Utilizar o IPSec
Utilize o protocolo IPSec (IP Security) para impedir escutas e manipulação de pacotes IP enviados e recebidos através de uma rede IP. A codificação é efetuada ao nível do protocolo IP para garantir a segurança sem depender de uma aplicação ou configuração da rede.
Condições aplicáveis e modos suportados pelo protocolo IPSec
Pacotes aos quais o IPSec não é aplicado
Pacotes que especificam um endereço de loopback, multicast ou difusão
Pacotes IKE enviados a partir da porta UDP 500
Pacotes de solicitação de vizinho e anúncio de vizinho ICMPv6
Modo de funcionamento do protocolo de troca de chaves (modos IKE)
Os modos IKE suportados pela máquina são o modo principal que é utilizado para encriptar pacotes e o modo agressivo sem encriptação.
Modo de comunicação IPSec
O modo de comunicação suportado pela máquina é apenas o modo de transporte, que codifica apenas o componente e exclui o cabeçalho IP. O modo de túnel, que codifica todo o pacote IP, não é suportado.
Em conformidade com FIPS 140-2
Durante a comunicação IPSec, independentemente da configuração de [Formatar método codificação p/FIPS 140-2], é sempre utilizado um módulo de encriptação que tenha obtido autenticação FIPS 140- 2. [Formatar método codificação p/FIPS 140-2]
Para garantir que a comunicação IPSec está em conformidade com FIPS 140-2, é necessário definir o comprimento da chave das chaves DH e RSA para a comunicação IPSec para 2048 bits ou mais no ambiente de rede a que a máquina pertence.
* Apenas pode especificar o comprimento da chave para a chave DH na máquina. Não existe uma definição para a chave RSA na máquina, por isso tenha isto em consideração quando construir o ambiente.
Utilizar o IPSec em conjunto com a filtragem de endereços IP
Quando os pacotes são enviados, as definições de filtro de endereço IP são aplicadas em primeiro lugar. Configurar uma Firewall
Quando os pacotes são recebidos, as definições IPSec são aplicadas em primeiro lugar.
Configuração da política de IPSec
Para utilizar a comunicação IPSec na máquina, tem de criar uma política de IPSec que inclua os algoritmos e intervalos aplicáveis para a autenticação e a codificação. A política é composta principalmente pelos seguintes itens:
Seletor
Especificar a que pacotes IP deve ser aplicada a comunicação IPSec. Além de especificar o endereço IP da máquina e dos dispositivos de comunicação, também pode especificar os respetivos números de portas.
Modo de funcionamento do protocolo de troca de chaves (modo IKE)
O protocolo de troca de chaves suporta Internet Key Exchange versão 1 (IKEv1). Como método de autenticação, selecione o Método de chave pré-partilhada ou o Método de assinatura digital.
Método de chave pré-partilhada:
Este método de autenticação utiliza uma palavra-chave comum chamada chave partilhada para a comunicação entre a máquina e outros dispositivos.
Este método de autenticação utiliza uma palavra-chave comum chamada chave partilhada para a comunicação entre a máquina e outros dispositivos.
Método de assinatura digital
A máquina e os outros dispositivos autenticam-se mutuamente através da verificação das suas assinaturas digitais.
A máquina e os outros dispositivos autenticam-se mutuamente através da verificação das suas assinaturas digitais.
* É necessário configurar as definições para permitir a utilização do SNTP.
ESP/AH
Configure as definições dos protocolos ESP ou AH a utilizar para a comunicação IPSec. Utilize a função PFS (Perfect Forward Secrecy) para assegurar um maior nível de segurança.
Configurar o IPSec
Ative a utilização do IPSec e, em seguida, crie e registe uma política de IPSec. Caso tenham sido criadas várias políticas, especifique a ordem pela qual devem ser aplicadas. Pode criar até 10 políticas.
Esta secção descreve como configurar as definições com a Remote UI (Interface Remota) a partir de um computador.
No painel de controlo, selecione [
Programações/Grav.] no ecrã [Início] e, de seguida, selecione [Preferências] para configurar as definições. [Programações IPSec]
São necessários privilégios de administrador ou de NetworkAdmin.
No painel de controlo, selecione [
Programações/Grav.] no ecrã [Início] e, de seguida, selecione [Preferências] para configurar as definições. [Programações IPSec]São necessários privilégios de administrador ou de NetworkAdmin.
Preparativos necessários
Ligue a máquina diretamente a um computador que se encontre na mesma rede privada virtual (VPN) da máquina. Confirme as condições de operação e termine as definições no computador previamente. IPSec
Prepare o seguinte de acordo com o método de autenticação IKE:
Se utilizar o método de chave pré-partilhada, ative o TLS para comunicar através da Remote UI (Interface Remota). Utilizar TLS
Ao usar o método de assinatura digital, prepare a chave e o certificado a serem usados e defina as configurações para permitir o uso do SNTP.
Se utilizar a função PFS, verifique se está ativada no dispositivo de comunicação.
