Konfigurace nastavení IPSec
Internet Protocol Security (IPSec nebo IPsec) je sada protokolů pro šifrování dat přepravovaných prostřednictvím sítě, včetně internetových sítí. Zatímco protokol TLS šifruje pouze data používaná v konkrétní aplikaci, jako je například webový prohlížeč nebo e-mailová aplikace, protokol IPSec šifruje celé IP pakety nebo jejich datové části a poskytuje tak univerzálnější systém zabezpečení. Sada protokolů IPSec zařízení pracuje v transportním režimu, ve kterém jsou šifrovány datové části IP paketů. Zařízení se může díky této funkci připojit přímo k počítači ve stejné virtuální privátní síti (VPN). Zkontrolujte požadavky na systém a potřebným způsobem nakonfigurujte nejprve počítač a až poté také zařízení.
Požadavky na systém
Protokol IPSec, který je podporován zařízením, vyhovuje standardům RFC4301, RFC4302, RFC4303 a RFC4305.
|
Operační systémy podporované komunikačními partnery
|
Windows Vista/7/8/10/Server 2003/Server 2008/Server 2012
|
|
|
Režim připojení
|
Transportní režim
|
|
|
Protokol výměny klíčů
|
IKEv1
|
|
|
Režim tisku
|
Hlavní režim
Agresivní režim
|
|
|
Metoda ověřování
|
Předsdílený klíč
Digitální podpis
|
|
|
Algoritmus hash
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
Algoritmus šifrování
(a délka klíče) |
3DES-CBC
AES-CBC (128 bitů, 192 bitů nebo 256 bitů)
|
|
|
Algoritmus výměny klíčů / skupina (a délka klíče)
|
Diffie-Hellman (DH)
Group 1 (768 bitů)
Skupina 2 (1024 bitů)
Skupina 14 (2048 bitů)
|
|
|
ESP (Encapsulating Security Payload)
|
Algoritmus hash
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
Algoritmus šifrování
(a délka klíče) |
3DES-CBC
AES-CBC (128 bitů, 192 bitů nebo 256 bitů)
|
|
|
AH (Authentication Header)
|
Algoritmus hash
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
Předtím, než nakonfigurujete komunikační nastavení IPSecZkontrolujte nastavení IPSec v operačním systému, s nímž bude tiskárna komunikovat. Nesprávná kombinace nastavení operačního systému a tiskárny znemožní komunikaci IPSec.
|
 |
Omezení funkcí IPSecIPSec podporuje komunikaci na jednosměrovou adresu (nebo jedno zařízení).
Zařízení nemůže současně používat protokol IPSec i DHCPv6.
Protokol IPSec není k dispozici v sítích, kde je implementován překlad adres NAT nebo maskování IP adres.
V IKEv1 phase1, není funkce PFS podporována.
Použití protokolu IPSec s filtrem IP adresNastavení IPSec se aplikují před nastavením filtru IP adresy během příjmu paketů, zatímco nastavení IP adresy se použijí před nastavením IPSec během přenosu paketů. Zadání IP adres pro přidání do pravidel brány firewall
|
Registrace bezpečnostních zásad
Abyste mohli začít používat protokol IPSec pro šifrování komunikace, je třeba nejprve uložit zásady zabezpečení (SP) a teprve pak aktivovat nastavení IPSec (Povolení komunikace IPSec). Zásady zabezpečení sestávají ze skupin nastavení popsaných níže. Uložit lze až 10 zásad. Můžete registrovat více zásad podle kombinace IP adresy a čísla portu. Jakmile zásady uložíte, zadejte pořadí, v jakém mají být použity.
Přepínač
Přepínač slouží k definování podmínek, za jakých mají IP pakety použít komunikaci IPSec. Volitelné podmínky zahrnují IP adresy a čísla portů zařízení a také zařízení, se kterými je možné komunikovat.
