IPSec-instellingen configureren

Door het gebruik van IPSec kunt u voorkomen dat derden IP-pakketten die via een IP-netwerk worden getransporteerd, onderscheppen of ermee knoeien. Omdat IPSec beveiligingsfuncties aan IP, een basisprotocollenpakket dat voor het internet wordt gebruikt, toevoegt, kan het beveiliging bieden die losstaat van toepassingen of netwerkconfiguraties. Om IPSec-communicatie met deze machine tot stand te brengen, moet u instellingen configureren, zoals de parameters van de toepassing, en het algoritme voor verificatie en versleuteling. Beheerders- of netwerkbeheerdersbevoegdheden zijn nodig om deze instellingen te kunnen configureren.


Communicatiemodus Deze machine ondersteunt alleen de transportmodus voor IPSec-communicatie. Daarom worden verificatie en versleuteling alleen toegepast op de datagedeeltes van de IP-pakketten. Protocol voor uitwisselen van sleutels Deze machine ondersteunt IKEv1 (Internet Key Exchange versie 1) voor het uitwisselen van sleutels op basis van ISAKMP (Internet Security Association en Key Management Protocol). Bij de verificatiemethode stelt u de vooraf gedeelde sleutelmethode of de digitale-handtekeningenmethode in. Bij instelling van de vooraf gedeelde sleutelmethode moet u van tevoren een beslissing nemen over een wachtwoordzin (vooraf gedeelde sleutel), die wordt gebruikt tussen de machine en de IPSec-communicatie-evenknie. Bij instelling van de digitale-handtekeningenmethode gebruikt u een CA-certificaat en een sleutel en certificaat met PKCS#12-indeling voor wederzijdse verificatie tussen de machine en de IPSec-communicatie-evenknie. Voor meer informatie over het registreren van nieuwe certificaten of sleutels/certificaten raadpleegt u Een sleutel en certificaat voor netwerkcommunicatie registreren. Merk op dat SNTP eerst op de machine moet worden geconfigureerd, voordat van deze methode gebruik gemaakt kan worden. SNTP-instellingen doorvoeren

Communicatiemodus

Deze machine ondersteunt alleen de transportmodus voor IPSec-communicatie. Daarom worden verificatie en versleuteling alleen toegepast op de datagedeeltes van de IP-pakketten.

Protocol voor uitwisselen van sleutels

Deze machine ondersteunt IKEv1 (Internet Key Exchange versie 1) voor het uitwisselen van sleutels op basis van ISAKMP (Internet Security Association en Key Management Protocol). Bij de verificatiemethode stelt u de vooraf gedeelde sleutelmethode of de digitale-handtekeningenmethode in.

Bij instelling van de vooraf gedeelde sleutelmethode moet u van tevoren een beslissing nemen over een wachtwoordzin (vooraf gedeelde sleutel), die wordt gebruikt tussen de machine en de IPSec-communicatie-evenknie.

Bij instelling van de digitale-handtekeningenmethode gebruikt u een CA-certificaat en een sleutel en certificaat met PKCS#12-indeling voor wederzijdse verificatie tussen de machine en de IPSec-communicatie-evenknie. Voor meer informatie over het registreren van nieuwe certificaten of sleutels/certificaten raadpleegt u Een sleutel en certificaat voor netwerkcommunicatie registreren. Merk op dat SNTP eerst op de machine moet worden geconfigureerd, voordat van deze methode gebruik gemaakt kan worden. SNTP-instellingen doorvoeren


Ongeacht de instelling van <Stel de encryptiemethode in op FIPS 140-2> voor IPSec-communicatie, wordt een versleutelingsmodule gebruikt die de FIPS140-2-certificering al heeft verkregen. Om ervoor te zorgen dat IPSec-communicatie voldoet aan FIPS 140-2, moet u de sleutellengte van zowel DH als RSA voor IPSec-communicatie instellen op 2048-bits of langer in de netwerkomgeving waartoe de machine behoort. Alleen de sleutellengte voor DH kan worden opgegeven vanuit de machine. Maak notities bij het configureren van uw omgeving, want er zijn geen instellingen voor RSA in de machine. U kunt maximaal 10 beveiligingsbeleidsregels registreren.

