Come configurare le impostazioni IPsec
Leggere il codice QR con il dispositivo portatile.
Come posso configurare le impostazioni IPsec?
Fare clic su per visualizzare o nascondere tutte le informazioni aggiuntive incluse in questa risposta.
Per comunicazioni più sicure, questa stampante supporta il protocollo IPsec. Quando viene applicato, il protocollo IPsec crittografa i pacchetti di dati a livello di rete tramite una crittografia a chiave condivisa. La stampante utilizza lo scambio del codice di crittografia per creare una chiave condivisa comune a mittente e destinatario. Per una sicurezza sempre maggiore, è inoltre possibile rinnovare periodicamente la chiave condivisa.
- IPsec non si applica ai dati ottenuti attraverso DHCP, DNS o WINS.
- I sistemi operativi compatibili con IPsec sono Windows XP SP2, Windows Vista/7, Windows Server 2003/2003 R2/2008/2008 R2, Mac OS X 10.4.8 e successivo, Red Hat Enterprise Linux WS 4.0 e Solaris 10. Tuttavia alcune impostazioni non sono supportate a seconda del sistema operativo. Assicurarsi che le impostazioni IPsec che si specificano siano coerenti con le impostazioni IPsec del sistema operativo.
- Se non si riesce ad accedere a Web Image Monitor a causa di problemi di configurazione IPsec, disattivare IPsec in Impostazioni di rete dal pannello di controllo, quindi accedere a Web Image Monitor.
- Per ulteriori informazioni sulla definizione delle impostazioni IPsec tramite Web Image Monitor, consultare Configurazione delle impostazioni IPsec.
- Per ulteriori informazioni sull'attivazione e la disattivazione di IPsec tramite il pannello di controllo, consultare Attivazione e disattivazione di IPsec tramite il pannello di controllo.
[+] Configurazione delle impostazioni IPsec
Fare clic su [Impostazioni IPsec] per visualizzare la pagina per la configurazione delle impostazioni IPsec.
Questa pagina contiene le seguenti schede: [Impostazioni globali IPsec] e [Lista policy IPsec].
- Questa funzione è disponibile solo quando viene specificata una password amministratore.
[+] Configurazione delle impostazioni globali IPsec
Fare clic sulla scheda [Impostazioni globali IPsec] nella pagina delle impostazioni IPsec per configurare le impostazioni globali IPsec.
Voce Descrizione Funzione IPsec Abilitare o disabilitare IPsec. Policy predefinita Scegliere se consentire o meno la policy IPsec predefinita. Ignora broadcast e multicast Selezionare i servizi che non si vogliono applicare a IPsec tra i seguenti:[DHCPv4], [DHCPv6], [SNMP], [mDNS], [NetBIOS], [Porta UDP 53550] Ignora ICMP Scegliere se applicare la protezione IPsec ai pacchetti ICMP (IPv4 e IPv6) tramite le seguenti opzioni:
- [Attivo]: Tutti i pacchetti ICMP saranno ignorati, senza protezione IPsec. Il comando "ping" (echo request e echo reply) non è incapsulato da IPsec.
- [Disattivo]: Alcuni tipi di messaggio ICMP verranno ignorati, senza protezione IPsec.
Nota
- Per ulteriori informazioni sui tipi di messaggi ICMP che verranno ignorati quando [Ignora ICMP] viene impostato su [Disattivo], consultare il manuale di Web Image Monitor.
[+] Configurazione della policy IPsec
Fare clic sulla scheda [Lista policy IPsec] nella pagina delle impostazioni IPsec per configurare la lista dei criteri IPsec registrati.
Voce Descrizione No. Numero policy IPsec. Nome Visualizza il nome della policy IPsec. Impostazioni indirizzo Visualizza il filtro dell'indirizzo IP della policy IPsec come segue: Indirizzo remoto/Lunghezza prefisso Azione Visualizza l'azione della policy IPsec "Permetti", "Rifiuta", oppure "Richiedi sicurezza". Stato Visualizza lo stato della policy IPsec "Attivo" oppure "Disattivo". Per configurare la policy IPsec, selezionare la policy IPsec desiderata, quindi fare clic su [Cambia] per aprire "Impostazioni policy IPsec" . Le seguenti impostazioni possono essere effettuate in "Impostazioni policy IPsec" .
