Konfiguracija nastavitev IPSec

Če uporabljate IPSec, lahko tretjim osebam preprečite prestrezanje ali spreminjanje paketov IP, poslanih prek omrežja IP. Ker IPSec doda varnostne funkcije za IP, osnovno zbirko protokolov za internet, zagotavlja varnost, ki je neodvisna od načina uporabe ali konfiguracije omrežja. Če s to napravo komunicirate prek protokola IPSec, morate konfigurirati nastavitve, kot so parametri uporabe in algoritem za preverjanje pristnosti in šifriranje. Te nastavitve je mogoče konfigurirati samo s skrbniškimi pravicami ali pravicami skrbnika omrežja.
Način komunikacije
Ta naprava podpira samo način prenosa za komunikacijo prek protokola IPSec. Preverjanje pristnosti in šifriranje se zato uporabita samo za podatke paketov IP.
Protokol za izmenjavo ključev
Ta naprava podpira internetno izmenjavo ključev različice 1 (IKEv1) za izmenjavo ključev glede na Internet Security Association and Key Management Protocol (ISAKMP). Za način preverjanja pristnosti nastavite način za vnaprej dogovorjen ključ ali način za digitalni podpis.
Ko nastavljate način za vnaprej dogovorjen ključ, morate vnaprej izbrati geslo (vnaprej dogovorjen ključ), ki ga bosta uporabljala tiskalnik in naprava, s katero komunicira prek protokola IPSec.
Če nastavite način digitalnega podpisa, uporabite potrdilo overitelja potrdil in ključ v obliki PKCS#12 ter potrdilo za vzajemno preverjanje pristnosti tiskalnika in naprave, ki komunicira prek protokola IPSec. Če želite več informacij o registriranju novih potrdil overitelja potrdil ali ključev/potrdil, glejte Registriranje ključa in potrdila za omrežno komunikacijo. Preden lahko naprava uporablja ta način, je treba za napravo konfigurirati SNTP. Izbira nastavitev za SNTP
Ne glede na nastavitev možnosti <Format. metode kodiranja na FIPS 140-2> za komunikacijo prek protokola IPSec se uporabi modul šifriranja, ki je že pridobil potrdilo FIPS 140-2.
Če želite, da je komunikacija prek protokola IPSec skladna s standardom FIPS 140-2, morate za komunikacijo prek protokola IPSec dolžino ključa za DH in RSA v omrežnem okolju, v katerem je naprava, nastaviti na 2048-bitno ali daljšo.
V napravi je mogoče nastaviti samo dolžino ključa za DH.
Zabeležite pri konfiguriranju okolja, saj v napravi ni nastavitev za RSA.
Registrirate lahko do 10 varnostnih pravilnikov.
1
Pritisnite  (Nastavit./Registr.).
2
Pritisnite <Izbirne nastavitve>  <Mreža>  <TCP/IP Nastavitve>  <IPSec nastavitve>.
3
Možnost <Uporabi IPSec> nastavite na <Da> in pritisnite <Registracija>.
4
Določite ime pravilnika.
Pritisnite <Ime politike>, vnesite ime in pritisnite <OK>.
Canonovi večnamenski tiskalniki podpirajo dve dolžini ključev za način šifriranja AES: 128-bitno in 256-bitno. Če želite dolžino ključa omejiti na 256 bitov in zagotoviti skladnost s standardi preverjanja pristnosti CC, možnost <Omogoči samo 256-bit za dolžino ključa AES> nastavite na <Da>.
5
Konfigurirajte parametre za način uporabe komunikacije prek protokola IPSec.
1
Pritisnite <Izbirnik nastavitev>.
2
Navedite naslov IP, za katerega želite uporabiti pravilnik o komunikaciji prek protokola IPSec.
Naslov IP te naprave navedite v <Lokalni naslov>, naprave, s katero komunicira tiskalnik, pa v <Daljinski naslov>.

<Vsi IP naslovi>
IPSec se uporabi za vse poslane in prejete pakete IP.
<IPv4 Naslov>
IPSec se uporabi za pakete IP, ki se pošljejo in prejmejo z naslova IPv4 te naprave.
<IPv6 Naslov>
IPSec se uporabi za pakete IP, ki se pošljejo in prejmejo z naslova IPv6 te naprave.
