Usando o IPSec
Use o protocolo de segurança IP (IPSec) para evitar interceptação e violação de pacotes IP enviados e recebidos em uma rede IP. Ele executa a criptografia no nível do protocolo IP para garantir a segurança sem depender de um aplicativo ou configuração de rede.
Condições aplicáveis e modos compatíveis do IPSec
Pacotes aos quais o IPSec não se aplica
Pacotes que especificam um endereço de loopback, multicast ou broadcast
Pacotes IKE enviados da porta UDP 500
Pacotes ICMPv6 de Neighbor Solicitation e Neighbor Advertisement
Modo de operação do protocolo de troca de chaves (modos IKE)
Os modos IKE compatíveis com a máquina são o modo principal usado para criptografar pacotes e o modo agressivo sem criptografia.
Modo de comunicação do IPSec
O modo de comunicação compatível com a máquina é apenas o modo de transporte, que criptografa apenas a parte excluindo o cabeçalho IP. O modo de túnel, que criptografa todo o pacote IP, não é compatível.
Conformidade com o FIPS 140
Durante a comunicação IPSec, independentemente da configuração do [Format Encryption Method to FIPS 140], sempre se usa um módulo de criptografia que tenha obtido a autenticação do FIPS 140. [Format Encryption Method to FIPS 140]
Para garantir que a comunicação IPSec seja compatível com o FIPS 140, você precisa definir o comprimento de chave de DH e RSA para comunicação IPSec como 2048 bits ou mais no ambiente de rede ao qual a máquina pertence.
* Você pode especificar o comprimento da chave apenas para a de DH na máquina. Na hora de construir o ambiente, lembre-se de que não há configuração para a chave de RSA na máquina.
Usando o IPSec com filtragem de endereço IP
Quando os pacotes são enviados, as configurações de filtragem de endereço IP são aplicadas primeiro. Configurando um firewall
Quando os pacotes são recebidos, as configurações de IPSec são aplicadas primeiro.
Configuração da política de IPSec
Para realizar a comunicação IPSec na máquina, você precisa criar uma política de IPSec que inclua o intervalo e algoritmos aplicáveis para autenticação e criptografia. A política é composta principalmente pelos seguintes itens:
Seletor
Especifique a quais pacotes IP devem ser aplicados a comunicação IPSec. Além de especificar o endereço IP da máquina e dos dispositivos de comunicação, você também pode especificar seus números de porta.
Modo de operação do protocolo de troca de chaves (modo IKE)
O protocolo de troca de chaves oferece suporte ao Internet Key Exchange versão 1 (IKEv1). Para o método de autenticação, selecione o Método de chave pré-compartilhada ou o Método de assinatura digital.
Método de chave pré-compartilhada
Este método de autenticação usa uma palavra-chave comum, chamada chave compartilhada, para comunicação entre a máquina e outros dispositivos.
Este método de autenticação usa uma palavra-chave comum, chamada chave compartilhada, para comunicação entre a máquina e outros dispositivos.
Método de assinatura digital
A máquina e outros dispositivos se autenticam mutualmente verificando suas assinaturas digitais.
A máquina e outros dispositivos se autenticam mutualmente verificando suas assinaturas digitais.
* Você precisa definir as configurações para habilitar o uso do SNTP.
ESP/AH
Defina as configurações para os protocolos ESP ou AH a serem usadas para a comunicação IPSec. Use o PFS (Perfect Forward Secrecy) para ter uma segurança ainda maior.
Configurando o IPSec
Habilite o uso de IPSec e, em seguida, crie e registre uma política de IPSec. Se várias políticas foram criadas, especifique a ordem em que elas são aplicadas. É possível criar até 10 políticas.
Esta seção descreve como definir as configurações usando a UI Remota em um computador.
No painel de controle, selecione [
Settings/Registration] na tela [Home] ou outra tela, e então selecione [Preferences] para definir as configurações. [IPSec Settings]
Requer privilégios de administrador ou administrador de dispositivo.
No painel de controle, selecione [
Settings/Registration] na tela [Home] ou outra tela, e então selecione [Preferences] para definir as configurações. [IPSec Settings]Requer privilégios de administrador ou administrador de dispositivo.
Preparativos necessários
Conecte a máquina diretamente a um computador na mesma rede privada virtual (VPN) da máquina. Confirme as condições de operação e conclua as configurações no computador antecipadamente. IPSec
Prepare o seguinte de acordo com o método de autenticação IKE:
Ao usar o método de chave compartilhada, habilite o TLS para comunicação com a UI Remota. Usando TLS
Ao usar o método de assinatura digital, prepare a chave e o certificado a serem usados e defina as configurações para habilitar o uso do SNTP.
Ao usar o PFS, verifique se ele está habilitado no dispositivo de comunicação.
1
Faça login na UI Remota como administrador. Iniciando a UI Remota
2
Na página do Portal da UI Remota clique em [Settings/Registration]. Página do portal da UI Remota
3
Clique em [Network Settings].
