Come configurare le impostazioni IPsec
Leggere il codice QR con il dispositivo portatile.
Come si configurano le impostazioni IPsec?
Fare clic su per visualizzare o nascondere tutte le informazioni aggiuntive incluse in questa risposta.
Per comunicazioni più sicure, questa stampante supporta il protocollo IPsec. Quando viene applicato, il protocollo IPsec crittografa i pacchetti di dati a livello di rete tramite una crittografia a chiave condivisa. La stampante utilizza lo scambio del codice di crittografia per creare una chiave condivisa comune a mittente e destinatario. Per una sicurezza sempre maggiore, è inoltre possibile rinnovare periodicamente la chiave condivisa.
Importante
- IPsec non si applica ai dati ottenuti attraverso DHCP, DNS o WINS.
- Se non si riesce ad accedere a Web Image Monitor a causa di problemi di configurazione IPsec, disabilitare IPsec in [Interfacc.host] dal pannello di controllo, quindi accedere a Web Image Monitor. Per ulteriori dettagli sulla disattivazione dell'IPsec sul pannello di controllo, vedere Disattivazione di IPsec tramite il pannello di controllo.
Questa risposta spiega la procedura per specificare le impostazioni dello scambio del codice di crittografia. Per specificare le impostazioni di scambio del codice di crittografia, prima è necessario configurare le impostazioni IPsec da Web Image Monitor, quindi configurare le stesse impostazioni IPsec del dispositivo sul PC.
Dopo la configurazione di IPsec, è possibile utilizzare il comando "ping" per controllare se il collegamento è stato stabilito correttamente. Poiché la risposta è lenta durante lo scambio iniziale di codice, può essere necessario del tempo per avere la conferma che la trasmissione è stata stabilita.
[+] Configurazione delle impostazioni IPsec su Web Image Monitor
Importante
- [Impostazioni IPsec] viene visualizzato soltanto se è stata configurata la password di amministratore. Specificare l'impostazione tramite Web Image Monitor.
- Avviare il browser Web.
- Nella barra degli indirizzi del browser web inserire "http://(indirizzo IP periferica)/" per accedere alla periferica.
Se si usa un server DNS o WINS ed è stato specificato il nome host della periferica, è possibile inserire il nome host invece dell'indirizzo IP.
Si apre la pagina principale di Web Image Monitor. - Fare clic su [Impostazioni IPsec].
- Fare clic sulla scheda Lista policy IPsec.
- Selezionare nella lista il numero dell'impostazione che si desidera modificare, quindi fare clic su [Cambia].
- Se necessario, modificare le impostazioni relative al protocollo IPsec.
- Inserire la password di amministratore, quindi fare clic su [Applica].
- Fare clic sulla scheda [Impostazioni globali IPsec], quindi selezionare [Attivo] in [Funzione IPsec].
- Se necessario, specificare [Policy predefinita], [Ignora broadcast e multicast] e [Ignora ICMP].
- Inserire la password di amministratore, quindi fare clic su [Applica].
[+] Scheda Impostazioni generali IPsec
Fare clic sulla scheda [Impostazioni generali IPsec] nella pagina Impostazioni IPsec per configurare le impostazioni generali IPsec.
Voce | Descrizione |
Funzione IPsec | Abilitare o disabilitare IPsec. |
Policy predefinita | Scegliere se consentire la policy IPsec predefinita. |
Ignora broadcast e multicast | Selezionare i servizi a cui non si desidera applicare IPsec tra i seguenti: [DHCPv4], [DHCPv6], [SNMP], [mDNS], [NetBIOS], [UDP Port 53550] |
Ignora ICMP | Selezionare se applicare IPsec ai pacchetti ICMP (IPv4 e IPv6): [Attivo]: tutti i pacchetti ICMP saranno bypassati senza protezione IPsec. Il comando "ping" (richiesta eco e risposta eco) non viene racchiuso da IPsec. [Non attivo]: alcuni tipi di messaggi ICMP saranno bypassati senza protezione IPsec. |
Nota
- Per ulteriori informazioni sui tipi di messaggi ICMP che verranno ignorati quando [Ignora ICMP] viene impostato su [Non attivo], consultare il manuale di Web Image Monitor.
