Конфигуриране на IPSec настройки

С използването на IPSec можете да предотвратите получаване или фалшифициране oт трети страни на IP пакети, изпратени през IP мрежата. Тъй като IPSec добавя функции за защита към IP, основен набор от протоколи, използван за Интернет, това може да даде защитеност независимо от приложенията или конфигурацията на мрежата. За извършване на IPSec комуникация с тази машина трябва да конфигурирате настройките, като параметри на приложението и алгоритъм за удостоверяване и шифроване. За да се конфигурират тези настройки, са необходими права на администратор или мрежов администратор.
Режим на комуникация
Тази машина поддържа само транспортен режим за IPSec комуникация. В резултат на това удостоверяване и шифроване се прилагат само към частите от данни на IP пакетите.
Протокол за обмен на ключове
Тази машина поддържа Internet Key Exchange version 1 (IKEv1) за обмен на ключове, базирани на Internet Security Association and Key Management Protocol (ISAKMP). За метода за удостоверяване задайте метод на предварително споделен ключ или метод на цифров подпис.
Когато задавате метод на предварително споделен ключ, вие трябва да определите предварително парола (предварително споделен ключ), която да се използва между машината и партньора за IPSec комуникация.
Когато задавате метод на цифров подпис, използвайте СА сертификат и ключ и сертификат в PKCS#12 формат за извършване на взаимно удостоверяване между машината и партньора за IPSec комуникация. За повече информация относно регистрирането на нови СА сертификати или ключове/сертификати вж. Регистриране на ключ и сертификат за мрежова комуникация. Отбележете, че SNTP трябва да се конфигурира за машината, преди да се използва този метод. Задаване на настройки за SNTP
Независимо от настройката на <Метод на кодир. на формат към FIPS 140-2> за IPSec комуникация, ще се използва модул за шифроване, който вече е получил FIPS140-2 сертифициране.
За да може IPSec комуникацията да съответства с FIPS 140-2, трябва да зададете дължината на DH и RSA за IPSec комуникацията на 2048 бита или повече в мрежовата среда, към която машината принадлежи.
Само дължина на ключа за DH може да се посочи от машината.
Имайте предвид при конфигуриране на средата си, че няма настройки за RSA в машината.
Можете да регистрирате до 10 правила за защита.
1
Натиснете  (Настр./Регистр.).
2
Натиснете <Преференции>  <Мрежа>  <TCP/IP настройки>  <IPSec настройки>.
3
Задайте <Използване на IPSec> на <Вкл.> и натиснете <Регистрир.>.
4
Посочете име за правилата.
Натиснете <Име на права достп.>, въведете името и натиснете <OK>.
Мултифункционалните принтери на Canon поддържат две дължини на ключа за AES метод на шифроване: 128 бита и 256 бита. За ограничаване на дължината на ключа до 256 бита и отговаряне на CC стандартите за удостоверяване задайте <Разр. само 256 бита за дълж. на AES ключ> на <Вкл.>.
5
Конфигурирайте параметри на IPSec приложението.
1
Натиснете <Настройки за селектор>.
2
Посочете IP адреса, към който ще се прилагат IPSec правилата.
Посочете IP адреса на тази машина в <Локален адрес> и посочете IP адреса на партньора за комуникация в <Отдалечен адрес>.

<Всички IP адреси>
IPSec се прилага към всички изпратени и получени IP пакети.
<IPv4 адрес>
IPSec се прилага към IP пакети, изпратени от и получени от IPv4 адреса на тази машина.
<IPv6 адрес>
IPSec се прилага към IP пакети, изпратени от и получени от IPv6 адреса на тази машина.
<Всички IPv4 адр.>
IPSec се прилага към IP пакети, изпратени от и получени от IPv4 адреса на партньора за комуникация.
<Всч. IPv6 адреси>
IPSec се прилага към IP пакети, изпратени от и получени от IPv6 адреса на партньора за комуникация.
<IPv4 Ръчни настройки>
Посочете IPv4 адрес за прилагане на IPSec.
Изберете <Един адрес> за въвеждане на индивидуален IPv4 адрес.
Изберете <Диапазон на адреси> за посочване на набор от IPv4 адреси. Въведете отделен адрес за <Първи адрес> и <Последен адрес>.
Изберете <Настройки за подмрежа> за посочване на набор от IPv4 адреси с използване на маска на подмрежата. Въведете отделни стойности за <Адрес> и <Подмрежова маска>.
<IPv6 Ръчни настройки>
Посочете IPv6 адрес за прилагане на IPSec.
Изберете <Един адрес> за въвеждане на индивидуален IPv6 адрес.
Изберете <Диапазон на адреси> за посочване на набор от IPv6 адреси. Въведете отделен адрес за <Първи адрес> и <Последен адрес>.
Изберете <Задаване на префикс> за посочване на набор от IPv6 адреси с използване на префикс. Въведете отделни стойности за <Адрес> и <Дълж.на префикс>.
3
Посочете порта за прилагане на IPSec.
Натиснете <Задаване чрез номер на порт> за използване на номера на портове при посочване на портовете, към които IPSec се прилага. Изберете <Всички портове> за прилагане на IPSec към всички номера на портове. За прилагане на IPSec към специфичен номер на порт натиснете <Единичен порт> и въведете номера на порта. След като посочите портовете, натиснете <OK>. Посочете порта на тази машина в <Локален порт> и посочете порта на партньора за комуникация в <Отдалечен порт>.
