Konfigurera IPSec-inställningar

Genom att använda IPSec kan du hindra tredje part från att avlyssna eller ändra IP-paket som transporteras över IP-nätverket. Eftersom IPSec lägger till säkerhetsfunktioner till IP, som är en grundläggande protokollsvit för Internet, kan det ge säkerhet som är oberoende av tillämpningar eller nätverkskonfiguration. För att kunna utnyttja IPSec-kommunikation med denna maskin, måste du konfigurera inställningar som t.ex. tillämpningsparametrar och algoritmer för autentisering och kryptering. Administratör eller nätverksadmin-behörighet krävs för att konfigurera dessa inställningar.
Kommunikationsläge
Den här maskinen bara har stöd för transportläge för IPSec-kommunikation. Därför används bara autentisering och kryptering för datadelar av IP-paket.
Nyckelutbytesprotokoll
Den här enheten har stöd för Internet Key Exchange version 1 (IKEv1) för utbyte av nycklar baserat på Internet Security Association and Key Management Protocol (ISAKMP). För autentiseringsmetod anger du antingen i förväg delad nyckel eller metod för digital signatur.
När du anger i förväg delad nyckel, måste du ange en lösenordsfras (i förväg delad nyckel) i förväg. Den används mellan maskinen och IPSec-kommunikationspeers.
Om du väljer metoden digital signatur, använder du ett CA-certifikat och en PKCS#12-formatnyckel och certifikat att utföra ömsesidig autentisering mellan maskinen och IPSec-kommunikationspeers. För mer information om hur du registrerar nya CA-certifikat eller nycklar/certifikat, se Registrera en nyckel och ett certifikat för nätverkskommunikation. Observera att du måste konfigurera SNTP för maskinen innan du använder den här metoden. Göra SNTP-inställningar
Oavsett inställningarna för <Formatkrypteringsmetod till FIPS 140-2> för IPSec-kommunikation, kommer en krypteringsmodul som redan har hämtat FIPS140-2-certifiering att användas.
Du måste, för att få IPSec-kommunikationen att överensstämma med FIPS 140-2, ställa in nyckellängden för både DH och RSA för IPSec-kommunikation på 2048-bitar eller längre i den nätverksmiljö som maskinen ingår i.
Endast nyckellängden för DH kan anges från maskinen.
Anteckna när du konfigurerar miljön, eftersom det inte finns några inställningar för RSA i maskinen.
Du kan registrera upp till 10 säkerhetspolicys.
1
Tryck på  (Inställningar/Registrering).
2
Tryck på <Preferenser>  <Nätverk> <TCP/IP-inställningar>  <IPSec-inställningar>.
3
Sätt <Använd IPSec> till <På> och tryck på <Registrera>.
4
Ange ett namn för policyn.
Tryck på <Policy-namn>, ange namn och tryck på <OK>.
Canon multifunktionsskrivare stöder två nyckellängder för AES-krypteringsmetod: 128 bitar och 256 bitar. För att begränsa nyckellängden till 256 bitar och uppfylla CC autentiseringsstandarder, ställ in <Tillåt endast 256 bitars AES-nyckellängd> till <På>.
5
Konfigurera IPSec-tillämpningsparametrar.
1
Tryck på <Manövreringsinställningar>.
2
Ange IP-adressen att tillämpa IPSec-policyn för.
Ange IP-adressen för den här maskinen i <Lokal adress> och ange IP-adressen för aktuell kommunikationspeer i <Fjärradress>.
<Alla IP-adresser>
IPSec används för alla IP-paket som skickas och tas emot.
<IPv4-adress>
IPSec används för IP-paket som skickas till och från IPv4-adresser för den här maskinen.
<IPv6-adress>
IPSec används för IP-paket som skickas till och från IPv6-adresser för den här maskinen.
<Alla IPv4- adresser>
IPSec används för IP-paket som skickas till och från IPv4-adressen för aktuell kommunikationspeer.
<Alla IPv6- adresser>
IPSec används för IP-paket som skickas till och från IPv6-adressen för aktuell kommunikationspeer.
<Manuella IPv4-inst.>
Ange IPv4-adressen att tillämpa IPSec för.
Välj <En adress> för att ange en enskild IPv4-adress.
Välj <Adressintervall> för att ange ett urval IPv4-adresser. Ange en separat adress för <Första adress> och <Sista adress>.
Välj <Subnätinställningar> att ange ett urval av IPv4-adresser med hjälp av en nätmask. Ange separata värden för <Adress> och <Delnätsmask>.
<Manuella IPv6-inst.>
Ange IPv6-adressen att tillämpa IPSec för.
Välj <En adress> för att ange en enskild IPv6-adress.
Välj <Adressintervall> för att ange ett urval IPv6-adresser. Ange en separat adress för <Första adress> och <Sista adress>.
Välj <Ange prefix> för att ange ett urval av IPv6-adresser med ett prefix. Ange separata värden för <Adress> och <Prefixlängd>.
3
Ange porten att tillämpa IPSec för.
Tryck på <Ange efter portnummer> för att använda portnummer när du anger portar som IPSec gäller för. Välj <Alla portar> för att tillämpa IPSec för alla portnummer. För att tillämpa IPSec för att ett visst portnummer, tryck på <Enkel port> och ange portnumret. När du har angett portar, tryck på <OK>. Ange porten för den här maskinen i <Lokal port> och ange port för aktuell kommunikationspeer i <Fjärrport>.