1
Inicie sessão como administrador na Remote UI (Interface Remota). Iniciar a Remote UI (Interface Remota)
2
Na página do portal da Remote UI (Interface Remota), clique em [Settings/Registration]. Página do portal da Remote UI (Interface Remota)
3
Clique em [Network Settings].
Aparece o ecrã de programações de rede.
4
Clique em [IPSec Settings].
Aparece o ecrã [IPSec Settings].
5
Selecione a caixa de verificação [Use IPSec].
Para receber apenas os pacotes que cumprem a política, selecione [Reject] em [Receive Non-Policy Packets].
6
Clique em [OK].
Aparece novamente o ecrã de programações de rede.
7
Clique em [IPSec Policy List].
Aparece o ecrã [IPSec Policy List].
8
Clique em [Register New IPSec Policy].
Aparece o ecrã [Register Policy].
9
Especifique o nome da política e selecione [On] em [Policy On/Off].
Para o nome da política, introduza um nome que identifique a política utilizando carateres alfanuméricos.
10
Restrinja o comprimento da chave AES, conforme necessário.
Para restringir o comprimento da chave AES a 256 bits, como quando pretende cumprir as normas de autenticação CC, selecione a caixa de verificação [Only Allow 256-bit for AES Key Length].
* As máquinas multifunções da Canon suportam dois comprimentos de chave para o método de codificação AES: 128 bits e 256 bits.
11
Programe o seletor.
1
Clique em [Selector Settings].
Aparece o ecrã [Selector].
2
Programe o seletor.
[Local Address Settings] e [Remote Address Settings]
Programe o endereço IP ao qual aplicar a comunicação IPSec. Especifique o endereço IP da máquina em [Local Address Settings] e o endereço IP do dispositivo de comunicação em [Remote Address Settings].
[All IP Addresses]
Selecione esta opção para aplicar IPSec a todos os pacotes IP.
[IPv4 Address] ou [All IPv4 Addresses]
Selecione esta opção para aplicar a comunicação IPSec a pacotes IP enviados e recebidos através de um endereço IPv4.
[IPv6 Address] ou [All IPv6 Addresses]
Selecione esta opção para aplicar a comunicação IPSec a pacotes IP enviados e recebidos através de um endereço IPv6.
[IPv4 Manual Settings]
Selecione esta opção para especificar um endereço IPv4 ao qual aplicar a comunicação IPSec. Utilize qualquer um dos seguintes métodos para especificar o endereço IPv4 ao qual aplicar as programações.
Ao especificar um único endereço IPv4
Selecione [Single Address] e introduza o endereço IPv4 em [First Address].
Selecione [Single Address] e introduza o endereço IPv4 em [First Address].
Ao especificar um intervalo de endereços IPv4
Selecione [Range Address] e introduza os endereços IPv4 em [First Address] e [Last Address].
Selecione [Range Address] e introduza os endereços IPv4 em [First Address] e [Last Address].
Ao especificar um intervalo de endereços IPv4 utilizando uma máscara de sub-rede
Selecione [Subnet Settings], introduza o endereço IPv4 em [First Address] e introduza a máscara de sub-rede em [Subnet Settings].
Selecione [Subnet Settings], introduza o endereço IPv4 em [First Address] e introduza a máscara de sub-rede em [Subnet Settings].
[IPv6 Manual Settings]
Selecione esta opção para especificar um endereço IPv6 ao qual aplicar a comunicação IPSec. Utilize qualquer um dos seguintes métodos para especificar o endereço IPv6 ao qual aplicar as programações.
Ao especificar um único endereço IPv6
Selecione [Single Address] e introduza o endereço IPv6 em [First Address].
Selecione [Single Address] e introduza o endereço IPv6 em [First Address].
Ao especificar um intervalo de endereços IPv6
Selecione [Range Address] e introduza os endereços IPv6 em [First Address] e [Last Address].
Selecione [Range Address] e introduza os endereços IPv6 em [First Address] e [Last Address].
Ao especificar um intervalo de endereços IPv6 utilizando um prefixo
Selecione [Prefix Address], introduza o endereço IPv6 em [First Address] e introduza o comprimento do prefixo em [Prefix Length].
Selecione [Prefix Address], introduza o endereço IPv6 em [First Address] e introduza o comprimento do prefixo em [Prefix Length].
[Port Settings]
Programe as portas às quais aplicar a comunicação IPSec.
[Specify by Port Number]
Selecione esta opção para utilizar números de porta ao especificar as portas às quais a comunicação IPSec se aplica. Especifique o número de porta da máquina em [Local Port] e especifique o número de porta do dispositivo de comunicação em [Remote Port].
Para aplicar a comunicação IPSec a todos os números de porta, selecione [All Ports].
Para aplicar a comunicação IPSec a um determinado número de porta, carregue em [Single Port] e introduza o número da porta.
[Specify by Service Name]
Selecione esta opção para usar nomes de serviço ao especificar as portas às quais a comunicação IPSec se aplica. Selecione as caixas de seleção dos serviços aos quais deseja aplicar a comunicação IPSec.
