Konfigurovanie nastavení IPSec

68H8-03Y
Zabezpečenie internetového protokolu (IPSec alebo IPsec) je balíček protokolov na šifrovanie údajov prenášaných v sieti, vrátane internetových sietí. Zatiaľ čo TLS šifruje iba údaje používané v konkrétnej aplikácii, ako je webový prehliadač alebo e-mailová aplikácia, IPSec šifruje celé IP pakety alebo užitočné zaťaženie IP paketov, čím ponúka všestrannejší systém zabezpečenia. IPSec zariadenia funguje v režime prenosu, v ktorom sa šifruje užitočné zaťaženie IP paketov. S touto funkciou sa zariadenie dokáže pripojiť priamo k počítaču, ktorý je v rovnakej virtuálnej súkromnej sieti (VPN). Skontrolujte požiadavky na systém a pred konfiguráciou zariadenia nastavte potrebnú konfiguráciu počítača. Funkcie spravovania
Registrovanie bezpečnostných zásada
Aktivovanie IPSec komunikácie
Používanie IPSec s filtrom IP adries
IPSec nastavenia sa použijú pred nastavením filtra IP adries počas prijímania paketov, zatiaľ čo nastavenia IP adresy sa použijú pred nastavením IPSec počas prenosu paketov. Zadanie IP adries pre pravidlá brány firewall