IKE
IKE nakonfiguruje verzi protokolu IKEv1, který slouží pro výměnu klíčů. Pokyny se liší v závislosti na vybrané metodě ověřování.
[Metoda předsdíleného klíče]
S dalšími zařízeními lze sdílet klíč o délce až 24 alfanumerických znaků. Nejdřív však povolte funkci pro Vzdálené uživatelské rozhraní (Používání TLS pro šifrovanou komunikaci).
S dalšími zařízeními lze sdílet klíč o délce až 24 alfanumerických znaků. Nejdřív však povolte funkci pro Vzdálené uživatelské rozhraní (Používání TLS pro šifrovanou komunikaci).
[Metoda digitálního podpisu]
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů. Mějte po ruce pár klíčů (Použití párů klíčů a digitálních certifikátů vydaných certifikační autoritou).
Toto zařízení a ostatní zařízení se ověřují vzájemným ověřením digitálních podpisů. Mějte po ruce pár klíčů (Použití párů klíčů a digitálních certifikátů vydaných certifikační autoritou).
Nastavení protokolů a možností
Zadejte nastavení pro hlavičky ESP a AH, které jsou přidány do paketů během komunikace IPSec. ESP a AH nelze používat zároveň. Můžete také vybrat, zda povolit metodu PFS pro větší bezpečnost.
1
Spusťte Vzdálené uživatelské rozhraní a přihlaste se v režimu správce. Spuštění Vzdáleného uživatelského rozhraní
2
Klikněte na tlačítko [Nastavení/Uložení].
3
Klikněte na položku [Zabezpečení] 
[Nastavení IPSec].
[Nastavení IPSec].
4
Klikněte na tlačítko [Seznam zásad zabezpečení IPSec].
5
Klikněte na tlačítko [Uložit zásady zabezpečení IPSec].
6
Zadejte název zásad do [Název zásad zabezpečení], a zaškrtněte políčko [Umožnit zásady zabezpečení].
[Název zásad zabezpečení]
Zadejte název o délce maximálně 24 alfanumerických znaků, které bude použito k identifikaci zásad.
Zadejte název o délce maximálně 24 alfanumerických znaků, které bude použito k identifikaci zásad.
[Umožnit zásady zabezpečení]
Chcete-li používat dané zásady, zaškrtněte toto políčko. Pokud je používat nechcete, zaškrtnutí políčka zrušte.
Chcete-li používat dané zásady, zaškrtněte toto políčko. Pokud je používat nechcete, zaškrtnutí políčka zrušte.
7
Zadejte nastavení přepínače.
[Lokální adresa]
Z následujícího seznamu vyberte typ IP adresy tiskárny, na niž se mají uplatnit zásady.
Z následujícího seznamu vyberte typ IP adresy tiskárny, na niž se mají uplatnit zásady.
|
[Všechny IP adresy]
|
Vyberte, chcete-li použít IPSec pro všechny IP pakety.
|
|
[Adresa IPv4]
|
Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adresy IPv4 přístroje nebo z ní.
|
|
[Adresa IPv6]
|
Vyberte sadu IPSec pro všechny IP pakety, které se odesílají do adresy IPv6 přístroje nebo z ní.
|
|
[Ruční nastavení IPv4]
|
Vyberte, chcete-li zadat jednu IPv4 adresu nebo rozsah IPv4 adres, pro které se má použít protokol IPSec. Do textového pole [Ručně nastavované adresy] zadejte adresu IPv4 (nebo rozsah).
|
|
[Ruční nastavení IPv6]
|
Vyberte, chcete-li zadat jednu IPv6 adresu nebo rozsah IPv6 adres, pro které se má použít protokol IPSec. Do textového pole [Ručně nastavované adresy] zadejte adresu IPv6 (nebo rozsah).
|
[Ručně nastavované adresy]
Pokud je možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6] vybrána pro položku [Lokální adresa], zadejte IP adresu, pro kterou mají být zásady použity.
