Konfigurieren der IPSec-Einstellungen

Durch Verwendung von IPSec können Sie verhindern, dass Dritte über das IP-Netzwerk übermittelte IP-Pakete abfangen oder manipulieren. Weil IPSec dem IP, eine grundlegende Protokollsuite für das Internet, Sicherheitsfunktionen hinzufügt, kann es Sicherheit bieten, die unabhängig von Anwendungen oder Netzwerkkonfigurationen ist. Um die IPSec-Kommunikation mit diesem Gerät durchzuführen, müssen Sie Einstellungen, wie zum Beispiel die Anwendungsparameter und die Algorithmen für die Authentifizierung und die Verschlüsselung konfigurieren. Administrator- oder Netzwerk-Adminrechte sind erforderlich, um diese Einstellungen zu konfigurieren.
Kommunikationsmodus
Dieses Gerät unterstützt nur den Transportmodus für die IPSec-Kommunikation. Demzufolge werden Authentifizierung und Verschlüsselung nur bei den Datenanteilen der IP-Pakete angewandt.
Schlüsselaustauschprotokoll
Dieses Gerät unterstützt die Internet Schlüsselaustauschversion 1 (IKEv1) für den Austausch von Schlüsseln basierend auf dem Internet Security Association and Key Management Protocol (ISAKMP). Legen Sie in Bezug auf die Authentifizierungsmethode entweder die Methode Pre-Shared-Key oder die digitale Signatur fest.
Wenn Sie die Methode Pre-Shared-Key festlegen, müssen Sie im Voraus ein Passphrase (Pre-Shared-Key) bestimmen, der zwischen dem Gerät und dem IPSec-Kommunikations-Peer verwendet wird.
Wenn Sie die digitale Signaturmethode einstellen, verwenden Sie ein Zertifizierungsstellenzertifikat sowie einen PKCS#12-Formatschlüssel und -Zertifikat, um die gegenseitige Authentifizierung zwischen Gerät und IPsec-Kommunikationspartner durchzuführen. Weitere Informationen zur Registrierung neuer CA-Zertifikate oder Schlüssel/Zertifikate finden Sie unter Registrieren eines Schlüssels und Zertifikats für die Netzwerkkommunikation. Beachten Sie, dass SNTP für das Gerät konfiguriert werden muss, damit es diese Methode verwenden kann. Vornehmen von SNTP-Einstellungen
Ungeachtet der Einstellungen von <Verschlüss.meth.für FIPS 140-2 formatieren> für eine IPSec-Kommunikation wird ein Verschlüsselungsmodul verwendet, das bereits eine FIPS140-2-Zertifizierung erhalten hat.
Damit die IPSec-Kommunikation im Einklang mit FIPS 140-2 steht, müssen Sie die Schlüssellänge sowohl von DH als auch von RSA für die IPSec-Kommunikation in der Netzwerkumgebung, zu der das System gehört, auf 2048-bit oder länger setzen.
Es kann lediglich die Schlüssellänge für DH über das System festgelegt werden.
Notieren Sie die Konfiguration Ihrer Umgebung, da es keine Einstellungen für RSA im System gibt.
Sie können bis zu 10 Sicherheitsrichtlinien registrieren.
1
Drücken Sie  (Einstellungen/Speicherung).
2
Drücken Sie <Präferenzen>  <Netzwerk>  <Einstellungen TCP/IP>  <Einstellungen IPSec>.
3
Stellen Sie <IPSec verwenden> auf <Ein>, und drücken Sie <Speichern>.
4
Legen Sie einen Namen für die Richtlinie fest.
Drücken Sie <Richtlinienname>, geben Sie den Namen ein, und drücken Sie <OK>.
Canon-Multifunktionsdrucker unterstützen bei der AES-Verschlüsselungsmethode zwei Schlüssellängen: 128 Bit und 256 Bit. Wenn Sie als Schlüssellänge nur 256 Bit zulassen wollen, um die CC-Authentifizierungsstandards einzuhalten, setzen Sie <Nur 256-Bit für AES Schlüssellänge erlauben> auf <Ein>.
5
Konfigurieren Sie die IPSec-Anwendungsparameter.
1
Drücken Sie <Einstellungen Ausw.vorricht.>.
2
Legen Sie die IP-Adresse fest, um die IPSec-Richtlinie anzuwenden.
Legen Sie die IP-Adresse dieses Geräts unter <Lokale Adresse> fest, und legen Sie die IP-Adresse des Kommunikations-Peer unter <Remote-Adresse> fest.

<Alle IP Adressen>
IPSec wird bei allen gesendeten und empfangenen IP-Paketen angewandt.
<IPv4-Adresse>
IPSec wird bei den IP-Paketen angewandt, die an die IPv4-Adresse dieses Geräts gesendet und von ihr empfangen wurden.
<IPv6-Adresse>
IPSec wird bei den IP-Paketen angewandt, die an die IPv6-Adresse dieses Geräts gesendet und von ihr empfangen wurden.
<Alle IPv4 Adressen>
IPSec wird bei den IP-Paketen angewandt, die an die IPv4-Adresse des Kommunikations-Peer gesendet und von ihr empfangen wurden.
