IPSec-beállítások megadása

Az IPSec használatával megakadályozhatja, hogy harmadik felek lehallgassák vagy illetéktelenül módosítsák az IP-hálózaton továbbított IP-csomagokat. Az IPSec az interneten is alkalmazott, alapszintű IP protokollcsomagot egészíti ki biztonsági funkciókkal, így alkalmazásoktól és hálózati konfigurációktól függetlenül képes növelni a biztonságot. Ahhoz, hogy a készülékkel IPSec-kommunikációt folytathasson, olyan beállításokat kell megadnia, mint az alkalmazás paraméterei, valamint a hitelesítéshez és titkosításhoz használt algoritmus. Ezeknek a beállításoknak a megadásához rendszergazdai vagy NetworkAdmin jogosultságok szükségesek.


Kommunikációs mód A készülék csak az IPSec-kommunikáció szállítási módját támogatja. Ebből következően a hitelesítés és titkosítás csak az IP-csomagok adatrészére érvényesül. Kulcscsere-protokoll A készülék a kulcsok internetes biztonsági kapcsolat- és kulcskezelő protokollon (Internet Security Association and Key Management Protocol, ISAKMP) alapuló cseréjéhez az internetes kulcscsere (Internet Key Exchange) 1-es verzióját (IKEv1) támogatja. Hitelesítési módként az előmegosztott kulcs módot vagy a digitális aláírás módot választhatja. Az előmegosztott kulcs mód beállítása esetében előzetesen meg kell határoznia a készülék és az IPSec-kommunikációs partner között használandó jelszót (előmegosztott kulcs). A digitális aláírás mód beállítása esetében a készülék és az IPSec-kommunikációs partner közötti kölcsönös hitelesítést CA tanúsítvánnyal, valamint PKCS#12 formátumú kulccsal és tanúsítvánnyal tudja lebonyolítani. Az új CA tanúsítványok, illetve kulcsok/tanúsítványok bejegyzésével kapcsolatos információkat lásd: Kulcs és tanúsítvány bejegyzése hálózati kommunikációhoz. Ügyeljen rá, hogy az SNTP protokollt be kell állítani a készüléken ahhoz, hogy ezt a módot használni tudja. SNTP beállítások elvégzése

Kommunikációs mód

A készülék csak az IPSec-kommunikáció szállítási módját támogatja. Ebből következően a hitelesítés és titkosítás csak az IP-csomagok adatrészére érvényesül.

Kulcscsere-protokoll

A készülék a kulcsok internetes biztonsági kapcsolat- és kulcskezelő protokollon (Internet Security Association and Key Management Protocol, ISAKMP) alapuló cseréjéhez az internetes kulcscsere (Internet Key Exchange) 1-es verzióját (IKEv1) támogatja. Hitelesítési módként az előmegosztott kulcs módot vagy a digitális aláírás módot választhatja.

Az előmegosztott kulcs mód beállítása esetében előzetesen meg kell határoznia a készülék és az IPSec-kommunikációs partner között használandó jelszót (előmegosztott kulcs).

A digitális aláírás mód beállítása esetében a készülék és az IPSec-kommunikációs partner közötti kölcsönös hitelesítést CA tanúsítvánnyal, valamint PKCS#12 formátumú kulccsal és tanúsítvánnyal tudja lebonyolítani. Az új CA tanúsítványok, illetve kulcsok/tanúsítványok bejegyzésével kapcsolatos információkat lásd: Kulcs és tanúsítvány bejegyzése hálózati kommunikációhoz. Ügyeljen rá, hogy az SNTP protokollt be kell állítani a készüléken ahhoz, hogy ezt a módot használni tudja. SNTP beállítások elvégzése


A készülék a <FIPS 140-2 titkosítási módszer kialakítása> lehetőség IPSec-kommunikációra vonatkozó beállításától függetlenül FIPS140-2 tanúsítvánnyal már rendelkező titkosítási modult fog használni. Ahhoz, hogy az IPSec-kommunikáció megfeleljen az FIPS 140-2 szabványnak, az IPSec-kommunikációra vonatkozóan a DH és az RSA kulcshosszát is legalább 2048 bitesre kell állítania abban a hálózati környezetben, amelyhez a készülék tartozik. A készülékről csak a DH kulcshosszát lehet megadni. Jegyezze fel az adatokat a környezet beállításakor, mivel a készülékben az RSA rendszerre vonatkozóan nincsenek beállítások. Legfeljebb 10 biztonsági házirendet jegyezhet be.

