IPSec-asetusten koostaminen

Käyttämällä IPSec:iä, voit estää kolmansia osapuolia kaappaamasta tai väärentämästä IP-paketteja jotka liikkuvat IP-verkossa. Koska IPSec lisää turvaominaisuuksia IP:hen, internetin perusprotokollaan, se tarjoaa turvallisuutta joka ei ole sovelluksista ja verkkokokoonpanosta riippuvaista. Suorittaaksesi IPSec-liikennöintiä tällä laitteella, sinun on koostettava asetukset, kuten sovelluksen parametrit ja autentikoinnin ja salauksen algoritmit. Näiden asetusten määrittämiseen tarvitaan pääkäyttäjän tai verkkovastaavan oikeudet.


Liikennöintitapa Tämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin. Avaimenvaihtoprotokolla Tämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä. Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken. Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja Varmenteen rekisteröinti Verkkoliikennöintiin. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten määrittäminen

Liikennöintitapa

Tämä laite tukee vain IPSec-liikennöinnin kuljetustapaa. Tämän johdosta autentikointia ja salausta sovelletaan vain IP-pakettien dataosioihin.

Avaimenvaihtoprotokolla

Tämä laite tukee internetin Avaimenvaihtoversiota 1 (IKEv1) vaihdettaessa avaimia Internet Security Associationin ja Key Management Protocollan perusteella (ISAKMP). Aseta autentikointimenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä.

Kun asetetaan esijaettu avain -menetelmä, sinun on päätettävä etukäteen salauslause (esijaettu avain), jota käytetään laitteen ja IPSec-liikennöintikumppanin kesken.

Kun asetetaan digitaalinen allekirjoitus -menetelmä, käytä CA-varmennetta ja PKCS#12-muotoista avainta ja varmennetta suorittaaksesi molemminpuolisen autentikoinnin laitteen ja IPSec-liikennöintikumppanin kesken. Lisätietoja uusien CA-varmenteiden tai avainten/varmenteiden tallentamisesta on kohdassa Avaimen ja Varmenteen rekisteröinti Verkkoliikennöintiin. Huomaa että SNTP on määritettävä laitteelle ennen kuin se käyttää tätä menetelmää. SNTP-asetusten määrittäminen


IPSec-tiedonsiirron <Alusta salausmenetelmä FIPS 140-2:lle> -asetuksesta riippumatta käytetään salausmoduulia, joka on jo hankkinut FIPS140-2-sertifioinnin. Jotta IPSec-tiedonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu. Vain DH:n avaimen pituus voidaan määrittää laitteessa. Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia. Voit tallentaa enintään 10 suojauskäytäntöä.

IPSec-tiedonsiirron <Alusta salausmenetelmä FIPS 140-2:lle> -asetuksesta riippumatta käytetään salausmoduulia, joka on jo hankkinut FIPS140-2-sertifioinnin.

Jotta IPSec-tiedonsiirto olisi FIPS 140-2 -standardin mukainen, sekä DH:n että RSA:n avaimen pituuden IPSec-tiedonsiirtoa varten on oltava 2048-bittinen tai pitempi verkkoympäristössä, johon laite kuuluu.

Vain DH:n avaimen pituus voidaan määrittää laitteessa.

Huomaa ympäristöä määrittäessäsi, että laitteessa ei ole RSA-asetuksia.

Voit tallentaa enintään 10 suojauskäytäntöä.

Valitse

(Asetukset/Tallennus).

Paina <Yleisasetukset>

<IPSec-asetukset>.

Määritä <Käytä IPSec-muotoa> -asetukseksi <Kyllä> ja valitse <Tallenna>.

Määritä käytännön nimi.

Valitse <Toimintaohjeen nimi>, kirjoita nimi ja valitse <OK>.

Canon-monitoimitulostimet tukevat kahta avaimen pituutta AES-salaustavalle: 128-bittinen ja 256-bittinen. Jos haluat rajoittaa avaimen pituuden 256 bittiin ja noudattaa CC-todennusstandardeja, määritä <Salli AES-avaimen pituudeksi vain 256-bittiä> -asetukseksi <Kyllä>.

Koosta IPSec-sovelluksen parametrit.

Paina <Valitsimen asetukset>.

Määritä IP-osoite jota sovelletaan IPSec-käytännössä.

Määritä tämän laitteen IP-osoite kohtaan <Paikallinen osoite> ja määritä yhteyslaitteen IP-osoite kohtaan <Etäosoite>.

