Konfiguration af IPSec-indstillingerne

Ved at bruge IPSec kan du forhindre, at tredjeparter opsnapper eller piller ved IP-pakker, der transporteres over IP-netværket. Da IPSec føjer sikkerhedsfunktioner til IP, en grundlæggende protokolsuite, der anvendes på internettet, kan det give sikkerhed, der er uafhængig af applikationer eller netværkskonfiguration. For at udføre IPSec-kommunikation med denne maskine skal du konfigurere indstillinger, som f.eks. applikationsparametrene og algoritmen til godkendelse og kryptering. Administrator- eller netværksadm-rettigheder er nødvendige for at kunne konfigurere disse indstillinger.
Kommunikationsstatus
Denne maskine understøtter kun transporttilstand for IPSec-kommunikation. Som et resultat heraf anvendes godkendelse og kryptering kun til datadelene af IP-pakkerne.
Nøgleudvekslingsprotokol
Denne maskine understøtter Internet Key Exchange version 1 (IKEv1) til udveksling af nøgler baseret på Internet Sikkerhed Association and Key Management Protocol (ISAKMP). For godkendelsesmetoden skal du angive enten metoden med forhåndsdelt nøgle eller metoden med digital signatur.
Ved indstilling af metoden med forhåndsdelt nøgle skal du på forhånd vælge et kodeord (en forhåndsdelt nøgle), der anvendes mellem maskinen og IPSec-kommunikationspartneren.
Ved indstilling af metoden med digital signatur skal du anvende et CA-certifikat og en nøgle i PKCS#12-format samt et certifikat for at udføre gensidig godkendelse mellem maskinen og IPSec-kommunikationspartneren. For flere informationer om at registrere nye CA-certifikater eller nøgler/certifikater kan du se Registrering af en nøgle og et certifikat til netværkskommunikation. Bemærk, at SNTP skal konfigureres for maskinen, før den anvender denne metode. Udførelse af SNTP-indstillinger
Uanset indstillingen af <Formatkrypteringsmetode til FIPS 140-2> til IPSec-kommunikation, vil der benyttes et krypteringsmodul, som allerede har opnået FIPS140-2-certificeringen.
For at få IPSec-kommunikation til at overholde FIPS 140-2 skal du indstille nøglelængden for både DH og RSA for IPSec-kommunikation til 2048-bit eller længere i det netværksmiljø, som maskinen hører til.
Det er kun nøglelængden for DH, der kan angives fra maskinen.
Vær opmærksom, når du konfigurerer dit miljø, da der ikke er nogen indstillinger for RSA i maskinen.
Du kan registrere op til 10 sikkerhedspolitikker.
1
Tryk på  (Indstillinger/Registrering).
2
Tryk på <Præferencer>  <Netværk>  <TCP/IP-indstillinger>  <Indstillinger for IPSec>.
3
Indstil <Brug IPSec> til <Til>, og tryk på <Registrér>.
4
Angiv et navn til politikken.
Tryk på <Policy-navn>, angiv navnet, og tryk på <OK>.
Canons multifunktionsprintere understøtter to nøglelængder for AES-krypteringsmetoden: 128 bit/256 bit. Hvis du vil begrænse nøglelængden til 256 bit og overholde CC-godkendelsesstandarderne, skal du indstille <Tillad kun 256-bit for AES-nøglelængde> til <Til>.
5
Konfigurér IPSec-applikationsparametrene.
1
Tryk på <Indstillinger for vælger>.
2
Angiv IP-adressen, som IPSec-politikken skal anvendes på.
Angiv IP-adressen på denne maskine i <Lokal adresse>, og angiv IP-adressen for kommunikationspartneren i <Fjernadresse>.
<Alle IP-adresser>
IPSec anvendes på alle sendte og modtagne IP-pakker.
<IPv4-adresse>
IPSec anvendes på IP-pakker, der sendes til og modtages fra denne maskines IPv4-adresse.
<IPv6-adresse>
IPSec anvendes på IP-pakker, der sendes til og modtages fra denne maskines IPv6-adresse.