A készülék a <FIPS 140-2 titkosítási módszer kialakítása> lehetőség IPSec-kommunikációra vonatkozó beállításától függetlenül FIPS140-2 tanúsítvánnyal már rendelkező titkosítási modult fog használni.

Ahhoz, hogy az IPSec-kommunikáció megfeleljen az FIPS 140-2 szabványnak, az IPSec-kommunikációra vonatkozóan a DH és az RSA kulcshosszát is legalább 2048 bitesre kell állítania abban a hálózati környezetben, amelyhez a készülék tartozik.

A készülékről csak a DH kulcshosszát lehet megadni.

Jegyezze fel az adatokat a környezet beállításakor, mivel a készülékben az RSA rendszerre vonatkozóan nincsenek beállítások.

Legfeljebb 10 biztonsági házirendet jegyezhet be.

Nyomja meg a

gombot.

Nyomja meg a <Beállítások>

<Hálózat>

<IPSec beállítás> lehetőséget.

Állítsa az <IPSec használata> lehetőséget <Be> értékűre, és nyomja meg a <Bejegyzés> gombot.

Adja meg a házirend nevét.

Nyomja meg a <Házirend név> gombot, írja be a nevet, és nyomja meg az <OK> gombot.

A Canon többfunkciós nyomtatók az AES titkosítási módszerhez kétféle kulcshosszt támogatnak: 128 bitest és 256 bitest. Ha a kulcshosszt 256 bitesre szeretné korlátozni, hogy megfeleljen a CC hitelesítési szabványoknak, állítsa a <Csak 256-bites AES kulcshossz> lehetőséget <Be> értékűre.

Adja meg az IPSec alkalmazás-paramétereit.

Nyomja meg a <Választó beállítások> gombot.

Adja meg, milyen IP-címre kívánja alkalmazni az IPSec-házirendet.

A <Helyi cím> mezőben adja meg a készülék IP-címét, a <Távoli cím> mezőben pedig a kommunikációs partner IP-címét.

<Minden IP cím>	Az IPSec minden küldött és fogadott IP-csomagra érvényes lesz.
<IPv4 cím>	Az IPSec a készülék IPv4-címére küldött és onnan fogadott IP-csomagokra lesz érvényes.
<IPv6 cím>	Az IPSec a készülék IPv6-címére küldött és onnan fogadott IP-csomagokra lesz érvényes.
<Minden IPv4 cím>	Az IPSec a kommunikációs partner IPv4-címére küldött és onnan fogadott IP-csomagokra lesz érvényes.
<Minden IPv6 cím>	Az IPSec a kommunikációs partner IPv6-címére küldött és onnan fogadott IP-csomagokra lesz érvényes.
<IPv4 kézi beállítás>	Megadhatja, milyen IPv4-címre kívánja alkalmazni az IPSec-házirendet. Egy önálló IPv4-cím beírásához válassza az <Egyetlen cím> lehetőséget. IPv4-címek tartományának megadásához válassza a <Címtartomány> lehetőséget. Külön írhatja be az első címet az <Első cím> mezőben és az utolsó címet az <Utolsó cím> mezőben. IPv4-címek tartományának alhálózati maszkkal való megadásához válassza az <Alhálózat beállítás> lehetőséget. Külön-külön írja be a <Cím> és az <Alhálózati maszk> értékét.
<IPv6 kézi beállítás>	Megadhatja, milyen IPv6-címre kívánja alkalmazni az IPSec-házirendet. Egy önálló IPv6-cím beírásához válassza az <Egyetlen cím> lehetőséget. IPv6-címek tartományának megadásához válassza a <Címtartomány> lehetőséget. Külön írhatja be az első címet az <Első cím> mezőben és az utolsó címet az <Utolsó cím> mezőben. IPv6-címek tartományának előtaggal való megadásához válassza az <Előtag beállítás> lehetőséget. Külön-külön írja be a <Cím> és az <Előtag hossz> értékét.

Adja meg, melyik portra kívánja alkalmazni az IPSec-házirendet.