<Kaikki IP -osoitteet>	IPSec:iä sovelletaan kaikkiin lähetettäviin ja vastaanotettaviin IP-paketteihin.
<IPv4 osoite>	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv4-osoitteeseen.
<IPv6 osoite>	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan tämän laitteen IPv6-osoitteeseen.
<Kaikki IPv4 -osoitteet>	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv4-osoitteesta.
<Kaikki IPv6 -osoitteet>	IPSec:iä sovelletaan IP-paketteihin jotka lähetetään ja vastaanotetaan liikennöintikumppanin IPv6-osoitteeseen.
<IPv4 Man. asetukset>	Määritä IPv4-osoitteet joihin IPSec:iä käytetään. Lisää erillinen IPv4-osoite valitsemalla <Yksi osoite>. Määritä IPv4-osoitteiden alue valitsemalla <Osoitealue>. Kirjoita erillinen osoite kohtaan <Ensimmäinen osoite> ja <Viimeinen osoite>. Määritä IPv4-osoitteiden alue käyttämällä aliverkon peitettä valitsemalla <Aliverkon asetukset>. Lisää erilliset arvot kohtaan <Osoite> ja <Aliverkon peite>.
<IPv6 Man. asetukset>	Määritä IPv6-osoite johon sovelletaan IPSec:iä. Lisää erillinen IPv6-osoite valitsemalla <Yksi osoite>. Määritä IPv6-osoitteiden alue valitsemalla <Osoitealue>. Kirjoita erillinen osoite kohtaan <Ensimmäinen osoite> ja <Viimeinen osoite>. Määritä IPv6-osoitteiden alue käyttämällä etuliitettä valitsemalla <Määritä etuliite>. Lisää erilliset arvot kohtaan <Osoite> ja <Etuliitteen pituus>.

Määritä portti johon IPSec:iä käytetään.

Valitse <Määritä porttinumeron mukaan>, jos haluat käyttää porttinumeroita määrittäessäsi portteja, joissa käytetään IPSec:iä. Käytä IPSec:iä kaikissa porttinumeroissa valitsemalla <Kaikki portit>. Jos haluat käyttää IPSec:iä tietyssä porttinumerossa, valitse <Yksi portti> ja lisää porttinumero. Kun olet määrittänyt portit, valitse <OK>. Määritä tämän laitteen portti kohtaan <Paikallinen portti> ja määritä yhteyslaitteen portti kohtaan <Etäportti>.

Valitse <Määritä palvelunimen mukaan>, jos haluat käyttää palvelun nimiä määrittäessäsi portteja, joissa käytetään IPSec:iä. Valitse palvelu luettelosta, valitse <Huolto Kyllä/Ei> -asetukseksi <Kyllä> ja valitse sitten <OK>.

Paina <OK>.

Koosta autentikointi- ja salausasetukset.

Paina <IKE-asetukset>.

Koosta tarvittavat asetukset.

<IKE-tila>

Valitse avaintenvaihtoprotokollan toimintatapa. Kun toimintatilaksi on asetettu <Pää>, turvallisuus on parempi, koska IKE-istunto itsessään on salattu, mutta tiedonsiirtoon kohdistuu suurempi kuormitus kuin asetuksella <Haastava>, joka ei suorita salausta.

Aseta luodun IKE SA:n vanhenemisaika.

Valitse yksi alla kuvatuista autentikointitavoista.

<Esijaettu avain-menet.>	Aseta sama salauslause (esijaettu avain) joka on asetettu liikennöintikumppanille. Valitse <Jaettu avain>, kirjoita jaettuna avaimena käytettävä merkkijono ja valitse sitten <OK>.
<Dig. allekirj. tapa>	Aseta avain ja varmenne jota käytetään molemminpuoliseen autentikointiin liikennöintikumppanin kanssa. Valitse <Avain ja varmenne>, valitse käytettävä avain ja varmenne ja valitse sitten <Aseta oletusavaimeksi> <Kyllä> <OK>.

Valitse joko <Aut.> tai <Manuaaliset asetukset> ja määritä, miten IKE-vaiheen 1 todennus ja salausalgoritmi määritetään. Jos valitset <Aut.>, sekä tämän laitteen että yhteyslaitteen käytettävissä oleva algoritmi määritetään automaattisesti. Jos haluat määrittää tietyn algoritmin, valitse <Manuaaliset asetukset> ja määritä seuraavat asetukset.

<Autentikointi>	Valitse hajautusalgoritmi.
<Salaus>	Valitse salausalgoritmi.
<DH-ryhmä>	Valitse ryhmä Diffie-Hellman -avaimenvaihtomenetelmästä asettaaksesi avaimen vahvuuden.

Paina <OK>.


