IPSec Ayarlarını Yapılandırma

IPSec kullanarak üçüncü tarafların IP ağı üzerinden taşınan IP paketlerine müdahale etmesini veya kurcalamasını önleyebilirsiniz. IPSec, İnternet için kullanılan temel bir protokol paketi olan IP’ye güvenlik fonksiyonları eklediği için, uygulamalardan veya ağ yapılandırmasından bağımsız olarak güvenlik sağlayabilir. Bu makineyle IPSec iletişimi gerçekleştirmek için uygulama parametreleri ve kimlik doğrulaması ile şifreleme algoritması gibi ayarları yapılandırmanız gerekir. Bu ayarları yapılandırmak için Administrator veya NetworkAdmin ayrıcalıkları gereklidir.
İletişim modu
Bu makine yalnızca IPSec iletişimi için taşıma modunu destekler. Sonuç olarak, kimlik doğrulaması ve şifreleme yalnızca IP paketlerinin veri kısımlarına uygulanır.
Anahtar değişimi protokolü
Bu makine, Internet Security Association and Key Management Protocol’u (ISAKMP) temel alan anahtar alışverişleri için Internet Key Exchange sürüm 1’i (IKEv1) destekler. Kimlik doğrulama yöntemi için ön paylaşımlı anahtar yöntemini veya dijital imza yöntemini ayarlayın.
Ön paylaşımlı anahtar yöntemini ayarlarken, makine ile IPSec iletişimi eşdüzeyi arasında kullanılan bir geçiş parolasına (ön paylaşımlı anahtar) önceden karar vermeniz gerekir.
Dijital imza yöntemini ayarlarken bir CA sertifikası ile PKCS#12 biçim anahtarı ve sertifikası kullanarak makine ile IPSec iletişimi eş düzeyi arasında karşılıklı kimlik doğrulaması gerçekleştirin. Yeni CA sertifikaları veya anahtarlar/sertifikalar kaydetme hakkında daha fazla bilgi için bkz. Ağ İletişimi için Anahtar ve Sertifika Kaydetme. Makinenin bu yöntemi kullanabilmesi için makinede SNTP’nin yapılandırılması gerekir. SNTP Ayarlarını Yapma
IPSec iletişimi için <FIPS 140-2'ye Format Şifreleme Yöntemi> ayarına bakılmaksızın, FIPS140-2 sertifikasını zaten almış bir şifreleme modülü kullanılır.
IPSec iletişimini FIPS 140-2’ye uygun hale getirmek için, makinenin ait olduğu ağ ortamında IPSec iletişimi için hem DH hem de RSA anahtar uzunluğunu 2048 bit veya daha büyük bir uzunluğa ayarlayın.
Makineden yalnızca DH anahtar uzunluğu belirtilebilir.
Makinede RSA ayarı bulunmadığı için ortamınızı yapılandırırken not alın.
En fazla 10 güvenlik ilkesi kaydedebilirsiniz.
1
 (Ayarlar/Kayıt) tuşuna basın.
2
<Tercihler>  <Ağ>  <TCP/IP Ayarları>  <IPSec Ayarları> seçeneğine basın.
3
<IPSec Kullan> seçeneğini <Açık> olarak ayarlayın ve <Kaydet> seçeneğine basın.
4
İlke için bir ad belirtin.
<İlke Adı> seçeneğine basın, adı girin ve <Tamm> düğmesine basın.
Canon çok fonksiyonlu yazıcıları AES şifreleme yöntemi için iki anahtar uzunluğunu destekler: 128 bit ve 256 bit. Anahtar uzunluğunu 256 bit ile kısıtlamak ve CC kimlik doğrulama standartlarını karşılamak için <AES Anaht Uzunlğ İçin Sdc 256-bite İzin Ver> seçeneğini <Açık> olarak ayarlayın.
5
IPSec uygulama parametrelerini yapılandırın.
1
<Seçici Ayarları> öğesine basın.
2
IPSec ilkesinin uygulanacağı IP adresini belirtin.
<Yerel Adres> alanında bu makinenin IP adresini belirtin ve <Uzak Adres> alanında iletişimin IP adresini belirtin.

<Tüm IP adresleri>
IPSec tüm gönderilen ve alınan IP paketlerine uygulanır.
<IPv4 Adresi>
IPSec bu makinenin IPv4 adresine gönderilen ve bu adresten alınan IP paketlerine uygulanır.
<IPv6 Adresi>
IPSec bu makinenin IPv6 adresine gönderilen ve bu adresten alınan IP paketlerine uygulanır.
<Tüm IPv4 adresleri>
IPSec iletişim eş düzeyinin IPv4 adresine gönderilen ve bu adresten alınan IP paketlerine uygulanır.
