Utilizzo di IPSec
Utilizzare IP Security Protocol (IPSec) per impedire l’intercettazione e la manomissione dei pacchetti IP inviati e ricevuti su una rete IP. Ciò esegue la crittografia a livello del protocollo IP per garantire sicurezza senza fare affidamento sulla configurazione di applicazioni o della rete.
Condizioni applicabili di IPSec e modalità supportate
Pacchetti a cui non viene applicato IPSec
Pacchetti che specificano un indirizzo loopback, multicast o broadcast
Pacchetti IKE inviati da UDP sulla porta 500
Pacchetti ICMPv6 Neighbor Solicitation e Neighbor Advertisement
Modalità di funzionamento del protocollo del protocollo Key Exchange (modalità IKE)
Le modalità IKE supportate dalla macchina sono la modalità principale utilizzata per crittografare i pacchetti e la modalità aggressiva senza crittografia.
Modalità di comunicazione IPSec
La modalità di comunicazione supportata dalla macchina è solo la modalità trasporto, che crittografa solo la parte senza l’intestazione IP. La modalità tunnel, che crittografa l’intero pacchetto IP, non è supportata.
Conformità a FIPS 140
Durante la comunicazione IPSec, indipendentemente dall'impostazione di [Standardizzazione metodo di crittografia su FIPS 140], viene sempre utilizzato un modulo di crittografia che ha ottenuto l'autenticazione FIPS 140. [Standardizzazione metodo di crittografia su FIPS 140]
Per garantire che la comunicazione IPSec sia conforme a FIPS 140, è necessario impostare la lunghezza delle chiavi DH e RSA per la comunicazione IPSec su 2048 bit o più nell'ambiente di rete a cui appartiene la macchina.
* È possibile specificare la lunghezza della chiave solo per la chiave DH sulla macchina. Non esiste alcuna impostazione per la chiave RSA sulla macchina, quindi tenerne conto durante la creazione dell'ambiente.
Utilizzo di IPSec insieme al filtro degli indirizzi IP
Quando vengono inviati i pacchetti, vengono applicate per prime le impostazioni del filtro degli indirizzi IP. Impostazione di un firewall
Quando vengono ricevuti i pacchetti, vengono applicate per prime le impostazioni IPSec.
Configurazione dei criteri IPSec
Per eseguire la comunicazione IPSec sulla macchina, è necessario creare un criterio IPSec che include l’intervallo applicabile e gli algoritmi per l’autenticazione e la crittografia. Il criterio è composto principalmente dalle seguenti voci:
Selettore
Specificare a quali pacchetti IP applicare la comunicazione IPSec. Oltre a specificare l’indirizzo IP della macchina e delle periferiche di comunicazione, è possibile specificare anche i numeri di porta.
Modalità di funzionamento del protocollo del protocollo Key Exchange (modalità IKE)
Il protocollo di scambio chiavi supporta Internet Key Exchange versione 1 (IKEv1). Per il metodo di autenticazione, selezionare metodo chiave precondivisa o il metodo di firma digitale.
Metodo chiave precondivisa
Questo metodo di autenticazione utilizza una parola chiave comune, chiamata "chiave condivisa", per la comunicazione tra la macchina e altre periferiche.
Questo metodo di autenticazione utilizza una parola chiave comune, chiamata "chiave condivisa", per la comunicazione tra la macchina e altre periferiche.
Metodo di firma digitale:
La macchina e le altre periferiche si autenticano a vicenda verificando le rispettive firme digitali.
La macchina e le altre periferiche si autenticano a vicenda verificando le rispettive firme digitali.
* È necessario configurare le impostazioni per abilitare l'uso di SNTP.
ESP/AH
Configurare le impostazioni per i protocolli ESP o AH da utilizzare per la comunicazione IPSec. Utilizzare Perfect Forward Secrecy (PFS) per una protezione ancora maggiore.
Configurazione di IPSec
Abilitare l’utilizzo di IPSec, quindi creare e registrare il criterio IPSec. Se sono stati creati più criteri, specificare l’ordine in cui applicarli. È possibile creare fino a 10 criteri.
Questa sezione descrive come configurare le impostazioni di una IU remota da un computer.
Sul pannello di controllo selezionare [
Impostazioni/Registrazione] nella schermata [Home] o in un'altra schermata quindi selezionare [Preferenze] per configurare le impostazioni. [Impostazioni IPSec]
Sono richiesti i privilegi di Administrator o di NetworkAdmin.