<Alle IPv6 Adressen>
IPSec wird bei den IP-Paketen angewandt, die an die IPv6-Adresse des Kommunikations-Peer gesendet und von ihr empfangen wurden.
<Man.Einst. IPv4>
Legen Sie die IPv4-Adresse fest, um die IPSec anzuwenden.
Wählen Sie <Einzeladresse> aus, um eine individuelle IPv4-Adresse einzugeben.
Wählen Sie <Adress bereich> aus, um eine Reihe von IPv4-Adressen einzugeben. Geben Sie eine separate Adresse für <Erste Adresse> und <Letzte Adresse> ein.
Wählen Sie <Einstellungen Subnet> aus, um eine Reihe von IPv4-Adressen mithilfe einer Subnetmaske einzugeben. Geben Sie separate Werte für <Adresse> und <Subnetmaske> ein.
<Man.Einst. IPv6>
Legen Sie die IPv6-Adresse fest, um die IPSec anzuwenden.
Wählen Sie <Einzeladresse> aus, um eine individuelle IPv6-Adresse einzugeben.
Wählen Sie <Adress bereich> aus, um eine Reihe von IPv6-Adressen einzugeben. Geben Sie eine separate Adresse für <Erste Adresse> und <Letzte Adresse> ein.
Wählen Sie <Präfix definieren> aus, um eine Reihe von IPv6-Adressen mithilfe einer Subnetmaske einzugeben. Geben Sie separate Werte für <Adresse> und <Präfixlänge> ein.
3
Legen Sie den Anschluss fest, an dem IPSec angewandt werden soll.
Drücken Sie <Durch PortNr. definieren>, um die Portnummern zu verwenden, sobald Sie die Anschlüsse festlegen, bei denen IPSec angewandt wird. Wählen Sie <Alle Ports> aus, um IPSec bei allen Portnummern anzuwenden. Um IPSec bei einer spezifischen Portnummer anzuwenden, drücken Sie <Single Port>, und geben Sie die Portnummer ein. Nachdem Sie die Anschlüsse festgelegt haben, drücken Sie <OK>. Legen Sie den Anschluss dieses Geräts unter <Lokaler Port> fest, und legen Sie den Anschluss des Kommunikations-Peer unter <Remote Port> fest.
Drücken Sie <Durch Servicename definieren>, um die Dienstnamen zu verwenden, sobald Sie die Anschlüsse festlegen, bei denen IPSec angewandt wird. Wählen Sie den Dienst in der Liste aus, drücken Sie dann <Service Ein/Aus>, und ihn auf <Ein> zu setzen, und drücken Sie anschließend <OK>.
4
Drücken Sie <OK>.
6
Konfigurieren Sie die Authentifizierungs- und Verschlüsselungseinstellungen.
1
Drücken Sie <Einstellungen IKE>.
2
Konfigurieren Sie die erforderlichen Einstellungen.
<IKE-Modus>
Wählen Sie den Betriebsmodus für das Schlüsselaustauschprotokoll aus. Die Sicherheit wird verbessert, wenn Sie den Betriebsmodus auf <Main> setzen, weil die IKE-Sitzung selbst verschlüsselt ist, jedoch auf der Kommunikation eine höhere Beanspruchung aufweist als bei <Aggressive>, das keine Verschlüsselung durchführt.
<Gültigkeit>
Legen Sie die Gültigkeitsdauer für die generierte IKE SA fest.
<Authentisierungsmethode>
Wählen Sie eine der nachfolgend beschriebenen Authentifizierungsmethoden aus.
<Meth. Pregem. Schls.>
Stellen Sie die gleiche Passphrase (Pre-Shared-Key) ein, die Sie für die Kommunikations-Peer eingestellt haben. Drücken Sie <Gemeinsamer Schlüssel>, geben Sie die für den gemeinsamen Schlüssel zu verwendende Zeichenfolge ein, und drücken Sie <OK>.
<Digitale Sig. Methode>
Legen Sie den Schlüssel und das Zertifikat fest, die für die gegenseitige Authentifizierung mit dem Kommunikation-Peer verwendet werden sollen. Drücken Sie <Schlüssel und Zertifikat>, wählen Sie den Schlüssel und das Zertifikat aus, die verwendet werden sollen, und drücken Sie <Als Std.schl. einstellen>  <Ja>  <OK>.
<Algorithmus Auth./Verschlüss.>
Wählen Sie entweder <Auto> oder <Manuelle Einstellungen> aus, um einzustellen, wie der Authentifizierungs- und Verschlüsselungsalgorithmus für die IKE-Phase 1 festzulegen sind. Wenn Sie <Auto> auswählen, wird ein Algorithmus automatisch eingestellt, der sowohl von diesem Gerät als auch vom Kommunikationspartner verwendet werden kann. Wenn Sie einen bestimmten Algorithmus festlegen möchten, wählen Sie <Manuelle Einstellungen> aus, und konfigurieren Sie die nachfolgenden Einstellungen.