Tryck på <Ange efter tjänstenamn> för att använda tjänstenamnen när du anger portar som IPSec gäller för. Välj tjänst i listan, tryck på <Tjänst på/av> för att sätta den till <På> och tryck på <OK>.
4
Tryck på <OK>.
6
Konfigurera autentisering och kryptering.
1
Tryck på <IKE-inställningar>.
2
Konfigurera de inställningar som behövs.
<IKE-läge>
Välj läge för nyckelutbytesprotokollet. När driftsläget är inställt på <Huvud> är säkerheten högre eftersom själva IKE-sessionen är krypterad, men en högre börda åläggs kommunikationen jämfört med <Aggressiv>, which does not perform encryption.
<Giltighet>
Ställ in utgångsdatum för skapat IKE SA.
<Autentiseringsmetod>
Välj en av autentiseringsmetoderna som beskrivs nedan.
<Förutdelad nyckel>
Ange samma lösenordsfras (i förväg delad nyckel) som har angetts för aktuell kommunikationspeer. Tryck på <Delad nyckel>, ange teckensträngen som ska användas som delad nyckel och tryck på <OK>.
<Digital sig. Metod>
Ange de nycklar och certifikat du vill använda för ömsesidig autentisering med aktuell kommunikationspeer. Tryck på <Nyckel och certifikat>, välj nyckel och certifikat att använda och tryck på <Ange som standardnyckel>  <Ja>  <OK>.
<Autentiserings-/krypteringsalgoritm>
Välj antingen <Auto> eller <Manuella inställningar> för att ange inställningar för autentisering och krypteringsalgoritm för IKE fas 1. Om du väljer <Auto>, anges automatiskt en algoritm som kan användas av både den här maskinen och aktuell kommunikationspeer. Om du vill välja en viss algoritm, välj <Manuella inställningar> och konfigurera inställningarna nedan.
<Autentisering>
Välj hash-algoritm.
<Kryptering>
Välj krypteringsalgoritm.
<DH-grupp>
Välj grupp för Diffie-Hellman nyckelutbytesmetod för att ange nyckelstyrka.
3
Tryck på <OK>.
Om <IKE-läge> är inställt på <Huvud> på skärmen <IKE-inställningar> och <Autentiseringsmetod> är inställt på <Förutdelad nyckel>, tillämpas följande begränsningar vid registrering av flera säkerhetspolicys.
Metod med i förväg delad nyckel: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är alla delade nycklar för säkerhetspolicyn identiska (detta gäller inte om enstaka adresser har angetts).
Prioritet: när du anger flera fjärr-IP-adresser som en säkerhetspolicy ska tillämpas för, är prioriteten för den säkerhetspolicyn lägre än säkerhetspolicys för vilka specifika adresser har angetts.
7
Konfigurera inställningarna för IPSec-kommunikation.
1
Tryck på <IPSecnätverksinst.>.
2
Konfigurera de inställningar som behövs.
<Giltighet>
Ställ in utgångsdatum för skapat IPSec SA. Ange antingen <Tid> eller <Format>. Om du ställer in båda gäller det värde som uppnås först.
<PFS>
Om du sätter Perfect Forward Secrecy (PFS) till <På>, ökar säkerheten för krypteringsnyckeln, men kommunikationshastigheten blir långsammare. Dessutom måste PFS-funktionen aktiveras på enheten med aktuell kommunikationspeer.
<Autentiserings-/krypteringsalgoritm>
Välj antingen <Auto> eller <Manuella inställningar> för att ange inställningar för autentisering och krypteringsalgoritm för IKE fas 2. Om du väljer <Auto>, ställs ESP-autentisering och krypteringsalgoritm in automatiskt. Om du vill ange en viss autentiseringsmetod, tryck på <Manuella inställningar> och välj en autentiseringsmetod nedan.
<ESP>
Både autentisering och kryptering utförs. Välj algoritm för <ESP-autentisering> och <ESP-kryptering>. Välj <NULL> om du inte vill ange autentisering eller krypteringsalgoritm.
<ESP (AES-GCM)>
AES-GCM används som ESP-algoritm och autentisering och kryptering utförs.
<AH (SHA1)>
Autentisering utförs, men data krypteras inte. SHA1 används som algoritm.
3
Tryck på <OK>  <OK>.
8
Aktivera registrerade policyer och kontrollera prioriteringsordningen.
Välj de registrerade policyerna i listan och tryck på <Princip på/av> för ge dem inställningen <På>.
Policyer tillämpas i den ordning de visas, med start längst upp. Om du vill ändra prioritetsordningen, välj en policy i listan och tryck på <Öka prioritet> eller <Lägre prioritet>.
Om du inte vill skicka eller ta emot paket som inte motsvarar policyn, välj <Neka> för <Ta emot paket utan principer>.
9
Tryck på <OK>.
10
Tryck på  (Inställningar/Registrering)  (Inställningar/Registrering) <Tillämpa inst.ändr.>  <Ja>.
Hantera IPSec-policyer
Du kan redigera policyer på den skärm som visas i steg 3.
För att redigera detaljerna för en policy, välj policyn i listan och tryck på <Redigera>.
För att avaktivera en policy, välj policyn och tryck på <Princip på/av>.
För att ta bort en policy, välj policyn i listan och tryck på <Radera>  <Ja>.
AKAY-0EH