Impostazioni policy IP Voce Descrizione No. Specificare un numero compreso tra 1 e 10 per la policy IPsec. Il numero specificato determinerà la posizione della policy nella lista policy IPsec. La ricerca delle policy viene eseguita in base all'ordine della lista. Se il numero specificato è stato già assegnato a un'altra policy, quella che si sta configurando prenderà il numero della policy precedente e la policy precedente e tutte quelle successive verranno rinumerate di conseguenza. Attività Abilitare o disabilitare la policy. Nome Immettere il nome della policy. Può contenere fino a 16 caratteri. Tipo di indirizzo Selezionare IPv4 o IPv6 come tipo di indirizzo IP da utilizzare nella comunicazione IPsec. Indirizzo locale Visualizza l'indirizzo IP della stampante. Indirizzo remoto Immettere l'indirizzo IPv4 o IPv6 del dispositivo con il quale comunicare. Può contenere fino a 39 caratteri. Lunghezza prefisso Immettere la lunghezza del prefisso dell'indirizzo remoto, utilizzando un valore compreso tra 1 e 128. Se questa impostazione viene lasciata vuota verranno selezionati automaticamente "32" (IPv4) o "128" (IPv6). Azione Specificare come vengono elaborati i pacchetti IP, scegliendo tra le seguenti opzioni:
- [Permetti]: I pacchetti IP vengono sia inviati che ricevuti senza che venga applicata la protezione IPsec.
- [Rifiuta]: I pacchetti IP vengono ignorati.
- [Richiedi protezione]: la protezione IPsec viene applicata sia ai pacchetti IP inviati sia a quelli ricevuti.
Se è stato selezionato [Richiedi protezione], è necessario configurare [Impostazioni IPsec] e [Impostazioni IKE].
Impostazioni IPsec Voce Descrizione Tipo di encapsulation Specificare il tipo di incapsulamento, scegliendo tra:
- [Trasporto]: Selezionare questa modalità per proteggere solo la sezione di payload di ogni pacchetto IP durante la comunicazione con i dispositivi compatibili IPsec.
- [Tunnel]: Selezionare questa modalità per proteggere tutte le sezioni dei pacchetti IP. Questo tipo è consigliato per la comunicazione tra gateway di sicurezza (come ad esempio i dispositivi VPN).
Protocollo di sicurezza Selezionare il protocollo di sicurezza tra:
- [AH]: Stabilisce una comunicazione protetta che supporta solo l'autenticazione.
- [ESP]: Stabilisce una comunicazione protetta che supporta sia l'autenticazione, sia la crittografia dei dati.
- [ESP&AH]: Stabilisce una comunicazione protetta che supporta sia la crittografia dei dati, sia l'autenticazione dei pacchetti, comprese le intestazioni dei pacchetti. Notare che non è possibile specificare questo protocollo quando è selezionata l'opzione Tunnel per Tipo di encapsulation.
Algoritmo autenticazione per AH Specificare l'algoritmo di autenticazione da applicare quando [AH] o [ESP&AH] è selezionato per [Protocollo di sicurezza] tra i seguenti: [MD5], [SHA1] Algoritmo crittografia per ESP Specificare l'algoritmo di crittografia da applicare quando [ESP] o [ESP&AH] è selezionato per [Protocollo di sicurezza] tra i seguenti: [Nessuno], [DES], [3DES], [AES-128], [AES-192], [AES-256] Algoritmo autenticazione per ESP Specificare l'algoritmo di autenticazione da applicare quando [ESP] è selezionato per [Protocollo di sicurezza] tra i seguenti: [MD5], [SHA1] Durata Specificare la durata dell'IPsec SA (Security Association) come periodo di tempo o volume di dati. La SA scadrà quando il periodo di tempo specificato sarà trascorso o il volume dei dati specificato raggiungerà il volume trasportato. Se si specificano sia un periodo di tempo che un volume di dati, la SA scadrà non appena uno dei due viene raggiunto, e una nuova SA sarà quindi ottenuta tramite negoziazione. Per specificare la durata della SA come periodo di tempo, immettere un numero di secondi. Per specificare la durata della SA come volume di dati, immettere un numero di KB. PFS per chiave Abilitare o disabilitare PFS (Perfect Forward Secrecy).