A tela de configurações de rede é exibida.
4
Clique em [IPSec Settings].
A tela [IPSec Settings] é exibida.
5
Marque a caixa de seleção [Use IPSec].
Para receber apenas pacotes que cumprem essa política, selecione [Reject] em [Receive Non-Policy Packets].
6
Clique em [OK].
A tela de configuração de configurações de rede é exibida novamente.
7
Clique em [IPSec Policy List].
A tela [IPSec Policy List] é exibida.
8
Clique em [Register New IPSec Policy].
A tela [Register Policy] é exibida.
9
Especifique o nome da política e selecione [On] em [Policy On/Off].
No nome da política, digite um nome para identificá-la usando caracteres alfanuméricos.
10
Registre o comprimento da chave AES, conforme o caso.
Para restringir o comprimento da chave AES a 256 bits, como quando você quer atender aos padrões de autenticação CC, marque a caixa de seleção [Only Allow 256-bit for AES Key Length].
* As máquinas multifuncionais da Canon permitem dois comprimentos de chave para o método de criptografia AES: 128 e 256 bits.
11
Defina o seletor.
1
Clique em [Selector Settings].
A tela [Selector] é exibida.
2
Defina o seletor.
[Local Address Settings] e [Remote Address Settings]
Defina o endereço IP ao qual aplicar a comunicação IPSec. Especifique o endereço IP da máquina em [Local Address Settings] e o endereço IP do dispositivo com o qual está comunicando em [Remote Address Settings].
[All IP Addresses]
Selecione isto para aplicar o IPSec a todos os pacotes de IP.
[IPv4 Address] ou [All IPv4 Addresses]
Selecione isto para aplicar a comunicação IPSec a todos os pacotes IP enviados e recebidos usando um endereço IPv4.
[IPv6 Address] ou [All IPv6 Addresses]
Selecione isto para aplicar a comunicação IPSec a todos os pacotes IP enviados e recebidos usando um endereço IPv6.
[IPv4 Manual Settings]
Selecione isto para especificar um endereço IPv4 ao qual aplicar a comunicação IPSec. Use qualquer um dos métodos a seguir para especificar o endereço IPv4 ao qual aplicar as configurações.
Ao especificar um único endereço IPv4
Selecione [Single Address] e, em seguida, insira o endereço IPv4 em [First Address].
Selecione [Single Address] e, em seguida, insira o endereço IPv4 em [First Address].
Ao especificar um intervalo de endereços IPv4
Selecione [Range Address] e, em seguida, insira os endereços IPv4 em [First Address] e [Last Address].
Selecione [Range Address] e, em seguida, insira os endereços IPv4 em [First Address] e [Last Address].
Ao especificar um intervalo de endereços IPv4 usando uma máscara de sub-rede
Selecione [Subnet Settings], insira o endereço IPv4 em [First Address] e a máscara de sub-rede em [Subnet Settings].
Selecione [Subnet Settings], insira o endereço IPv4 em [First Address] e a máscara de sub-rede em [Subnet Settings].
[IPv6 Manual Settings]
Selecione isto para especificar um endereço IPv6 ao qual aplicar a comunicação IPSec. Use qualquer um dos métodos a seguir para especificar o endereço IPv6 ao qual aplicar as configurações.
Ao especificar um único endereço IPv6
Selecione [Single Address] e, em seguida, insira o endereço IPv6 em [First Address].
Selecione [Single Address] e, em seguida, insira o endereço IPv6 em [First Address].
Ao especificar um intervalo de endereços IPv6
Selecione [Range Address] e, em seguida, insira os endereços IPv6 em [First Address] e [Last Address].
Selecione [Range Address] e, em seguida, insira os endereços IPv6 em [First Address] e [Last Address].
Ao especificar um intervalo de endereços IPv6 usando uma máscara de sub-rede
Selecione [Prefix Address], insira o endereço IPv6 em [First Address] e a máscara de sub-rede em [Prefix Length].
Selecione [Prefix Address], insira o endereço IPv6 em [First Address] e a máscara de sub-rede em [Prefix Length].
[Port Settings]
Defina as portas às quais aplicar a comunicação IPSec.
[Specify by Port Number]
Selecione isto para usar números de portas quando especificar as portas às quais aplicar a comunicação IPSec. Defina o número de porta da máquina em [Local Port] e o número de porta do dispositivo com o qual está se comunicando em [Remote Port].
Para aplicar a comunicação IPSec a todos os números de portas, selecione [All Ports].
Para aplicar a comunicação IPSec a um número determinado de portas, pressione [Single Port] e insira o número da porta.
[Specify by Service Name]
Selecione isto para usar nomes de serviço ao especificar as portas às quais a comunicação IPSec se aplica. Marque as caixas de seleção dos serviços aos quais aplicar a comunicação IPSec.