<Vsi IPv4 naslovi>
IPSec se uporabi za pakete IP, ki se pošljejo in prejmejo z naslova IPv4 naprave, s katero komunicira tiskalnik.
<Vsi IPv6 naslovi>
IPSec se uporabi za pakete IP, ki se pošljejo in prejmejo z naslova IPv6 naprave, s katero komunicira tiskalnik.
<IPv4 ročne nastavitve>
Navedite naslov IPv4, ki ga želite uporabiti za IPSec.
Izberite <En naslov>, če želite vnesti posamezni naslov IPv4.
Izberite <Razpon naslovov>, če želite vnesti obseg naslovov IPv4. Vnesite ločena naslova za <Prvi naslov> in <Zadnji naslov>.
Izberite <Nastavitve podomrežja>, če želite vnesti obseg naslovov IPv4 z masko podomrežja. Vnesite ločeni vrednosti za <Naslov> in <Maska podomrežja>.
<IPv6 ročne nastavitve>
Navedite naslov IPv6, ki ga želite uporabiti za IPSec.
Izberite <En naslov>, če želite vnesti posamezni naslov IPv6.
Izberite <Razpon naslovov>, če želite vnesti obseg naslovov IPv6. Vnesite ločena naslova za <Prvi naslov> in <Zadnji naslov>.
Izberite <Izbira predpone>, če želite vnesti obseg naslovov IPv6 s predpono. Vnesite ločeni vrednosti za <Naslov> in <Dolžina predpone>.
3
Navedite vrata, ki jih želite uporabiti za IPSec.
Pritisnite <Izbira po številki vhoda>, če želite pri določanju vrat, za katera se uporablja IPSec, navesti številke vrat. Izberite <Vsi vhodi>, če želite IPSec uporabiti za vse številke vrat. Če želite IPSec uporabiti za določeno številko vrat, pritisnite <En vhod> in vnesite številko vrat. Po določanju vrat pritisnite <OK>. Vrata te naprave navedite v <Lokalni vhod>, naprave, s katero komunicira tiskalnik, pa v <Daljinski vhod>.
Pritisnite <Izbira po imenu servisa>, če želite pri določanju vrat, za katera se uporablja IPSec, navesti imena storitev. Na seznamu izberite ime storitve, pritisnite <Servis Da/Ne>, da jo nastavite na <Da>, in pritisnite <OK>.
4
Pritisnite <OK>.
6
Konfigurirajte nastavitve preverjanja pristnosti in šifriranja.
1
Pritisnite <IKE nastavitve>.
2
Konfigurirajte potrebne nastavitve.
<IKE način>
Izberite način delovanja za protokol za izmenjavo ključev. Če je način delovanja nastavljen na <Glavni>, je stopnja varnosti izboljšana, ker je sama seja IKE šifrirana, vendar pa je bolj obremenjena komunikacija v primerjavi z načinom <Agresivno>, ki ne izvede šifriranja.
<Veljavnost>
Nastavite obdobje veljavnosti generiranega SA za IKE.
<Metoda overovitve>
Izberite enega od načinov preverjanja pristnosti, opisanih spodaj.
<Način pred delj. ključa>
Nastavite isto geslo (vnaprej dogovorjeno geslo), ki je nastavljeno za napravo, s katero komunicira tiskalnik. Pritisnite <Souporabljeni ključ>, vnesite niz znakov, ki se uporablja kot vnaprej dogovorjeno geslo, in pritisnite <OK>.
<Način dig. podpisa>
Nastavite ključ in potrdilo, ki se uporabljata za vzajemno preverjanje pristnosti z napravo, s katero komunicira tiskalnik. Pritisnite <Ključ in Certifikat>, izberite ključ in potrdilo, ki ju želite uporabljati, in pritisnite <Nastav. kot Privz. ključ>  <Da>  <OK>.
<Algoritem overovitve/kodiranja>
Izberite <Avto> ali <Ročne nastavitve>, če želite za IKE phase 1 določiti način preverjanja pristnosti in algoritem šifriranja. Če izberete <Avto>, se samodejno nastavi algoritem, ki ga lahko uporabljata ta naprava in naprava, s katero komunicira. Če želite nastaviti določen algoritem, izberite <Ročne nastavitve> in konfigurirajte spodnje nastavitve.