Impostazioni IKE Voce Descrizione Versione IKE Visualizza la versione IKE. Algoritmo di crittografia Specificare l'algoritmo di crittografia tra i seguenti: [DES], [3DES], [AES-128], [AES-192], [AES-256] Algoritmo autenticazione Specificare l'algoritmo di autenticazione tra i seguenti: [MD5], [SHA1] Durata IKE Specificare la durata della ISAKMP SA come periodo di tempo. Immettere un numero di secondi. Gruppo Diffie-Hellman IKE Selezionare il gruppo Diffie-Hellman IKE da utilizzare nella generazione della chiave di crittografia IKE scegliendo tra: [DH1], [DH2] Chiave precondivisa Specificare la chiave precondivisa da utilizzare per l'autenticazione di un dispositivo di comunicazione. Può contenere fino a 32 caratteri. PFS per chiave Abilitare o disabilitare PFS (Perfect Forward Secrecy).
[+] Crittografia ed autenticazione tramite IPsec
IPsec si compone di due funzioni principali: la funzione di crittografia, che assicura la riservatezza dei dati e la funzione di autenticazione che verifica il mittente e l'integrità dei dati. La funzione IPsec della stampante supporta due protocolli di sicurezza: il protocollo ESP, che abilita entrambe le funzioni IPsec contemporaneamente, e il protocollo AH, che abilita solo la funzione di autenticazione.
- Protocollo ESP
-
Il protocollo ESP garantisce trasmissioni sicure utilizzando sia la crittografia che l'autenticazione. Questo protocollo non offre l'autenticazione delle testate.
- Perché la crittografia avvenga correttamente, sia il mittente che il destinatario devono specificare lo stesso algoritmo di crittografia e codice di crittografia. L'algoritmo e il codice di crittografia vengono specificati automaticamente.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
- Protocollo AH
-
Il protocollo AH fornisce trasmissione sicura mediante la sola autenticazione del pacchetto, testate incluse.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
- Protocollo AH + Protocollo ESP
-
Se combinati, i protocolli ESP e AH forniscono la trasmissione sicura mediante crittografia e autenticazione. Questi protocolli forniscono l'autenticazione della testata.
- Perché la crittografia avvenga correttamente, sia il mittente che il destinatario devono specificare lo stesso algoritmo di crittografia e codice di crittografia. L'algoritmo e il codice di crittografia vengono specificati automaticamente.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
- Alcuni sistemi operativi usano il termine "Compatibilità" al posto di "Autenticazione".
[+] Security Association (SA)
Questa macchina utilizza lo scambio del codice di crittografia come metodo di impostazione del codice. Con questo metodo, accordi come l'algoritmo e il codice IPsec devono essere specificati sia per il mittente sia per il destinatario. Tali accordi formano ciò che è conosciuto come SA (Security Association). La comunicazione IPsec è possibile solo se le impostazioni SA del mittente e del destinatario sono identiche.
Le impostazioni SA vengono configurate automaticamente sulle stampanti di entrambi. Prima che possa essere stabilita la IPsec SA, tuttavia, è necessario che l'impostazione ISAKMP SA (Fase 1) venga configurata automaticamente. Una volta effettuato ciò, le impostazioni IPsec SA (Fase 2), che consentono la reale trasmissione IPsec, vengono configurate automaticamente.
Inoltre, per una maggiore sicurezza, SA può essere aggiornato automaticamente applicando un periodo di validità (limite di tempo) per le sue impostazioni. Questa stampante supporta solo IKEv1 per lo scambio del codice di crittografia.
È possibile configurare più impostazioni in SA.
- Impostazioni 1-10
- È possibile configurare dieci set separati di dettagli SA (quali le diverse chiavi condivise e algoritmi IPsec).
Le policy IPsec vengono cercate una alla volta, a partire da [Nr.1].
[+] Flusso di configurazione Impostazioni manuali codice crittografia
La presente sezione spiega la procedura per specificare le impostazioni dello scambio del codice di crittografia.