<Authentisierung>
Wählen Sie den Hash-Algorithmus.
<Verschlüsselung>
Wählen Sie den Verschlüsselungsalgorithmus.
<DH-Gruppe>
Wählen Sie die Gruppe für die Diffie-Hellman Schlüsselaustauschmethode aus, um die Schlüsselstärke einzustellen.
3
Drücken Sie <OK>.
Wenn <IKE-Modus> auf <Main> auf dem Bildschirm <Einstellungen IKE> und <Authentisierungsmethode> auf <Meth. Pregem. Schls.> eingestellt ist, gelten die folgenden Einschränkungen bei der Registrierung mehrerer Sicherheitsrichtlinien.
Schlüssel der Pre-Shared-Key-Methode: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, sind alle gemeinsam genutzten Schlüssel für diese Sicherheitsrichtlinie identisch. (Dies gilt nicht, wenn eine einzige Adresse angegeben wird.)
Priorität: Wenn Sie mehrere entfernte IP-Adressen angeben, auf die eine Sicherheitsrichtlinie angewendet werden soll, liegt die Priorität dieser Sicherheitsrichtlinie unterhalb der Sicherheitsrichtlinien, für die eine einzige Adresse angegeben ist.
7
Konfigurieren Sie die IPSec Kommunikationseinstellungen.
1
Drücken Sie <Einstellungen IPSec-Netzwerk>.
2
Konfigurieren Sie die erforderlichen Einstellungen.
<Gültigkeit>
Legen Sie die Gültigkeitsdauer für die generierte IPSec SA fest. Achten Sie darauf, entweder <Zeit> oder <Format> festzulegen. Wenn Sie beides festlegen, wird die Einstellung mit dem zuerst erreichten Wert übernommen.
<PFS>
Wenn Sie die PFS-Funktion (Perfect Forward Secrecy) auf <Ein> festlegen, wird die Geheimhaltung des Verschlüsselungsschlüssels erhöht, jedoch die Kommunikationsgeschwindigkeit verlangsamt. Darüber hinaus muss die PFS-Funktion im Gerät des Kommunikationspartners aktiviert sein.
<Algorithmus Auth./Verschlüss.>
Wählen Sie entweder <Auto> oder <Manuelle Einstellungen> aus, um einzustellen, wie der Authentifizierungs- und Verschlüsselungsalgorithmus für die IKE Phase 2 festzulegen ist. Wenn Sie <Auto> auswählen, wird der ESP-Authentifizierungs- und -Verschlüsselungsalgorithmus automatisch eingestellt. Wenn Sie eine bestimmte Authentifizierungsmethode festlegen möchten, drücken Sie <Manuelle Einstellungen>, und wählen Sie eine der nachfolgenden Authentifizierungsmethoden aus.
<ESP>
Die Authentifizierung und die Verschlüsselung werden beide ausgeführt. Wählen Sie den Algorithmus für <ESP-Auth.> und <ESP-Verschlüsselung> aus. Wählen Sie <NULL> aus, wenn Sie den Authentifizierungs- oder Verschlüsselungsalgorithmus nicht festlegen möchten.
<ESP (AES-GCM)>
AES-GCM wird als der ESP-Algorithmus verwendet. Die Authentifizierung und die Verschlüsselung werden beide ausgeführt.
<AH (SHA1)>
Die Authentifizierung wird ausgeführt, jedoch werden die Daten nicht verschlüsselt. SHA1 wird als der Algorithmus verwendet.
3
Drücken Sie <OK> <OK>.
8
Aktivieren Sie die registrierten Richtlinien, und prüfen Sie die Reihenfolge der Priorität.
Wählen Sie die registrierten Richtlinien in der Liste aus, und drücken Sie <Richtlinie Ein/Aus>, um sie auf <Ein> zu setzen.
Die Richtlinien werden in der Reihenfolge übernommen, in der sie aufgelistet sind, beginnend von oben. Wenn Sie die Reihenfolge der Priorität ändern wollen, wählen Sie eine Richtlinie in der Liste aus, und drücken Sie <Vorrang erhöhen> oder <Vorrang reduzieren>.
Wählen Sie <Zurückweisen> für <Pakete ohne Richtlinie empfangen>, wenn Sie keine Pakete senden oder empfangen möchten, die den Richtlinien nicht entsprechen.
9
Drücken Sie <OK>.
10
Drücken Sie  (Einstellungen/Speicherung)   (Einstellungen/Speicherung) <Einstelländer. anw.>  <Ja>.
Verwalten der IPSec-Richtlinien
Sie können die am Bildschirm in Schritt 3 angezeigten Richtlinien bearbeiten.
Um die Details der Richtlinie zu bearbeiten, wählen Sie die Richtlinie in der Liste aus, und drücken Sie <Bearbeiten>.
Um eine Richtlinie zu deaktivieren, wählen Sie die Richtlinie in der Liste aus, und drücken Sie <Richtlinie Ein/Aus>.
Um eine Richtlinie zu löschen, wählen Sie die Richtlinie in der Liste aus, und drücken Sie <Löschen>  <Ja>.
7XXJ-0E7