Ús d'IPSec
Utilitzeu el protocol de seguretat IP (IPSec) per evitar l'escolta i la manipulació dels paquets IP enviats i rebuts a través d'una xarxa IP. Això fa el xifratge a nivell del protocol IP per garantir la seguretat sense dependre d'una aplicació o de la configuració de la xarxa.
Condicions aplicables i modes admesos d'IPSec
Paquets als quals no s'aplica la IPSec
Paquets que especifiquen una adreça de bucle invertit, multidifusió o difusió
Paquets IKE enviats des del port UDP 500
Paquets ICMPv6 Neighbor Solicitation i Neighbor Advertisement
Mode de funcionament del protocol d'intercanvi de claus (modes IKE)
Els modes IKE que admet l'equip són només el mode principal que s'utilitza per xifrar els paquets i el mode agressiu sense xifratge.
Mode de comunicació IPSec
El mode de comunicació que admet l'equip és només el mode de transport, que xifra només la part que exclou la capçalera IP. El mode túnel, que xifra tot el paquet IP, no és compatible.
Ajustament per a la conformitat amb l'estàndard FIPS 140
Durant la comunicació IPSec, independentment de l'opció [Mètode xifratge formats per a FIPS 140], sempre s'utilitza un mòdul de xifratge que hagi obtingut l'autenticació FIPS 140. [Mètode xifratge formats per a FIPS 140]
Per assegurar-vos que la comunicació IPSec s'ajusti a l'estàndard FIPS 140, heu d'establir la longitud de clau de les claus DH i RSA per a la comunicació IPSec en 2048 bits o més a l'entorn de xarxa al qual pertany l'equip.
* Podeu especificar la longitud de clau només per a la clau DH de l'equip. No hi ha cap opció per a la clau RSA a l'equip, així que tingueu-ho en compte a l'hora de crear l'entorn.
Ús d'IPSec juntament amb el filtratge d'adreces IP
Quan s'envien paquets, primer s'apliquen les opcions de filtre d'adreces IP. Configuració d'un tallafoc
Quan es reben paquets, primer s'apliquen les opcions d'IPSec.
Configuració de la directiva d'IPSec
Per realitzar la comunicació IPSec a l'equip, heu de crear una política IPSec que inclogui el rang i els algoritmes aplicables per a l'autenticació i el xifratge. La política es compon principalment dels elements següents.
Selector
Especifiqueu a quins paquets IP voleu aplicar la comunicació IPSec. A més d'especificar l'adreça IP de l'equip i dels dispositius de comunicació, també podeu especificar els números de port.
Mode de funcionament del protocol d'intercanvi de claus (mode IKE)
El protocol d'intercanvi de claus és compatible amb la versió 1 d'Internet Key Exchange (IKEv1). Per al mètode d'autenticació, seleccioneu el mètode de clau compartida prèviament o el mètode de signatura digital.
Mètode de clau compartida prèviament
Aquest mètode d'autenticació utilitza una paraula clau comuna, anomenada clau compartida, per a la comunicació entre l'equip i altres dispositius.
Aquest mètode d'autenticació utilitza una paraula clau comuna, anomenada clau compartida, per a la comunicació entre l'equip i altres dispositius.
Mètode de signatura digital
L'equip i els altres dispositius s'autentiquen entre si mitjançant la verificació mútua de les seves signatures digitals.
L'equip i els altres dispositius s'autentiquen entre si mitjançant la verificació mútua de les seves signatures digitals.
* Cal configurar les opcions per activar l'ús de l'SNTP.
ESP/AH
Configureu les opcions dels protocols ESP o AH que s'utilitzaran per a la comunicació IPSec. Utilitzeu el Perfect Forward Secrecy (PFS) per encara més seguretat.
Configuració d'IPSec
Activeu l'ús d'IPSec i, a continuació, creeu i deseu la directiva d'IPSec. Si heu creat diverses polítiques, especifiqueu l'ordre en què s'apliquen. Podeu crear fins a 10 directives.
Aquesta secció descriu com es configuren els paràmetres mitjançant Remote UI (IU remota) des d'un ordinador.
