Konfigurere IPSec-innstillingene

Ved å bruke IPSec kan du forhindre tredjeparter i å fange opp eller tukle med IP-pakker som er transportert over IP-nettverket. Fordi IPSec legger til sikkerhetsfunksjoner til IP, en grunnleggende protokollpakke som brukes på Internett, kan den gi sikkerhet som er uavhengig av programmer eller nettverkskonfigurasjon. Hvis du vil utføre IPSec-kommunikasjon med denne maskinen, må du konfigurere innstillinger som programparametere og algoritmen for godkjenning og kryptering. Administrator- eller NetworkAdmin-privilegier kreves for å konfigurere disse innstillingene.


Kommunikasjonsmodus Denne maskinen støtter kun transportmodus for IPSec-kommunikasjon. Som et resultat blir godkjenning og kryptering bare brukt på datadelene av IP-pakker. Nøkkelutvekslingsprotokoll Denne maskinen støtter Internet Key Exchange versjon 1 (IKEv1) for utveksling av nøkler basert på ISAKMP (Internet Security Association and Key Management Protocol). For godkjenningsmetoden angir du enten den forhåndsdelte nøkkelmetoden eller den digitale signaturmetoden. Når du angir metoden for forhåndsdelt nøkkel, må du bestemme deg for en passordfrase (forhåndsdelt nøkkel) på forhånd, som brukes mellom maskinen og IPSec-kommunikasjonsnettet. Når du angir metoden for digital signatur, må du bruke et CA-sertifikat og en PKCS#12-formatnøkkel og sertifikat for å utføre gjensidig godkjenning mellom maskinen og IPSec-kommunikasjonsnettet. Hvis du vil ha mer informasjon om å registrere nye Ca-sertifikater eller nøkler/sertifikater, kan du se Registrere nøkkel og sertifikat for nettverkskommunikasjon. Vær oppmerksom på at SNTP må være konfigurert for maskinen før den bruker denne metoden. Stille inn SNTP-innstillinger

Kommunikasjonsmodus

Denne maskinen støtter kun transportmodus for IPSec-kommunikasjon. Som et resultat blir godkjenning og kryptering bare brukt på datadelene av IP-pakker.

Nøkkelutvekslingsprotokoll

Denne maskinen støtter Internet Key Exchange versjon 1 (IKEv1) for utveksling av nøkler basert på ISAKMP (Internet Security Association and Key Management Protocol). For godkjenningsmetoden angir du enten den forhåndsdelte nøkkelmetoden eller den digitale signaturmetoden.

Når du angir metoden for forhåndsdelt nøkkel, må du bestemme deg for en passordfrase (forhåndsdelt nøkkel) på forhånd, som brukes mellom maskinen og IPSec-kommunikasjonsnettet.

Når du angir metoden for digital signatur, må du bruke et CA-sertifikat og en PKCS#12-formatnøkkel og sertifikat for å utføre gjensidig godkjenning mellom maskinen og IPSec-kommunikasjonsnettet. Hvis du vil ha mer informasjon om å registrere nye Ca-sertifikater eller nøkler/sertifikater, kan du se Registrere nøkkel og sertifikat for nettverkskommunikasjon. Vær oppmerksom på at SNTP må være konfigurert for maskinen før den bruker denne metoden. Stille inn SNTP-innstillinger


Uavhengig av innstillingen på <Formatkrypteringsmåte til FIPS 140-2> for IPSec-kommunikasjon, brukes en krypteringsmodul som allerede har fått en FIPS140-2-sertifisering. For å få IPSec-kommunikasjon til å samsvare med FIPS 140-2 må du stille nøkkellengden til både DH og RSA for IPSec-kommunikasjon til 2048-bit eller lenger i nettverksmiljøet som maskinen tilhører. Kun nøkkellengden for DH kan angis fra maskinen. Vær oppmerksom når du konfigurerer miljøet, for det ikke er noen innstillinger for RSA i maskinen. Du kan registrere opptil 10 sikkerhetspolicyer.

Uavhengig av innstillingen på <Formatkrypteringsmåte til FIPS 140-2> for IPSec-kommunikasjon, brukes en krypteringsmodul som allerede har fått en FIPS140-2-sertifisering.

For å få IPSec-kommunikasjon til å samsvare med FIPS 140-2 må du stille nøkkellengden til både DH og RSA for IPSec-kommunikasjon til 2048-bit eller lenger i nettverksmiljøet som maskinen tilhører.

Kun nøkkellengden for DH kan angis fra maskinen.

Vær oppmerksom når du konfigurerer miljøet, for det ikke er noen innstillinger for RSA i maskinen.

Du kan registrere opptil 10 sikkerhetspolicyer.

Trykk på

(Innst./Registrer).

