Διαμόρφωση των ρυθμίσεων IPSec

Χρησιμοποιώντας το IPSec, μπορείτε να εμποδίζετε τρίτους να υποκλέπτουν ή να αλλοιώνουν τα πακέτα IP που μεταφέρονται μέσω του δικτύου IP. Επειδή το IPSec προσθέτει λειτουργίες ασφάλειας στην IP, μια βασική οικογένεια πρωτοκόλλων που χρησιμοποιείται για το διαδίκτυο, μπορεί να προσφέρει ασφάλεια που είναι ανεξάρτητη από τις εφαρμογές ή τη διαμόρφωση δικτύου. Για να πραγματοποιήσετε επικοινωνία IPSec με αυτή τη συσκευή, θα πρέπει να διαμορφώσετε ρυθμίσεις όπως τις παραμέτρους της εφαρμογής και τον αλγόριθμο για την πιστοποίηση και την κρυπτογράφηση. Απαιτούνται δικαιώματα διαχειριστή ή διαχειριστή δικτύου για τη διαμόρφωση αυτών των ρυθμίσεων.
Κατάσταση επικοινωνίας
Αυτή η συσκευή υποστηρίζει μόνο λειτουργία μεταφοράς για την επικοινωνία IPSec. Ως αποτέλεσμα, η πιστοποίηση και η κρυπτογράφηση εφαρμόζεται μόνο στα τμήματα δεδομένων των πακέτων IP.
Πρωτόκολλο ανταλλαγής κλειδιών
Αυτή η συσκευή υποστηρίζει την έκδοση 1 του πρωτοκόλλου Internet Key Exchange (IKEv1) για την ανταλλαγή κλειδιών με βάση το πρωτόκολλο Internet Security Association and Key Management Protocol (ISAKMP). Για τη μέθοδο πιστοποίησης, ορίστε είτε τη μέθοδο ήδη κοινόχρηστου κλειδιού είτε τη μέθοδο ψηφιακής υπογραφής.
Όταν ορίζετε τη μέθοδο ήδη κοινόχρηστου κλειδιού, θα πρέπει να αποφασίσετε εκ των προτέρων μια φράση πρόσβασης (ήδη κοινόχρηστο κλειδί), η οποία θα χρησιμοποιείται μεταξύ της συσκευής και του αποδέκτη της επικοινωνίας IPSec.
Κατά τον καθορισμό της μεθόδου ψηφιακής υπογραφής, χρησιμοποιήστε ένα πιστοποιητικό CA και ένα κλειδί και πιστοποιητικό μορφής PKCS#12 για να πραγματοποιήσετε αμοιβαία πιστοποίηση μεταξύ της συσκευής και του αποδέκτη της επικοινωνίας IPSec. Για περισσότερες πληροφορίες σχετικά με την καταχώριση νέων πιστοποιητικών CA ή κλειδιών/πιστοποιητικών, ανατρέξτε στην ενότητα Καταχώριση κλειδιού και πιστοποιητικού για την επικοινωνία δικτύου. Σημειωτέον ότι το SNTP θα πρέπει να διαμορφώνεται για τη συσκευή πριν χρησιμοποιήσει αυτή τη μέθοδο. Καθορισμός ρυθμίσεων SNTP
Ανεξάρτητα από τη ρύθμιση του <Διαμόρφ.Μεθόδου Κρυπτογράφ.σε FIPS 140-2> για την επικοινωνία IPSec, θα χρησιμοποιηθεί μονάδα κρυπτογράφησης που έχει ήδη λάβει πιστοποίηση FIPS140-2.
Προκειμένου η επικοινωνία IPSec να συμμορφώνεται με το FIPS 140-2, θα πρέπει να ορίσετε το μήκος του DH και του RSA για επικοινωνία IPSec σε 2048-bit ή παραπάνω στο περιβάλλον δικτύου όπου ανήκει η συσκευή.
Μόνο το μήκος κλειδιού για το DH μπορεί να οριστεί από τη συσκευή.