Al tauler de control, seleccioneu [
Configuració] a la pantalla [Inici] o a una altra pantalla, i després seleccioneu [Preferències] per configurar aquestes opcions. [Opcions d'IPSec]
Es requereixen privilegis d'administrador o administrador de xarxa (NetworkAdmin).
Al tauler de control, seleccioneu [
Configuració] a la pantalla [Inici] o a una altra pantalla, i després seleccioneu [Preferències] per configurar aquestes opcions. [Opcions d'IPSec]Es requereixen privilegis d'administrador o administrador de xarxa (NetworkAdmin).
Preparatius necessaris
Connecteu l'equip directament a un ordinador a la mateixa xarxa privada virtual (VPN) que l'equip. Confirmeu les condicions de funcionament i finalitzeu els paràmetres a l'ordinador per endavant. IPSec
Prepareu el següent segons el mètode d'autenticació IKE:
Si utilitzeu el mètode de clau compartida prèviament, activeu la TLS per a la comunicació mitjançant Remote UI (IU remota). L'ús de TLS
Quan feu servir el mètode de signatura digital, prepareu la clau i el certificat que s'utilitzaran i configureu les opcions per activar l'ús de l'SNTP.
Quan utilitzeu PFS, comproveu que el PFS està activat al dispositiu de comunicació.
1
Inicieu sessió a Remote UI (IU remota) com a administrador. Iniciar Remote UI (IU remota)
2
A la pàgina del Portal de Remote UI (IU remota), feu clic a [Settings/Registration]. Pàgina del portal de Remote UI (IU remota)
3
Feu clic a [Network Settings].
Apareix la pantalla d'opcions de xarxa.
4
Feu clic a [IPSec Settings].
La pantalla [IPSec Settings] es mostra a la pantalla.
5
Seleccioneu la casella [Use IPSec].
Per rebre només paquets que compleixin la directiva, seleccioneu [Reject] a [Receive Non-Policy Packets].
6
Feu clic a [OK].
Apareix la pantalla d'opcions de xarxa.
7
Feu clic a [IPSec Policy List].
La pantalla [IPSec Policy List] es mostra a la pantalla.
8
Feu clic a [Register New IPSec Policy].
La pantalla [Register Policy] es mostra a la pantalla.
9
Especifiqueu el nom de la directiva i seleccioneu [On] a [Policy On/Off].
Per al nom de la directiva, introduïu un nom amb caràcters alfanumèrics per identificar-la.
10
Limiteu la longitud de la clau AES segons calgui.
Per restringir la longitud de la clau AES a 256 bits, com ara quan voleu complir els estàndards d'autenticació CC, marqueu la casella de selecció [Only Allow 256-bit for AES Key Length].
* Els equips multifunció Canon admeten dues longituds de clau per al mètode de xifratge AES: 128 bits i 256 bits.
11
Establiu el selector.
1
Feu clic a [Selector Settings].
La pantalla [Selector] es mostra a la pantalla.
2
Establiu el selector.
[Local Address Settings] i [Remote Address Settings]
Establiu l'adreça IP a la qual voleu aplicar la comunicació IPSec. Especifiqueu l'adreça IP de l'equip a [Local Address Settings] i especifiqueu l'adreça IP del dispositiu de comunicació a [Remote Address Settings].
[All IP Addresses]
Seleccioneu-ho per aplicar la IPSec a tots els paquets IP.
[IPv4 Address] o [All IPv4 Addresses]
Seleccioneu-ho per aplicar la comunicació IPSec als paquets IP enviats i rebuts mitjançant una adreça IPv4.
[IPv6 Address] o [All IPv6 Addresses]
Seleccioneu-ho per aplicar la comunicació IPSec als paquets IP enviats i rebuts mitjançant una adreça IPv6.
[IPv4 Manual Settings]
Seleccioneu-ho per especificar una adreça IPv4 a la qual s'aplicarà la comunicació IPSec. Utilitzeu qualsevol dels mètodes següents per especificar l'adreça IPv4 a la qual voleu aplicar les opcions.