<Tüm IPv6 adresleri>
IPSec iletişim eş düzeyinin IPv6 adresine gönderilen ve bu adresten alınan IP paketlerine uygulanır.
<IPv4 Manüel Ayarları>
IPSec ilkesinin uygulanacağı IPv4 adresini belirtin.
Tek bir IPv4 adresi girmek için <Tek Adres> seçeneğini belirleyin.
IPv4 adres aralığı belirtmek için <Adres Aralığı> seçeneğini belirleyin. <İlk Adres> ve <Son Adres> için ayrı bir adres girin.
Bir alt ağ maskesi kullanarak IPv4 adres aralığı belirtmek için <Alt Ağ Ayarları> seçeneğini belirleyin. <Adres> ve <Altağ Mask.> için ayrı değerler girin.
<IPv6 Manüel Ayarları>
IPSec ilkesinin uygulanacağı IPv6 adresini belirtin.
Tek bir IPv6 adresi girmek için <Tek Adres> seçeneğini belirleyin.
IPv6 adres aralığı belirtmek için <Adres Aralığı> seçeneğini belirleyin. <İlk Adres> ve <Son Adres> için ayrı bir adres girin.
Bir ön ek kullanarak IPv6 adres aralığı belirtmek için <Önek Ayarları> seçeneğini belirleyin. <Adres> ve <Önek Uzunluğu> için ayrı değerler girin.
3
IPSec ilkesinin uygulanacağı bağlantı noktasını belirtin.
IPSec ilkesinin geçerli olduğu bağlantı noktası numaralarını kullanmak için <Port Numarası ile Belirle> düğmesine basın. IPSec ilkesini tüm bağlantı noktası numaralarına uygulamak için <Tüm Portlr> seçeneğini belirleyin. IPSec ilkesini belirli bir bağlantı noktası numarasına uygulamak için <Tek Port> seçeneğine basıp bağlantı noktası numarası girin. Bağlantı noktalarını belirttikten sonra <Tamm> seçeneğine basın. <Yerel Port> alanında bu makinenin bağlantı noktasını belirtin ve <Uzak Port> alanında iletişim eş düzeyinin bağlantı noktasını belirtin.
IPSec ilkesinin geçerli olduğu hizmet numaralarını kullanmak için <Servis Adı ile Belirle> düğmesine basın. Listeden hizmeti seçin, <Servis Açık/Kapalı> seçeneğine basarak <Açık> olarak ayarlayın ve <Tamm> seçeneğine basın.
4
<Tamm> öğesine basın.
6
Kimlik doğrulama ve şifreleme ayarlarını yapılandırın.
1
<IKE Ayarları> öğesine basın.
2
Gerekli ayarları yapılandırın.
<IKE Modu>
Anahtar değişimi protokolünün çalışma modunu seçin. İşlem modu <Ana> olarak ayarlandığında, IKE oturumunun kendisi şifrelendiği için güvenlik artar, ancak şifreleme gerçekleştirmeyen <Agresif> ile karşılaştırıldığında iletişim üzerine daha yüksek bir yük biner.
<Geçerlilik>
Oluşturulan IKE SA'nın sona erme süresini ayarlayın.
<Doğrulama Yöntemi>
Aşağıda açıklanan kimlik doğrulama yöntemlerinden birini seçin.
<Önc. Pylşt. Anht. Yönt.>
İletişim eş düzeyi için ayarlanan geçiş parolasının (ön paylaşımlı anahtar) aynısını belirleyin. <Paylş. Anaht.> seçeneğine basın, paylaşılan anahtar olarak kullanılacak karakter dizesini girin ve <Tamm> seçeneğine basın.
<Dijital İmz. Yöntemi>
İletişim eş düzeyi ile karşılıklı kimlik doğrulaması için kullanılacak anahtar ve sertifikayı ayarlayın. <Anahtar ve Sertifika> seçeneğine basın, kullanılacak anahtar ve sertifikayı kullanın ve <Vars. Anaht. Olarak Ayarla>  <Evet>  <Tamm> seçeneğine basın.
<Kml Doğrulama/Şifreleme Algoritması>
IKE aşama 1 için kimlik doğrulama ve şifreleme algoritmasının nasıl belirtileceğini ayarlamak için <Oto> veya <Manüel Ayarlar> seçeneğini belirleyin. <Oto> seçeneğini belirlerseniz hem bu makine hem de iletişim eş düzeyi tarafından kullanılabilen bir algoritma otomatik olarak ayarlanır. Belirli bir algoritma belirtmek isterseniz <Manüel Ayarlar> öğesini seçip aşağıdaki ayarları yapılandırın.
