IPSec parametrų konfigūravimas

Naudodami IPSec galite užkirsti kelią trečiosioms šalims perimti ar piktavališkai pakeisti duomenis IP paketų, kurie perduodami IP tinklu. Kadangi IPSec suteikia saugos funkcijų IP (įprastiniam protokolų rinkiniui, naudojamam internete), jis gali suteikti nuo programų ar tinklo konfigūracijos nepriklausomos saugos. Norėdami su šiuo aparatu vykdyti IPSec ryšį, turite taip sukonfigūruoti parametrus, kad jie atitiktų programos parametrus ir algoritmą, naudojamus tapatybės nustatymui ir šifravimui. Norint konfigūruoti šiuos parametrus, būtinos „Administrator“ (administratoriaus) arba „NetworkAdmin“ (tinklo administratoriaus) teisės.


Komunikacijos režimas Šis aparatas IPSec ryšiui palaiko tik transportavimo režimą. Todėl autentifikavimas ir šifravimas taikomi tik IP paketų duomenų porcijoms. Raktų mainų protokolas Šis aparatas palaiko interneto raktų mainų 1 versiją (IKEv1) raktų mainams pagal Interneto saugos asociacijos ir raktų valdymo protokolą (ISAKMP). Autentifikavimo metodui nustatykite arba iš anksto bendrinamo rakto metodą, arba skaitmeninio parašo metodą. Nustatant iš anksto bendrinamo rakto metodą turite iš anksto parinkti praleidimo terminą (iš anksto bendrinamą raktą), kuris naudojamas tarp aparato ir IPSec ryšio kolegos. Nustatydami skaitmeninio parašo metodą, naudokite CA sertifikatą bei PKCS#12 formato raktą ir sertifikatą, kad atliktumėte abipusį autentifikavimą tarp aparato ir IPSec ryšio kolegos. Daugiau informacijos apie naujų CA sertifikatų arba raktų / sertifikatų registravimą rasite skyriuje „Tinklo ryšio rakto ir sertifikato registravimas“. Atkreipkite dėmesį, kad prieš aparaatui naudojant šį metodą jame būtina sukonfigūruoti SNTP. SNTP parametrų nustatymas

Komunikacijos režimas

Šis aparatas IPSec ryšiui palaiko tik transportavimo režimą. Todėl autentifikavimas ir šifravimas taikomi tik IP paketų duomenų porcijoms.

Raktų mainų protokolas

Šis aparatas palaiko interneto raktų mainų 1 versiją (IKEv1) raktų mainams pagal Interneto saugos asociacijos ir raktų valdymo protokolą (ISAKMP). Autentifikavimo metodui nustatykite arba iš anksto bendrinamo rakto metodą, arba skaitmeninio parašo metodą.

Nustatant iš anksto bendrinamo rakto metodą turite iš anksto parinkti praleidimo terminą (iš anksto bendrinamą raktą), kuris naudojamas tarp aparato ir IPSec ryšio kolegos.

Nustatydami skaitmeninio parašo metodą, naudokite CA sertifikatą bei PKCS#12 formato raktą ir sertifikatą, kad atliktumėte abipusį autentifikavimą tarp aparato ir IPSec ryšio kolegos. Daugiau informacijos apie naujų CA sertifikatų arba raktų / sertifikatų registravimą rasite skyriuje „Tinklo ryšio rakto ir sertifikato registravimas“. Atkreipkite dėmesį, kad prieš aparaatui naudojant šį metodą jame būtina sukonfigūruoti SNTP. SNTP parametrų nustatymas


Nepriklausomai nuo IPSec ryšio parametro <Formatuoti šifravimo metodą FIPS 140-2>, bus naudojamas šifravimo modulis, kuris jau gavo FIPS140-2 sertifikavimą. Kad IPSec ryšys atitiktų FIPS 140-2, turite nustatyti ir DH, ir RSA rakto ilgį IPSec ryšiui į 2048 bitų ar ilgesnį tinklo aplinkoje, kuriai priklauso aparatas. Iš aparato galima nustatyti tik DH rakto ilgį. Konfigūruodami savo aplinką būkite atidūs, nes aparate nėra RSA parametrų. Galite registruoti iki 10 saugos strategijų.