[+] Scheda Lista policy IPsec
Per visualizzare l'elenco dei criteri IPsec registrati fare clic sulla scheda [Lista policy IPsec] nella pagina delle impostazioni di sicurezza IP.
Voce | Descrizione |
No. | Numero policy IPsec. |
Nome | Visualizza il nome della policy IPsec. |
Impostazioni indirizzo | Visualizza il filtro dell'indirizzo IP della policy IPsec come segue: Indirizzo remoto/Lunghezza prefisso |
Azione | Visualizza l'azione della policy IPsec come "Permetti", "Rifiuta" o "Richiedi sicurezza". |
Stato | Visualizza lo stato della policy IPsec come "Attivo" o "Non attivo". |
Per configurare le policy IPsec, selezionare la policy IPsec desiderata e fare clic su [Cambia] per aprire la pagina "Impostazioni policy IPsec". Nella pagina "Impostazioni policy IPsec" è possibile configurare le seguenti impostazioni.
Voce | Descrizione |
No. | Specificare un numero compreso tra 1 e 10 per la policy IPsec. Il numero specificato determinerà la posizione della policy nella lista policy IPsec. La ricerca delle policy viene eseguita in base all'ordine della lista. Se il numero specificato è stato già assegnato a un'altra policy, quella che si sta configurando prenderà il numero della policy precedente e la policy precedente e tutte quelle successive verranno rinumerate di conseguenza. |
Attività | Abilitare o disabilitare la policy. |
Nome | Immettere il nome della policy. Può contenere fino a 16 caratteri. |
Tipo di indirizzo | Selezionare IPv4 o IPv6 come tipo di indirizzo IP da utilizzare nella comunicazione IPsec. |
Indirizzo locale | Visualizza l'indirizzo IP della stampante. |
Indirizzo remoto | Immettere l'indirizzo IPv4 o IPv6 del dispositivo con il quale comunicare. Può contenere fino a 39 caratteri. |
Lunghezza prefisso | Immettere la lunghezza del prefisso dell'indirizzo remoto, utilizzando un valore compreso tra 1 e 128. Se questa impostazione viene lasciata vuota verranno selezionati automaticamente "32" (IPv4) o "128" (IPv6). |
Azione | Specificare come vengono elaborati i pacchetti IP, scegliendo tra le seguenti opzioni:
|
Voce | Descrizione |
Tipo di encapsulation | Specificare il tipo di encapsulation, scegliendo tra:
|
Protocollo di sicurezza | Selezionare il protocollo di sicurezza tra:
|
Algoritmo autenticazione per AH | Specificare l'algoritmo di autenticazione da applicare quando si seleziona [AH] o [ESP&AH] per [Protocollo di sicurezza] dai seguenti: [MD5], [SHA1] |
Algoritmo crittografia per ESP | Specificare l'algoritmo di crittografia da applicare quando si seleziona [ESP] o [ESP&AH] per [Protocollo di sicurezza] dai seguenti: [Nessuno], [DES], [3DES], [AES-128], [AES-192], [AES-256] |
Algoritmo autenticazione per ESP | Specificare l'algoritmo di autenticazione da applicare quando si seleziona [ESP] per [Protocollo di sicurezza] dai seguenti: [MD5], [SHA1] |
Durata | Specifica la durata dell'IPsec SA (Security Association) come periodo di tempo o volume di dati. L'SA scadrà una volta trascorso il periodo di tempo specificato o quando il volume dei dati specificato raggiunge il volume trasportato. Se si specifica sia un periodo di tempo che un volume di dati, l'SA scadrà non appena sarà raggiunto uno dei due e sarà quindi ottenuta una nuova SA tramite negoziazione. Per specificare la durata dell'SA come periodo di tempo, inserire un numero di secondi. Per specificare la durata dell'SA come volume di dati, inserire un numero di KB. |
