IPSec-protokolli seadete konfigureerimine
Internet Protocol Security (Interneti-protokolli turve) (IPSec või IPsec) on protokollipakett võrgu kaudu transporditavate andmete krüptimiseks. Kui TLS krüptib ainult konkreetses rakenduses (nt veebibrauser või e-posti rakendus) kasutatavad andmed, krüptib IPSec kas IP-paketid tervikuna või IP-pakettide kogumid, luues seeläbi mitmekülgsema turbesüsteemi. Seadme IPSec töötab transpordirežiimis, milles IP-pakettide kogumid krüptitakse. Selle funktsiooniga saab printer ühenduda otse arvutiga, mis asub samas VPN-võrgus. Kontrollige süsteeminõudeid (
Haldusfunktsioonid) ja konfigureerige arvuti enne seadme konfigureerimist.
|
IPSec-protokolli kasutamine koos IP-aadressi filtriga |
IPSec-protokolli seadete konfigureerimine
Enne IPSec-protokolli kasutamist krüptitud sides peate registreerima turbereeglid (SP). Turbereegel koosneb allpool kirjeldatud seadekogumitest. Pärast reeglite registreerimist määrake nende rakendamise järjestus.
Valits
Valits määratleb IPSec-side rakendamiseks vajalikud IP-pakettide tingimused. Valitavad tingimused hõlmavad seadme IP-aadresse ja pordinumbreid ning seadmeid, millega ühendus luuakse.
IKE
IKE konfigureerib võtmevahetuse protokollis kasutatava režiimi IKEv1. Võtke arvesse, et juhised võivad olenevalt valitud autentimisviisist erineda.
[Pre-Shared Key Method]
See autentimismeetod kasutab printeri ja muude seadmete vaheliseks andmesideks üldist võtmesõna, mida nimetatakse jagatud võtmeks. Lubage enne selle autentimisviisi määramist rakenduse Remote UI (Kaugkasutajaliides) jaoks TLS (
TLS-i võtme ja sertifikaadi konfigureerimine).
[Digital Signature Method]
See printer ja muud seadmed autendivad üksteist digitaalallkirjade vastastikuse kontrollimisega. Looge või installige eelnevalt võti ja sertifikaat (
Võrguside võtme ja sertifikaadi registreerimine).
AH/ESP
Määrake AH/ESP seaded, mis lisatakse IPSec-side käigus pakettidele. Päiseid AH ja ESP saab kasutada samaaegselt. Samuti saate valida, kas suurema turvalisuse nimel valida või mitte valida PFS.
1
Käivitage Remote UI (Kaugkasutajaliides) ja logige sisse süsteemihaldurirežiimis.
Tarkvara Remote UI (Kaugkasutajaliides) käivitamine2
Klõpsake portaali leheküljel valikut [Settings/Registration].
Tarkvara Remote UI (Kaugkasutajaliides) kuva3
Valige [Network Settings]
[IPSec Settings].
4
Klõpsake [Edit].
5
Märkige ruut [Use IPSec] ja klõpsake nuppu [OK].
Kui soovite, et printer võtaks vastu ainult allpool esitatud juhendites määratletud turbereeglitele vastavaid pakette, tühjendage ruut [Receive Non-Policy Packets].
6
Klõpsake [Register New Policy].
7
Määrake reegli seaded.
1 | Sisestage tekstiväljale [Policy Name] nimi (tähed ja/või numbrid), mida kasutatakse reegli tuvastamiseks. |
2 | Märkige ruut [Enable Policy]. |
8
Määrake valitsa seaded.
[Local Address]
Klõpsake reegli rakendamiseks seadme IP-aadressi tüübi raadionuppu.
[All IP Addresses] | Valige, et kasutada IPSec-protokolli kõikide IP-pakettide korral. |
[IPv4 Address] | Valige kõikide seadme IPv4-aadressile või sellelt aadressilt saadetavate IP-pakettide jaoks IPSec-protokolli kasutamine. |
[IPv6 Address] | Valige kõikide seadme IPv6-aadressile või sellelt aadressilt saadetavate IP-pakettide jaoks IPSec-protokolli kasutamine. |
[Remote Address]
Klõpsake reegli rakendamiseks muude seadmete IP-aadressi tüübi raadionuppu.