<Alle IPv4- adresser>
IPSec anvendes på IP-pakker, der sendes til og modtages fra kommunikationspartnerens IPv4-adresse.
<Alle IPv6- adresser>
IPSec anvendes på IP-pakker, der sendes til og modtages fra kommunikationspartnerens IPv6-adresse.
<Man. indst. for IPv4>
Angiv den IPv4-adresse, IPSec skal anvendes på.
Vælg <Enkelt adresse> for at indtaste en individuel IPv4-adresse.
Vælg <Adresseområde> for at angive et IPv4-adresseområde. Indtast en separat adresse for <Første adresse> og <Sidste adresse>.
Vælg <Undernetindstillinger> for at angive en række IPv4-adresser ved hjælp af en undernetmaske. Indtast separate værdier for <Adresse> og <Subnetmaske>.
<Man. indst. for IPv6>
Angiv den IPv6-adresse, som IPSec skal anvendes på.
Vælg <Enkelt adresse> for at indtaste en individuel IPv6-adresse.
Vælg <Adresseområde> for at angive et IPv6-adresseområde. Indtast en separat adresse for <Første adresse> og <Sidste adresse>.
Vælg <Angiv præfiks> for at angive en række IPv6-adresser ved hjælp af et præfiks. Indtast separate værdier for <Adresse> og <Præfiks-længde>.
3
Angiv den port, IPSec skal anvendes på.
Tryk på <Sortér efter portnummer> for at bruge portnumre ved angivelse af de porte, IPSec skal anvendes på. Vælg <Alle porte> for at anvende IPSec på alle portnumre. For at anvende IPSec på et bestemt portnummer skal du trykke på <Enkelt port> og indtaste portnummeret. Efter angivelse af portene skal du trykke på <OK>. Angiv porten på denne maskine i <Lokal port>, og angiv porten for kommunikationspartneren i <Fjernport>.
Tryk på <Specificer efter servicenavn> for at bruge tjenestenavne ved angivelse af de porte, IPSec skal anvendes på. Vælg tjenesten på listen, tryk på <Service Til/Fra> for at indstille den til <Til>, og tryk på <OK>.
4
Tryk på <OK>.
6
Konfigurér indstillingerne for godkendelse og kryptering.
1
Tryk på <Indstillinger for IKE>.
2
Konfigurér de nødvendige indstillinger.
<IKE-tilstand>
Vælg driftsstatussen for nøgleudvekslingsprotokollen. Når handlingstilstanden er indstillet til <Normal>, er sikkerheden forbedret, fordi selve IKE-sessionen er krypteret, men der placeres en større byrde på kommunikationen sammenlignet med <Aggressiv>, der ikke udfører kryptering.
<Gyldighed>
Indstil udløbsperioden for det genererede IKE SA.
<Godkendelsesmetode>
Vælg en af godkendelsesmetoderne, der er beskrevet herunder.
<Pre-Shared Key-metode>
Angiv det samme kodeord (forhåndsdelt nøgle), som er indstillet for kommunikationspartneren. Tryk på <Delt nøgle>, indtast tegnstrengen, der skal anvendes som den delte nøgle, og tryk på <OK>.
<Digital sig.- metode>
Angiv nøglen og certifikatet, der skal anvendes til gensidig godkendelse med kommunikationspartneren. Tryk på <Nøgle og certifikat>, vælg nøglen og certifikatet, der skal anvendes, og tryk på <Indstil som standardtast>  <Ja>  <OK>.
<Godkendelses-/krypteringsalgoritme>
Vælg enten <Auto> eller <Manuelle indstillinger> for at indstille, hvordan godkendelses- og krypteringsalgoritmen indstilles for IKE phase 1. Hvis du vælger <Auto>, indstilles automatisk en algoritme, der kan anvendes med både denne maskine og kommunikationspartneren. Hvis du vil angive en bestemt algoritme, skal du vælge <Manuelle indstillinger> og konfigurere indstillingerne herunder.
<Godkendelse>
Vælg hashalgoritmen.