PFS per chiave | Abilitare o disabilitare PFS (Perfect Forward Secrecy). |
Voce | Descrizione |
Versione IKE | Visualizza la versione IKE. |
Algoritmo di crittografia | Specificare l'algoritmo di crittografia dai seguenti: [DES], [3DES], [AES-128], [AES-192], [AES-256] |
Algoritmo di autenticazione | Specificare l'algoritmo di autenticazione dai seguenti: [MD5], [SHA1] |
Durata IKE | Specificare la durata della ISAKMP SA come periodo di tempo. Immettere un numero di secondi. |
Gruppo Diffie-Hellman IKE | Selezionare il gruppo Diffie-Hellman IKE da utilizzare nella generazione del codice di crittografia IKE dai seguenti: [DH1], [DH2] |
Chiave precondivisa | Specificare la chiave precondivisa da utilizzare per l'autenticazione di un dispositivo di comunicazione. Può contenere fino a 32 caratteri. |
PFS per chiave | Abilitare o disabilitare PFS (Perfect Forward Secrecy). |
[+] Configurazione delle stesse impostazioni IPsec del dispositivo sul PC
Specificare sul computer esattamente le stesse impostazioni di IPsec SA specificate nella macchina. I metodi di impostazione differiscono in base al sistema operativo del computer. La seguente procedura è basata su Windows XP in un ambiente IPv4 e rappresenta un esempio.
Nel menu [Start], fare clic su [Pannello di controllo], [Sistema e sicurezza], quindi fare clic su [Strumenti di amministrazione].
Fare doppio clic su [Criteri di sicurezza locali], quindi fare clic su [Criteri di protezione IP su computer locale].
Nel menu "Azione", fare clic su [Crea criterio di sicurezza IP...].
Appare la procedura guidata dei criteri di sicurezza IP.Fare clic su [Avanti].
Inserire il nome dei criteri di sicurezza in "Nome" e poi fare clic su [Avanti].
Deselezionare la casella di controllo "Attiva la regola di risposta predefinita (solo versione precedente di Windows).", quindi fare clic su [Avanti].
Selezionare "Modifica proprietà", quindi fare clic su [Fine].
Nella scheda "Generale" fare clic su [Impostazioni...].
In "Autentica e genera una nuova chiave ogni", immettere lo stesso periodo di validità (in minuti) specificato sul dispositivo in [Durata IKE], quindi fare clic su [Metodi...].
Verificare che le impostazioni dell'algoritmo di crittografia ("Crittografia"), dell'algoritmo hash ("Integrità") e del gruppo Diffie-Hellman IKE ("Gruppo Diffie-Hellman") in "Ordine di preferenza metodi di protezione" corrispondano a quelle specificate nel dispositivo in [Impostazioni IKE].
Se le impostazioni non sono visualizzate, fare clic su [Aggiungi...].Premere due volte [OK].
Fare clic su [Aggiungi...] nella scheda "Regole".
Appare la procedura guidata Regola di sicurezza.Fare clic su [Avanti].
Selezionare "Questa regola non specifica un tunnel", quindi fare clic su [Avanti].
Selezionare il tipo di rete per IPsec, quindi fare clic su [Avanti].
Fare clic su [Aggiungi...] nell'elenco dei filtri IP.
In [Nome], inserire un nome di filtro IP, quindi fare clic su [Aggiungi...].
Appare la procedura di creazione guidata filtro IP.Fare clic su [Avanti].
In [Descrizione:], inserire un nome o una spiegazione dettagliata del filtro IP, quindi fare clic su [Avanti].
