Настройка параметров IPSec

Используя протокол IPSec, можно предотвратить перехват или злонамеренное изменение IP-пакетов, передаваемых по IP-сети. Поскольку IPSec является защищенной версией протокола IP, который является основным для работы в Интернете, он обеспечивает защиту независимо от приложений или конфигурации сети. Чтобы организовать подключение к аппарату по протоколу IPSec, необходимо настроить различные параметры, такие как параметры приложения и алгоритм аутентификации и шифрования. Для настройки соответствующих параметров требуются полномочия администратора или администратора сети.


Режим связи При использовании протокола IPSec данный аппарат поддерживает только режим передачи. Поэтому аутентификация и шифрование выполняются только в отношении тех частей IP-пакетов, в которых находятся данные. Протокол распределения ключей Данный аппарат поддерживает протокол Internet Key Exchange версии 1 (IKEv1) для обмена ключами на основе протокола Internet Security Association and Key Management Protocol (ISAKMP). Для аутентификации следует выбрать способ с использованием общего ключа или цифровой подписи. При выборе способа с использованием общего ключа необходимо заранее задать парольную фразу (общий ключ), которая используется для взаимодействия аппарата с кэширующим узлом IPSec. При выборе второго способа для следует использовать сертификат, выданный центром сертификации (CA), ключ в формате PKCS#12 и сертификат, который используется для взаимной аутентификации аппарата и кэширующего узла IPSec. Дополнительные сведения о регистрации новых сертификатов CA, а также ключей и сертификатов см. в разделе Регистрация ключа и сертификата для передачи данных по сети. Обратите внимание, что перед использованием этого способа необходимо настроить параметры SNTP. Настройка параметров SNTP

Режим связи

При использовании протокола IPSec данный аппарат поддерживает только режим передачи. Поэтому аутентификация и шифрование выполняются только в отношении тех частей IP-пакетов, в которых находятся данные.

Протокол распределения ключей

Данный аппарат поддерживает протокол Internet Key Exchange версии 1 (IKEv1) для обмена ключами на основе протокола Internet Security Association and Key Management Protocol (ISAKMP). Для аутентификации следует выбрать способ с использованием общего ключа или цифровой подписи.

При выборе способа с использованием общего ключа необходимо заранее задать парольную фразу (общий ключ), которая используется для взаимодействия аппарата с кэширующим узлом IPSec.

При выборе второго способа для следует использовать сертификат, выданный центром сертификации (CA), ключ в формате PKCS#12 и сертификат, который используется для взаимной аутентификации аппарата и кэширующего узла IPSec. Дополнительные сведения о регистрации новых сертификатов CA, а также ключей и сертификатов см. в разделе Регистрация ключа и сертификата для передачи данных по сети. Обратите внимание, что перед использованием этого способа необходимо настроить параметры SNTP. Настройка параметров SNTP


Независимо от настроек <Форм. метод кодирования в FIPS 140-2> для связи по протоколу IPSec, для шифрования будет использован модуль, уже прошедший сертификацию FIPS140-2. Чтобы связь по протоколу IPSec соответствовала стандарту FIPS 140-2, необходимо указать длину ключа как DH, так и RSA для IPSec не менее 2048 бит в сети, к которой относится аппарат. С аппарата можно указать только длину ключа DH. Обратите внимание, что при конфигурировании сети с аппарата настройки RSA недоступны. Можно зарегистрировать до 10 политик безопасности.

Независимо от настроек <Форм. метод кодирования в FIPS 140-2> для связи по протоколу IPSec, для шифрования будет использован модуль, уже прошедший сертификацию FIPS140-2.

Чтобы связь по протоколу IPSec соответствовала стандарту FIPS 140-2, необходимо указать длину ключа как DH, так и RSA для IPSec не менее 2048 бит в сети, к которой относится аппарат.

С аппарата можно указать только длину ключа DH.

Обратите внимание, что при конфигурировании сети с аппарата настройки RSA недоступны.

Можно зарегистрировать до 10 политик безопасности.

Нажмите

(Параметры/Регистрация).

Нажмите <Предпочтения>

<Сеть>

<Параметры TCP/IP>

<Параметры IPSec>.

Задайте для параметра <Использовать IPSec> значение <Вкл.> и нажмите кнопку <Зарегистрировать>.

Укажите имя политики.

Нажмите кнопку <Имя политики>, введите имя, а затем нажмите кнопку <OK>.