Nepriklausomai nuo IPSec ryšio parametro <Formatuoti šifravimo metodą FIPS 140-2>, bus naudojamas šifravimo modulis, kuris jau gavo FIPS140-2 sertifikavimą.

Kad IPSec ryšys atitiktų FIPS 140-2, turite nustatyti ir DH, ir RSA rakto ilgį IPSec ryšiui į 2048 bitų ar ilgesnį tinklo aplinkoje, kuriai priklauso aparatas.

Iš aparato galima nustatyti tik DH rakto ilgį.

Konfigūruodami savo aplinką būkite atidūs, nes aparate nėra RSA parametrų.

Galite registruoti iki 10 saugos strategijų.

Paspauskite

Spustelėkite <Nuostatos>

<IPSec parametrai>.

Nustatykite <IPSec naudojimas> į <Įjungt.>, tada spustelėkite <Įregistravimas>.

Nurodykite strategijos pavadinimą.

Spustelėkite <Strategijos pavadinimas>, įveskite pavadinimą, tada paspauskite <Gerai>.

Daugiafunkciai „Canon“ spausdintuvai palaiko du rakto ilgius AES šifravimo metodui: 128 bitų ir 256 bitų. Norėdami nustatyti rakto ilgį į 256 bitų ir atitikti CC autentifikavimo standartus, nustatykite <Leisti tik 256 bitų AES rakto ilgį> į <Įjungt.>.

Sukonfigūruokite IPSec programos parametrus.

Paspauskite <Išrinkiklio parametrai>.

Nurodykite IP adresą, kuriam bus taikoma IPSec strategija.

Šio aparato IP adresą nurodykite parametre <Vietinis adresas>, o ryšio kolegos IP adresą nurodykite parametre <Nuotolinis adresas>.

<Visi IP adresai>	IPSec taikoma visiems siunčiamiems ir gaunamiems IP paketams.
<IPv4 adresas>	IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio aparato IPv4 adresų.
<IPv6 adresas>	IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio aparato IPv6 adresų.
<Visi IPv4 adresai>	IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš ryšio kolegos IPv4 adresų.
<Visi IPv6 adresai>	IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio ryšio kolegos IPv6 adresų.
<IPv4 rankin. parametrai>	Nurodykite IPv4 adresą, kuriam bus taikoma IPSec strategija. Pasirinkite <Vienas adresas>, jei norite įvesti atskirą IPv4 adresą. Pasirinkite <Adresų diapazonas>, jei norite nurodyti IPv4 adresų diapazoną. Įveskite atskirus adresus prie <Pirmasis adresas> ir <Paskutinis adresas>. Pasirinkite <Potinklio parametrai>, jei norite nurodyti IPv4 adresų diapazoną naudodami potinklio šabloną. Įveskite atskiras reikšmes prie <Adresas> ir <Potinklio kaukė>.
<IPv6 rankin. parametrai>	Nurodykite IPv6 adresą, kuriam bus taikoma IPSec strategija. Pasirinkite <Vienas adresas>, jei norite įvesti atskirą IPv6 adresą. Pasirinkite <Adresų diapazonas>, jei norite nurodyti IPv6 adresų diapazoną. Įveskite atskirus adresus prie <Pirmasis adresas> ir <Paskutinis adresas>. Pasirinkite <Prefikso nurodymas>, jei norite nurodyti IPv6 adresų diapazoną naudodami prefiksą. Įveskite atskiras reikšmes prie <Adresas> ir <Prefikso ilgis>.

Nurodykite prievadą, kuriam bus taikoma IPSec strategija.