Ha azokat a portokat, amelyekre az IPSec-házirendet alkalmazni kívánja, portszámmal szeretné megadni, nyomja meg a <Megadás port számával> gombot. Ha az összes portszámra alkalmazni kívánja az IPSec-házirendet, válassza a <Minden port> lehetőséget. Ha az IPSec-házirendet egy bizonyos portszámra kívánja alkalmazni, nyomja meg az <Egyetlen port> gombot, és írja be a portszámot. A portok megadása után nyomja meg az <OK> gombot. A <Helyi port> mezőben adja meg a készülék portját, a <Távoli port> mezőben pedig a kommunikációs partner portját.

Ha azokat a portokat, amelyekre az IPSec-házirendet alkalmazni kívánja, szolgáltatásnévvel szeretné megadni, nyomja meg a <Megadás szolgáltatásnévvel> gombot. A listából válassza ki a szolgáltatást, nyomja meg a <Szolgáltatás Be/Ki> gombot, hogy a <Be> értéket vegye fel, és nyomja meg az <OK> gombot.

Nyomja meg az <OK> gombot.

Adja meg a hitelesítési és titkosítási beállításokat.

Nyomja meg az <IKE beállítás> gombot.

Adja meg a szükséges beállításokat.

A kulcscsere-protokoll működési módját választhatja ki. A <Fő> lehetőség kiválasztása növeli a biztonságot, mivel maga az IKE-munkamenet van titkosítva, a munkamenet sebessége azonban kisebb, mint az <Agresszív> lehetőség esetében, mely esetben nincs titkosítva a teljes munkamenet.

<Hitelesítési mód>

Az alábbiakban bemutatott hitelesítési módok valamelyikét választhatja ki.

<Előmegsztott kulcs mód>	Állítsa be ugyanazt a jelszót (előmegosztott kulcs), ami a kommunikációs partnernél is be van állítva. Nyomja meg a <Megosztott kulcs> gombot, írja be a megosztott kulcsként használandó karakterláncot, és nyomja meg az <OK> gombot.
<Digitális aláírás mód>	Adja meg a kommunikációs partnerrel való kölcsönös hitelesítéshez használandó kulcsot és tanúsítványt. Nyomja meg a <Kulcs és tanúsítvány> gombot, válassza ki a használandó kulcsot és tanúsítványt, majd nyomja meg a <Beáll. alapértelmzett kulcsként> <Igen> <OK> gombot.

<Hitelesítési/Titkosítási algoritmus>

Az <Autom.> vagy <Kézi beállítás> lehetőségek valamelyikét kiválasztva beállíthatja, hogyan kívánja megadni a hitelesítési és titkosítási algoritmust az IKE 1. fázisához. Az <Autom.> kiválasztása esetében a rendszer automatikusan beállít egy olyan algoritmust, amelyet a készülék és a kommunikációs partner is tud használni. Ha egy bizonyos konkrét algoritmust akar megadni, válassza a <Kézi beállítás> lehetőséget, és adja meg az alábbi beállításokat.

<Hitelesítés>	Válasszon tördelő algoritmust.
<Titkosítás>	Válasszon titkosítási algoritmust.
<DH csoport>	A Diffie-Hellman kulcscseremódszerhez tartozó csoportot választhatja ki a kulcs erősségének beállításához.

Nyomja meg az <OK> gombot.


Ha az <IKE mód> beállítása <Fő> az <IKE beállítás> képernyőn, a <Hitelesítési mód> beállítása pedig <Előmegsztott kulcs mód>, akkor több biztonsági házirend bejegyzése esetében az alábbi korlátozások lesznek érvényesek. Előmegosztott kulcs mód kulcsa: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az ahhoz a biztonsági házirendhez tartozó összes megosztott kulcs azonos lesz (ez nem vonatkozik arra az esetre, ha csak egy cím van megadva). Elsőbbség: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az a biztonsági házirend alacsonyabb elsőbbségű azoknál, amelyekhez csak egy cím van megadva.

Ha az <IKE mód> beállítása <Fő> az <IKE beállítás> képernyőn, a <Hitelesítési mód> beállítása pedig <Előmegsztott kulcs mód>, akkor több biztonsági házirend bejegyzése esetében az alábbi korlátozások lesznek érvényesek.

Előmegosztott kulcs mód kulcsa: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az ahhoz a biztonsági házirendhez tartozó összes megosztott kulcs azonos lesz (ez nem vonatkozik arra az esetre, ha csak egy cím van megadva).

