Konfiguracja ustawień IPSec

Dzięki wykorzystaniu IPSec możesz zapobiec przechwyceniu lub modyfikacji przez strony trzecie pakietów IP przesyłanych przez sieć IP. Ponieważ IPSec dodaje funkcje zabezpieczające do IP, podstawowego protokołu wykorzystywanego w Internecie, może zapewnić bezpieczeństwo niezależnie od aplikacji i konfiguracji sieciowej. Aby przeprowadzić komunikację IPSec z urządzeniem, należy skonfigurować ustawienia takie jak parametry aplikacji oraz algorytm uwierzytelniania i szyfrowania. Aby skonfigurować te ustawienia należy się zalogować jako administrator lub administrator sieciowy.
Tryb komunikacji
To urządzenie obsługuje wyłącznie tryb transportu dla komunikacji IPSec. Z tego powodu, uwierzytelnianie i szyfrowanie dotyczy wyłącznie części danych pakietów IP.
Protokół wymiany kluczy
To urządzenie obsługuje IKEv1 (Internet Key Exchange version 1) dla wymian kluczy w oparciu o ISAKMP (Internet Security Association oraz Key Management Protocol). Dla metody uwierzytelniania, ustaw metodę wstępnie udostępnianego klucza lub podpis cyfrowy.
Jeżeli ustawisz metodę wstępnie udostępnianego klucza, musisz wcześniej określić tekst szyfrujący (hasło dla wstępnie udostępnianego klucza) wykorzystywane w komunikacji pomiędzy tym urządzeniem i drugim urządzeniem wykorzystującym komunikację IPSec.
Jeżeli ustawisz metodę podpisu cyfrowego, użyj certyfikatu CA i klucza formatu PKCS#12 oraz certyfikatu, aby przeprowadzić wzajemne uwierzytelnianie pomiędzy tym urządzeniem i drugim urządzeniem wykorzystującym komunikację IPSec. Aby uzyskać więcej informacji na temat rejestrowania certyfikatów CA lub kluczy/certyfikatów, patrz Rejestrowanie klucza i certyfikatu dla komunikacji sieciowej. Należy pamiętać, że SNTP musi być skonfigurowane w urządzeniu przed rozpoczęciem korzystania z tej metody. Konfiguracja ustawień SNTP
Niezależnie od ustawienia <Format. Metody Szyfrowania na FIPS 140-2> dla komunikacji IPSec, zostanie użyty moduł szyfrowania, który uzyskał już certyfikat FIPS140-2.
Aby komunikacja IPSec spełniała normę FIPS 140-2, musisz ustawić długość klucza zarówno DH, jak i RSA dla komunikacji IPSec na 2048-bitową lub dłuższą w środowisku sieciowym, do którego należy urządzenie.
Tylko długość klucza dla DH można określić z poziomu urządzenia.
Zapisz podczas konfigurowania środowiska sieciowego, ponieważ nie ma ustawień dla RSA w urządzeniu.
Można zarejestrować do 10 zasad bezpieczeństwa.
1
Naciśnij przycisk  (Ustawienia/Rejestracja).
2
Naciśnij <Właściwości>  <Sieć>  <Ustawienia TCP/IP>  <Ustawienia IPSec>.
3
Dla <Użyj IPSec> ustaw <Włącz> i naciśnij na <Zapisz>.
4
Określ nazwę dla tej zasady.
Naciśnij na <Nazwa Polityki>, wprowadź nazwę i naciśnij <OK>.
W przypadku metody szyfrowania AES drukarki wielofunkcyjne firmy Canon obsługują dwie długości klucza: 128 bitów i 256 bitów. Aby ograniczyć wybór długości klucza do 256 bitów oraz spełnić normy uwierzytelniania CC, należy dla opcji <Dla długości klucza AES dozwo. tylko 256-bitów> wybrać ustawienie <Włącz>.
5
Skonfiguruj parametry aplikacji IPSec.
1
Naciśnij przycisk <Ustawienia Selektora>.
2
Określ adres IP, dla którego zasady IPSec mają być zastosowane.
Określ adres IP tego urządzenia w <Adres Lokalny> oraz określ adres IP drugiego urządzenia do komunikacji w <Zdalny Adres>.

<Wszystkie Adresy IP>
IPSec dotyczy wszystkich przesłanych i odebranych pakietów IP.
<Adres IPv4>
IPSec dotyczy pakietów IP przesłanych i odebranych z adresu IPv4 tego urządzenia.
<Adres IPv6>
IPSec stosuje się dla pakietów IP przesyłanych i odbieranych z adresu IPv6 tego urządzenia.
