IPSec-asetusten koostaminen

Käyttämällä IPSec:iä, voit estää kolmansia osapuolia kaappaamasta tai väärentämästä IP-paketteja jotka liikkuvat IP-verkossa. Koska IPSec lisää turvaominaisuuksia IP:hen, internetin perusprotokollaan, se tarjoaa turvallisuutta joka ei ole sovelluksista ja verkkokokoonpanosta riippuvaista. Suorittaaksesi IPSec-liikennöintiä tällä laitteella, sinun on koostettava asetukset, kuten sovelluksen parametrit ja autentikoinnin ja salauksen algoritmit. Pääkäyttäjän tai Verkkovastaavan oikeudet vaaditaan näiden asetusten koostamiseen. Tarkista järjestelmän vaatimukset ennen kuin suoritat seuraavat toimenpiteet. Tekniset tiedot


Liikennöintitapa Tämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin. Avaimenvaihtoprotokolla Tämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä. Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken. Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja Varmenteen rekisteröinti Verkkoliikennöintiin. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten tekeminen

Liikennöintitapa

Tämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin.

Avaimenvaihtoprotokolla

Tämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä.

Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken.

Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja Varmenteen rekisteröinti Verkkoliikennöintiin. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten tekeminen


IPSec-tiedonsiirron <Alusta salausmenetelmä FIPS 140-2:lle> -asetuksesta riippumatta käytetään salausmoduulia, joka on jo hankkinut FIPS140-2-sertifioinnin. Jotta IPSec-tietonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu. Vain DH:n avaimen pituus voidaan määrittää laitteessa. Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia.

IPSec-tiedonsiirron <Alusta salausmenetelmä FIPS 140-2:lle> -asetuksesta riippumatta käytetään salausmoduulia, joka on jo hankkinut FIPS140-2-sertifioinnin.

Jotta IPSec-tietonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu.

Vain DH:n avaimen pituus voidaan määrittää laitteessa.

Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia.

Valitse

Valitse <Yleisasetukset>

<IPSec-asetukset>.

Määritä <Käytä IPSec-muotoa> -asetukseksi <Kyllä> ja valitse <Tallenna>.

Määritä käytännön nimi.

Valitse <Toimintaohjeen nimi>, kirjoita nimi ja valitse <OK>.

Canon-monitoimitulostimet tukevat kahta avaimen pituutta AES-salaustavalle: 128-bittinen ja 256-bittinen. Jos haluat rajoittaa avaimen pituuden 256 bittiin ja noudattaa CC-todennusstandardeja, määritä <Salli AES-avaimen pituudeksi vain 256-bittiä> -asetukseksi <Kyllä>.

Koosta IPSec-sovelluksen parametrit.

Valitse <Valitsimen asetukset>.

Määritä IP-osoite jota sovelletaan IPSec-käytännössä.

Määritä tämän laitteen IP-osoite kohtaan <Paikallinen osoite> ja määritä yhteyslaitteen IP-osoite kohtaan <Etäosoite>.

<Kaikki IP -osoitteet>	IPSec:iä sovelletaan kaikkiin lähetettäviin ja vastaanotettaviin IP-paketteihin.
<IPv4 osoite>	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv4-osoitteeseen.
<IPv6 osoite>	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv6-osoitteeseen.
<Kaikki IPv4 -osoitteet>	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv4-osoitteesta.
<Kaikki IPv6 -osoitteet>	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv6-osoitteesta.
<IPv4 Man. asetukset>	Määritä IPv4-osoitteet joihin IPSec:iä käytetään. Lisää erillinen IPv4-osoite valitsemalla <Yksi osoite>. Määritä IPv4-osoitteiden alue valitsemalla <Osoitealue>. Kirjoita erillinen osoite kohtaan <Ensimmäinen osoite> ja <Viimeinen osoite>. Määritä IPv4-osoitteiden alue käyttämällä aliverkon peitettä valitsemalla <Aliverkon asetukset>. Lisää erilliset arvot kohtaan <Osoite> ja <Aliverkon peite>.
<IPv6 Man. asetukset>	Määritä IPv6-osoitteet joihin IPSec:iä käytetään. Lisää erillinen IPv6-osoite valitsemalla <Yksi osoite>. Määritä IPv6-osoitteiden alue valitsemalla <Osoitealue>. Kirjoita erillinen osoite kohtaan <Ensimmäinen osoite> ja <Viimeinen osoite>. Määritä IPv6-osoitteiden alue käyttämällä etuliitettä valitsemalla <Määritä etuliite>. Lisää erilliset arvot kohtaan <Osoite> ja <Etuliitteen pituus>.

Määritä portti johon IPSec:iä käytetään.

Valitse <Määritä porttinumeron mukaan>, jos haluat käyttää porttinumeroita määrittäessäsi portteja, joissa käytetään IPSec:iä. Käytä IPSec:iä kaikissa porttinumeroissa valitsemalla <Kaikki portit>. Jos haluat käyttää IPSec:iä tietyssä porttinumerossa, valitse <Yksi portti> ja lisää porttinumero. Kun olet määrittänyt portit, valitse <OK>. Määritä tämän laitteen portti kohtaan <Paikallinen portti> ja määritä yhteyslaitteen portti kohtaan <Etäportti>.