[All IP Addresses] | Valige, et kasutada IPSec-protokolli kõikide IP-pakettide korral. |
[All IPv4 Addresses] | Valige kõikide IP-pakettide muu seadme IPv4-aadressilt või muu seadme IPv4-aadressile saatmiseks, IPSec. |
[All IPv6 Addresses] | Valige kõikide IP-pakettide muu seadme IPv6-aadressilt või muu seadme IPv6-aadressile saatmiseks, IPSec. |
[IPv4 Manual Settings] | Valige, et määrata üks IPv4-aadress või IPv4-aadresside vahemik, mille korral rakendatakse IPSec-protokolli. Sisestage IPv4-aadress (või vahemik) tekstiväljale [Addresses to Set Manually]. |
[IPv6 Manual Settings] | Valige, et määrata üks IPv6-aadress või IPv6-aadresside vahemik, mille korral rakendatakse IPSec-protokolli. Sisestage IPv6-aadress (või vahemik) tekstiväljale [Addresses to Set Manually]. |
[Addresses to Set Manually]
Kui [IPv4 Manual Settings] korral valitakse seaded [IPv6 Manual Settings] või [Remote Address], sisestage reegli rakendamiseks IP-aadress. Lisades aadresside vahele sidekriipsu saate sisestada ka aadressivahemiku.
IP-aadresside sisestamine
| Kirjeldus | Näide |
Ühe aadressi sisestamine | IPv4: eraldage numbrid punktidega. | 192.168.0.10 |
IPv6: eraldage tähe- ja numbrimärgid koolonitega. | fe80::10 |
Aadressivahemiku määramine | Eraldage aadressid sidekriipsuga. | 192.168.0.10-192.168.0.20 |
[Subnet Settings]
IPv4-aadresside käsitsi määramisel saate vahemikku väljendada alamvõrgu maski abil. Sisestage alamvõrgu mask, eraldades numbrid punktidega (nt: 255.255.255.240).
[Prefix Length]
IPv6-aadresside vahemiku käsitsi määramine võimaldab teil määrata prefiksi pikkuse abil vahemiku. Määrake prefiksi pikkuse vahemikuks 0 kuni 128.
[Local Port]/[Remote Port]
Kui soovite iga protokolli (nt HTTP või WSD) jaoks luua eraldi reeglid, klõpsake raadionuppu [Single Port] ja sisestage protokolli jaoks vastav pordinumber, et määrata, kas IPSec-protokolli kasutada või mitte.
IPSec-protokolli ei rakendata järgmistele pakettidele
Tsükli-, multisaate- ja leviedastuspaketid
IKE paketid (mis kasutavad pordi 500 puhul UDP-d)
ICMPv6 naabri taotlemise ja naabri väljakuulutamise paketid
9
Määrake IKE seaded.
[IKE Mode]
Kuvatakse võtmevahetuse protokolli korral kasutatav režiim. Printer toetab põhirežiimi, mitte agressiivset režiimi.
[Authentication Method]
Valige seadme autentimise viisiks [Pre-Shared Key Method] või [Digital Signature Method]. Enne viisi [Pre-Shared Key Method] valimist peate rakenduse Remote UI (Kaugkasutajaliidese) jaoks lubama TLS-protokolli. Enne viisi [Digital Signature Method] valimist peate looma või installima võtme ja sertifikaadi.
TLS-i võtme ja sertifikaadi konfigureerimine [Valid for]
Määrake IKE SA (ISAKMP SA) seansi kestus. Sisestage minutite arv.
[Authentication]/[Encryption]/[DH Group]
Valige ripploendist algoritm. Iga algoritmi kasutatakse võtmevahetuses.