Kun <IKE-tila>-asetuksena on <Pää> näytössä <IKE-asetukset> ja <Autentikointitapa>-asetuksena on <Esijaettu avain-menet.>, seuraavat rajoitukset ovat käytössä, kun tallennetaan useita suojauskäytäntöjä. Jaettu avain -menetelmä: kun määrität useita etä-IP-osoitteita, joihin turvatoimintoja sovelletaan, kaikki tämän turvatoiminnon jaetut avaimet ovat identtisiä (tämä ei pidä paikkaansa, kun vain yksi osoite on määritetty). Etusija: kun määritetään useita etä-IP-osoitteita, joihin suojauskäytäntöä sovelletaan, tämän suojauskäytännön prioriteetti on alempi kuin suojauskäytäntöjen, joille on määritetty vain yksi osoite.

Kun <IKE-tila>-asetuksena on <Pää> näytössä <IKE-asetukset> ja <Autentikointitapa>-asetuksena on <Esijaettu avain-menet.>, seuraavat rajoitukset ovat käytössä, kun tallennetaan useita suojauskäytäntöjä.

Jaettu avain -menetelmä: kun määrität useita etä-IP-osoitteita, joihin turvatoimintoja sovelletaan, kaikki tämän turvatoiminnon jaetut avaimet ovat identtisiä (tämä ei pidä paikkaansa, kun vain yksi osoite on määritetty).

Etusija: kun määritetään useita etä-IP-osoitteita, joihin suojauskäytäntöä sovelletaan, tämän suojauskäytännön prioriteetti on alempi kuin suojauskäytäntöjen, joille on määritetty vain yksi osoite.

Koosta IPSec-liikennöintiasetukset.

Paina <IPSec-verkkoasetukset>.

Koosta tarvittavat asetukset.

Aseta luodun IPSec SA:n vanhenemisaika. Muista valita joko <Aika> tai <Koko>. Jos asetat molemmat, asetusta, jonka arvo saavutetaan ensin, käytetään.

<PFS>

Jos valitset Perfect Forward Secrecy (PFS) -toiminnon asetukseksi <Kyllä>, salausavaimen suojaus paranee, mutta yhteyden nopeus hidastuu. Tämän lisäksi liikennöintikumppanin laitteen on hyväksyttävä PFS-toiminto.

Valitse joko <Aut.> tai <Manuaaliset asetukset> ja määritä, miten IKE-vaiheen 2 todennus ja salausalgoritmi määritetään. Jos valitset <Aut.>, ESP-todennus ja salausalgoritmi määritetään automaattisesti. Jos haluat määrittää tietyn todennustavan, valitse <Manuaaliset asetukset> ja valitse jokin seuraavista todennustavoista.

<ESP>	Sekä autentikointi että salaus suoritetaan. Valitse algoritmi kohdassa <ESP-autentikointi> ja <ESP-salaus>. Valitse <NOLLA>, jos et halua määrittää todennusta tai salausalgoritmia.
<ESP (AES-GCM)>	AES-GCM:tä käytetään ESP-algoritmina, ja sekä autentikointi että salaus suoritetaan.
<AH (SHA1)>	Todennus suoritetaan mutta dataa ei salata. SHA1:tä käytetään algoritmina.

Paina <OK>

<OK>.

Salli rekisteröidyt käytännöt ja tarkista tärkeysjärjestys.

Valitse tallennetut käytännöt luettelosta ja valitse niiden <Toimintaohje Kyllä/Ei> -asetukseksi <Kyllä>.

Käytäntöjä sovelletaan siinä järjestyksessä kuin ne ovat listassa, alkaen ylhäältä. Jos haluat muuttaa tärkeysjärjestystä, valitse käytäntö luettelosta ja valitse sitten <Kohota etusijaa> tai <Matala etusija>.

Jos et halua lähettää tai vastaanottaa paketteja, jotka eivät vastaa käytäntöjä, valitse <Hylkää> kohdassa <Epätavallisten pakettien vastaanotto>.

Paina <OK>.

Paina

(Asetukset/Tallennus)

<Käytä muut. aset.>

<Kyllä>.


IPSec-käytäntöjen hallinta Voit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 3. Voit muokata käytännön tietoja valitsemalla käytännön luettelosta ja valitsemalla sitten <Muokkaa>. Voit poistaa käytännön valitsemalla käytännön luettelosta ja valitsemalla sitten <Toimintaohje Kyllä/Ei>. Poista käytäntö valitsemalla käytäntö luettelosta ja valitsemalla sitten <Poista> <Kyllä>.

IPSec-käytäntöjen hallinta

Voit muokata käytäntöjä ikkunassa joka näkyy vaiheessa 3.

Voit muokata käytännön tietoja valitsemalla käytännön luettelosta ja valitsemalla sitten <Muokkaa>.

Voit poistaa käytännön valitsemalla käytännön luettelosta ja valitsemalla sitten <Toimintaohje Kyllä/Ei>.

Poista käytäntö valitsemalla käytäntö luettelosta ja valitsemalla sitten <Poista>

<Kyllä>.