<Kiml. Doğrulama>
Karma algoritmayı seçin.
<Şifreleme>
Şifreleme algoritmasını seçin.
<DH Grubu>
Anahtar kuvvetini ayarlamak için Diffie-Hellman anahtar değişimi yöntemine ait grubu seçin.
3
<Tamm> öğesine basın.
<IKE Ayarları> ekranında <IKE Modu> seçeneği <Ana> olarak ve <Doğrulama Yöntemi> seçeneği <Önc. Pylşt. Anht. Yönt.> olarak ayarlandığında, birden fazla güvenlik ilkesi kaydedilirken aşağıdaki kısıtlamalar geçerli olur.
Ön paylaşımlı anahtar yöntemi anahtarı: Bir güvenlik ilkesinin uygulanacağı birden fazla uzak IP adresi belirtirken, ilgili güvenlik ilkesinin tüm paylaşılan anahtarları aynıdır (tek bir adres belirtildiğinde bu durum geçerli değildir).
Öncelik: Güvenlik ilkesi uygulanacak birden fazla uzak IP adresi belirtirken, söz konusu güvenlik ilkesinin önceliği tek bir adresin belirtildiği güvenlik ilkelerinin önceliğinden düşüktür.
7
IPSec iletişim ayarlarını yapılandırın.
1
<IPSec Ağ Ayarları> öğesine basın.
2
Gerekli ayarları yapılandırın.
<Geçerlilik>
Oluşturulan IPSec SA'nın sona erme süresini ayarlayın. <Saat> veya <Boyut> ayarını yaptığınızdan emin olun. Her ikisini de ayarlarsanız, ilk ulaşılan değere sahip ayar uygulanır.
<PFS>
Kusursuz İletme Gizliliği (PFS) fonksiyonunu <Açık> olarak ayarlarsanız, şifreleme anahtarının gizliliği artırılır ancak iletişim hızı daha düşüktür. Ayrıca, iletişim eş düzeyi cihazında PFS fonksiyonu etkinleştirilmelidir.
<Kml Doğrulama/Şifreleme Algoritması>
IKE aşama 2 için kimlik doğrulama ve şifreleme algoritmasının nasıl belirtileceğini ayarlamak için <Oto> veya <Manüel Ayarlar> seçeneğini belirleyin. <Oto> seçeneğini belirlerseniz ESP kimlik doğrulama ve şifreleme algoritması otomatik olarak ayarlanır. Belirli bir kimlik doğrulama yöntemi belirtmek isterseniz <Manüel Ayarlar> seçeneğine basın ve aşağıdaki kimlik doğrulama yöntemlerinden birini seçin.
<ESP>
Hem kimlik doğrulaması hem de şifreleme gerçekleştirilir. <ESP Kml Doğrulaması> ve <ESP Şifreleme> algoritmasını seçin. Kimlik doğrulama veya şifreleme algoritmasını ayarlamak istemiyorsanız <BOŞ> seçeneğini belirleyin.
<ESP (AES-GCM)>
ESP algoritması olarak AES-GCM kullanılır ve hem kimlik doğrulaması hem de şifreleme gerçekleştirilir.
<AH (SHA1)>
Kimlik doğrulaması gerçekleştirilir ancak veriler şifrelenmez. Algoritma olarak SHA1 kullanılır.
3
<Tamm> <Tamm> öğesine basın.
8
Kayıtlı ilkeleri etkinleştirin ve öncelik sırasını kontrol edin.
Listeden kayıtlı ilkeleri seçin ve <İlke Açk/Kpl> seçeneğine basıp <Açık> olarak ayarlayın.
İlkeler en üstten başlayarak listelendikleri sırayla uygulanır. Öncelik sırasını değiştirmek isterseniz listeden bir ilke seçip <Önceliği Yükselt> veya <Önceliği Düşür> seçeneğine basın.
İlkelere karşılık gelmeyen paketler göndermek veya almak istemiyorsanız, <İlkesiz Paketleri Al> için <Reddet> seçeneğini belirleyin.
9
<Tamm> öğesine basın.
10
 (Ayarlar/Kayıt)  (Ayarlar/Kayıt) <Ayar Değş. Uygula>  <Evet> seçeneğine basın.
IPSec ilkeleri
3. adımda görüntülenen ekranda ilkeleri kaydedin.
Bir ilkenin ayrıntılarını düzenlemek için listeden ilkeyi seçin ve <Düzenle> seçeneğine basın.
Bir ilkeyi devre dışı bırakmak için listeden ilkeyi seçin ve <İlke Açk/Kpl> seçeneğine basın.
Bir ilkeyi silmek için listeden ilkeyi seçin ve <Sil>  <Evet> seçeneğine basın.
8377-0E5