Registrovanie bezpečnostných zásada

Ak chcete na šifrovanú komunikáciu používať IPSec, musíte pred aktivovaním IPSec nastavení zaregistrovať bezpečnostné zásady (SP) (Aktivovanie IPSec komunikácie). Bezpečnostné zásady pozostávajú zo skupín nastavení popísaných nižšie. Môžete zaregistrovať viacero zásad podľa kombinácie IP adresy a čísla portu. Po registrácii zásad zadajte poradie, v ktorom sa použijú.
Volič
Volič definuje podmienky pre IP pakety pre použitie IPSec komunikácie. Medzi podmienky, ktoré sa dajú vybrať, patria IP adresy a čísla portov zariadenia a zariadení, s ktorými komunikuje.
IKE
IKE konfiguruje IKEv1, ktoré sa používa pre protokol výmeny kľúča. Upozorňujeme, že pokyny sa líšia v závislosti od zvoleného spôsobu overenia.
[Pre-Shared Key Method]
Kľúč z alfanumerických znakov je možné zdieľať s ostatnými zariadeniami. Vopred aktivujte TLS pre Remote UI (Vzdialené PR) (Používanie TLS pre šifrovanú komunikáciu).
[Digital Signature Method]
Zariadenie a ostatné zariadenia sa navzájom overujú vzájomným overením ich digitálnych podpisov. Pripravte si pár kľúčov (Používanie párov kľúčov a digitálnych certifikátov vydaných certifikačným úradom).
Nastavenie protokolov a možností
Zadajte nastavenia pre ESP a AH, ktoré sa pridajú do paketov počas IPSec komunikácie. ESP a AH sa nedajú používať súčasne. Môžete tiež vybrať, či sa má aktivovať PFS pre väčšie zabezpečenie.
1
Spustite Remote UI (Vzdialené PR) a prihláste sa v režime správy. Spustenie Remote UI (Vzdialené PR)
2
Kliknite na položku [Settings/Registration].
3
Kliknite na položky [Security]  [IPSec Settings].
4
Kliknite na položku [IPSec Policy List].
5
Kliknite na položku [Register IPSec Policy].
6
Zadajte názov zásady v položke [Policy Name] a označte zaškrtávací rámček [Enable Policy].
[Policy Name]
Zadajte alfanumerické znaky pre názov, ktorý sa používa na identifikáciu zásad.
[Enable Policy]
Označte zaškrtávací rámček pre aktivovanie zásad. Keď zásady nepoužívate, zrušte označenie zaškrtávacieho rámčeka.
7
Zadajte nastavenia voliča.
[Local Address]
Vyberte typ IP adresy zariadenia, z ktorého sa majú zásady uplatniť, z nasledujúceho zoznamu.
[All IP Addresses]
Vyberte, či sa má pre všetky IP pakety použiť IPSec.
[IPv4 Address]
Vyberte použitie IPSec pre všetky IP pakety, ktoré sú odoslané na alebo z IPv4 adresy zariadenia.
[IPv6 Address]
Vyberte použitie IPSec pre všetky IP pakety, ktoré sú odoslané na alebo z IPv6 adresy zariadenia.
[IPv4 Manual Settings]
Vyberte zadanie jednej IPv4 adresy alebo rozsahu IPv4 adries na použitie IPSec. Zadajte IPv4 adresu (alebo rozsah) v textovom poli [Addresses to Set Manually].
[IPv6 Manual Settings]
Vyberte zadanie jednej IPv6 adresy alebo rozsahu IPv6 adries na použitie IPSec. Zadajte IPv6 adresu (alebo rozsah) v textovom poli [Addresses to Set Manually].
[Addresses to Set Manually]
Ak je vybratá položka [IPv4 Manual Settings] alebo [IPv6 Manual Settings] pre položku [Local Address], zadajte IP adresu pre použitie zásad.
[Subnet Settings]
Pri manuálnom zadávaní IPv4 adries môžete rozsah vyjadriť pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
[Remote Address]
Zo zoznamu uvedeného nižšie vyberte typ IP adresy ostatných zariadení, na ktoré sa majú zásady vzťahovať.
[All IP Addresses]
Vyberte, či sa má pre všetky IP pakety použiť IPSec.
[All IPv4 Address]
Vyberte použitie IPSec pre všetky IP pakety, ktoré sú odoslané na alebo z IPv4 adresy.
[All IPv6 Address]
Vyberte použitie IPSec pre všetky IP pakety, ktoré sú odoslané na alebo z IPv6 adresy.
[IPv4 Manual Settings]
Vyberte zadanie jednej IPv4 adresy alebo rozsahu IPv4 adries na použitie IPSec. Zadajte IPv4 adresu (alebo rozsah) v textovom poli [Addresses to Set Manually].
[IPv6 Manual Settings]
Vyberte zadanie jednej IPv6 adresy alebo rozsahu IPv6 adries na použitie IPSec. Zadajte IPv6 adresu (alebo rozsah) v textovom poli [Addresses to Set Manually].
[Addresses to Set Manually]
Ak je vybratá položka [IPv4 Manual Settings] alebo [IPv6 Manual Settings] pre položku [Remote Address], zadajte IP adresu pre použitie zásad.
[Subnet Settings]
Pri manuálnom zadávaní IPv4 adries môžete rozsah vyjadriť pomocou masky podsiete. Zadajte masku podsiete pomocou bodiek na oddelenie čísel (príklad: „255.255.255.240“).
[Local Port]/[Remote Port]
Ak chcete pre každý protokol vytvoriť samostatné zásady, napr. HTTP alebo SMTP, zadajte príslušné číslo portu pre protokol, aby ste určili, či sa má IPSec používať.
IPSec sa nepoužije pre pakety, ktoré majú zadanú adresu Multicast alebo Broadcast.
8
Zadajte IKE nastavenia.
[IKE Mode]
Zobrazí sa režim použitý pre protokol výmeny kľúčov. Normálne vyberte hlavný režim.
Vyberte agresívny režim, ak IP adresa nie je pevná. Upozorňujeme, že v agresívnom režime je bezpečnosť nižšia ako v hlavnom režime.
[AUTH Method]
Pre spôsob použitý pri overení zariadenia vyberte položku [Pre-Shared Key Method] alebo [Digital Signature Method].
Keď je agresívny režim vybraný v položke [IKE Mode], nastavenie [Pre-Shared Key Method] nebude šifrovať zdieľaný kľúč.
[Authentication/Encryption Algorithm]
Ak chcete automaticky nastaviť algoritmus používaný na výmenu kľúčov, označte zaškrtávací rámček [Auto]. Ak označíte zaškrtávací rámček, algoritmus sa nastaví tak, ako je to znázornené nižšie.
[Authentication]
[SHA1 and MD5]
[Encryption]
[3DES-CBC and AES-CBC]
[DH Group]
[Group 2 (1024)]
Ak chcete algoritmus nastaviť manuálne, zrušte označenie zaškrtávacieho rámčeka a vyberte algoritmus.
[Authentication]
Vyberte transformačný algoritmus.
[Encryption]
Vyberte algoritmus šifrovania.
[DH Group]
Vyberte skupinu Diffie-Hellman, ktorá určuje silu kľúča.
Použitie položky [Pre-Shared Key Method] pre overenie
1
Vyberte položku [Pre-Shared Key Method] pre položku [AUTH Method] a kliknite na položku [Shared Key Settings].
2
Zadajte alfanumerické znaky pre predbežne zdieľaný kľúč a kliknite na tlačidlo [OK].
Použitie položky [Digital Signature Method] pre overenie
1
Vyberte položku [Digital Signature Method] pre položku [AUTH Method] a kliknite na položku [Key and Certificate].
2
Vyberte pár kľúčov, ktorý chcete použiť, a kliknite na položku [Default Key Settings].
Zobrazenie podrobností páru kľúčov alebo certifikátu
Kliknutím na príslušný textový odkaz v položke [Key Name] alebo na ikonu certifikátu môžete skontrolovať podrobnosti certifikátu alebo overiť certifikát. Overenie párov kľúčov a digitálnych certifikátov
9
Zadajte IPSec sieťové nastavenia.
[Use PFS]
Označte zaškrtávací rámček pre aktiváciu PFS (Perfect Forward Secrecy) pre IPSec kľúče relácie. Aktivovaním PFS sa vylepší zabezpečenie a súčasne sa zvýši záťaž na komunikáciu. Uistite sa, že PFS je aktivované aj pre iné zariadenia. Keď nepoužívate PFS, zrušte označenie zaškrtávacieho rámčeka.
[Validity]
Zadajte, ako dlho sa používa SA ako komunikačný tunel. Vyberte zaškrtávací rámček [Specify by Time] alebo [Specify by Size] alebo obidva zaškrtávacie rámčeky podľa potreby. Ak označíte obidva zaškrtávacie rámčeky, IPSec SA relácia sa ukončí pri splnení jednej z podmienok.
[Specify by Time]
Zadajte čas v minútach na zadanie dĺžky trvania relácie. Zadaný čas sa vzťahuje na IPSec SA a IKE SA.
[Specify by Size]
Zadajte veľkosť v megabajtoch na zadanie toho, koľko údajov sa dá preniesť v relácii. Zadaná veľkosť sa použije iba pre IPSec SA.
Ak ste označili iba zaškrtávací rámček [Specify by Size]
Platnosť IKE SA sa nedá určiť podľa veľkosti, takže sa použije počiatočná hodnota (480 minút) položky [Specify by Time].
[Authentication/Encryption Algorithm]
Vyberte protokol a algoritmus, ktorý sa použije na IPSec komunikáciu.
Automatické nastavenie pripojenia
Vyberte položku [Auto].
[ESP Authentication]
ESP je aktivované a algoritmus overenia je nastavený na položku [SHA1 and MD5].
[ESP Encryption]
ESP je aktivované a algoritmus šifrovania je nastavený na položku [3DES-CBC and AES-CBC].
Používanie ESP
Vyberte položku [ESP] a vyberte algoritmus overenia a algoritmus šifrovania.
[ESP Authentication]
Vyberte transformačný algoritmus pre použitie s ESP overením.
[ESP Encryption]
Vyberte algoritmus šifrovania pre ESP.
Používanie AH
Vyberte položku [AH] a vyberte transformačný algoritmus pre použitie s AH overením z položky [AH Authentication].
[Connection Mode]
Zobrazí sa režim pripojenia IPSec. Zariadenie podporuje režim prenosu, v ktorom sa šifruje užitočné zaťaženie IP paketov. Režim tunela, v ktorom sú zapuzdrené celé IP pakety (hlavičky a užitočné zaťaženie), nie je k dispozícii.
10
Kliknite na položku [OK].
Ak potrebujete uložiť ďalšie zásady zabezpečenia, vráťte sa na krok 5.
11
Zoraďte poradie zásad uvedených v položke [IPSec Policy List].
Zásady sa použijú od najvyššej pozície po najnižšiu. Kliknite na položku [Raise Priority] alebo [Lower Priority] a presúvajte zásady smerom nahor alebo nadol.
Úprava zásady
Kliknite na textový odkaz v časti [Policy Name], ak chcete upraviť nastavenia.
Vymazanie zásady
Kliknite na položku [Delete] na pravej strane názvu zásady, ktorú chcete vymazať.
12
Vykonajte tvrdé reštartovanie.
Kliknite na položku [Device Control], vyberte položku [Hard Reset] a potom kliknite na položku [Execute].
Nastavenia sa aktivujú po vykonaní tvrdého reštartovania.