Προσέξτε όταν διαμορφώνετε το περιβάλλον σας, καθώς δεν υπάρχουν ρυθμίσεις για RSA στη συσκευή.
Μπορείτε να καταχωρίσετε έως και 10 πολιτικές ασφαλείας.
1
Πατήστε  (Ρυθμ./Αποθήκ.).
2
Πατήστε <Προτιμήσεις>  <Δίκτυο>  <Ρυθμίσεις TCP/IP>  <Ρυθμίσεις IPSec>.
3
Ορίστε το στοιχείο <Χρήση IPSec> σε <On>και πατήστε <Αποθήκευση>.
4
Εισαγάγετε το όνομα της πολιτικής.
Πατήστε το <Όνομα Πολιτικής>, πληκτρολογήστε το όνομα και πατήστε το <OK>.
Τα πολυμηχανήματα Canon υποστηρίζουν δύο μήκη κλειδιού για τη μέθοδο κρυπτογράφησης AES: 128 bit και 256 bit. Για να περιορίσετε το μήκος κλειδιού σε 256 bit και για να πληρούνται τα πρότυπα πιστοποίησης CC, ορίστε την επιλογή <Επιτρέπ. μόνο 256-bit για Μήκος Κλειδιού AES> σε <On>.
5
Διαμορφώστε τις παραμέτρους εφαρμογής του IPSec.
1
Πατήστε <Ρυθμίσεις Επιλογέα>.
2
Ορίστε τη διεύθυνση IP στην οποία θα εφαρμοστεί η πολιτική IPSec.
Ορίστε τη διεύθυνση IP αυτής της συσκευής στο πεδίο <Τοπική Διεύθυνση>, και ορίστε τη διεύθυνση IP του αποδέκτη της επικοινωνίας στο πεδίο <Απομακρυσμένη Διεύθυνση>.

<Όλες οι Δνσεις IP>
Το IPSec εφαρμόζεται σε όλα τα πακέτα IP που αποστέλλονται και λαμβάνονται.
<Δ/νση IPv4>
Το IPSec εφαρμόζεται στα πακέτα IP που αποστέλλονται και λαμβάνονται από τη διεύθυνση IPv4 αυτής της συσκευής.
<Δ/νση IPv6>
Το IPSec εφαρμόζεται στα πακέτα IP που αποστέλλονται και λαμβάνονται από τη διεύθυνση IPv6 αυτής της συσκευής.
<Όλες οι ΔνσειςIPv4>
Το IPSec εφαρμόζεται στα πακέτα IP που αποστέλλονται και λαμβάνονται από τη διεύθυνση IPv4 του αποδέκτη της επικοινωνίας.
<Όλες οι ΔνσειςIPv6>
Το IPSec εφαρμόζεται στα πακέτα IP που αποστέλλονται και λαμβάνονται από τη διεύθυνση IPv6 του αποδέκτη της επικοινωνίας.
<Χειροκίνητ. Ρυθμ. IPv4>
Ορίστε τη διεύθυνση IPv4 στην οποία θα εφαρμοστεί το IPSec.
Επιλέξτε το στοιχείο <Μία Διεύθυνση> για να εισαγάγετε συγκεκριμένη διεύθυνση IPv4.
Επιλέξτε το στοιχείο <Εύρος Διευθύνσεων> για να ορίσετε πολλαπλές διευθύνσεις IPv4. Εισαγάγετε ξεχωριστή διεύθυνση στο πεδίο <Πρώτη Διεύθυνση> και στο πεδίο <Τελευταία Διεύθυνση>.
Επιλέξτε το στοιχείο <Ρυθμίσεις Υποδικτύου> για να ορίσετε πολλαπλές διευθύνσεις IPv4, χρησιμοποιώντας μάσκα υποδικτύου. Εισαγάγετε ξεχωριστές τιμές στο πεδίο <Διεύθυνση> και στο πεδίο <Μάσκα Υποδικτύου>.
<Χειροκίνητ. Ρυθμ. IPv6>
Ορίστε τη διεύθυνση IPv6 στην οποία θα εφαρμοστεί το IPSec.