Pokud je možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6] vybrána pro položku [Lokální adresa], zadejte IP adresu, pro kterou mají být zásady použity.
[Nastavení podsítě]
Pokud zadáváte IPv4 adresy ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
Pokud zadáváte IPv4 adresy ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
[Vzdálená adresa]
Z následujícího seznamu vyberte typ IP dalších zařízení, na něž se mají uplatnit zásady.
Z následujícího seznamu vyberte typ IP dalších zařízení, na něž se mají uplatnit zásady.
|
[Všechny IP adresy]
|
Vyberte, chcete-li použít IPSec pro všechny IP pakety.
|
|
[Všechny IPv4 adresy]
|
Vyberte sadu IPSec pro všechny IP pakety, které se odesílají z adresy IPv4.
|
|
[Všechny IPv6 adresy]
|
Vyberte sadu IPSec pro všechny IP pakety, které se odesílají z adresy IPv6.
|
|
[Ruční nastavení IPv4]
|
Vyberte, chcete-li zadat jednu IPv4 adresu nebo rozsah IPv4 adres, pro které se má použít protokol IPSec. Do textového pole [Ručně nastavované adresy] zadejte adresu IPv4 (nebo rozsah).
|
|
[Ruční nastavení IPv6]
|
Vyberte, chcete-li zadat jednu IPv6 adresu nebo rozsah IPv6 adres, pro které se má použít protokol IPSec. Do textového pole [Ručně nastavované adresy] zadejte adresu IPv6 (nebo rozsah).
|
[Ručně nastavované adresy]
Pokud je možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6] vybrána pro položku [Vzdálená adresa], zadejte IP adresu, pro kterou mají být zásady použity.
Pokud je možnost [Ruční nastavení IPv4] nebo [Ruční nastavení IPv6] vybrána pro položku [Vzdálená adresa], zadejte IP adresu, pro kterou mají být zásady použity.
[Nastavení podsítě]
Pokud zadáváte IPv4 adresy ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
Pokud zadáváte IPv4 adresy ručně, můžete rozsah adres vyjádřit pomocí masky podsítě. Zadejte masku podsítě oddělením čísel tečkou (příklad: „255.255.255.240“).
[Lokální port]/[Vzdálený port]
Pokud chcete pro jednotlivé protokoly vytvořit samostatné zásady, např. protokol HTTP nebo SMTP, zadejte příslušné číslo portu pro jednotlivé protokoly, aby bylo možné určit, pro který se má použít protokol IPSec.
Pokud chcete pro jednotlivé protokoly vytvořit samostatné zásady, např. protokol HTTP nebo SMTP, zadejte příslušné číslo portu pro jednotlivé protokoly, aby bylo možné určit, pro který se má použít protokol IPSec.
IPSec se neaplikuje na pakety, které mají zadanou vícesměrovou a všesměrovou adresu.
8
Zadejte nastavení IKE.
[Režim IKE]
Zobrazí se režim, který je používán pro protokol výměny klíčů. Obvykle se vybírá hlavní režim.
Pokud IP adresa není fixovaná, vyberte agresivní režim. Pamatujte, že zabezpečení je v agresivním režimu menší než v hlavním režimu.
[Způsob OVĚŘ.]
Pro metodu použitou při ověřování tiskárny vyberte možnost [Metoda předsdíleného klíče] nebo [Metoda digitálního podpisu].
Pro metodu použitou při ověřování tiskárny vyberte možnost [Metoda předsdíleného klíče] nebo [Metoda digitálního podpisu].
Když je v možnosti [Režim IKE] vybrán agresivní režim, nastavení [Metoda předsdíleného klíče] nešifruje sdílený klíč.
[Algoritmus ověření/šifrování]
Chcete-li automaticky nastavit algoritmus používaný při výměně klíčů, zaškrtněte políčko [Auto]. Pokud políčko zaškrtnete, algoritmus se nastaví podle níže uvedeného příkladu.