Trykk på <Preferanser>

<IPSec innstillinger>.

Angi <Bruk IPSec> til <På> og trykk på <Lagre>.

Angi navnet på policyen.

Trykk på <Policy navn>, tast inn navnet og trykk på <OK>.

Canon flerfunksjonsskrivere støtter to nøkkellengder for AES-krypteringsmetoden: 128-biters og 256-biters. For å begrense nøkkellengden til 256-biters og oppfylle CC-godkjenningsstandarder, stiller du <Tillat bare 256-bit for AES-nøkkellengde> til <På>.

Konfigurer IPSec-programparametere.

Trykk på <Velger innstillinger>.

Angi IP-adressen som IPSec-policyen skal brukes på.

Angi IP-adressen til denne maskinen i <Lokal adresse>, og angi IP-adressen til kommunikasjonsnettet i <Fjernadresse>.

<Alle IPadresser>	IPSec brukes på alle sendte og mottatte IP-pakker.
<IPv4 adresse>	IPSec brukes på IP-pakker sendt til og mottatt fra IPv4-adressen til denne maskinen.
<IPv6 adresse>	IPSec brukes på IP-pakker sendt til og mottatt fra IPv6-adressen til denne maskinen.
<Alle IPv4 adresser>	IPSec brukes på IP-pakker sendt til og mottatt fra IPv4-adressen til kommunikasjonsnettet.
<Alle IPv6 adresser>	IPSec brukes på IP-pakker sendt til og mottatt fra IPv6-adressen til kommunikasjonsnettet.
<IPv4 man. innstillinger>	Angi IPV4-adressen som IPSec-policyen skal brukes på. Velg <Enkel adresse> for å taste inn en enkelt IPv4-adresse. Velg <Adresseområde> for å angi en rekke IPv4-adresser. Tast inn en separat adresse for <Første adresse> og <Siste adresse>. Velg <Subnet innstillinger> for å angi en rekke Ipv4-adresser ved hjelp av en nettverksmaske. Tast inn separate verdier for <Adresse> og <Subnet Mask>.
<IPv6 man. innstillinger>	Angi IPV6-adressen som IPSec skal brukes på. Velg <Enkel adresse> for å taste inn en enkelt IPv6-adresse. Velg <Adresseområde> for å angi en rekke IPv6-adresser. Tast inn en separat adresse for <Første adresse> og <Siste adresse>. Velg <Angi prefiks> for å angi en rekke Ipv6-adresser ved hjelp av et prefiks. Tast inn separate verdier for <Adresse> og <Prefiks lengde>.

Angi porten som IPSec skal brukes på.

Trykk på <Angi etter portnummer> for å bruke portnumrene når du angir portene som IPSec brukes på. Velg <Alle porter> for å bruke IPSec til alle portnummer. For å bruke IPSec til et bestemt portnummer, trykker du på <Enkel port> og angir portnummeret. Etter du har angitt portene, trykker du på <OK>. Angi porten til denne maskinen i <Lokal port> og angi porten til kommunikasjonsnettet i <Fjernport>.

Trykk på <Angi etter servicenavn> for å bruke tjenestenavnene når du angir portene som IPSec gjelder for. Velg tjenesten fra listen, trykk på <Service På/Av> for å stille den til <På> og trykk på <OK>.

Trykk på <OK>.

Konfigurer godkjennings- og krypteringsinnstillingene.

Trykk på <IKE-nnstillinger>.

Konfigurer de nødvendige innstillingene.

<IKE-modus>

Velg driftsmodien for nøkkelutvekslingsprotokollen. Sikkerheten forbedres hvis du velger <Hoved> fordi IKE-økten i seg selv er kryptert, men hastigheten på økten er tregere enn med <Aggressiv>, noe som ikke krypterer hele økten.

Angi utløpsperioden for generert IKE SA.

Velg en av godkjenningsmetodene beskrevet nedenfor.

<Forhåndsdelt tastmetode>	Angi samme passordfrase (forhåndsdelt nøkkel) som er angitt i kommunikasjonsnettet. Trykk på <Delt tast>, angi tegnstrengen som skal brukes som den delte nøkkelen og trykk på <OK>.
<Digital sign. metode>	Angi nøkkel og sertifikat som skal brukes til gjensidig godkjenning med kommunikasjonsnettet. Trykk på <Tast og sertifikat>, velg nøkkelen og sertifikatet som skal brukes, og trykk på <Angi som stand.nøkkel> <Ja> <OK>.

Velg enten <Auto> eller <Manuelle innstillinger> for å stille inn hvordan du skal angi godkjennings- og krypteringsalgoritmen for IKE-fase 1. Hvis du velger <Auto>, blir en algoritme som kan brukes av både denne maskinen og kommunikasjonsnettet, automatisk stilt inn. Hvis du vil angi en bestemt algoritme, velger du <Manuelle innstillinger> og konfigurerer innstillingene nedenfor.