Ongeacht de instelling van <Stel de encryptiemethode in op FIPS 140-2> voor IPSec-communicatie, wordt een versleutelingsmodule gebruikt die de FIPS140-2-certificering al heeft verkregen.

Om ervoor te zorgen dat IPSec-communicatie voldoet aan FIPS 140-2, moet u de sleutellengte van zowel DH als RSA voor IPSec-communicatie instellen op 2048-bits of langer in de netwerkomgeving waartoe de machine behoort.

Alleen de sleutellengte voor DH kan worden opgegeven vanuit de machine.

Maak notities bij het configureren van uw omgeving, want er zijn geen instellingen voor RSA in de machine.

U kunt maximaal 10 beveiligingsbeleidsregels registreren.

Druk op

(Instellingen/Registratie).

Druk op <Voorkeuren>

<IPSec instellingen>.

Stel <Gebruik IPSec> in op <Aan> en druk op <Registreren>.

Geef een naam op voor het beleid.

Druk op <Policy-naam>, voer de naam in en druk op <OK>.

Canon mulitfunctionele printers ondersteunen twee sleutellengten voor de versleutelingsmethode AES: 128 bits en 256 bits. Stel <Alleen 256-bits toestaan voor AES-sleutellengte> in op <Aan> om de sleutellengte te beperken tot 256-bits en om te voldoen aan de CC-verificatiestandaarden.

Configureer de IPSec-toepassingsparameters.

Druk op <Selector instellingen>.

Geef het IP-adres waar u het IPSec-beleid op wilt toepassen, op.

Geef het IP-adres van deze machine op bij <Lokaal adres> en van de communicatie-evenknie bij <Adres op afstand>.

<Alle IP-adressen>	IPSec wordt toegepast op alle verzonden en ontvangen IP-pakketten.
<IPv4-adres>	IPSec wordt toegepast op IP-pakketten die worden verzonden naar en ontvangen van de IPv4-adressen op deze machine.
<IPv6-adres>	IPSec wordt toegepast op IP-pakketten die worden verzonden naar en ontvangen van de IPv6-adressen op deze machine.
<Alle IPv4- adressen>	IPSec wordt toegepast op IP-pakketten die worden verzonden naar en ontvangen van de IPv4-adressen van de communicatie-evenknie.
<Alle IPv6- adressen>	IPSec wordt toegepast op IP-pakketten die worden verzonden naar en ontvangen van de IPv6-adressen van de communicatie-evenknie.
<IPv4 handm instellingen>	Geef het IPv4-adres waarop u IPSec wilt toepassen, op. Selecteer <Enkelvoudig adres> om een individueel IPv4-adres in te voeren. Selecteer <Adresbereik> om een bereik van IPv4-adressen op te geven. Voer een apart adres in voor <Eerste adres> en <Laatste adres>. Selecteer <Subnet instellingen> om een bereik van IPv4-adressen met een subnetmasker op te geven. Voer afzonderlijke waarden in voor <Adres> en <Subnet mask>.
<IPv6 handm instellingen>	Geef het IPv6-adres waarop u IPSec wilt toepassen, op. Selecteer <Enkelvoudig adres> om een individueel IPv6-adres in te voeren. Selecteer <Adresbereik> om een bereik van IPv6-adressen op te geven. Voer een apart adres in voor <Eerste adres> en <Laatste adres>. Selecteer <Prefix aangeven> om een bereik van IPv6-adressen met een voorvoegsel op te geven. Voer afzonderlijke waarden in voor <Adres> en <Prefixlengte>.

Geef de poort waarop u IPSec wilt toepassen, op.