Chcete-li automaticky nastavit algoritmus používaný při výměně klíčů, zaškrtněte políčko [Auto]. Pokud políčko zaškrtnete, algoritmus se nastaví podle níže uvedeného příkladu.
|
[Ověření]
|
[SHA1 a MD5]
|
|
[Šifrování]
|
[3DES-CBC a AES-CBC]
|
|
[DH Group]
|
[Group 2 (1024)]
|
Pokud chcete algoritmus nastavit ručně, zrušte zaškrtnutí a vyberte algoritmus.
|
[Ověření]
|
Vyberte algoritmus hash.
|
|
[Šifrování]
|
Vyberte algoritmus šifrování.
|
|
[DH Group]
|
Vyberte skupinu Diffie-Hellman, která určuje sílu klíče.
|
Použití [Metoda předsdíleného klíče] pro ověření
|
1
|
Vyberte možnost [Metoda předsdíleného klíče] pro [Způsob OVĚŘ.] a klikněte na [Nastavení sdíleného klíče].
|
|
2
|
Zadejte předsdílený klíč obsahující až 24 alfanumerických znaků a klikněte na tlačítko [OK].
 |
Použití [Metoda digitálního podpisu] pro ověření
|
1
|
Vyberte možnost [Metoda digitálního podpisu] pro [Způsob OVĚŘ.] a klikněte na [Klíč a certifikát].
|
|
2
|
Vyberte pár klíčů, který chcete použít, a klikněte na [Výchozí nastavení klíče].
 Zobrazení podrobností o páru klíčů nebo certifikátu
Máte možnost zkontrolovat podrobné informace o certifikátu nebo můžete certifikát ověřit kliknutím na příslušný textový odkaz pod položkou [Název klíče], nebo na ikonu certifikátu. Ověření párů klíčů a digitálních certifikátů
|
9
Zadejte nastavení sítě IPSec.
[Použít PFS]
Zaškrtnutím pole povolte metodu PFS (Perfect Forward Secrecy) pro klíče relace IPSec. Povolení metody PFS zvyšuje zabezpečení, ale zároveň zvyšuje i zatížení sítě. Ujistěte se, že je metoda PFS povolena také pro ostatní zařízení. Když PFS nepoužíváte, zaškrtnutí zrušte.
[Platnost]
Zadejte, jak dlouho se SA používá jako komunikační tunel. Podle potřeby zaškrtněte políčko [Specifikovat dle času] nebo [Specifikovat dle velikosti] případně obě políčka. Pokud zaškrtnete obě políčka, relace IPSec SA se ukončí, jakmile bude jedna z podmínek splněna.
Zadejte, jak dlouho se SA používá jako komunikační tunel. Podle potřeby zaškrtněte políčko [Specifikovat dle času] nebo [Specifikovat dle velikosti] případně obě políčka. Pokud zaškrtnete obě políčka, relace IPSec SA se ukončí, jakmile bude jedna z podmínek splněna.
|
[Specifikovat dle času]
|
Zadejte dobu trvání relace v minutách. Nastavení bude použito jak pro IPSec SA, tak pro IKE SA.
|
|
[Specifikovat dle velikosti]
|
Zadejte velikost v megabytech, která určí, jaký objem dat může být během relace přenesen. Toto nastavení bude použito pouze pro IPSec SA.
|
Pokud jste zaškrtli pouze políčko [Specifikovat dle velikosti]
Platnost IKE SA nelze zadat podle velikosti, takže se použije počáteční hodnota (480 minut) [Specifikovat dle času].
[Algoritmus ověření/šifrování]
Vyberte protokol a algoritmus, které se mají použít pro komunikaci IPSec.
Vyberte protokol a algoritmus, které se mají použít pro komunikaci IPSec.
