IPSec-asetusten koostaminen

Käyttämällä IPSec:iä, voit estää kolmansia osapuolia kaappaamasta tai väärentämästä IP-paketteja jotka liikkuvat IP-verkossa. Koska IPSec lisää turvaominaisuuksia IP:hen, internetin perusprotokollaan, se tarjoaa turvallisuutta joka ei ole sovelluksista ja verkkokokoonpanosta riippuvaista. Suorittaaksesi IPSec-liikennöintiä tällä laitteella, sinun on koostettava asetukset, kuten sovelluksen parametrit ja autentikoinnin ja salauksen algoritmit. Näiden asetusten määrittämiseen tarvitaan pääkäyttäjän tai verkkovastaavan oikeudet.
Liikennöintitapa
Tämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin.
Avaimenvaihtoprotokolla
Tämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä.
Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken.
Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja Varmenteen rekisteröinti Verkkoliikennöintiin. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten määrittäminen
IPSec-tiedonsiirron <Alusta salausmenetelmä FIPS 140-2:lle> -asetuksesta riippumatta käytetään salausmoduulia, joka on jo hankkinut FIPS140-2-sertifioinnin.
Jotta IPSec-tiedonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu.
Vain DH:n avaimen pituus voidaan määrittää laitteessa.
Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia.
Voit tallentaa enintään 10 suojauskäytäntöä.
1
Valitse  (Asetukset/Tallennus).
2
Paina <Yleisasetukset>  <Verkko>  <TCP/IP-asetukset>  <IPSec-asetukset>.
3
Määritä <Käytä IPSec-muotoa> -asetukseksi <Kyllä> ja valitse <Tallenna>.
4
Määritä käytännön nimi.
Valitse <Toimintaohjeen nimi>, kirjoita nimi ja valitse <OK>.
Canon-monitoimitulostimet tukevat kahta avaimen pituutta AES-salaustavalle: 128-bittinen ja 256-bittinen. Jos haluat rajoittaa avaimen pituuden 256 bittiin ja noudattaa CC-todennusstandardeja, määritä <Salli AES-avaimen pituudeksi vain 256-bittiä> -asetukseksi <Kyllä>.
5
Koosta IPSec-sovelluksen parametrit.
1.
Paina <Valitsimen asetukset>.
2.
Määritä IP-osoite jota sovelletaan IPSec-käytännössä.
Määritä tämän laitteen IP-osoite kohtaan <Paikallinen osoite> ja määritä yhteyslaitteen IP-osoite kohtaan <Etäosoite>.

<Kaikki IP -osoitteet>
IPSec:iä sovelletaan kaikkiin lähetettäviin ja vastaanotettaviin IP-paketteihin.
<IPv4 osoite>
IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv4-osoitteeseen.
<IPv6 osoite>
IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv6-osoitteeseen.
<Kaikki IPv4 -osoitteet>
IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv4-osoitteesta.
<Kaikki IPv6 -osoitteet>
IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv6-osoitteeseen.
<IPv4 Man. asetukset>
Määritä IPv4-osoitteet joihin IPSec:iä käytetään.
Lisää erillinen IPv4-osoite valitsemalla <Yksi osoite>.
Määritä IPv4-osoitteiden alue valitsemalla <Osoitealue>. Kirjoita erillinen osoite kohtaan <Ensimmäinen osoite> ja <Viimeinen osoite>.
Määritä IPv4-osoitteiden alue käyttämällä aliverkon peitettä valitsemalla <Aliverkon asetukset>. Lisää erilliset arvot kohtaan <Osoite> ja <Aliverkon peite>.
<IPv6 Man. asetukset>
Määritä IPv6-osoite johon sovelletaan IPSec:iä.
Lisää erillinen IPv6-osoite valitsemalla <Yksi osoite>.
Määritä IPv6-osoitteiden alue valitsemalla <Osoitealue>. Kirjoita erillinen osoite kohtaan <Ensimmäinen osoite> ja <Viimeinen osoite>.
Määritä IPv6-osoitteiden alue käyttämällä etuliitettä valitsemalla <Määritä etuliite>. Lisää erilliset arvot kohtaan <Osoite> ja <Etuliitteen pituus>.
3.
Määritä portti johon IPSec:iä käytetään.
Valitse <Määritä porttinumeron mukaan>, jos haluat käyttää porttinumeroita määrittäessäsi portteja, joissa käytetään IPSec:iä. Käytä IPSec:iä kaikissa porttinumeroissa valitsemalla <Kaikki portit>. Jos haluat käyttää IPSec:iä tietyssä porttinumerossa, valitse <Yksi portti> ja lisää porttinumero. Kun olet määrittänyt portit, valitse <OK>. Määritä tämän laitteen portti kohtaan <Paikallinen portti> ja määritä yhteyslaitteen portti kohtaan <Etäportti>.
Valitse <Määritä palvelunimen mukaan>, jos haluat käyttää palvelun nimiä määrittäessäsi portteja, joissa käytetään IPSec:iä. Valitse palvelu luettelosta, valitse <Huolto Kyllä/Ei> -asetukseksi <Kyllä> ja valitse sitten <OK>.
4.
Paina <OK>.
6
Koosta autentikointi- ja salausasetukset.
1.
Paina <IKE-asetukset>.
2.
Koosta tarvittavat asetukset.
<IKE-tila>
Valitse avaintenvaihtoprotokollan toimintatapa. Kun toimintatilaksi on asetettu <Pää>, turvallisuus on parempi, koska IKE-istunto itsessään on salattu, mutta tiedonsiirtoon kohdistuu suurempi kuormitus kuin asetuksella <Haastava>, joka ei suorita salausta.