<Overovitev>
Izberite razpršilni algoritem.
<Kodiranje>
Izberite algoritem kodiranja.
<DH skupina>
Izberite skupino za način izmenjave ključev Diffie-Hellman za nastavitev moči ključa.
3
Pritisnite <OK>.
Če je možnost <IKE način> nastavljena na <Glavni> na zaslonu <IKE nastavitve> in je možnost <Metoda overovitve> nastavljena na <Način pred delj. ključa>, pri registriranju več varnostnih pravilnikov veljajo naslednje omejitve.
Način vnaprej dogovorjenega ključa: pri določanju več oddaljenih naslovov IP, za katere naj bi se uporabil varnostni pravilnik, so vsi ključi v skupni rabi identični (to ne velja, če je določen en naslov).
Prednost: pri določanju več oddaljenih naslovov IP, za katere naj bi se uporabil varnostni pravilnik, je prednost tega varnostnega pravilnika manjša od varnostnih pravilnikov, za katere je določen en naslov.
7
Konfigurirajte nastavitve komunikacije prek protokola IPSec.
1
Pritisnite <Nastavitve IPSec mreže>.
2
Konfigurirajte potrebne nastavitve.
<Veljavnost>
Nastavite obdobje veljavnosti generiranega SA za IPSec. Nastavite <Čas> ali <Velikost>. Če nastavite oboje, se uporabi nastavitev z vrednostjo, ki je dosežena prva.
<PFS>
Če funkcijo popolne zaupnosti posredovanja PFS nastavite na <Da>, je zaupnost ključa za šifriranje večja, vendar se hitrost komunikacije zmanjša. Poleg tega je treba funkcijo PFS omogočiti v napravi, s katero komunicira tiskalnik.
<Algoritem overovitve/kodiranja>
Izberite <Avto> ali <Ročne nastavitve>, če želite za IKE phase 2 določiti način preverjanja pristnosti in algoritem šifriranja. Če izberete <Avto>, sta preverjanje pristnosti ESP in algoritem šifriranja nastavljena samodejno. Če želite nastaviti določen način preverjanja pristnosti, pritisnite <Ročne nastavitve> in izberite enega od naslednjih načinov preverjanja pristnosti.
<ESP>
Izvedeta se preverjanje pristnosti in šifriranje. Izberite algoritem za <ESP overovitev> in <ESP Kodiranje>. Izberite <NULL>, če ne želite nastaviti preverjanja pristnosti in algoritma šifriranja.
<ESP (AES-GCM)>
AES-GCM se uporablja za algoritem ESP, izvedeta se preverjanje pristnosti in šifriranje.
<AH (SHA1)>
Izvede se preverjanje pristnosti, podatki pa niso šifrirani. Kot algoritem se uporablja SHA1.
3
Pritisnite <OK> <OK>.
8
Omogočite registrirane pravilnike in preverite vrstni red prednosti.
Na seznamu izberite registrirane pravilnike in pritisnite <Politika Da/Ne>, da jih nastavite na <Da>.
Pravilniki se uporabijo v navedenem vrstnem redu z vrha navzdol. Če želite spremeniti vrstni red prednosti, na seznamu izberite pravilnik in pritisnite <Višja prioriteta> ali <Nižja prioriteta>.
Če ne želite pošiljati ali prejemati paketov, ki ne ustrezajo pravilnikom, izberite <Zavrni> za <Sprejem paketov brez politike>.
9
Pritisnite <OK>.
10
Pritisnite  (Nastavit./Registr.)  (Nastavit./Registr.) <Upor. sprem .nast.>  <Da>.
Upravljanje pravilnikov IPSec
Pravilnike lahko uredite na zaslonu, prikazanem v 3. koraku.
Če želite urediti podrobnosti o pravilniku, na seznamu izberite pravilnik in pritisnite <Sprememba>.
Če želite onemogočiti pravilnik, na seznamu izberite pravilnik in pritisnite <Politika Da/Ne>.
Če želite izbrisati pravilnik, na seznamu izberite pravilnik in pritisnite <Brisanje>  <Da>.
8376-0E5