Configurarea setărilor IPSec

Utilizând IPSec, puteţi împiedica terţii să intercepteze sau să modifice pachetele IP transportate prin reţeaua IP. Deoarece IPSec adaugă funcţii de securitate la IP (o suită de protocoale de bază folosite pentru Internet), poate oferi o securitate care este independentă de aplicaţii sau de configuraţia reţelei. Pentru a efectua comunicarea IPSec cu acest aparat, trebuie să configuraţi setări precum parametrii de aplicaţie şi algoritmul pentru autentificare şi criptare. Pentru configurarea acestor setări sunt necesare privilegii de Administrator sau de NetworkAdmin.
Modul de comunicare
Acest aparat acceptă doar modul de transport pentru comunicarea IPSec. Drept urmare, autentificarea şi criptarea se aplică numai porţiunilor de date ale pachetelor IP.
Protocol schimbare parolă
Acest aparat acceptă Internet Key Exchange versiunea 1 (IKEv1) pentru schimbul de chei bazat pe Internet Security Association and Key Management Protocol (ISAKMP). Pentru metoda de autentificare, setaţi metoda cheii pre-partajate sau metoda semnăturii digitale.
Când setaţi metoda cheii pre-partajate, trebuie să stabiliţi în prealabil o expresie de acces (cheie pre-partajată), care este utilizată între aparat şi perechea de comunicare IPSec.
Când setaţi metoda semnăturii digitale, utilizaţi un certificat CA şi o cheie şi un certificat de format PKCS#12 pentru a efectua autentificarea reciprocă între aparat şi perechea de comunicare IPSec. Pentru mai multe informaţii despre înregistrarea de noi certificate CA sau chei/certificate, consultaţi Înregistrarea unei chei şi a unui certificat pentru comunicarea în reţea. Reţineţi că SNTP trebuie configurat pentru aparat înainte de a utiliza această metodă. Efectuarea setărilor SNTP
Indiferent de setarea opţiunii <Metoda criptare format conform FIPS 140-2> pentru comunicaţia IPSec, va fi utilizat un modul de criptare care a obţinut deja certificarea FIPS140-2.
Pentru a face comunicaţia IPSec conformă cu FIPS 140-2, trebuie să setaţi lungimea cheii atât pentru DH cât şi pentru RSA pentru comunicaţia IPSec la 2048 de biţi sau mai mult în mediul de reţea căruia îi aparţine aparatul.
Doar lungimea cheii pentru DH poate fi specificată de la aparat.
Ţineţi cont de acest lucru când configuraţi mediul dumneavoastră, deoarece în aparat nu există setări pentru RSA.
Puteţi să înregistraţi până la 10 politici de securitate.
1
Apăsaţi  (Setări/Înregistr.).
2
Apăsaţi <Preferinţe>  <Reţea>  <Setări TCP/IP>  <Setări IPSec>.
3
Setaţi <Foloseşte IPSec> la <Pornit> şi apăsaţi <Înregistrare>.
4
Specificaţi un nume pentru the politică.
Apăsaţi <Nume regulă>, introduceţi numele şi apăsaţi <OK>.
Imprimantele multifuncţionale Canon acceptă două lungimi de chei pentru metoda de criptare AES: 128 de biţi şi 256 de biţi. Pentru a restricţiona lungimea cheii la 256 de biţi şi a respecta standardele de autentificare CC, setaţi opţiunea <Permite doar 256-bit pentru Lung. cheie AES> la <Pornit>.
5
Configuraţi parametrii de aplicaţie IPSec.
1
Apăsaţi <Setări selector>.
2
Specificaţi adresa IP la care să se aplice politica IPSec.
Specificaţi adresa IP a acestui aparat în <Adresa locală> şi specificaţi adresa IP a perechii de comunicare în <Adresa la distanţă>.

<Toate adrese IP>
IPSec se aplică tuturor pachetelor IP trimise şi primite.
<Adresa IPv4>
IPSec se aplică pachetelor IP trimise către şi primite de la adresa IPv4 a acestui aparat.