Automatické nastavení připojeníVyberte možnost [Auto] (Tisk brožury).
|
[Ověření ESP]
|
ESP je aktivována a ověřovací algoritmus se nastaví na [SHA1 a MD5].
|
|
[Šifrování ESP]
|
ESP je aktivována a šifrovací algoritmus se nastaví na [3DES-CBC a AES-CBC].
|
Použití ESPVyberte [ESP] a zvolte ověřovací algoritmus a šifrovací algoritmus.
|
[Ověření ESP]
|
Vyberte algoritmus hash, který se má použít pro ověřování ESP.
|
|
[Šifrování ESP]
|
Vyberte algoritmus šifrování pro ESP.
|
Použití AHVyberte [AH] a zvolte algoritmus hash, který se má použít pro ověřování AH z [Ověření AH].
[Režim připojení]
Zobrazí se režim připojení protokolu IPSec. Zařízení podporuje transportní režim, ve kterém jsou šifrovány datové části IP paketů. Tunelový režim, ve kterém jsou celé IP pakety (hlavičky i datové části) zapouzdřeny, není dostupný.
Zobrazí se režim připojení protokolu IPSec. Zařízení podporuje transportní režim, ve kterém jsou šifrovány datové části IP paketů. Tunelový režim, ve kterém jsou celé IP pakety (hlavičky i datové části) zapouzdřeny, není dostupný.
10
Klikněte na tlačítko [OK].
Pokud potřebujete uložit další zásady zabezpečení, vraťte se ke kroku 5.
11
Uspořádejte pořadí zásad v seznamu [Seznam zásad zabezpečení IPSec]
Zásady jsou používány v pořadí od nejvyšší pozice k nejnižší. Pomocí tlačítek [Zvýšit prioritu] nebo [Snížit prioritu] měňte pořadí zásady směrem nahoru nebo dolů.
Úprava zásady
Můžete kliknout na textový odkaz pod [Název zásad zabezpečení] a upravit nastavení.
Odstranění zásady
Klikněte na tlačítko [Smazat] nacházející se vpravo od názvu zásady, kterou chcete smazat.
12
Proveďte tvrdý reset.
Klikněte na [Ovládání zařízení], vyberte [Tvrdý reset] a pak klikněte na tlačítko [Provést].
Nastavení se aktivují po provedení tvrdého resetu.
Povolení komunikace IPSec
Po dokončení registrace zásad zabezpečení povolte komunikaci IPSec.
1
Spusťte Vzdálené uživatelské rozhraní a přihlaste se v režimu správce. Spuštění Vzdáleného uživatelského rozhraní
2
Klikněte na tlačítko [Nastavení/Uložení].
3
Klikněte na položku [Zabezpečení] [Nastavení IPSec].
[Nastavení IPSec].4
Klikněte na tlačítko [Editovat].
5
Zaškrtněte políčko [Použít IPSec] a klikněte na tlačítko [OK].
[Použít IPSec]
Pokud pro tisk IPSec v zařízení, zaškrtněte příslušné pole. Když ho nepoužíváte, zaškrtnutí zrušte.
[Povolit přijmout pakety bez zásad zabezpečení]
Pokud zaškrtnete políčko, když používáte IPSec, odešlou/přijmou se také pakety, které nejsou k dispozici pro registrované zásady. Chcete-li zakázat odesílání/přijímání paketů, které nejsou k dispozici pro dané zásady, zaškrtnutí zrušte.
Pokud zaškrtnete políčko, když používáte IPSec, odešlou/přijmou se také pakety, které nejsou k dispozici pro registrované zásady. Chcete-li zakázat odesílání/přijímání paketů, které nejsou k dispozici pro dané zásady, zaškrtnutí zrušte.
6
Proveďte tvrdý reset.
Klikněte na [Ovládání zařízení], vyberte [Tvrdý reset] a pak klikněte na tlačítko [Provést].
Nastavení se aktivují po provedení tvrdého resetu.
|
|
Použití ovládacího paneluNastavení komunikace IPSec můžete povolit nebo zakázat také z nabídky nastavení na ovládacím panelu. IPSec
|