Spustelėkite <Nurodyti pagal prievado numerį>, jei nurodydami prievadus, kuriems taikoma IPSec, norite naudoti prievadų numerius. Pasirinkite <Visi prievadai>, jei norite IPSec taikyti visiems prievadų numeriams. Norėdami IPSec taikyti konkrečiam prievado numeriui, paspauskite <Vienas prievadas> ir įveskite prievado numerį. Nurodę prievadus, spustelėkite <Gerai>. Šio aparato prievadą nurodykite <Vietinis prievadas>, o ryšio kolegos prievadą nurodykite <Nuotolinis prievadas>.

Spustelėkite <Nurodyti pagal tarnybos pavad.>, jei nurodydami prievadus, kuriems taikoma IPSec, norite naudoti paslaugų pavadinimus. Iš sąrašo pasirinkite paslaugą, spustelėdami <Tarnybos įjung./išjung.> nustatykite ją į <Įjungt.>, tada spustelėkite <Gerai>.

Paspauskite <Gerai>.

Sukonfigūruokite autentifikavimo ir šifravimo parametrus.

Paspauskite <IKE parametrai>.

Konfigūruokite reikiamus parametrus.

Pasirinkite raktų mainų protokolo veikimo režimą. Sauga pagerinama, jei pasirenkate <Pagrindinis>, nes pati IKE sesija šifruojama, tačiau jos sparta mažesnė nei naudojant <Agresyvusis> parametrą, kuris nešifruoja visos sesijos.

Pasirinkite vieną iš toliau aprašomų autentifikavimo būdų.

<Išanks.bendr. rakto metod.>	Nustatykite tokį patį praleidimo terminą (iš anksto bendrinamą raktą), kuris nustatytas ryšio kolegai. Paspauskite <Bendrinamasis raktas>, įveskite simbolių eilutę, kuri bus naudojama kaip bendrinamas raktas, ir spustelėkite <Gerai>.
<Sk. parašo būdas>	Nustatykite raktą ir sertifikatą, kurie bus naudojami abipusiam autentifikavimui su ryšio kolega. Paspauskite <Raktas ir sertifikatas>, pasirinkite raktą ir sertifikatą, kurie bus naudojami, tada spustelėkite <Nustatyti numat. raktu> <Taip> <Gerai>.

Pasirinkite <Autom.> arba <Rankiniai parametrai>, kad nustatytumėte 1 IKE etapo autentifikavimo ir šifravimo algoritmą. Pasirinkus <Autom.>, automatiškai nustatomas algoritmas, kurį gali naudoti ir šis aparatas, ir ryšio kolega. Jei norite nurodyti konkretų algoritmą, pasirinkite <Rankiniai parametrai> ir žemiau sukonfigūruokite parametrus.

<Autentifikavim.>	Pasirinkite maišos algoritmą.
<Šifravimas>	Pasirinkite šifravimo algoritmą.
<DH grupė>	Pasirinkite grupę Diffie-Hellman raktų mainų būdui, kad nustatytumėte rakto stiprumą.

Paspauskite <Gerai>.


Kai <IKE režimas> nustatyta į <Pagrindinis> <IKE parametrai> ekrane, o <Autentifikavimo metodas> nustatyta į <Išanks.bendr. rakto metod.>, registruojant kelias saugos strategijas galioja toliau pateikiami apribojimai. Iš anksto bendrinamo rakto metodas: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, visi tai saugos politikai taikomi bendrinami raktai yra identiški (tai netaikoma, kai nurodytas tik vienas adresas). Pirmenybė: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, jos pirmenybiškumas yra žemiau saugos strategijos, kuriai nurodytas tik vienas adresas.

Kai <IKE režimas> nustatyta į <Pagrindinis> <IKE parametrai> ekrane, o <Autentifikavimo metodas> nustatyta į <Išanks.bendr. rakto metod.>, registruojant kelias saugos strategijas galioja toliau pateikiami apribojimai.