Επιλέξτε το στοιχείο <Μία Διεύθυνση> για να εισαγάγετε συγκεκριμένη διεύθυνση IPv6.
Επιλέξτε το στοιχείο <Εύρος Διευθύνσεων> για να ορίσετε πολλαπλές διευθύνσεις IPv6. Εισαγάγετε ξεχωριστή διεύθυνση στο πεδίο <Πρώτη Διεύθυνση> και στο πεδίο <Τελευταία Διεύθυνση>.
Επιλέξτε το στοιχείο <Ορισμός Προθέματος> για να ορίσετε πολλαπλές διευθύνσεις IPv6, χρησιμοποιώντας πρόθεμα. Εισαγάγετε ξεχωριστές τιμές στο πεδίο <Διεύθυνση> και στο πεδίο <Μήκος Προθέμ.>.
3
Ορίστε τη θύρα στην οποία θα εφαρμοστεί το IPSec.
Επιλέξτε <Ορισμός βάσει Αριθμού Θύρας> για να χρησιμοποιήσετε αριθμούς θύρας όταν ορίζετε τις θύρες στις οποίες θα εφαρμόζεται το IPSec. Επιλέξτε <Όλες οι Θύρες> για να εφαρμοστεί το IPSec σε όλους τους αριθμούς θύρας. Για να εφαρμοστεί το IPSec σε συγκεκριμένο αριθμό θύρας, πατήστε <Μία Θύρα> και πληκτρολογήστε τον αριθμό της θύρας. Αφού ορίσετε τις θύρες, πατήστε το <OK>. Ορίστε τη θύρα αυτής της συσκευής στο πεδίο <Τοπική Θύρα>, και ορίστε τη θύρα του αποδέκτη της επικοινωνίας στο πεδίο <Απομακρυσμένη Θύρα>.
Επιλέξτε <Ορισμός βάσει Ονόμ. Υπηρεσίας> για να χρησιμοποιήσετε ονόματα υπηρεσίας όταν ορίζετε τις θύρες στις οποίες θα εφαρμόζεται το IPSec. Επιλέξτε την υπηρεσία από τη λίστα, πατήστε <On/Off Υπηρεσία> και ορίστε την σε <On>, και πατήστε το <OK>.
4
Πατήστε <OK>.
6
Διαμορφώστε τις ρυθμίσεις πιστοποίησης και κρυπτογράφησης.
1
Πατήστε <Ρυθμίσεις IKE>.
2
Διαμορφώστε τις απαραίτητες ρυθμίσεις.
<Κατάσταση IKE>
Επιλέξτε την κατάσταση λειτουργίας για το πρωτόκολλο ανταλλαγής κλειδιών. Όταν η κατάσταση λειτουργίας ορίζεται σε <Main>, η ασφάλεια ενισχύεται, επειδή κρυπτογραφείται η ίδια η περίοδος λειτουργίας IKE, αλλά επιβαρύνεται περισσότερο η επικοινωνία σε σύγκριση με την κατάσταση λειτουργίας <Επιθετική>, η οποία εκτελεί κρυπτογράφηση.
<Εγκυρότητα>
Ορίστε την περίοδο λήξης για το IKE SA που δημιουργήθηκε.
<Μέθοδος Πιστοποίησης>
Επιλέξτε μία από τις μεθόδους πιστοποίησης που περιγράφονται παρακάτω.
<ΜέθοδοςΠρο- ΣυμφΚλειδιού>
Ορίστε την ίδια φράση πρόσβασης (ήδη κοινόχρηστο κλειδί) που έχει οριστεί για τον αποδέκτη της επικοινωνίας. Επιλέξτε <Κοινόχρηστο Κλειδί>, εισαγάγετε τη συμβολοσειρά χαρακτήρων που θα χρησιμοποιηθεί ως κοινόχρηστο κλειδί και πατήστε το <OK>.