Dispositivo | PC |
---|---|
1. Configurare le impostazioni IPsec in Web Image Monitor. | 1. Configurare nel PC le stesse impostazioni IPsec della stampante. |
2. Abilitare le impostazioni IPsec. | 2. Abilitare le impostazioni IPsec. |
3. Verificare la trasmissione IPsec. |
Nota
- Dopo aver configurato IPSec, è possibile utilizzare il comando "ping" per verificare se la connessione è stata stabilita in maniera corretta. Inoltre, siccome la risposta è lenta durante lo scambio iniziale di codice, la conferma che la trasmissione è stata stabilita può impiegare del tempo.
- Se non è possibile accedere a Web Image Monitor a causa dei problemi di configurazione IPsec, disabilitare IPsec sul pannello di controllo e poi accedere a Web Image Monitor.
[+] Specificare le impostazioni dello scambio del codice di crittografia
- Per visualizzare il menu [Impostazioni IPsec] è necessario specificare una password di amministratore.
- Avviare il browser Web ed effettuare l'accesso al dispositivo immettendo l'indirizzo IP.
- Fare clic su [Impostazioni IPsec].
- Fare clic sulla scheda Lista policy IPsec.
- Selezionare nella lista il numero dell'impostazione che si desidera modificare, quindi fare clic su [Cambia].
- Se necessario, modificare le impostazioni relative al protocollo IPsec.
- Inserire la password di amministratore, quindi fare clic su [Applica].
- Fare clic sulla scheda [Impostazioni globali IPsec], quindi selezionare [Attivo] in [Funzione IPsec].
- Se necessario, specificare [Policy predefinita], [Ignora broadcast e multicast] e [Ignora ICMP].
- Inserire la password di amministratore, quindi fare clic su [Applica].
[+] Specificare le impostazioni IPsec sul computer
Specificare sul computer esattamente le stesse impostazioni di IPsec SA specificate nella macchina. I metodi di impostazione differiscono in base al sistema operativo del computer. La seguente procedura è basata su Windows XP in un ambiente IPv4 e rappresenta un esempio.
- Sul menu [Start], fare clic su [Pannello di controllo], [Prestazioni e manutenzione], quindi su [Strumenti di amministrazione].
- Fare doppio clic su [Criteri di protezione locali].
- Fare clic su [Criteri di protezione IP su Computer locale].
- Nel menu "Azione", fare clic su [Crea sicurezza dati IP].
Viene visualizzata la procedura guidata dei criteri di sicurezza IP. - Fare clic su [Avanti].
- Inserire il nome dei criteri di sicurezza in "Nome" e poi fare clic su [Avanti].
- Deselezionare la casella di controllo "Attivare la regola di risposta predefinita" e quindi fare clic su [Avanti].
- Selezionare "Modifica proprietà", quindi fare clic su [Fine].
- Nella scheda "[Generale]", fare clic su [Avanzate].
- In "Autentica e genera una nuova chiave ogni", immettere lo stesso periodo di validità (in minuti) specificato sulla stampante in [Durata IKE], quindi fare clic su [Metodi].
- Verificare che le impostazioni dell'algoritmo di crittografia ("Crittografia"), algoritmo Hash ("Integrity"), e Gruppo Diffie-Hellman IKE ("Gruppo Diffie-Hellman") in "ordine di preferenza metodo di sicurezza" corrispondano tutte a quelle specificate nella stampante in [Impostazioni IKE].
Se le impostazioni non vengono visualizzate, fare clic su [Aggiungi]. - Premere due volte [OK].
- Fai clic su [Aggiungi] nella scheda "Regole".
Appare la procedura guidata Regola di sicurezza. - Fare clic su [Avanti].
- Selezionare "Questa regola non specifica un tunnel", quindi fare clic su [Avanti].
- Selezionare il tipo di rete per IPsec, quindi fare clic su [Avanti].
- Selezionare "Utilizza questa stringa per proteggere lo scambio di chiave (chiave già condivisa)", quindi inserire lo stesso testo PSK specificato nella macchina con la chiave già condivisa.
- Fare clic su [Avanti].
- Fare clic su [Aggiungi] nell'elenco dei filtri IP.
- In [Nome], inserire un nome di filtro IP, quindi fare clic su [Aggiungi].
Appare la procedura guidata per il filtro IP. - Fare clic su [Avanti].