Iš anksto bendrinamo rakto metodas: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, visi tai saugos politikai taikomi bendrinami raktai yra identiški (tai netaikoma, kai nurodytas tik vienas adresas).

Pirmenybė: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, jos pirmenybiškumas yra žemiau saugos strategijos, kuriai nurodytas tik vienas adresas.

IPSec ryšio parametrų konfigūravimas

Paspauskite <IPSec tinklo parametrai>.

Konfigūruokite reikiamus parametrus.

Nustatykite sugeneruotų IKE SA ir IPSec SA galiojimo laikotarpį. Būtinai nustatykite <Laikas> arba <Formatas>. Jei nustatysite abu, galiojimo laikotarpis baigsis pasiekus bet kurią reikšmę.

<PFS>

Jei funkciją „Perfect Forward Secrecy“ (PFS) nustatysite į <Įjungt.>, šifravimo rakto slaptumas išaugs, tačiau ryšio sparta sumažės. Be to, PFS funkciją būtina įjungti ir kitame ryšio įrenginyje.

Pasirinkite <Autom.> arba <Rankiniai parametrai>, kad nustatytumėte 2 IKE etapo autentifikavimo ir šifravimo algoritmą. Pasirinkus <Autom.> ESP autentifikavimo ir šifravimo algoritmas nustatomas automatiškai. Jei norite nurodyti konkretų autentifikavimo metodą, paspauskite <Rankiniai parametrai> ir pasirinkite vieną iš toliau pateiktų autentifikavimo metodų.

<ESP>	Atliekamas ir autentifikavimas, ir šifravimas. Pasirinkite algoritmą <ESP autentifikavim.> ir <ESP šifravimas>. Pasirinkite <NULL>, jei nenorite nustatyti autentifikavimo arba šifravimo algoritmo.
<ESP (AES-GCM)>	Kaip ESP algoritmas naudojamas AES-GCM, atliekamas ir autentifikavimas, ir šifravimas.
<AH (SHA1)>	Autentifikavimas vykdomas, bet duomenys nešifruojami. Kaip algoritmas naudojamas SHA1.

Paspauskite <Gerai>

<Gerai>.

Įjunkite registruotas strategijas ir patikrinkite pirmenybiškumo tvarką.

Iš sąrašo pasirinkite registruotas strategijas ir spustelėdami <Strategijos įjung./išjung.> jas <Įjungt.>.

Strategijos pritaikomos tokia tvarka, kokia jos surašytos, pradedant nuo viršaus. Jei norite pakeisti pirmenybiškumo tvarką, sąraše pasirinkite strategiją ir spustelėkite <Pirmumo padidin.> arba <Mažesnis pirmum.>.

Jei nenorite gauti ir siųsti paketų, kurie neatitinka strategijų, pasirinkite <Atmesti> parametrui <Priimti paketus be strategijos>.

Paspauskite <Gerai>.

Spustelėkite

<Par. keit. taikymas>

<Taip>.


IPSec strategijų valdymas Strategijas galite redaguoti ekrane, kuris rodomas 3 veiksme. Norėdami redaguoti strategijos išsamią informaciją, pasirinkite strategiją iš sąrašo ir spustelėkite <Redagavimas>. Norėdami išjungti strategiją, pasirinkite ją sąraše ir spustelėkite <Strategijos įjung./išjung.>. Norėdami ištrinti strategiją, pasirinkite ją sąraše ir paspauskite <Naikinti> <Taip>.

IPSec strategijų valdymas

Strategijas galite redaguoti ekrane, kuris rodomas 3 veiksme.

Norėdami redaguoti strategijos išsamią informaciją, pasirinkite strategiją iš sąrašo ir spustelėkite <Redagavimas>.

Norėdami išjungti strategiją, pasirinkite ją sąraše ir spustelėkite <Strategijos įjung./išjung.>.

Norėdami ištrinti strategiją, pasirinkite ją sąraše ir paspauskite <Naikinti>

<Taip>.