<Wszystkie Adresy IPv4>
IPSec dotyczy pakietów IP przesłanych i odebranych z adresu IPv4 drugiego urządzenia do komunikacji.
<Wszystkie Adresy IPv6>
IPSec stosuje się dla pakietów IP przesyłanych i odbieranych z adresu IPv6 of drugiego urządzenia do komunikacji.
<Ręczne Ust. dla IPv4>
Określ adres IPv4, dla którego zasady IPSec mają być zastosowane.
Wybierz <Pojedyńczy Adres>, aby wprowadzić pojedynczy adres IPv4.
Wybierz <Zakres Adresu>, aby zdefiniować zakres adresów IPv4. Wprowadź osobny adres dla <Pierwszy Adres> oraz <Ostatni Adres>.
Wybierz <Ustawienia Podsieci>, aby określić zakres adresów IPv4 za pomocą maski podsieci. Wprowadź osobne wartości dla <Adres> oraz <Maska Podsieci>.
<Ręczne Ust. dla IPv6>
Wprowadź adres IPv4, dla którego mają być zastosowane zasady IPSec.
Wybierz <Pojedyńczy Adres>, aby wprowadzić pojedynczy adres IPv6.
Wybierz <Zakres Adresu>, aby zdefiniować zakres adresów IPv6. Wprowadź osobny adres dla <Pierwszy Adres> oraz <Ostatni Adres>.
Wybierz <Ustaw Prefix>, aby określić zakres adresów IPv6 za pomocą prefiksu. Wprowadź osobne wartości dla <Adres> oraz <Dług. Prefiksu>.
3
Określ port, dla którego zasady IPSec mają być zastosowane.
Naciśnij na <Określ Numer Portu>, aby wykorzystać numery portów podczas określania numerów, dla których IPSec ma zastosowanie. Wybierz <Wszystkie Porty>, aby zastosować IPSec dla wszystkich portów. Aby zastosować IPSec dla danego numeru portu, naciśnij <Pojedyńczy Port> i wprowadź numer portu. Po określeniu portów, naciśnij <OK>. Określ porty tego urządzenia w <Port Lokalny> oraz określ adres porty drugiego urządzenia do komunikacji w <Zdalny port>.
Naciśnij na <Określ Nazwę Usługi>, aby wykorzystać nazwy usług podczas określania numerów, dla których IPSec ma zastosowanie. Wybierz usługę z listy i naciśnij <Usługa Włą./Wył.>, aby ustawić dla niej <Włącz> i naciśnij <OK>.
4
Naciśnij przycisk <OK>.
6
Skonfiguruj ustawienia uwierzytelniania i szyfrowania.
1
Naciśnij przycisk <Ustawienia IKE>.
2
Skonfiguruj niezbędne ustawienia.
<Tryb IKE>
Wybierz tryb pracy protokołu wymiany klucza. Gdy tryb pracy jest ustawiony na <Główny>, bezpieczeństwo jest zwiększone, ponieważ sama sesja IKE jest szyfrowana, ale na komunikację nałożone jest większe obciążenie niż w przypadku <Agresywny>, które nie wykonuje szyfrowania.
<Ważność>
Ustaw okres ważności wygenerowanego IKE SA.
<Metoda Uwierzytelniania>
Wybierz jedną z opisanych poniżej metod uwierzytelniania.
<Met. klucza współdz. PSK>
Ustaw ten sam tekst szyfrujący (hasło dla wstępnie udostępnianego klucza), który został ustawiony dla urządzenia do komunikacji. Naciśnij na <Klucz Współdziel.>, wprowadź ciąg znaków do wykorzystania jako klucz publiczny i naciśnij <OK>.
<Metoda cyfr. podpisu>
Ustaw klucz i certyfikat do wykorzystania przez wzajemne uwierzytelnianie z urządzeniem do komunikacji. Naciśnij na <Klucz i certyfikat>, wybierz klucz i certyfikat do wykorzystania i naciśnij <Ust. jako klucz domyślny>  <Tak>  <OK>.
<Algorytm Uwierz./Szyfrowania>
Wybierz <Aut.> lub <Ustawienia Podręcznika>, aby ustawić sposób określania uwierzytelniania i algorytmu szyfrowania dla IKE w fazie 1. Jeżeli wybierzesz <Aut.>, algorytm, który może być wykorzystywany zarówno przez to urządzenie jak i urządzenie do komunikacji zostanie ustawiony automatycznie. Jeżeli chcesz określić specjalny algorytm, wybierz <Ustawienia Podręcznika> i skonfiguruj poniższe ustawienia.