- Selezionare "Indirizzo IP" in "Indirizzo sorgente", quindi fare clic su [Avanti].
- Selezionare "Indirizzo IP specifico" in "Indirizzo di destinazione", inserire l'indirizzo IP della macchina e poi fare clic su [Avanti].
- Per il tipo di protocollo IPsec, selezionare "Qualsiasi" e fare clic su [Avanti].
- Fare clic su [Fine].
- Fare clic su [OK].
- Selezionare il filtro IP appena creato e fare clic su [Avanti].
- Selezionare il filtro di sicurezza IPsec, quindi fare clic su [Modifica].
- Nella scheda "Metodi di sicurezza", selezionare "Negozia sicurezza" e fare clic su [Aggiungi].
- Selezionare "Personalizzato" e fare clic su [Impostazioni].
- Quando [ESP] è selezionato per il dispositivo in [Protocollo di sicurezza] sotto [Impostazioni IPsec], selezionare [Integrità dati con crittografia (ESP)], e configurare le seguenti impostazioni: Per [Algoritmo di crittografia]
impostare lo stesso valore di [Algoritmo autenticazione per ESP] specificato nella stampante. Per [Algoritmo di crittografia]
impostare lo stesso valore di [Algoritmo crittografia per ESP] specificato nella stampante. - Quando [AH] è selezionato per il dispositivo in [Protocollo di sicurezza] sotto [Impostazioni IPsec], selezionare [Integrità dati e indirizzi, senza crittografia (AH)], e configurare le seguenti impostazioni: Per [Algoritmo di integrità]
impostare lo stesso valore di [Algoritmo autenticazione per AH] specificato nella stampante.
Deselezionare la casella di controllo [Integrità dati con crittografia (ESP)]. - Quando [ESP&AH] è selezionato per il dispositivo in [Protocollo di sicurezza] sotto [Impostazioni IPsec], selezionare [Integrità dati e indirizzi, senza crittografia (AH)], e configurare le seguenti impostazioni: Per [Algoritmo di integrità] in [Integrità dati e indirizzi, senza crittografia (AH)]
impostare lo stesso valore di [Algoritmo autenticazione per AH] specificato nella stampante. Per [Algoritmo di crittografia] in [Integrità dati con crittografia (ESP)]
impostare lo stesso valore di [Algoritmo crittografia per ESP] specificato nella stampante. - Nelle impostazioni delle chiavi di sessione, selezionare "Genera nuova chiave ogni", quindi immettere lo stesso periodo di validità (in secondi o Kbyte) specificato nella macchina per [Durata].
- Fare clic su [[OK] tre volte.
- Fare clic su [Avanti].
- Fare clic su [Fine].
Se si sta utilizzando IPv6 con Windows Vista o una versione successiva di Windows, è necessario ripetere questa procedura dalla fase 13 e specificare ICMPv6 come eccezione. Una volta raggiunto il passaggio 24, selezionare [58] come numero di protocollo per il tipo di protocollo di destinazione "Altro", quindi impostare [Negozia protezione] su [Autorizza]. - Fare clic su [OK].
- Fare clic su [Chiudi].
I nuovi criteri di sicurezza IP (impostazioni IPsec) sono specificati. - Fare clic con il tasto destro del mouse sui criteri di sicurezza appena creati, dopo averli selezionati, quindi fare clic su [Assegna].
Le impostazioni IPsec sono attivate sul computer.
- Per disabilitare le impostazioni IPsec del computer, selezionare i criteri di sicurezza, fare clic con il tasto destro e poi fare clic su [Annulla assegnazione].
[+] Abilitare e disabilitare IPsec tramite il pannello di controllo
- Premere il tasto [Menu].
- Premere i tasti [][] per selezionare [Interfacc.host], quindi premere il tasto [OK].
- Premere i tasti [][]per selezionare [Impostaz.rete], quindi premere il tasto [OK].
- Premere i tasti [][] per selezionare [IPsec], quindi premere il tasto [OK].
- Premere i tasti [][] per selezionare [Attivo] o [Disattivo], quindi premere il tasto [OK].
- Premere il tasto [Menu] per tornare alla schermata iniziale.
- È possibile premere il tasto [Escape] per tornare al livello precedente della struttura del menu.