<Adresa IPv6>
IPSec se aplică pachetelor IP trimise către şi primite de la adresa IPv6 a acestui aparat.
<Toate adr. IPv4>
IPSec se aplică pachetelor IP trimise către şi primite de la adresa IPv4 a perechii de comunicare.
<Toate adr. IPv6>
IPSec se aplică pachetelor IP trimise către şi primite de la adresa IPv6 a perechii de comunicare.
<Setări man. IPv4>
Specificaţi adresa IPv4 la care să se aplice IPSec.
Selectaţi <Adresă unică> pentru a introduce o adresă IPv4 individuală.
Selectaţi <Gamă adrese> pentru a specifica un interval de adrese IPv4. Introduceţi câte o adresă separată pentru <Prima adresă> şi <Ultima Adresă>.
Selectaţi <Setări subreţea> pentru a specifica un interval de adrese IPv4 utilizând o mască de subreţea. Introduceţi valori separate pentru <Adresa> şi <Mască subreţea>.
<Setări man. IPv6>
Specificaţi adresa IPv6 la care să se aplice IPSec.
Selectaţi <Adresă unică> pentru a introduce o adresă IPv6 individuală.
Selectaţi <Gamă adrese> pentru a specifica un interval de adrese IPv6. Introduceţi câte o adresă separată pentru <Prima adresă> şi <Ultima Adresă>.
Selectaţi <Specificare prefix> pentru a specifica un interval de adrese IPv6 utilizând un prefix. Introduceţi valori separate pentru <Adresa> şi <Lungime prefix>.
3
Specificaţi portul la care să se aplice IPSec.
Apăsaţi <Specif. după număr de port> pentru a utiliza numerele de porturi când specificaţi porturile la care se aplică IPSec. Selectaţi <Toate porturile> pentru a aplica IPSec la toate numerele de porturi. Pentru a aplica IPSec la un anumit număr de port, apăsaţi <Port unic> şi introduceţi numărul portului. După ce specificaţi porturile, apăsaţi <OK>. Specificaţi portul acestui aparat în <Port local> şi specificaţi portul perechii de comunicare în <Port la distanţă>.
Apăsaţi <Specif. după nume service> pentru a utiliza nume de servicii când specificaţi porturile la care se aplică IPSec. Selectaţi serviciul din listă, apăsaţi <Service Pornit/Oprit> pentru a-l seta la <Pornit> şi apăsaţi <OK>.
4
Apăsaţi <OK>.
6
Configuraţi setările de autentificare şi de criptare.
1
Apăsaţi <Setări IKE>.
2
Configuraţi setările necesare.
<Mod IKE>
Selectaţi modul de operare pentru protocolul de schimbare a cheilor. Securitatea este îmbunătăţită dacă selectaţi <Principal>, deoarece sesiunea IKE însăşi este criptată, dar viteza sesiunii este mai mică decât cu <Agresiv>, care nu criptează întreaga sesiune.
<Validitate>
Setaţi perioada de expirare pentru valorile IKE SA generate.
<Metoda autentificare>
Selectaţi una dintre metodele de autentificare descrise mai jos.
<Met.cu cheie pre-partaj.>
Setaţi aceeaşi expresie de acces (cheie pre-partajată) care este setată pentru perechea de comunicare. Apăsaţi <Cheie partajată>, introduceţi şirul de caractere de utilizat drept cheie partajată şi apăsaţi <OK>.
<Metoda cu semnăt.digit.>
Setaţi cheia şi certificatul de utilizat pentru autentificarea reciprocă cu perechea de comunicare. Apăsaţi <Cheie şi Certificat>, selectaţi cheia şi certificatul de utilizat şi apăsaţi <Setare ca şi cheie implicită>  <Da>  <OK>.
<Algoritm Autentificare/Criptare>
Selectaţi fie <Auto>, fie <Setări manuale> pentru a seta modul de specificare a algoritmului de autentificare şi criptare IKE faza 1. Dacă selectaţi <Auto>, este setat automat un algoritm care poate fi utilizat atât de aparat, cât şi de perechea de comunicare. Dacă doriţi să specificaţi un algoritm particular, selectaţi <Setări manuale> şi configuraţi setările de mai jos.