[Authentication] | Valige räsialgoritm. |
[Encryption] | Valige krüptimisalgoritm. |
[DH Group] | Valige võtme tugevuse määramiseaks Diffie-Hellmani rühm. |
Seadme autentimine eelnevalt jaotatud võtme abil
1 | Klõpsake seade [Pre-Shared Key Method] raadionuppu [Authentication Method] ja seejärel üksust [Shared Key Settings]. |
2 | Sisestage tähtedest ja numbritest koosnev eelnevalt jaotatud võti ja klõpsake seejärel nuppu [OK]. |
3 | Määrake seadete [Valid for] ja [Authentication]/[Encryption]/[DH Group] väärtused. |
Seadme autentimine digiallkirja meetodil
1 | Klõpsake seade [Digital Signature Method] raadionuppu [Authentication Method] ja seejärel üksust [Key and Certificate]. |
2 | Klõpsake kasutatavast võtmest ja sertifikaadist paremal asuvat nuppu [Register Default Key]. Sertifikaadi üksikasjade kuvamine Klõpsates rea [Key Name] all asuvat vastavat tekstilinki või sertifikaadi ikooni saate kontrollida sertifikaati või selle üksikasju. |
3 | Määrake seadete [Valid for] ja [Authentication]/[Encryption]/[DH Group] väärtused. |
10
Määrake IPSec-protokolli võrguseaded.
[Use PFS]
IPSec-protokolli seansivõtmete jaoks PFS-i lubamiseks märkige see ruut. PFS-i lubamine suurendab turvalisust, ent samal ajal ka sidekoormust. Veenduge, et PFS on lubatud ka muude seadmete jaoks.
[Specify by Time]/[Specify by Size]
Määrake IPSec SA seansi lõpetamise tingimused. IPSec SA-d kasutatakse sidetunnelina. Vajadusel märkige kas üks ruut või mõlemad ruudud. Kui märgitakse mõlemad ruudu, lõpetatakse IPSec SA seanss, kui üks neist kahest tingimusest on täidetud.
[Specify by Time] | Sisestage seansi kestus minutites. |
[Specify by Size] | Sisestage seansi jooksul transporditavate andmete maht megabaitides. |
[Select Algorithm]
Olenevalt kasutatavast IPSec-päisest ja algoritmist märkige ruut (ruudud) [ESP], [ESP (AES-GCM)] või [AH (SHA1)]. AES-GCM on algoritm nii autentimiseks kui ka krüptimiseks. [ESP] valimise korral valige ka autentimis- ja krüptimisalgoritmid rippmenüüdest [ESP Authentication] ja [ESP Encryption].
[ESP Authentication] | ESP autentimise lubamiseks valige räsialgoritmiks [SHA1]. Kui soovite ESP autentimise keelata, valige väärtus [Do Not Use]. |
[ESP Encryption] | Valige ESP krüptimisalgoritm. Kui te ei soovi algoritmi määrata, valige [NULL] või kui soovite ESP-krüptimise keelata, valige [Do Not Use]. |
[Connection Mode]
Kuvatakse IPSec-protokolli ühendusrežiim. Printer toetab transpordirežiimi, milles IP-pakettide kogumid on krüptitud. Tunnelirežiim, milles terved IP-paketid (päised ja kogumid) on kapseldatud, pole saadaval.
11
Klõpsake [OK].
Täiendava turbereegli registreerimiseks naaske juhise 6 juurde.
12
Määrake loendis [Registered IPSec Policies] loetletud reeglite järjestus.
Reegleid rakendatakse alates loendi esimesest üksusest kuni viimaseni. Reegli loendis üles või alla liigutamiseks klõpsake nuppe [Up] või [Down].
Reegli redigeerimine
Klõpsake redigeerimiskuval rea [Policy Name] all olevat tekstilinki.
Reegli kustutamine
Klõpsake kustutatavast reegli nimest paremal nuppu [Delete] ja seejärel
klõpsake [OK].
13
|
Juhtpaneeli kasutamineIPSec-protokolli abil suhtlust saate lubada või keelata ka menüüst <Menüü> kuval Avamenüü. <IPSec-i kasutus> |
LINGID