<Kryptering>
Vælg krypteringsalgoritmen.
<DH-gruppe>
Vælg gruppen for nøgleudvekslingsmetoden Diffie-Hellman for at angive nøglens styrke.
3
Tryk på <OK>.
Når <IKE-tilstand> er indstillet til <Normal> på skærmen <Indstillinger for IKE>, og <Godkendelsesmetode> er indstillet til <Pre-Shared Key-metode>, gælder følgende restriktioner ved registrering af flere sikkerhedspolitikker.
Metoden Forhåndsdelt nøgle: Ved angivelse af flere fjerne IP-adresser, til hvilke en sikkerhedspolitik skal tilknyttes, er alle delte nøgler for denne sikkerhedspolitik identiske (dette gælder ikke, når der angives en enkelt adresse).
Prioritet: Ved angivelse af flere fjerne IP-adresser, til hvilke en sikkerhedspolitik skal tilknyttes, er prioriteten for denne sikkerhedspolitik lavere end for sikkerhedspolitikker for hvilke en enkelt adresse er indstillet.
7
Konfigurér IPSec-kommunikationsindstillingerne.
1
Tryk på <IPSec-netværksindstillng.>.
2
Konfigurér de nødvendige indstillinger.
<Gyldighed>
Indstil udløbsperioden for det genererede IPSec SA. Sørg for at indstille enten <Tid> eller <Format>. Hvis du indstiller begge, bliver den indstilling, der nås først, anvendt.
<PFS>
Hvis du indstiller funktionen PFS (Perfect Forward Secrecy) til <Til>, forøges hemmeligholdelsen af krypteringsnøglen, men kommunikationshastigheden er lavere. Herudover skal funktionen PFS være aktiveret på enheden hos kommunikationspartneren.
<Godkendelses-/krypteringsalgoritme>
Vælg enten <Auto> eller <Manuelle indstillinger> for at indstille, hvordan godkendelses- og krypteringsalgoritmen indstilles for IKE phase 2. Hvis du vælger <Auto>, indstilles ESP-godkendelses- og krypteringsalgoritmen automatisk. Hvis du vil angive en bestemt godkendelsesmetode, skal du trykke på <Manuelle indstillinger> og vælge en af godkendelsesmetoderne herunder.
<ESP>
Både godkendelse og kryptering bliver udført. Vælg algoritmen for <ESP-godkendelse> og <ESP-kryptering>. Vælg <NUL>, hvis du ikke vil indstille godkendelses- eller krypteringsalgoritmen.
<ESP (AES-GCM)>
AES-GCM anvendes som ESP-algoritmen, og både godkendelse og kryptering udføres.
<AH (SHA1)>
Godkendelse udføres, men data krypteres ikke. SHA1 anvendes som algoritmen.
3
Tryk på <OK> <OK>.
8
Aktivér de registrerede politikker, og tjek prioritetsrækkefølgen.
Vælg de registrerede politikker på listen, og tryk på <Policy Til/Fra> for at indstille dem til <Til>.
Politikkerne anvendes i den rækkefølge, de er vist, startende fra toppen. Hvis du vil ændre prioritetsrækkefølgen, skal du vælge en politik på listen og trykke på <Hæv prioritet> eller <Sænk prioritet>.
Hvis du ikke vil sende eller modtage pakker, der ikke svarer til politikkerne, skal du vælge <Afvis> for <Modtag Non-policy-pakker>.
9
Tryk på <OK>.
10
Tryk på  (Indstillinger/Registrering)  (Indstillinger/Registrering) <Anv. ændr. indst.>  <Ja>.
Administration af IPSec-politikker
Du kan registrere politikker på det skærmbillede, der blev vist trin 3.
For at redigere detaljerne for en politik skal du vælge politikken på listen og trykke på <Redigér>.
For at deaktivere en politik skal du vælge politikken på listen og trykke på <Policy Til/Fra>.
For at slette en politik skal du vælge politikken på listen og trykke på <Slet>  <Ja>.
AKC1-0EA