En especificar una única adreça IPv4
Seleccioneu [Single Address] i introduïu l'adreça IPv4 a [First Address].
Seleccioneu [Single Address] i introduïu l'adreça IPv4 a [First Address].
En especificar un rang d'adreces IPv4
Seleccioneu [Range Address] i introduïu les adreces IPv4 a [First Address] i [Last Address].
Seleccioneu [Range Address] i introduïu les adreces IPv4 a [First Address] i [Last Address].
En especificar un rang d'adreces IPv4 mitjançant una màscara de subxarxa
Seleccioneu [Subnet Settings], introduïu l'adreça IPv4 a [First Address] i la màscara de subxarxa a [Subnet Settings].
Seleccioneu [Subnet Settings], introduïu l'adreça IPv4 a [First Address] i la màscara de subxarxa a [Subnet Settings].
[IPv6 Manual Settings]
Seleccioneu-ho per especificar una adreça IPv6 a la qual s'aplicarà la comunicació IPSec. Feu servir qualsevol dels mètodes següents per especificar l'adreça IPv6 a la qual voleu aplicar les opcions.
En especificar una única adreça IPv6
Seleccioneu [Single Address] i introduïu l'adreça IPv6 a [First Address].
Seleccioneu [Single Address] i introduïu l'adreça IPv6 a [First Address].
En especificar un rang d'adreces IPv6
Seleccioneu [Range Address] i introduïu les adreces IPv6 a [First Address] i [Last Address].
Seleccioneu [Range Address] i introduïu les adreces IPv6 a [First Address] i [Last Address].
En especificar un rang d'adreces IPv6 amb un prefix
Seleccioneu [Prefix Address], introduïu l'adreça IPv6 a [First Address] i la longitud del prefix a [Prefix Length].
Seleccioneu [Prefix Address], introduïu l'adreça IPv6 a [First Address] i la longitud del prefix a [Prefix Length].
[Port Settings]
Establiu els ports als quals s'aplicarà la comunicació IPSec.
[Specify by Port Number]
Seleccioneu-ho per utilitzar números de port en especificar els ports als quals s'aplicarà la comunicació IPSec. Especifiqueu el número de port de l'equip a [Local Port] i especifiqueu el número de port del dispositiu de comunicació a [Remote Port].
Per aplicar la comunicació d'IPSec a tots els números de port, seleccioneu [All Ports].
Per aplicar la comunicació d'IPSec a un número de port específic, premeu [Single Port] i introduïu el número de port.
[Specify by Service Name]
Seleccioneu-ho per utilitzar noms de servei quan especifiqueu els ports als quals s'aplica la comunicació d'IPSec. Marqueu les caselles de selecció dels serveis als quals voleu aplicar la comunicació d'IPSec.
3
Feu clic a [OK].
La pantalla [Register Policy] es mostra a la pantalla.
12
Configureu les opcions d'IKE.
1
Feu clic a [IKE Settings].
La pantalla [IKE] es mostra a la pantalla.
2
Configureu les opcions d'IKE.
[IKE Mode]
Seleccioneu el mode d'operació del protocol d'intercanvi de claus. Quan se selecciona [Main], la seguretat es millora perquè la sessió IKE està xifrada, però la comunicació és més lenta que [Aggressive], que no duu a terme el xifratge.
[Validity]
Introduïu el període de validesa d'IKE SA (ISAKMP SA) a utilitzar com a ruta de comunicació de control en minuts.
[Authentication Method]
Seleccioneu un mètode d'autenticació de l'equip.
Si seleccioneu [Pre-Shared Key Method], feu clic a [Shared Key Settings] 
introduïu la cadena que voleu utilitzar com a clau compartida amb caràcters alfanumèrics feu clic a [OK].
introduïu la cadena que voleu utilitzar com a clau compartida amb caràcters alfanumèrics feu clic a [OK].Si seleccioneu [Digital Signature Method], feu clic a [Key and Certificate] [Use] de la clau i el certificat que voleu utilitzar.
[Use] de la clau i el certificat que voleu utilitzar.[Authentication/Encryption Algorithm]
Configureu l'algorisme d'autenticació i xifratge per a la fase 1 d'IKE.