Sarà possibile fare clic su [Avanti] e procedere con la fase successiva senza inserire alcuna informazione in questo campo.Selezionare "Indirizzo IP" in "Indirizzo sorgente", quindi fare clic su [Avanti].
Selezionare "Indirizzo IP specifico o sottorete" in "Indirizzo di destinazione", digitare l'indirizzo IP del dispositivo, quindi fare clic su [Avanti].
Per il tipo di protocollo IPsec, selezionare "Qualsiasi" e fare clic su [Avanti].
Fare clic su [Fine], quindi fare clic su [OK].
Selezionare il filtro IP appena creato e fare clic su [Avanti].
Fare clic su [Aggiungi...] in Azione del filtro.
Appare l'impostazione guidata operazione filtro.Fare clic su [Avanti].
In [Nome], digitare un nome di azione filtro, quindi fare clic su [Avanti].
Selezionare "Negozia sicurezza", quindi fare clic su [Avanti].
Selezionare una delle opzioni per i computer con cui comunicare, quindi fare clic su [Avanti].
Selezionare "Personalizzato" e fare clic su [Impostazioni...].
Quando si seleziona [ESP] per il dispositivo in [Protocollo di sicurezza] in [Impostazioni IPsec], selezionare [Integrità dati e crittografia (ESP)] e configurare le seguenti impostazioni:
Impostare il valore [Algoritmo integrità] sullo stesso valore di [Algoritmo autenticazione per ESP] specificato nel dispositivo. Per [Algoritmo di crittografia]
impostare lo stesso valore di [Algoritmo crittografia per ESP] specificato nella stampante.Quando si seleziona [AH] per il dispositivo in [Protocollo di sicurezza] in [Impostazioni IPsec], selezionare [Integrità dati e indirizzo senza crittografia (AH)] e configurare le seguenti impostazioni:
Impostare il valore [Algoritmo integrità] sullo stesso valore di [Algoritmo autenticazione per AH] specificato nel dispositivo.
Deselezionare la casella di controllo [Integrità dati con crittografia (ESP)].Quando si seleziona [ESP&AH] per il dispositivo in [Protocollo di sicurezza] in [Impostazioni IPsec], selezionare [Integrità dati e indirizzo senza crittografia (AH)] e configurare le seguenti impostazioni:
Impostare il valore [Algoritmo integrità] in [Integrità dati e indirizzo senza crittografia (AH)] sullo stesso valore di [Algoritmo autenticazione per AH] specificato nel dispositivo. Per [Algoritmo di crittografia] in [Integrità dati con crittografia (ESP)]
impostare lo stesso valore di [Algoritmo crittografia per ESP] specificato nella stampante.Nella impostazioni del codice di sessione, selezionare "Genera un nuovo codice ogni" e inserire lo stesso periodo di validità (in [Secondi] o [Kbyte]) di quello specificato per [Durata] sul dispositivo.
Fare clic su [OK], quindi su [Avanti].
Fare clic su [Fine].
Se si sta utilizzando IPv6 con Windows Vista o una versione successiva di Windows, è necessario ripetere questa procedura dalla fase 12 e specificare ICMPv6 come eccezione. Una volta raggiunto il passaggio 22, selezionare [58] come numero di protocollo per il tipo di protocollo di destinazione "Altro", quindi impostare [Negozia protezione] su [Autorizza].Selezionare l'azione filtro appena creata e fare clic su [Avanti].
Selezionare una delle opzioni per un modo di autenticazione, quindi fare clic su [Avanti].
Fare clic su [Fine], quindi fare clic due volte su [OK]. La nuova policy di sicurezza IP (impostazioni IPsec) è specificata. 40. Fare clic con il tasto destro del mouse sui criteri di sicurezza appena creati, dopo averli selezionati, quindi fare clic su [Assegna]. Le impostazioni IPsec sono attivate sul computer.
Selezionare il criterio di sicurezza appena creato, fare clic con il tasto destro del mouse su di esso, quindi fare clic su [Assegna].