Druk op <Aangeven met poortnummer> om poortnummers te gebruiken bij het opgeven van de poorten waarop IPSec van toepassing is. Selecteer <Alle poorten> om IPSec op alle poortnummers toe te passen. Om IPSec op een specifiek poortnummer toe te passen, drukt u op <Enkelv. poort> en voert u het poortnummer in. Na opgave van de poorten drukt u op <OK>. Geef de poort van deze machine op bij <Lokale poort> en van de communicatie-evenknie bij <Poort op afstand>.

Druk op <Aangeven met servicenaam> om servicenamen te gebruiken bij het opgeven van de poorten waarop IPSec van toepassing is. Selecteer de service uit de lijst, druk op <Service Aan/Uit> om die in te stellen op <Aan> en druk op <OK>.

Druk op <OK>.

Configureer de verificatie- en versleutelingsinstellingen.

Druk op <IKE-instellingen>.

Configureer de noodzakelijke instellingen.

<IKE-modus>

Selecteer de bewerkingsmodus voor het protocol voor het uitwisselen van sleutels. Als de bewerkingsmodus is ingesteld op <Hoofd>, is de beveiliging verhoogd doordat de IKE-sessie zelf is versleuteld, maar er ligt een zwaardere last op de communicatie vergeleken bij <Agressief>, waar geen versleuteling wordt uitgevoerd.

Stel de verloopperiode van de gegenereerde IKE SA in.

Selecteer een van de onderstaande verificatiemethodes.

<Gedeelde sleutelmeth.>	Stel dezelfde wachtwoordzin (vooraf gedeelde sleutel) in die is ingesteld voor de communicatie-evenknie. Druk op <Gedeelde sleutel>, voer de tekenreeks die u wilt gebruiken als de gedeelde sleutel, in en druk op <OK>.
<Dig. handtek. methode>	Stel de sleutel en certificaat in die u wilt gebruiken voor wederzijdse verificatie met de communicatie-evenknie. Druk op <Sleutel en certificaat>, selecteer de sleutel en het certificaat die u wilt gebruiken, en druk op <Als standaardsleutel instellen> <Ja> <OK>.

Selecteer <Auto> of <Handmatige instellingen> om in te stellen hoe het verificatie- en versleutelingsalgoritme voor IKE-fase 1 moet worden opgegeven. Als u <Auto> selecteert, wordt een algoritme dat door zowel deze machine als de communicatie-evenknie kan worden gebruikt, automatisch ingesteld. Als u een specifiek algoritme wilt opgeven, selecteert u <Handmatige instellingen> en configureert u onderstaande instellingen.

<Authentificatie>	Selecteer het hash-algoritme.
<Encryptie>	Selecteer het coderingsalgoritme.
<DH groep>	Selecteer de groep voor de Diffie-Hellman-sleuteluitwisselingsmethode om de sterkte van de sleutel in te stellen.

Druk op <OK>.


Wanneer <IKE-modus> is ingesteld op <Hoofd> op het scherm <IKE-instellingen> en <Authentificatiemethode> is ingesteld op <Gedeelde sleutelmeth.>, zijn de volgende beperkingen van toepassing bij het registreren van meerdere beveiligingsbeleidsregels. Methode met een gedeelde sleutel: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, zijn alle gedeelde sleutels voor dat beveiligingsbeleid identiek (dit geldt niet als een enkel adres is opgegeven). Prioriteit: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, is de prioriteit van dat beveiligingsbeleid lager dan die van het beveiligingsbeleid voor een enkel adres.

Wanneer <IKE-modus> is ingesteld op <Hoofd> op het scherm <IKE-instellingen> en <Authentificatiemethode> is ingesteld op <Gedeelde sleutelmeth.>, zijn de volgende beperkingen van toepassing bij het registreren van meerdere beveiligingsbeleidsregels.