Натиснете <Задаване по име на услуга> за използване на имена на услуги при посочване на портовете, към които IPSec се прилага. Изберете услугата в списъка, натиснете <Услуга Вкл./Изкл.> за задаването ѝ на <Вкл.> и натиснете <OK>.
4
Натиснете <OK>.
6
Конфигурирайте настройките за удостоверяване и шифроване.
1
Натиснете <IKE настройки>.
2
Конфигурирайте необходимите настройки.
<IKE режим>
Изберете режим за работа за протокола за обмен на ключове. Когато режимът за работа е зададен на <Осн.>, защитата е подобрена, тъй като самата IKE сесия е шифрована, но комуникацията е по-натоварена в сравнение с <Агресивн.>, което не извършва шифроване.
<Валидност>
Настройте срока за изтичане на генерирания IKE SA.
<Метод за автентикация>
Изберете един от описаните по-долу методи за удостоверяване.
<Метод Предв. спод.ключ>
Настройте същата парола (предварително споделен ключ), която е зададена за партньора в комуникацията. Натиснете <Споделен ключ>, въведете низ от символи за използване като споделен ключ и натиснете <OK>.
<Метод на Цифр.подпис>
Задайте ключ и сертификат за използване за взаимно удостоверяване с партньора в комуникацията. Натиснете <Ключ и сертификат>, изберете ключа и сертификата за използване и натиснете <Зад. като ключ по подразб.>  <Да>  <OK>.
<Алгоритъм за автентикация/кодиране>
Изберете <Авто> или <Ръчни настройки>, за да зададете как да се посочва алгоритъм за удостоверяване и кодиране за IKE фаза 1. Ако изберете <Авто>, автоматично се задава алгоритъм, който може да се използва от тази машина и от партньора в комуникацията. Ако искате да посочите конкретен алгоритъм, изберете <Ръчни настройки> и конфигурирайте настройките по-долу.
<Автентикация>
Изберете хаш алгоритъм.
<Кодиране>
Изберете алгоритъм за шифроване.
<DH Група>
Изберете групата за метода на обмен на ключове Diffie-Hellman, за да зададете силата на ключа.
3
Натиснете <OK>.
Когато <IKE режим> е зададено на <Осн.> в <IKE настройки> екрана и <Метод за автентикация> е зададено на <Метод Предв. спод.ключ>, се прилагат следните ограничения при регистриране на няколко групи правила за защита.
Ключ за метод за предварително споделен ключ: когато се посочват няколко отдалечени IP адреса, към които трябва да се приложат правила за защита, всички споделени ключове за тези правила за защита са идентични (това не се прилага при посочен един адрес).
Приоритет: когато се посочват няколко отдалечени IP адреса, към които трябва да се приложат правила за защита, приоритетът на тези правила за защита е по-нисък от този на правилата за защита, за които е посочен единичен адрес.
7
Конфигурирайте настройките за IPSec комуникация.
1
Натиснете <IPSec мрежови настройки>.
2
Конфигурирайте необходимите настройки.
<Валидност>
Настройте периода за изтичане на генерирания IPSec SA. Уверете се, че сте задали <Време> или <Формат>. Ако зададете и двете настройки, се прилага настройката със стойността, достигната първа.
<PFS>
Ако зададете функцията Perfect Forward Secrecy (PFS) на <Вкл.>, нивото на секретност на ключа за шифроване се увеличава, но скоростта на комуникацията намалява. В допълнение PFS функцията трябва да се активира на устройството партньор за комуникация.
<Алгоритъм за автентикация/кодиране>
Изберете <Авто> или <Ръчни настройки>, за да зададете как да се посочва алгоритъм за удостоверяване и кодиране за IKE фаза 2. Ако изберете <Авто>, алгоритмът за ESP удостоверяване и шифриране се задава автоматично. Ако искате да посочите конкретен метод за удостоверяване, натиснете <Ръчни настройки> и изберете един от методите за удостоверяване по-долу.
<ESP>
Извършват се и удостоверяване, и шифриране. Изберете алгоритъма за <ESP автентикация> и <ESP Кодиране>. Изберете <NULL>, ако не искате да зададете алгоритъма за удостоверяване или шифриране.
<ESP (AES-GCM)>
AES-GCM се използва като ESP алгоритъм и се извършват както удостоверяване, така и шифроване.
<AH (SHA1)>
Удостоверяване се извършва, но данните не се шифроват. SHA1 се използва за алгоритъм.
3
Натиснете <OK> <OK>.
8
Активирайте регистрираните правила и проверете реда на приоритет.
Изберете регистрираните правила от списъка и натиснете <Права достп. Вкл./Изкл.> за задаването им на <Вкл.>.
Правилата се прилагат по реда, в който са посочени, като се започва от най-горното. Ако искате да промените реда на приоритет, изберете правила в списъка и натиснете <Повиш. приорит.> или <Пониж. приорит.>.
Ако не искате да изпращате или получавате пакети, които не отговарят на правилата, изберете <Отхвърляне> за <Получ.пакети без права достп.>.
9
Натиснете <OK>.
10
Натиснете  (Настр./Регистр.)  (Настр./Регистр.) <Прил. пром. наст.>  <Да>.
Управляване на IPSec правила
Можете да редактирате правилата на екрана, показан на стъпка 3.
За редактиране на детайли за правила изберете правилата в списъка и натиснете <Редактиране>.
За деактивиране на правила изберете правилата в списъка и натиснете <Права достп. Вкл./Изкл.>.
За изтриване на правила изберете правилата в списъка и натиснете <Изтр-не>  <Да>.
ALHY-0E8