3
Clique em [OK].
A tela [Register Policy] é exibida.
12
Defina as configurações de IKE.
1
Clique em [IKE Settings].
A tela [IKE] é exibida.
2
Defina as configurações de IKE.
[IKE Mode]
Selecione o modo de operação do protocolo de troca de chave. Quando [Main] está selecionado, a segurança é maior pois a própria sessão de IKE é criptografada, porém a comunicação é mais lenta em comparação com a [Aggressive], que não realiza a criptografia.
[Validity]
Digite o período válido de IKE SA (ISAKMP SA) para usar como caminho de comunicação de controle em minutos.
[Authentication Method]
Selecione o método de autenticação da máquina.
Se você seleciona [Pre-Shared Key Method], clique em [Shared Key Settings] 
digite a cadeia de caracteres para usar como chave compartilhada usando caracteres alfanuméricos clique em [OK].
digite a cadeia de caracteres para usar como chave compartilhada usando caracteres alfanuméricos clique em [OK].Se selecionar [Digital Signature Method], clique em [Key and Certificate] [Use] da chave e certificado a serem usados.
[Use] da chave e certificado a serem usados.[Authentication/Encryption Algorithm]
Configure o algoritmo de autenticação e criptografia para a fase 1 de IKE.
Para definir um algoritmo automaticamente para que possa ser usado tanto por esta máquina quanto pelo dispositivo com o qual está se comunicando, selecione [Auto].
Para especificar um algoritmo determinado, selecione [Manual Settings] e configure a [Authentication], a [Encryption] e o [DH Group].
[Authentication]: selecione o algoritmo hash.
[Encryption]: selecione o algoritmo de criptografia.
[DH Group]: selecione o grupo Diffie-Hellman usado para terminar o comprimento da chave.
Quando o [IKE Mode] está em [Main] e o [Authentication Method] é [Pre-Shared Key Method] Se especificar mais de um endereço em [Remote Address Settings] no seletor, aplicam-se as seguintes restrições quando você cria múltiplas políticas: Para as políticas com mais de um endereço especificado, todas as chaves compartilhadas precisam ser definidas com a mesma cadeia de caracteres. As políticas com mais de um endereço especificado não podem ter uma prioridade mais alta do que as que têm um único endereço. |
3
Clique em [OK].
A tela [Register Policy] é exibida novamente.
13
Defina as configurações de rede do IPSec.
1
Clique em [IPSec Network Settings].
A tela [IPSec Network] é exibida.
2
Defina as configurações de rede do IPSec.
[Validity]
Especifique o período válido de IPSec SA para usar como caminho de comunicação de dados por tempo, tamanho ou ambos.
Se a caixa de seleção [Time] está marcada, digite o período válido em minutos.
Se a caixa de seleção [Size] está marcada, digite o período válido em megabytes.
Se ambos são selecionados, o item cujo valor especificado é atingido primeiro é aplicado.
[PFS]
Marque esta caixa de seleção para configurar o PFS da chave da sessão.
[Authentication/Encryption Algorithm]
Configure o algoritmo de autenticação e criptografia para a fase 2 de IKE.
Para configurar o algoritmo de autenticação e criptografia de ESP automaticamente, selecione [Auto].
Para especificar um método de autenticação particular, selecione [Manual Settings] e selecione um dos seguintes métodos de autenticação.
[ESP]:
A autenticação e a criptografia são executadas.
Selecione o algoritmo em [ESP Authentication] e [ESP Encryption]. Se não quiser configurar o algoritmo, selecione [NULL].
A autenticação e a criptografia são executadas.
Selecione o algoritmo em [ESP Authentication] e [ESP Encryption]. Se não quiser configurar o algoritmo, selecione [NULL].
[ESP (AES-GCM)]:
A autenticação e a criptografia são executadas.
O AES-GCM é usado como algoritmo.
A autenticação e a criptografia são executadas.
O AES-GCM é usado como algoritmo.
[AH (SHA1)]:
A autenticação é executada, mas dados não são criptografados.
O SHA1 é usado como o algoritmo.
A autenticação é executada, mas dados não são criptografados.
O SHA1 é usado como o algoritmo.
[Connection Mode]
A máquina é compatível apenas o modo de transporte.
3
Clique em [OK].
A tela [Register Policy] é exibida novamente.
14
Clique em [OK].
A política criada é adicionada à tela [IPSec Policy List].
Quando múltiplas políticas são registradas
Selecione uma política e clique em [Raise Priority] ou [Lower Priority] para alterar a ordem de prioridade. As políticas de nível mais alto têm prioridade quando são aplicadas à comunicação IPSec.
15
Clique em [Apply Setting Changes] [OK].
[OK].As configurações são aplicadas.
16
Saia da UI Remota.
NOTA
Editando políticas registradas
Para editar as informações registradas, clique no nome da política correspondente na tela [IPSec Policy List].