Le impostazioni IPsec sul computer sono attive.
Nota
- Per disabilitare le impostazioni IPsec del computer, selezionare i criteri di sicurezza, fare clic con il tasto destro e poi fare clic su [Annulla assegnazione].
Ulteriori informazioni
[+] Crittografia ed autenticazione tramite IPsec
IPsec si compone di due funzioni principali: la funzione di crittografia, che assicura la riservatezza dei dati e la funzione di autenticazione che verifica il mittente e l'integrità dei dati. La funzione IPsec della stampante supporta due protocolli di sicurezza: il protocollo ESP, che abilita entrambe le funzioni IPsec contemporaneamente, e il protocollo AH, che abilita solo la funzione di autenticazione.
Protocollo ESP
Il protocollo ESP garantisce trasmissioni sicure utilizzando sia la crittografia che l'autenticazione. Questo protocollo non offre l'autenticazione delle testate.
- Perché la crittografia avvenga correttamente, sia il mittente che il destinatario devono specificare lo stesso algoritmo di crittografia e codice di crittografia. L'algoritmo e il codice di crittografia vengono specificati automaticamente.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
Protocollo AH
Il protocollo AH fornisce trasmissione sicura mediante la sola autenticazione del pacchetto, testate incluse.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
Protocollo AH + Protocollo ESP
Se combinati, i protocolli ESP e AH forniscono la trasmissione sicura mediante crittografia e autenticazione. Questi protocolli forniscono l'autenticazione della testata.
- Perché la crittografia avvenga correttamente, sia il mittente che il destinatario devono specificare lo stesso algoritmo di crittografia e codice di crittografia. L'algoritmo e il codice di crittografia vengono specificati automaticamente.
- Perché la crittografia avvenga correttamente, il mittente e il destinatario devono specificare lo stesso algoritmo di autenticazione e codice di autenticazione. L'algoritmo e il codice di autenticazione vengono specificati automaticamente.
Nota
- Alcuni sistemi operativi usano il termine "Compatibilità" al posto di "Autenticazione".
[+] Security Association (SA)
Questa macchina utilizza lo scambio del codice di crittografia come metodo di impostazione del codice. Con questo metodo, accordi come l'algoritmo e il codice IPsec devono essere specificati sia per il mittente sia per il destinatario. Tali accordi formano ciò che è conosciuto come SA (Security Association). La comunicazione IPsec è possibile solo se le impostazioni SA del destinatario e del mittente sono le stesse.
Le impostazioni SA sono configurate automaticamente sui dispositivi delle due parti. Prima che possa essere stabilita la IPsec SA, tuttavia, è necessario che l'impostazione ISAKMP SA (Fase 1) venga configurata automaticamente. Una volta fatto, le impostazioni IPsec SA (fase 2), che consentono la trasmissione IPsec reale, saranno configurate automaticamente.
Inoltre, per maggiore sicurezza, periodicamente l'SA può essere aggiornata automaticamente applicando un periodo di validità (limite di tempo) per le relative impostazioni. Questo dispositivo supporta solo IKEv1 per lo scambio del codice di crittografia.
Nell'SA è possibile configurare più impostazioni.Impostazioni 1-10
È possibile configurare dieci serie separate di dettagli SA (come codici condivisi diversi e algoritmi IPsec).
I criteri IPsec vengono cercati uno alla volta, iniziando con [No.1].[+] Disattivazione di IPsec tramite il pannello di controllo
Premere il tasto [Menu].
Premere il tasto [] o [] per selezionare [Interfaccia host], quindi premere il tasto [OK].
Premere il tasto [] o [] per selezionare [Impostazione di rete], quindi premere il tasto [OK].
Premere il tasto [] o [] per selezionare [IPsec], quindi premere il tasto [OK].
Premere il tasto [] o [] per selezionare [Non attivo], quindi premere il tasto [OK].
Premere il tasto [Menu] per tornare alla schermata iniziale.