Sul pannello di controllo selezionare [
Impostazioni/Registrazione] nella schermata [Home] o in un'altra schermata quindi selezionare [Preferenze] per configurare le impostazioni. [Impostazioni IPSec]Sono richiesti i privilegi di Administrator o di NetworkAdmin.
Preparazioni richieste
Collegare la macchina direttamente a un computer sulla stessa rete privata virtuale (VPN) della macchina. Confermare le condizioni di funzionamento e terminare in anticipo le impostazioni sul computer. IPSec
Preparare quanto segue in base al metodo di autenticazione IKE:
Quando si utilizza il metodo di chiave precondivisa, abilitare TLS per la comunicazione con la IU remota. Utilizzo di TLS
Quando si utilizza il metodo di firma digitale, preparare la chiave e il certificato da utilizzare e configurare le impostazioni per abilitare l'uso di SNTP.
Quando si utilizza PFS, verificare che PFS sia abilitato sulla periferica di comunicazione.
1
Accedere alla IU remota come amministratore. Avvio della IU remota
2
Sulla pagina portale della IU remota fare clic su [Impostazioni/Registrazione]. Pagina del portale dell'interfaccia utente remota
3
Fare clic su [Impostazioni rete].
Viene visualizzata la schermata delle impostazioni di rete.
4
Fare clic su [Impostazioni IPSec].
Viene visualizzata la schermata [Impostazioni IPSec].
5
Selezionare la casella di controllo [Utilizzo IPSec].
Per ricevere solo i pacchetti che soddisfano il criterio, selezionare [Rifiutare] In [Ricezione pacchetti non associati a un criterio].
6
Fare clic su [OK].
Viene nuovamente visualizzata la schermata delle impostazioni di rete.
7
Fare clic su [Elenco criteri IPSec].
Viene visualizzata la schermata [Elenco criteri IPSec].
8
Fare clic su [Registrazione nuovo criterio IPSec].
Viene visualizzata la schermata [Registrazione criterio].
9
Specificare il nome del criterio e selezionare [On] in [Attivazione/disattivazione criterio].
Per il nome del criterio, inserire un nome che lo identifichi utilizzando caratteri alfanumerici.
10
Limitare la lunghezza della chiave AES in base alle esigenze.
Per limitare la lunghezza della chiave AES a 256 bit, ad esempio quando si desidera soddisfare gli standard di autenticazione CC, selezionare la casella di controllo [Consentire solo 256 bit per lunghezza chiave AES].
* Le macchine multifunzione Canon supportano due lunghezze di chiave per il metodo di crittografia AES: 128 bit e 256 bit.
11
Impostare il selettore.
1
Fare clic su [Impostazioni selettore].
Viene visualizzata la schermata [Selettore].
2
Impostare il selettore.
[Impostazioni indirizzo locale] e [Impostazioni indirizzo remoto]
Impostare l'indirizzo IP su cui attivare la comunicazione IPSec. Specificare l'indirizzo IP della macchina in [Impostazioni indirizzo locale] e l'indirizzo IP della periferica di comunicazione in [Impostazioni indirizzo remoto].
[Tutti gli indirizzi IP]
Selezionare questa opzione per applicare IPSec a tutti i pacchetti IP.
[Indirizzo IPv4] o [Tutti gli indirizzi IPv4]
Selezionare questa opzione per applicare la comunicazione IPSec ai pacchetti IP inviati e ricevuti utilizzando un indirizzo IPv4.
[Indirizzo IPv6] o [Tutti gli indirizzi IPv6]
Selezionare questa opzione per applicare la comunicazione IPSec ai pacchetti IP inviati e ricevuti utilizzando un indirizzo IPv6.
[Impostazioni manuali IPv4]
Selezionare questa opzione per specificare un indirizzo IPv4 su cui attivare la comunicazione IPSec. Utilizzare uno dei seguenti metodi per specificare l'indirizzo IPv4 su cui attivare le impostazioni.
Quando si specifica un singolo indirizzo IPv4
Selezionare [Indirizzo singolo] e inserire l'indirizzo IPv4 in [Primo indirizzo].
Selezionare [Indirizzo singolo] e inserire l'indirizzo IPv4 in [Primo indirizzo].