Многофункциональные аппараты Canon поддерживают две длины ключа для способа шифрования AES: 128 бит и 256 бит. Чтобы установить длину ключа 256 бит и обеспечить соответствие стандартам аутентификации CC, укажите для параметра <Разрешить длину ключа AES только 256 бит> значение <Вкл.>.

Настройте параметры приложения IPSec.

Нажмите <Параметры селектора>.

Укажите IP-адрес, в отношении которого необходимо применить политику IPSec.

Укажите IP-адрес аппарата в поле <Локальный адрес>, а затем укажите IP-адрес кэширующего узла в поле <Дистанционный адрес>.

<Все IP- адреса>	Политика IPSec применяется ко всем отправленным и полученным IP-пакетам.
<IPv4-адрес>	Политика IPSec применяется к IP-пакетам, отправленным с IPv4-адреса аппарата и полученным на него.
<IPv6-адрес>	Политика IPSec применяется к IP-пакетам, отправленным с IPv6-адреса аппарата и полученным на него.
<Все IPv4- адреса>	Политика IPSec применяется к IP-пакетам, отправленным с IPv4-адреса кэширующего узла и полученным на него.
<Все IPv6- адреса>	Политика IPSec применяется к IP-пакетам, отправленным с IPv6-адреса другого устройства и полученным на него.
<Пар.IPv4, уст.вручн.>	Укажите IPv4-адрес, в отношении которого необходимо применить политику IPSec. Выберите <Один адрес>, чтобы указать отдельный IPv4-адрес. Выберите <Диапазон адресов>, чтобы указать диапазон IPv4-адресов. Укажите адреса в полях <Первый адрес> и <Последний адрес>. Выберите <Параметры подсети>, чтобы указать диапазон IPv4-адресов, используя маску подсети. Укажите значения в полях <Адрес> и <Маска подсети>.
<Пар.IPv6, уст.вручн.>	Укажите IPv6-адрес, в отношении которого необходимо применить политику IPSec. Выберите <Один адрес>, чтобы указать отдельный IPv6-адрес. Выберите <Диапазон адресов>, чтобы указать диапазон IPv6-адресов. Укажите адреса в полях <Первый адрес> и <Последний адрес>. Выберите <Указать префикс>, чтобы указать диапазон IPv6-адресов, используя маску подсети. Укажите значения в полях <Адрес> и <Длина префикса>.

Укажите порт, в отношении которого необходимо применить политику IPSec.

Нажмите кнопку <Указать по номеру порта>, чтобы ввести номера портов, в отношении которых необходимо применить политику IPSec. Выберите <Все порты>, чтобы применить политику IPSec ко всем номерам портов. Чтобы применить политику IPSec только к определенному порту, нажмите кнопку <Один порт> и введите номер порта. После указания портов нажмите кнопку <OK>. Укажите порт аппарата в поле <Локальный порт>, а затем укажите порт кэширующего узла в поле <Дистанционный порт>.

Нажмите кнопку <Указать по имени службы>, чтобы ввести имена служб, в отношении которых необходимо применить политику IPSec. Выберите в списке нужную службу и нажмите кнопку <Вкл./Выкл. службы>, чтобы задать для нее значение <Вкл.>, а затем нажмите кнопку <OK>.

Нажмите <OK>.

Настройте параметры аутентификации и шифрования.

Нажмите <Параметры IKE>.

Настройте необходимые параметры.

<Режим IKE>

Служит для выбора режима протокола. Если для режима функционирования установлено значение <Главный>, уровень безопасности повышается за счет шифрования сеанса связи по протоколу IKE, однако на процесс связи возлагается большая нагрузка по сравнению с <Aggressive>, в котором сеанс не шифруется.

<Действит.>

Укажите срок действия созданного IKE SA.

<Способ аутентификации>

Выберите один из способов аутентификации, которые описаны ниже.

<Способ защ. общ. ключа>

Задайте ту же парольную фразу (общий ключ), что и для кэширующего узла. Нажмите кнопку <Общий ключ>, введите строку символов, которую необходимо использовать в качестве общего ключа, а затем нажмите кнопку <OK>.

<Способ цифров. подп.>

Укажите ключ и сертификат для взаимной аутентификации аппарата и кэширующего узла. Нажмите кнопку <Ключ и сертификат>, выберите необходимые ключ и сертификат, а затем последовательно нажмите <Задать в кач. ключа по ум.>

<Да>

<OK>.

<Алгоритм аутент./кодирования>

Выберите <Авто> или <Ручная настройка>, чтобы указать способ задания алгоритма аутентификации и шифрования для этапа 1 подключения по протоколу IKE. Выберите <Авто>, чтобы алгоритм для аппарата и кэширующего узла задавался автоматически. Чтобы задать определенный алгоритм, выберите вариант <Ручная настройка> и настройте указанные ниже параметры.