<Voimassaolo>
Aseta luodun IKE SA:n vanhenemisaika.
<Autentikointitapa>
Valitse yksi alla kuvatuista autentikointitavoista.
<Esijaettu avain-menet.>
Aseta sama salauslause (esijaettu avain) joka on asetettu liikennöintikumppanille. Valitse <Jaettu avain>, kirjoita jaettuna avaimena käytettävä merkkijono ja valitse sitten <OK>.
<Dig. allekirj. tapa>
Aseta avain ja varmenne jota käytetään molemminpuoliseen autentikointiin liikennöintikumppanin kanssa. Valitse <Avain ja varmenne>, valitse käytettävä avain ja varmenne ja valitse sitten <Aseta oletusavaimeksi>  <Kyllä>  <OK>.
<Autentikointi/Salausalgoritmi>
Valitse joko <Aut.> tai <Manuaaliset asetukset> ja määritä, miten IKE-vaiheen 1 todennus ja salausalgoritmi määritetään. Jos valitset <Aut.>, sekä tämän laitteen että yhteyslaitteen käytettävissä oleva algoritmi määritetään automaattisesti. Jos haluat määrittää tietyn algoritmin, valitse <Manuaaliset asetukset> ja määritä seuraavat asetukset.
<Autentikointi>
Valitse hajautusalgoritmi.
<Salaus>
Valitse salausalgoritmi.
<DH-ryhmä>
Valitse ryhmä Diffie-Hellman -avaimenvaihtomenetelmästä asettaaksesi avaimen vahvuuden.
3.
Paina <OK>.
Kun <IKE-tila>-asetuksena on <Pää> näytössä <IKE-asetukset> ja <Autentikointitapa>-asetuksena on <Esijaettu avain-menet.>, seuraavat rajoitukset ovat käytössä, kun tallennetaan useita suojauskäytäntöjä.
Jaettu avain -menetelmä: kun määrität useita etä-IP-osoitteita, joihin turvatoimintoja sovelletaan, kaikki tämän turvatoiminnon jaetut avaimet ovat identtisiä (tämä ei pidä paikkaansa, kun vain yksi osoite on määritetty).
Etusija: kun määritetään useita etä-IP-osoitteita, joihin suojauskäytäntöä sovelletaan, tämän suojauskäytännön prioriteetti on alempi kuin suojauskäytäntöjen, joille on määritetty vain yksi osoite.
7
Koosta IPSec-liikennöintiasetukset.
1.
Paina <IPSec-verkkoasetukset>.
2.
Koosta tarvittavat asetukset.
<Voimassaolo>
Aseta luodun IPSec SA:n vanhenemisaika. Muista valita joko <Aika> tai <Koko>. Jos asetat molemmat, asetusta, jonka arvo saavutetaan ensin, käytetään.
<PFS>
Jos valitset Perfect Forward Secrecy (PFS) -toiminnon asetukseksi <Kyllä>, salausavaimen suojaus paranee, mutta yhteyden nopeus hidastuu. Tämän lisäksi liikennöintikumppanin laitteen on hyväksyttävä PFS-toiminto.
<Autentikointi/Salausalgoritmi>
Valitse joko <Aut.> tai <Manuaaliset asetukset> ja määritä, miten IKE-vaiheen 2 todennus ja salausalgoritmi määritetään. Jos valitset <Aut.>, ESP-todennus ja salausalgoritmi määritetään automaattisesti. Jos haluat määrittää tietyn todennustavan, valitse <Manuaaliset asetukset> ja valitse jokin seuraavista todennustavoista.
<ESP>
Sekä autentikointi että salaus suoritetaan. Valitse algoritmi kohdassa <ESP-autentikointi> ja <ESP-salaus>. Valitse <NOLLA>, jos et halua määrittää todennusta tai salausalgoritmia.
<ESP (AES-GCM)>
AES-GCM:tä käytetään ESP-algoritmina, ja sekä autentikointi että salaus suoritetaan.
<AH (SHA1)>
Todennus suoritetaan mutta dataa ei salata. SHA1:tä käytetään algoritmina.
3.
Paina <OK> <OK>.
8
Salli rekisteröidyt käytännöt ja tarkista tärkeysjärjestys.
Valitse tallennetut käytännöt luettelosta ja valitse niiden <Toimintaohje Kyllä/Ei> -asetukseksi <Kyllä>.
Käytäntöjä sovelletaan siinä järjestyksessä kuin ne ovat listassa, alkaen ylhäältä. Jos haluat muuttaa tärkeysjärjestystä, valitse käytäntö luettelosta ja valitse sitten <Kohota etusijaa> tai <Matala etusija>.
Jos et halua lähettää tai vastaanottaa paketteja, jotka eivät vastaa käytäntöjä, valitse <Hylkää> kohdassa <Epätavallisten pakettien vastaanotto>.
9
Paina <OK>.
10
Paina  (Asetukset/Tallennus)   (Asetukset/Tallennus) <Käytä muut. aset.>  <Kyllä>.
IPSec-käytäntöjen hallinta
Voit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 3.
Voit muokata käytännön tietoja valitsemalla käytännön luettelosta ja valitsemalla sitten <Muokkaa>.
Voit poistaa käytännön valitsemalla käytännön luettelosta ja valitsemalla sitten <Toimintaohje Kyllä/Ei>.
Poista käytäntö valitsemalla käytäntö luettelosta ja valitsemalla sitten <Poista>  <Kyllä>.
AK8F-0LH