado.
Se utiliza AES-GCM como algoritmo.
Se lleva a cabo la autenticación y el cifrado.
Se utiliza AES-GCM como algoritmo.
[AH (SHA1)]:
Se lleva a cabo la autenticación pero los datos no se cifran.
SHA1 se utiliza como algoritmo.
Se lleva a cabo la autenticación pero los datos no se cifran.
SHA1 se utiliza como algoritmo.
[Modo de conexión]
El equipo solo es compatible con el modo de transporte.
3
Haga clic en [Bien].
Vuelve a aparecer la pantalla [Guardar directiva].
14
Haga clic en [Bien].
La directiva creada se añade a la pantalla [Lista de directivas IPSec].
Cuando se registren varias directivas
Seleccione una directiva y haga clic en [Elevar prioridad] o [Reducir prioridad] para cambiar el orden de prioridad. Las directivas de nivel superior tienen prioridad cuando se aplican a la comunicación IPSec.
15
Haga clic en [Aplicar cambios a opciones] [Bien].
[Bien].Se aplicarán las opciones.
16
Cierre la sesión de la IU remota.
NOTA
Edición de directivas registradas
Para editar la información registrada, haga clic en el nombre de la directiva que desea editar en la pantalla [Lista de directivas IPSec].