<Аутентификац.>	Выберите хэш-алгоритм.
<Кодирование>	Выберите алгоритм шифрования.
<Группа DH>	Выберите группу шифрования по Диффи — Хеллману, чтобы задать надежность ключа.

Нажмите <OK>.


Когда для параметра <Режим IKE> установлено значение <Главный> на экране <Параметры IKE> и для параметра <Способ аутентификации> установлено значение <Способ защ. общ. ключа>, при регистрации нескольких политик безопасности применяются следующие ограничения. Ключ для метода общего ключа: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, все общие ключи для этой политики являются идентичными (это не применяется, если указан один адрес). Приоритет: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, приоритет этой политики безопасности ниже, чем у тех политик безопасности, для которых указан единственный адрес.

Когда для параметра <Режим IKE> установлено значение <Главный> на экране <Параметры IKE> и для параметра <Способ аутентификации> установлено значение <Способ защ. общ. ключа>, при регистрации нескольких политик безопасности применяются следующие ограничения.

Ключ для метода общего ключа: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, все общие ключи для этой политики являются идентичными (это не применяется, если указан один адрес).

Приоритет: при указании нескольких удаленных IP-адресов, к которым следует применить политику безопасности, приоритет этой политики безопасности ниже, чем у тех политик безопасности, для которых указан единственный адрес.

Настройте параметры связи по протоколу IPSec.

Нажмите <Параметры сети IPSec>.

Настройте необходимые параметры.

<Действит.>

Укажите срок действия созданного IPSec SA. Обязательно укажите значение в поле <Время> или <Формат>. Если задано оба значения, будет применен параметр со значением, которое будет достигнуто первым.

<PFS>

Чтобы повысить секретность шифрования ключа, задайте для функции совершенной прямой секретности (PFS) значение <Вкл.>, однако скорость передачи данных при этом заметно снизится. Функцию PFS также необходимо включить на кэширующем узле.

<Алгоритм аутент./кодирования>

Выберите <Авто> или <Ручная настройка>, чтобы указать способ задания алгоритма аутентификации и шифрования для этапа 2 подключения по протоколу IKE. Если выбрать вариант <Авто>, аутентификация ESP и алгоритм шифрования задаются автоматически. Чтобы указать определенный способ аутентификации, выберите вариант <Ручная настройка> и выберите нужный способ из списка ниже.

<ESP>	Выполняются и аутентификация, и шифрование. Выберите алгоритм для параметров <Аутентификация ESP> и <Кодирование ESP>. Если алгоритм аутентификации или шифрования задавать не требуется, выберите значение <NULL>.
<ESP (AES-GCM)>	В качестве алгоритма ESP используется AES-GCM; выполняются и аутентификация, и шифрование.
<AH (SHA1)>	Аутентификация выполняется, однако данные не шифруются. В качестве алгоритма используется SHA1.

Нажмите кнопки <OK>

<OK>.

Включите зарегистрированные политики и проверьте порядок их приоритета.

Выберите в списке нужные зарегистрированные политики и нажмите кнопку <Вкл./Выкл. концепции>, чтобы присвоить им значение <Вкл.>.

Политики применяются в том порядке, в котором они указаны в списке, начиная с самой верхней. Чтобы изменить порядок приоритета, выберите в списке нужную политику и нажмите кнопку <Повысить приоритет> или <Понизить приоритет>.

Чтобы запретить получение или отправку пакетов, которые не соответствуют требованиям политик, выберите для параметра <Прием пакетов вне концепции> значение <Отказать>.

Нажмите <OK>.

Нажмите

(Параметры/Регистрация)

<Примен. изм. парам.>

<Да>.


Управление политиками IPSec На экране, который отображается на шаге 3, можно изменить политики. Чтобы изменить параметры политики, выберите ее в списке и нажмите кнопку <Правка>. Чтобы отключить политику, выберите ее в списке и нажмите кнопку <Вкл./Выкл. концепции>. Чтобы удалить политику, выберите ее в списке и последовательно нажмите <Удалить> <Да>.

Управление политиками IPSec

На экране, который отображается на шаге 3, можно изменить политики.

Чтобы изменить параметры политики, выберите ее в списке и нажмите кнопку <Правка>.

Чтобы отключить политику, выберите ее в списке и нажмите кнопку <Вкл./Выкл. концепции>.

Чтобы удалить политику, выберите ее в списке и последовательно нажмите <Удалить>

<Да>.