Aktivovanie IPSec komunikácie

Po dokončení registrácie bezpečnostných zásad aktivujte IPSec komunikáciu.
1
Spustite Remote UI (Vzdialené PR) a prihláste sa v režime správy. Spustenie Remote UI (Vzdialené PR)
2
Kliknite na položku [Settings/Registration].
3
Kliknite na položky [Security]  [IPSec Settings].
4
Kliknite na položku [Edit].
5
Označte zaškrtávací rámček [Use IPSec] a kliknite na položku [OK].
[Use IPSec]
Keď používate IPSec pre tlač, označte zaškrtávací rámček. Keď to nepoužívate, zrušte označenie zaškrtávacieho rámčeka.
[Allow Receive Non-Policy Packets]
Ak označíte zaškrtávací rámček pri používaní IPSec protokolu, odosielajú sa/prijímajú sa aj tie pakety, ktoré nie sú k dispozícii pre registrované zásady. Ak chcete deaktivovať odosielanie/prijímanie paketov, ktoré nie sú k dispozícii pre dané zásady, zrušte značenie zaškrtávacieho rámčeka.
6
Vykonajte tvrdé reštartovanie.
Kliknite na položku [Device Control], vyberte položku [Hard Reset] a potom kliknite na položku [Execute].
Nastavenia sa aktivujú po vykonaní tvrdého reštartovania.
Používanie ovládacieho panela
IPSec komunikáciu môžete aktivovať alebo deaktivovať aj v ponuke nastavení na ovládacom paneli. IPSec
ODKAZY
Konfigurovanie nastavení pre páry kľúčov a digitálne certifikáty
IPSec Policy List
LBP325x
Užívateľská príručka (Príručka k výrobku)
Nájdite príručky k iným výrobkom
USRMA-4289-012022-07Copyright CANON INC. 2022