Quando si specifica un intervallo di indirizzi IPv4
Selezionare [Intervallo di indirizzi] e inserire gli indirizzi IPv4 in [Primo indirizzo] e [Ultimo indirizzo].
Selezionare [Intervallo di indirizzi] e inserire gli indirizzi IPv4 in [Primo indirizzo] e [Ultimo indirizzo].
Quando si specifica un intervallo di indirizzi IPv4 utilizzando una maschera di sottorete
Selezionare [Impostazioni subnet], inserire l'indirizzo IPv4 in [Primo indirizzo] e inserire la maschera di sottorete in [Impostazioni subnet].
Selezionare [Impostazioni subnet], inserire l'indirizzo IPv4 in [Primo indirizzo] e inserire la maschera di sottorete in [Impostazioni subnet].
[Impostazioni manuali IPv6]
Selezionare questa opzione per specificare un indirizzo IPv6 su cui attivare la comunicazione IPSec. Utilizzare uno dei seguenti metodi per specificare l'indirizzo IPv6 su cui attivare le impostazioni.
Quando si specifica un singolo indirizzo IPv6
Selezionare [Indirizzo singolo] e inserire l'indirizzo IPv6 in [Primo indirizzo].
Selezionare [Indirizzo singolo] e inserire l'indirizzo IPv6 in [Primo indirizzo].
Quando si specifica un intervallo di indirizzi IPv6
Selezionare [Intervallo di indirizzi] e inserire gli indirizzi IPv6 in [Primo indirizzo] e [Ultimo indirizzo].
Selezionare [Intervallo di indirizzi] e inserire gli indirizzi IPv6 in [Primo indirizzo] e [Ultimo indirizzo].
Quando si specifica un intervallo di indirizzi IPv6 utilizzando un prefisso
Selezionare [Indirizzo prefisso], inserire l'indirizzo IPv6 in [Primo indirizzo] e inserire la lunghezza del prefisso in [Lunghezza prefisso].
Selezionare [Indirizzo prefisso], inserire l'indirizzo IPv6 in [Primo indirizzo] e inserire la lunghezza del prefisso in [Lunghezza prefisso].
[Impostazioni porta]
Impostare le porte su cui attivare la comunicazione IPSec.
[Specifica per numero di porta]
Selezionare questa opzione per utilizzare i numeri di porta quando si specificano le porte a cui applicare la comunicazione IPSec. Specificare il numero di porta della macchina in [Porta locale] e specificare il numero di porta della periferica di comunicazione in [Porta remota].
Per applicare la comunicazione IPSec a tutti i numeri di porta, selezionare [Tutte le porte].
Per applicare la comunicazione IPSec a un numero di porta specifico, premere [Porta singola] e inserire il numero di porta.
[Specifica per nome servizio]
Selezionare questa opzione per utilizzare i nomi dei servizi quando si specificano le porte a cui si applica la comunicazione IPSec. Selezionare le caselle dei servizi a cui applicare la comunicazione IPSec.
3
Fare clic su [OK].
Viene visualizzata la schermata [Registrazione criterio].
12
Configurare le impostazioni IKE.
1
Fare clic su [Impostazioni IKE].
Viene visualizzata la schermata [IKE].
2
Configurare le impostazioni IKE.
[Modo IKE]
Selezionare la modalità operativa del protocollo di scambio chiavi. Quando [Principale] è selezionato, la protezione viene migliorata poiché la sessione IKE stessa è crittografata. Tuttavia la comunicazione è più lenta di [Aggressive], dove la crittografia non viene eseguita.
[Validità]
Inserire il periodo di validità di IKE SA (ISAKMP SA) da utilizzare come percorso di comunicazione di controllo in minuti.
[Metodo di autenticazione]
Selezionare il metodo di autenticazione della macchina.
Se si seleziona [Metodo chiave già condivisa], fare clic su [Impostazioni chiave condivisa] 
inserire la stringa da utilizzare come chiave condivisa utilizzando caratteri alfanumerici fare clic su [OK].
inserire la stringa da utilizzare come chiave condivisa utilizzando caratteri alfanumerici fare clic su [OK].Se si seleziona [Metodo firma digitale], fare clic su [Chiave e certificato] [Usare] della chiave e del certificato da utilizzare.