<Autentisering>	Velg hash-algoritmen.
<Kryptering>	Velg krypteringsalgoritmen.
<DH-gruppe>	Velg gruppen for Diffie-Hellman-nøkkelutvekslingsmetoden for å stille inn nøkkelstyrken.

Trykk på <OK>.


Når <IKE-modus> stilles til <Hoved> på skjermbildet <IKE-nnstillinger> og <Autentiseringsmetode> er stilt til <Forhåndsdelt tastmetode>, gjelder følgende begrensninger når du registrerer flere sikkerhetspolicyer. Nøkkel for forhåndsdelt nøkkelmetode: Når du angir flere eksterne IP-adresser som en sikkerhetspolicy skal brukes på, er alle delte nøkler for den sikkerhetspolicyen identiske (dette gjelder ikke når en enkelt adresse er angitt). Prioritet: Når du angir flere eksterne IP-adresser som en sikkerhetspolicy skal brukes på, er prioriteringen til den sikkerhetspoliicyen under sikkerhetspolicyer som angis for en enkelt adresse.

Når <IKE-modus> stilles til <Hoved> på skjermbildet <IKE-nnstillinger> og <Autentiseringsmetode> er stilt til <Forhåndsdelt tastmetode>, gjelder følgende begrensninger når du registrerer flere sikkerhetspolicyer.

Nøkkel for forhåndsdelt nøkkelmetode: Når du angir flere eksterne IP-adresser som en sikkerhetspolicy skal brukes på, er alle delte nøkler for den sikkerhetspolicyen identiske (dette gjelder ikke når en enkelt adresse er angitt).

Prioritet: Når du angir flere eksterne IP-adresser som en sikkerhetspolicy skal brukes på, er prioriteringen til den sikkerhetspoliicyen under sikkerhetspolicyer som angis for en enkelt adresse.

Konfigurer IPSec-kommunikasjonsinnstillingene.

Trykk på <IPSec nettverkinnstillinger>.

Konfigurer de nødvendige innstillingene.

Angi utløpsperioden for generert IPSec SA. Sørg for å angi enten <Tid> eller <Format>. Dersom du angir begge, tas innstillingen med verdien som når først i bruk.

<PFS>

Hvis du stiller PFS (Perfect Forward Secrecy)-funksjonen på <På>, økes hemmeligholdet til krypteringsnøkkelen, men kommunikasjonshastigheten blir tregere. I tillegg må PFS-funksjonen være aktivert på kommunikasjonsnett-enheten.

Velg enten <Auto> eller <Manuelle innstillinger> for å stille inn hvordan du skal angi godkjennings- og krypteringsalgoritmen for IKE-fase 2. Hvis du velger <Auto>, stilles ESP-godkjennings- og krypteringsalgoritmen inn automatisk. Hvis du ønsker å angi en bestemt godkjenningsmetode, trykker du på <Manuelle innstillinger> og velger en av godkjenningsmetodene nedenfor.

<ESP>	Både godkjenning og kryptering utføres. Velg algoritmen for <ESP-autentisering> og<ESP-kryptering>. Velg <NULL> hvis du ønsker å stille inn godkjennings- eller krypteringsalgoritmen.
<ESP (AES-GCM)>	AES-GCM brukes som ESP-algoritmen, og både godkjenning og kryptering utføres.
<AH (SHA1)>	Godkjenning er utført, men data er ikke kryptert. SHA1 er brukt som algoritmen.

Trykk på <OK>

<OK>.

Aktiver de registrerte policyene og sjekk prioritetsrekkefølgen.

Velg de registrerte policyene fra listen og trykk på <Policy På/Av> for å slå dem <På>.

Policyer brukes i den rekkefølgen de er oppført, og starter øverst. Hvis du ønsker å endre prioriteringsrekkefølgen, velger du en policy fra listen og trykker på <Øk prioritet> eller <Lavere prioritet>.

Hvis du ikke vil sende eller motta pakker som ikke samsvarer med policyene, velger du<Avvise> for <Motta ikke-policypakker>.

Trykk på <OK>.

Trykk på

(Innst./Registrer)

<Ja>.


Administrere IPSec-policyer Du kan redigere policyene på skjermbildet som vises i trinn 3. For å redigere detaljene i en policy velger du policyen fra listen og trykker på <Redigere>. For å deaktivere policyen velger du policyen fra listen og trykker på <Policy På/Av>. Hvis du vil slette policyen, velger du policyen fra listen og trykker på <Slette> <Ja>.

Konfigurere IPSec-innstillingene

Kommunikasjonsmodus

Nøkkelutvekslingsprotokoll

Administrere IPSec-policyer