Per configurar automàticament un algorisme que pugui utilitzar tant aquest equip com el dispositiu que es comunica, seleccioneu [Auto].
Per especificar un algorisme concret, seleccioneu [Manual Settings] i configureu les opcions [Authentication], [Encryption] i [DH Group].
[Authentication]: Seleccioneu l'algorisme hash.
[Encryption]: Seleccioneu l'algorisme de xifratge.
[DH Group]: Seleccioneu el grup Diffie-Hellman utilitzat per determinar la seguretat de la clau.
|
Quan [IKE Mode] s'estableix a [Main] i [Authentication Method] s'estableix a [Pre-Shared Key Method]
Si especifiqueu més d'una adreça a [Remote Address Settings] a les opcions del selector, s'apliquen les restriccions següents quan creeu diverses directives:
Per a directives amb més d'una adreça especificada, totes les claus compartides s'han d'establir a la mateixa cadena.
Les directives amb més d'una adreça especificada no es poden establir a una prioritat més alta que les directives amb una única adreça especificada.
|
3
Feu clic a [OK].
Apareixerà un altre cop la pantalla [Register Policy].
13
Configureu les opcions de xarxa d'IPSec.
1
Feu clic a [IPSec Network Settings].
La pantalla [IPSec Network] es mostra a la pantalla.
2
Configureu els les opcions de xarxa d'IPSec.
[Validity]
Especifiqueu el període vàlid d'IPSec SA que s'utilitzarà com a ruta de comunicació de dades per temps, mida o ambdós.
Si marqueu la casella de selecció [Time], introduïu el període vàlid en minuts.
Si marqueu la casella de selecció [Size], introduïu el període vàlid en megabytes.
Si les seleccioneu totes dues, s'aplica l'element el valor especificat del qual s'assoleix primer.
[PFS]
Marqueu aquesta casella per configurar el PFS per a la clau de sessió.
[Authentication/Encryption Algorithm]
Establiu l'algorisme d'autenticació i xifratge per a la fase 2 de l'IKE.
Per definir automàticament l'algoritme d'autenticació i xifratge ESP, seleccioneu [Auto].
Per especificar un mètode d'autenticació concret, seleccioneu [Manual Settings] i seleccioneu un dels mètodes d'autenticació següents.
[ESP]:
Es duen a terme l'autenticació i el xifratge.
Seleccioneu l'algorisme a [ESP Authentication] i [ESP Encryption]. Si no voleu especificar l'algorisme, seleccioneu [NULL].
Es duen a terme l'autenticació i el xifratge.
Seleccioneu l'algorisme a [ESP Authentication] i [ESP Encryption]. Si no voleu especificar l'algorisme, seleccioneu [NULL].
[ESP (AES-GCM)]:
Es duen a terme l'autenticació i el xifratge.
S'utilitza AES-GCM com a algorisme.
Es duen a terme l'autenticació i el xifratge.
S'utilitza AES-GCM com a algorisme.
[AH (SHA1)]:
Es duu a terme l'autenticació, però les dades no es xifren.
S'utilitza SHA1 com a algorisme.
Es duu a terme l'autenticació, però les dades no es xifren.
S'utilitza SHA1 com a algorisme.
[Connection Mode]
L'ordinador només admet el mode de transport.
3
Feu clic a [OK].
Apareixerà un altre cop la pantalla [Register Policy].
14
Feu clic a [OK].
La directiva creada s'afegeix a la pantalla [IPSec Policy List].
Quan es registren diverses directives
Seleccioneu una directiva i feu clic a [Raise Priority] o [Lower Priority] per canviar l'ordre de prioritat. Les directives de nivell superior tenen prioritat quan s'apliquen a la comunicació IPSec.
15
Feu clic a [Apply Setting Changes] [OK].
[OK].Els paràmetres s'hauran aplicat.
16
Tanqueu la sessió de Remote UI (IU remota).
NOTA
Edició de les polítiques desades
Per editar la informació registrada, feu clic al nom de la directiva que voleu editar, a la pantalla [IPSec Policy List].