Valitse <Määritä palvelunimen mukaan>, jos haluat käyttää palvelun nimiä määrittäessäsi portteja, joissa käytetään IPSec:iä. Valitse palvelu luettelosta, valitse <Huolto Kyllä/Ei> -asetukseksi <Kyllä> ja valitse sitten <OK>.

Valitse <OK>.

Koosta autentikointi- ja salausasetukset.

Valitse <IKE-asetukset>.

Koosta tarvittavat asetukset.

<IKE-tila>

Valitse avaintenvaihtoprotokollan toimintatapa. Voit parantaa suojausta valitsemalla <Pää>, sillä IKE-istunto salataan, mutta istunto on hitaampi kuin <Haastava>-asetuksessa, joka ei salaa koko istuntoa.

Valitse yksi allakuvatuista autentikointitavoista.

<Esijaettu avain-menet.>	Aseta sama salauslause (esijaettu avain) joka on asetettu liikennöintikumppanille. Valitse <Jaettu avain>, kirjoita jaettuna avaimena käytettävä merkkijono ja valitse sitten <OK>.
<Dig. allekirj. tapa>	Aseta avain ja varmenne jota käytetään molemminpuoliseen autentikointiin liikennöintikumppanin kanssa. Valitse <Avain ja varmenne>, valitse käytettävä avain ja varmenne ja valitse sitten <Aseta oletusavaimeksi> <Kyllä> <OK>.

Valitse joko <Aut.> tai <Manuaaliset asetukset> ja määritä, miten IKE-vaiheen 1 todennus ja salausalgoritmi määritetään. Jos valitset <Aut.>, sekä tämän laitteen että yhteyslaitteen käytettävissä oleva algoritmi määritetään automaattisesti. Jos haluat määrittää tietyn algoritmin, valitse <Manuaaliset asetukset> ja määritä seuraavat asetukset.

<Autentikointi>	Valitse hajautusalgoritmi.
<Salaus>	Valitse salausalgoritmi.
<DH-ryhmä>	Valitse ryhmä Diffie-Hellman -avaimenvaihtomenetelmästä asettaaksesi avaimen vahvuuden.

Valitse <OK>.

Koosta IPSec-liikennöintiasetukset.

Valitse <IPSec-verkkoasetukset>.

Koosta tarvittavat asetukset.

Aseta luodun IKE SA:n ja IPSec SA:n voimassaoloaika. Muista valita joko <Aika> tai <Koko>. Jos asetat molemmat, voimassaoloaika päättyy kun jompi kumpi arvo saavutetaan.

<PFS>

Jos valitset Perfect Forward Secrecy (PFS) -toiminnon asetukseksi <Kyllä>, salausavaimen suojaus paranee, mutta yhteyden nopeus hidastuu. Tämän lisäksi liikennöntikumppanin laitteen on hyväksyttävä PFS-toiminto.

Valitse joko <Aut.> tai <Manuaaliset asetukset> ja määritä, miten IKE-vaiheen 2 todennus ja salausalgoritmi määritetään. Jos valitset <Aut.>, ESP-todennus ja salausalgoritmi määritetään automaattisesti. Jos haluat määrittää tietyn todennustavan, valitse <Manuaaliset asetukset> ja valitse jokin seuraavista todennustavoista.

<ESP>	Sekä autentikointi että salaus suoritetaan. Valitse algoritmi kohdassa <ESP-autentikointi> ja <ESP-salaus>. Valitse <NOLLA>, jos et halua määrittää todennusta tai salausalgoritmia.
<ESP (AES-GCM)>	AES-GCM:tä käytetään ESP-algoritmina, ja sekä autentikointi että salaus suoritetaan.
<AH (SHA1)>	Autrentikointi suoritetaan mutta dataa ei salata. SHA1:tä käytetään algoritmina.

Valitse <OK>

<OK>.

Salli rekisteröidyt käytännöt ja tarkista tärkeysjärjestys.

Valitse tallennetut käytännöt luettelosta ja valitse niiden <Toimintaohje Kyllä/Ei> -asetukseksi <Kyllä>.

Käytäntöjä sovelletaan siinä järjetyksessä kuin ne ovat listassa, alkaen ylhäältä. Jos haluat muuttaa tärkeysjärjestystä, valitse käytäntö luettelosta ja valitse sitten <Kohota etusijaa> tai <Matala etusija>.

Jos et halua lähettää tai vastaanottaa paketteja, jotka eivät vastaa käytäntöjä, valitse <Hylkää> kohdassa <Epätavallisten pakettien vastaanotto>.

Valitse <OK>.

Valitse

<Käytä muut. aset.>

<Kyllä>.


IPSec-käytäntöjen hallinta Voit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 3. Voit muokata käytännön tietoja valitsemalla käytännön luettelosta ja valitsemalla sitten <Muokkaa>. Voit poistaa käytännön valitsemalla käytännön luettelosta ja valitsemalla sitten <Toimintaohje Kyllä/Ei>. Poista käytäntö valitsemalla käytäntö luettelosta ja valitsemalla sitten <Poista> <Kyllä>.

IPSec-käytäntöjen hallinta

Voit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 3.

Voit muokata käytännön tietoja valitsemalla käytännön luettelosta ja valitsemalla sitten <Muokkaa>.

Voit poistaa käytännön valitsemalla käytännön luettelosta ja valitsemalla sitten <Toimintaohje Kyllä/Ei>.

Poista käytäntö valitsemalla käytäntö luettelosta ja valitsemalla sitten <Poista>

<Kyllä>.