Elsőbbség: ha több olyan, távoli IP-címet is megad, amelyekre egy biztonsági házirend alkalmazandó, akkor az a biztonsági házirend alacsonyabb elsőbbségű azoknál, amelyekhez csak egy cím van megadva.

Adja meg az IPSec-kommunikációs beállításokat.

Nyomja meg az <IPSec hálózati beállítás> gombot.

Adja meg a szükséges beállításokat.

<Érvényesség>

Az előállított IKE SA és IPSec SA érvényességi időtartamát adhatja meg. Vagy az <Idő>, vagy a <Méret> lehetőséget be kell állítania. Ha mindkettőt beállítja, az érvényesség időtartama akkor jár le, amikor a rendszer valamelyik értéket eléri.

<PFS>

Ha a sérülés utáni titkosságvédelem (Perfect Forward Secrecy, PFS) funkciót <Be> értékűre állítja, a titkosítási kulcs titkossága nő, a kommunikáció sebessége azonban kisebb lesz. Emellett a PFS funkciót a kommunikációs partnereszközön is engedélyezni kell.

<Hitelesítési/Titkosítási algoritmus>

Az <Autom.> vagy <Kézi beállítás> lehetőségek valamelyikét kiválasztva beállíthatja, hogyan kívánja megadni a hitelesítési és titkosítási algoritmust az IKE 2. fázisához. Az <Autom.> kiválasztása esetében a rendszer automatikusan beállítja az ESP hitelesítési és titkosítási algoritmust. Ha egy bizonyos konkrét hitelesítési módot akar megadni, nyomja meg a <Kézi beállítás> lehetőséget, és válassza ki az alábbi hitelesítési módok valamelyikét.

<ESP>	A rendszer hitelesítést és titkosítást is végez. Válassza ki az <ESP hitelesítés> és <ESP titkosítás> elemekhez tartozó algoritmust. Ha a hitelesítési vagy a titkosítási algoritmust nem kívánja megadni, válassza a <NULL> lehetőséget.
<ESP (AES-GCM)>	A rendszer ESP-algoritmusként az AES-GCM módot alkalmazza, és hitelesítést és titkosítást is végez.
<AH (SHA1)>	A rendszer hitelesítést végez, de az adatok nem lesznek titkosítva. A hitelesítés SHA1 algoritmussal történik.

Nyomja meg az <OK>

<OK> gombot.

Engedélyezze a bejegyzett házirendeket, és ellenőrizze az elsőbbségi sorrendet.

A listából válassza ki a bejegyzett házirendeket, és a <Házirend Be/Ki> gombot megnyomva állítsa őket <Be> értékűre.

A házirendek a felsorolásuk sorrendjében kerülnek alkalmazásra, felülről kezdve. Az elsőbbségi sorrend megváltoztatásához válasszon ki egy házirendet a listából, és nyomja meg a <Prioritást növel> vagy <Prioritást csökkent> gombot.

Ha nem akar olyan csomagokat küldeni vagy fogadni, amelyek nem felelnek meg a házirendeknek, akkor válassza ki az <Elvet> értéket a <H.rendtől eltérő csomag vétele> lehetőségnél.

Nyomja meg az <OK> gombot.

Nyomja meg a

<Beáll. módos. alk.>

<Igen> gombot.


IPSec-házirendek kezelése A házirendeket a 3. lépésben megjelenő képernyőn tudja szerkeszteni. Házirend részleteinek szerkesztéséhez válassza ki a szerkesztendő házirendet a listából, és nyomja meg a <Szerkeszt> gombot. Házirend letiltásához válassza ki a letiltandó házirendet a listából, és nyomja meg a <Házirend Be/Ki> gombot. Házirend törléséhez válassza ki a törlendő házirendet a listából, és nyomja meg a <Töröl> <Igen> gombot.

IPSec-házirendek kezelése

A házirendeket a 3. lépésben megjelenő képernyőn tudja szerkeszteni.

Házirend részleteinek szerkesztéséhez válassza ki a szerkesztendő házirendet a listából, és nyomja meg a <Szerkeszt> gombot.

Házirend letiltásához válassza ki a letiltandó házirendet a listából, és nyomja meg a <Házirend Be/Ki> gombot.

Házirend törléséhez válassza ki a törlendő házirendet a listából, és nyomja meg a <Töröl>

<Igen> gombot.