<Autentificare>
Selectaţi algoritmul hash.
<Criptare>
Selectaţi algoritmul de criptare.
<Grup DH>
Selectaţi grupul pentru metoda Diffie-Hellman de schimbare a cheilor pentru a seta puterea cheii.
3
Apăsaţi <OK>.
Când opţiunea <Mod IKE> este setată la <Principal> pe ecranul <Setări IKE> şi opţiunea <Metoda autentificare> este setată la <Met.cu cheie pre-partaj.>, următoarele restricţii se aplică atunci când înregistraţi mai multe politici de securitate.
Cheia la metoda cu cheie per-partajată: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, toate cheile partajate pentru acea politică de securitate sunt identice (acest lucru nu se aplică atunci când este specificată o singură adresă).
Prioritate: atunci când specificaţi mai multe adrese IP la distanţă la care trebuie aplicată o politică de securitate, prioritatea acelei politici de securitate este sub politicile de securitate pentru care este specificată o singură adresă.
7
Configuraţi setările de comunicare IPSec.
1
Apăsaţi <Setări reţea IPSec>.
2
Configuraţi setările necesare.
<Validitate>
Setaţi perioada de expirare pentru valorile IPSec SA generate. Aveţi grijă să setaţi fie <Ora>, fie <Format>. Dacă le setaţi pe ambele, se aplică setarea a cărei valoare este atinsă prima.
<PFS>
Dacă setaţi funcţia Perfect Forward Secrecy (PFS) la <Pornit>, secretul cheii de criptare este mărit, dar viteza de comunicare este mai mică. În plus, funcţia PFS trebuie activată pe dispozitivul de comunicare pereche.
<Algoritm Autentificare/Criptare>
Selectaţi fie <Auto>, fie <Setări manuale> pentru a seta modul de specificare a algoritmului de autentificare şi criptare IKE faza 2. Dacă selectaţi <Auto>, algoritmul de autentificare şi criptare ESP este setat automat. Dacă doriţi să specificaţi o metodă de autentificare particulară, apăsaţi <Setări manuale> şi selectaţi una dintre metodele de autentificare de mai jos.
<ESP>
Autentificarea şi criptarea sunt ambele efectuate. Selectaţi algoritmul pentru <Autentificare ESP> şi <Criptare ESP>. Selectaţi <NULL> dacă nu doriţi să setaţi algoritmul de autentificare sau de criptare.
<ESP (AES-GCM)>
AES-GCM se utilizează ca algoritmul ESP şi se efectuează atât autentificarea, cât şi criptarea.
<AH (SHA1)>
Se efectuează autentificarea, dar datele nu sunt criptate. SHA1 se utilizează ca algoritm.
3
Apăsaţi <OK> <OK>.
8
Activaţi politicile înregistrate şi verificaţi ordinea de prioritate.
Selectaţi politicile înregistrate din listă şi apăsaţi <Politică P/O> pentru a le seta la <Pornit>.
Politicile sunt aplicate în ordinea în care sunt listate, începând din partea de sus. Dacă doriţi să schimbaţi ordinea de prioritate, selectaţi o politică din listă şi apăsaţi <Ridică priorit> sau <Scade priorit>.
Dacă nu doriţi să trimiteţi sau să primiţi pachete care nu corespund politicilor, selectaţi <Respinge> pentru <Recepţ. pachete fără politici>.
9
Apăsaţi <OK>.
10
Apăsaţi  (Setări/Înregistr.)   (Setări/Înregistr.) <Aplicaţi Mdfct.Set.>  <Da>.
Gestionarea politicilor IPSec
Puteţi edita politicile pe ecranul afişat la pasul 3.
Pentru a edita detaliile unei politici, selectaţi politica din listă şi apăsaţi <Editare>.
Pentru a dezactiva o politică, selectaţi politica din listă şi apăsaţi <Politică P/O>.
Pentru a şterge o politică, selectaţi politica din listă şi apăsaţi <Şterge>  <Da>.
7SAC-096