[Usare] della chiave e del certificato da utilizzare.[Algoritmo autenticazione/crittografia]
Configurare l'algoritmo di autenticazione e crittografia per la fase 1 di IKE.
Per impostare automaticamente un algoritmo che può essere utilizzato sia da questa macchina che dalla periferica di comunicazione, selezionare [Autom.].
Per specificare un particolare algoritmo, selezionare [Impostazioni manuali] e configurare le impostazioni [Autenticazione], [Crittografia] e [Gruppo DH].
[Autenticazione]: selezionare l'algoritmo hash.
[Crittografia]: selezionare l'algoritmo di crittografia.
[Gruppo DH]: selezionare il gruppo Diffie-Hellman utilizzato per determinare la forza della chiave.
Quando [Modo IKE] è impostato su [Principale] e [Metodo di autenticazione] è impostato su [Metodo chiave già condivisa] Se si specifica più di un indirizzo in [Impostazioni indirizzo remoto] nelle impostazioni del selettore, si applicano le seguenti restrizioni quando si creano più criteri: Per i criteri con più di un indirizzo specificato, tutte le chiavi condivise devono essere impostate sulla stessa stringa. I criteri con più di un indirizzo specificato non possono essere impostati su una priorità più alta rispetto ai criteri con un singolo indirizzo specificato. |
3
Fare clic su [OK].
La schermata [Registrazione criterio] viene nuovamente visualizzata.
13
Configurare le impostazioni di rete IPSec.
1
Fare clic su [Impostazioni rete IPSec].
Viene visualizzata la schermata [Rete IPSec].
2
Configurare le impostazioni di rete IPSec.
[Validità]
Specificare il periodo di validità di IPSec SA da utilizzare come percorso di comunicazione dei dati per durata, dimensioni o entrambi.
Se si seleziona [Intervallo], inserire il periodo di validità in minuti.
Se si seleziona [Dimensione], inserire il periodo valido in megabyte.
Se si selezionano entrambi, viene applicata la voce il cui valore specificato viene raggiunto per primo.
[PFS]
Selezionare questa casella di controllo per configurare PFS per la chiave della sessione.
[Algoritmo autenticazione/crittografia]
Impostare l'algoritmo di autenticazione e crittografia per la fase 2 di IKE.
Per impostare automaticamente l'autenticazione ESP e l'algoritmo di crittografia, selezionare [Autom.].
Per specificare un metodo di autenticazione particolare, selezionare [Impostazioni manuali] e selezionare uno dei seguenti metodi di autenticazione.
[ESP]:
Vengono eseguite sia l'autenticazione che la crittografia.
Selezionare l'algoritmo in [Autenticazione ESP] e [Crittografia ESP]. Se non si desidera impostare l'algoritmo, selezionare [NULL].
Vengono eseguite sia l'autenticazione che la crittografia.
Selezionare l'algoritmo in [Autenticazione ESP] e [Crittografia ESP]. Se non si desidera impostare l'algoritmo, selezionare [NULL].
[ESP (AES-GCM)]:
Vengono eseguite sia l'autenticazione che la crittografia.
Come algoritmo viene utilizzato AES-GCM.
Vengono eseguite sia l'autenticazione che la crittografia.
Come algoritmo viene utilizzato AES-GCM.
[AH (SHA1)]:
L'autenticazione viene eseguita, ma i dati non vengono crittografati.
SHA1 viene utilizzato come algoritmo.
L'autenticazione viene eseguita, ma i dati non vengono crittografati.
SHA1 viene utilizzato come algoritmo.
[Modo di connessione]
La macchina supporta solo la modalità trasporto.
3
Fare clic su [OK].
La schermata [Registrazione criterio] viene nuovamente visualizzata.
14
Fare clic su [OK].
Il criterio appena creato viene aggiunto a nella schermata [Elenco criteri IPSec] screen.
Quando sono registrati più criteri
Selezionare un criterio e fare clic su [Alzare priorità] o [Abbassare priorità] per modificare l'ordine della priorità. I criteri di livello superiore hanno la priorità quando applicati alla comunicazione IPSec.
15
Fare clic su [Applicazione variazioni impostazioni] [OK].
[OK].Le impostazioni vengono applicate.
16
Uscire dalla IU remota.
NOTA
Modifica dei criteri registrati
Per modificare le informazioni registrate, fare clic sul nome del criterio che si desidera modificare nella schermata [Elenco criteri IPSec] .