3
Clique em [OK].
Aparece o ecrã [Register Policy].
12
Configure as programações IKE.
1
Clique em [IKE Settings].
Aparece o ecrã [IKE].
2
Configure as programações IKE.
[IKE Mode]
Selecione o modo de operação do protocolo de troca de chave. Quando [Main] é selecionado, a segurança é melhorada porque a própria sessão IKE é encriptada, mas a comunicação é mais lenta que [Aggressive], que não realiza encriptação.
[Validity]
Introduza o período válido de IKE SA (ISAKMP SA) a utilizar como caminho de comunicação de controlo em minutos.
[Authentication Method]
Selecione o método de autenticação da máquina.
Se selecionar [Pre-Shared Key Method], clique em [Shared Key Settings] 
insira a sequência a ser usada como chave partilhada usando caracteres alfanuméricos clique em [OK].
insira a sequência a ser usada como chave partilhada usando caracteres alfanuméricos clique em [OK].Se selecionar [Digital Signature Method], clique em [Key and Certificate] [Use] da chave e certificado a usar.
[Use] da chave e certificado a usar.[Authentication/Encryption Algorithm]
Configure o algoritmo de autenticação e o algoritmo de encriptação para a fase 1 do IKE.
Para definir automaticamente um algoritmo que pode ser usado por esta máquina e pelo dispositivo de comunicação, selecione [Auto].
Para especificar um determinado algoritmo, selecione [Manual Settings] e configure as programações [Authentication], [Encryption] e [DH Group].
[Authentication]: Selecione o algoritmo de cardinal.
[Encryption]: Selecione o algoritmo de codificação.
[DH Group]: Selecione o grupo Diffie-Hellman usado para determinar a força da chave.
|
Quando [IKE Mode] está definido para [Main] e [Authentication Method] está definido para [Pre-Shared Key Method]
Se especificar mais de um endereço em [Remote Address Settings] nas programações do seletor, as seguintes restrições são aplicadas ao criar diversas políticas:
Para políticas com mais de um endereço especificado, é necessário definir todas as chaves partilhadas com a mesma sequência.
As políticas com mais de um endereço especificado não podem ser definidas com uma prioridade mais alta do que as políticas com um único endereço especificado.
|
3
Clique em [OK].
É novamente apresentado o ecrã [Register Policy].
13
Configure as programações da rede IPSec.
1
Clique em [IPSec Network Settings].
Aparece o ecrã [IPSec Network].
2
Configure as programações da rede IPSec.
[Validity]
Especifique o período válido de IPSec SA a utilizar como caminho de comunicação de dados por hora, tamanho ou ambos.
Se selecionar a caixa de seleção [Time], insira o período válido em minutos.
Se selecionar a caixa de seleção [Size], insira o período válido em megabytes.
Se selecionar ambas, é aplicado o item cujo valor especificado seja atingido primeiro.
[PFS]
Selecione esta caixa de verificação para configurar a função PFS para a chave de sessão.
[Authentication/Encryption Algorithm]
Defina o algoritmo de autenticação e o algoritmo de encriptação para a fase 2 do IKE.
Para definir automaticamente o algoritmo de autenticação e encriptação ESP, selecione [Auto].
Para especificar um determinado método de autenticação, selecione [Manual Settings] e selecione um dos seguintes métodos de autenticação.
[ESP]:
Tanto a autenticação e a encriptação são realizadas.
Selecione o algoritmo em [ESP Authentication] e [ESP Encryption]. Se não pretender definir o algoritmo, selecione [NULL].
Tanto a autenticação e a encriptação são realizadas.
Selecione o algoritmo em [ESP Authentication] e [ESP Encryption]. Se não pretender definir o algoritmo, selecione [NULL].
[ESP (AES-GCM)]:
Tanto a autenticação e a encriptação são realizadas.
AES-GCM é usado como algoritmo.
Tanto a autenticação e a encriptação são realizadas.
AES-GCM é usado como algoritmo.
[AH (SHA1)]:
A autenticação é realizada, mas os dados não são encriptados.
SHA1 é usado como algoritmo.
A autenticação é realizada, mas os dados não são encriptados.
SHA1 é usado como algoritmo.
[Connection Mode]
A máquina só suporta o modo de transporte.
3
Clique em [OK].
É novamente apresentado o ecrã [Register Policy].
14
Clique em [OK].
A política criada é adicionada ao ecrã [IPSec Policy List].
Quando estão registadas várias políticas
Selecione uma política e clique em [Raise Priority] ou [Lower Priority] para alterar a ordem da prioridade. As políticas de nível superior têm prioridade quando aplicadas à comunicação IPSec.
15
Clique em [Apply Setting Changes] [OK].
[OK].As definições são aplicadas.
16
Termine sessão na Remote UI (Interface Remota).
NOTA
Editar políticas registadas
Para editar as informações registadas, clique no nome da política que pretende editar no ecrã [IPSec Policy List].