Methode met een gedeelde sleutel: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, zijn alle gedeelde sleutels voor dat beveiligingsbeleid identiek (dit geldt niet als een enkel adres is opgegeven).

Prioriteit: als meerdere externe IP-adressen worden opgegeven waarop een beveiligingsbeleid van toepassing moet zijn, is de prioriteit van dat beveiligingsbeleid lager dan die van het beveiligingsbeleid voor een enkel adres.

Configureer de IPSec-communicatie-instellingen.

Druk op <Instellingen IPSec netwerk>.

Configureer de noodzakelijke instellingen.

Stel de verloopperiode van de gegenereerde IPSec SA in. Stel <Tijd> of <Formaat> in. Als u allebei instelt, wordt de instelling met de eerst bereikte waarde toegepast.

<PFS>

Als u de PFS-functie (Perfect Forward Secrecy) instelt op <Aan>, wordt de beveiliging van de versleutelingssleutel verhoogd, maar wordt de communicatiesnelheid trager. Daarnaast moet de PFS-functie op het apparaat van de communicatie-evenknie zijn ingeschakeld.

Selecteer <Auto> of <Handmatige instellingen> om in te stellen hoe het verificatie- en versleutelingsalgoritme voor IKE-fase 2 moet worden opgegeven. Als u <Auto> selecteert, wordt de ESP-verificatie en het versleutelingsalgoritme automatisch ingesteld. Als u een specifieke verificatiemethode wilt opgeven, drukt u op <Handmatige instellingen> en selecteert u een van de onderstaande verificatiemethodes.

<ESP>	Verificatie en versleuteling worden beide uitgevoerd. Selecteer het algoritme voor <ESP-verificatie> en <ESP encryptie>. Selecteer <NULL> als u het verificatie- of versleutelingsalgoritme niet wilt instellen.
<ESP (AES-GCM)>	AES-GCM wordt gebruikt als het ESP-algoritme, en verificatie en versleuteling worden beide uitgevoerd.
<AH (SHA1)>	Verificatie wordt uitgevoerd, maar de gegevens worden niet versleuteld. SHA1 wordt gebruikt als het algoritme.

Druk op <OK>

<OK>.

Schakel de geregistreerde beleidsregels in en controleer de volgorde van prioriteit.

Selecteer de geregistreerde beleidsregels uit de lijst en druk op <Policy Aan/Uit> om ze op <Aan> in te stellen.

Beleidsregels worden, bovenaan te beginnen, in de volgorde waarin ze zijn opgesomd, toegepast. Als u de volgorde van prioriteit wilt wijzigen, selecteert u een beleid uit de lijst en drukt u op <Verhoog prioriteit> of <Verlaag prioriteit>.

Als u geen pakketten wilt verzenden of ontvangen die niet met de beleidsregels overeenkomen, selecteert u <Weigeren> of <Ontvangst non-policy pakketten>.

Druk op <OK>.

Druk op

(Instellingen/Registratie)

<Ja>.


IPSec-beleidsregels beheren U kunt beleidsregels bewerken op het scherm dat bij stap 3 wordt weergegeven. Om de details van een beleid te bewerken, selecteert u het beleid uit de lijst en drukt u op <Bewerken>. Om een beleid uit te schakelen, selecteert u het beleid uit de lijst en drukt u op <Policy Aan/Uit>. Om een beleid te verwijderen, selecteert u het beleid in de lijst en drukt u op <Verwijderen> <Ja>.

IPSec-beleidsregels beheren

U kunt beleidsregels bewerken op het scherm dat bij stap 3 wordt weergegeven.

Om de details van een beleid te bewerken, selecteert u het beleid uit de lijst en drukt u op <Bewerken>.

Om een beleid uit te schakelen, selecteert u het beleid uit de lijst en drukt u op <Policy Aan/Uit>.

Om een beleid te verwijderen, selecteert u het beleid in de lijst en drukt u op <Verwijderen>

<Ja>.