<Uwierzytel.>
Wybór algorytmu hashowania.
<Szyfrowanie>
Wybór algorytmu szyfrowania.
<Grupa DH>
Wybierz grupę dla metody wymiany klucza Diffie-Hellman, aby ustawić siłę klucza.
3
Naciśnij przycisk <OK>.
Jeśli ustawiono <Tryb IKE> na <Główny> na ekranie <Ustawienia IKE> i <Metoda Uwierzytelniania> ustawiono na <Met. klucza współdz. PSK>, następujące ograniczenia mają zastosowanie podczas rejestrowania wielu zasad bezpieczeństwa.
Metoda klucza wstępnie udostępnianego: podczas określania wielu adresów IP do których ma zastosowanie polityka zabezpieczeń, wszystkie udostępniane klucze dla danej polityki są identyczne (nie dotyczy to sytuacji, w której określono pojedynczy adres).
Priorytet: podczas określania wielu adresów IP do których ma zastosowanie polityka zabezpieczeń, priorytet danej polityki jest poniżej polityk, dla których określono pojedynczy adres.
7
Skonfiguruj ustawienia komunikacji IPSec.
1
Naciśnij przycisk <Ust. Sieciowe dla IPSec>.
2
Skonfiguruj niezbędne ustawienia.
<Ważność>
Ustaw okres ważności wygenerowanego IPSec SA. Upewnij się, że ustawiłeś <Czas> lub <Rozmiar>. W przypadku ustawienia obu wartości zastosowane zostanie ustawienie z wartością, która zostanie osiągnięta jako pierwsza.
<PFS>
Jeżeli ustawisz dla funkcji Doskonałego utajnienia przekazywania (PFS) <Włącz>, zwiększy się poziom tajności klucza szyfrowania, ale obniży prędkość transmisji. Dodatkowo, funkcja PFS musi być włączona w urządzenia do komunikacji.
<Algorytm Uwierz./Szyfrowania>
Wybierz <Aut.> lub <Ustawienia Podręcznika>, aby ustawić sposób określania uwierzytelniania i algorytmu szyfrowania dla IKE w fazie 2. Jeżeli wybierzesz <Aut.>, uwierzytelnianie ESP i algorytm szyfrowania zostaną ustawione automatycznie. Jeżeli chcesz określić daną metodę uwierzytelniania, naciśnij <Ustawienia Podręcznika> i wybierz jedną z poniższych metod.
<ESP>
Wykonywane jest uwierzytelnianie oraz szyfrowanie. Wybierz algorytm dla <Uwierzytelnianie ESP> oraz <Szyfrowanie ESP>. Wybierz <ZERO>, jeżeli nie chcesz ustawiać algorytmu uwierzytelniania lub szyfrowania.
<ESP (AES-GCM)>
AES-GCM jest wykorzystywane jako algorytm ESP, a uwierzytelnianie i szyfrowanie są przeprowadzane.
<AH (SHA1)>
Uwierzytelnianie jest przeprowadzane, jednakże dane nie są szyfrowane. Jako algorytm, wykorzystywane jest SHA1.
3
Naciśnij <OK>  <OK>.
8
Aktywuje zarejestrowane zasady i sprawdza nadane im priorytety.
Wybierz z listy zarejestrowane zasady i naciśnij <Polityka Włą./Wył.>, aby ustawić <Włącz>.
Zasady zostaną zastosowane w kolejności, w której znajdują się na liście, rozpoczynając od góry. Jeżeli chcesz zmienić priorytety, wybierz zasady z listy i naciśnij <Podnieść Priorytet> lub <Obniżyć Priorytet>.
Jeżeli nie chcesz wysyłać lub odbierać pakietów, które nie odpowiadają zasadom, wybierz <Odrzuć> dla <Odbiór Pakietów Bez Polityki>.
9
Naciśnij przycisk <OK>.
10
Naciśnij  (Ustawienia/Rejestracja)  (Ustawienia/Rejestracja) <Zas. zmiany ustawień>  <Tak>.
Zarządzanie zasadami IPSec
Możesz edytować zasady na ekranie wyświetlanym w punkcie 3.
Aby edytować szczegóły zasady, wybierz zasadę z listy i naciśnij <Edytuj>.
Aby wyłączyć zasadę, wybierz zasadę z listy i naciśnij <Polityka Włą./Wył.>.
Aby usunąć zasadę, wybierz zasadę z listy i naciśnij <Usuń>  <Tak>.
829C-0H5