<ΜέθοδοςΨηφ Υπογραφής>
Ορίστε το κλειδί και το πιστοποιητικό που θα χρησιμοποιηθούν για αμοιβαία πιστοποίησης με τον αποδέκτη της επικοινωνίας. Πατήστε <Κλειδί και Πιστοποιητικό>, επιλέξτε το κλειδί και το πιστοποιητικό που θα χρησιμοποιηθούν και πατήστε <Ορισμός ως Προεπιλ. Κλειδί>  <Ναι>  <OK>.
<Αλγόριθμος Πιστοποίησης/Κρυπτογράφησης>
Επιλέξτε είτε <Αυτ.> είτε <Χειροκίνητες Ρυθμίσεις> για να ρυθμίσετε πώς θα ορίζεται ο αλγόριθμος πιστοποίησης και κρυπτογράφησης για τη φάση 1 του ΙΚΕ. Αν επιλέξετε <Αυτ.>, ορίζεται αυτόματα αλγόριθμος που μπορεί να χρησιμοποιηθεί και από αυτή τη συσκευή και από τον αποδέκτη της επικοινωνίας. Αν θέλετε να ορίσετε συγκεκριμένο αλγόριθμο, επιλέξτε <Χειροκίνητες Ρυθμίσεις> και διαμορφώστε τις παρακάτω ρυθμίσεις.
<Πιστοποίηση>
Επιλέξτε τον αλγόριθμο κατακερματισμού.
<Κρυπτογράφηση>
Επιλέξτε τον αλγόριθμο κρυπτογράφησης.
<Ομάδα DH>
Επιλέξτε την ομάδα για τη μέθοδο ανταλλαγής κλειδιών Diffie-Hellman για να ορίσετε την ισχύ του κλειδιού.
3
Πατήστε <OK>.
Όταν το <Κατάσταση IKE> έχει οριστεί σε <Main> στην οθόνη <Ρυθμίσεις IKE> και η <Μέθοδος Πιστοποίησης> έχει οριστεί σε <ΜέθοδοςΠρο- ΣυμφΚλειδιού>, ισχύουν οι ακόλουθοι περιορισμοί για την καταχώριση πολλαπλών πολιτικών ασφαλείας.
Κλειδί μεθόδου ήδη κοινόχρηστου κλειδιού: όταν ορίζονται πολλαπλές απομακρυσμένες διευθύνσεις IP στις οποίες εφαρμόζεται πολιτική ασφαλείας, όλα τα κοινόχρηστα κλειδιά για τη συγκεκριμένη πολιτική ασφαλείας είναι πανομοιότυπα (αυτό δεν ισχύει όταν ορίζεται μία μόνο διεύθυνση).
Προτεραιότητα: όταν ορίζονται πολλαπλές απομακρυσμένες διευθύνσεις IP στις οποίες εφαρμόζεται πολιτική ασφαλείας, η προτεραιότητα της συγκεκριμένης πολιτικής ασφαλείας είναι χαμηλότερη από τις πολιτικές ασφαλείας για τις οποίες ορίζεται μία μόνο διεύθυνση.
7
Διαμορφώστε τις ρυθμίσεις επικοινωνίας IPSec.
1
Πατήστε <Ρυθμίσεις Δικτύου IPSec>.
2
Διαμορφώστε τις απαραίτητες ρυθμίσεις.
<Εγκυρότητα>
Ορίστε την περίοδο λήξης για το IPSec SA που δημιουργήθηκε. Βεβαιωθείτε ότι έχετε ορίσει είτε <Ώρα> είτε <Μέγεθος>. Εάν ορίσετε και τα δύο, εφαρμόζεται η ρύθμιση με την τιμή που επιτυγχάνεται πρώτα.
<PFS>
Αν ορίσετε τη λειτουργία Perfect Forward Secrecy (PFS) σε <On>, αυξάνεται η μυστικότητα του κλειδιού κρυπτογράφησης, αλλά μειώνεται η ταχύτητα επικοινωνίας. Επιπλέον, η λειτουργία PFS θα πρέπει να είναι ενεργοποιημένη στη συσκευή αποδέκτη της επικοινωνίας.
<Αλγόριθμος Πιστοποίησης/Κρυπτογράφησης>
Επιλέξτε είτε <Αυτ.> είτε <Χειροκίνητες Ρυθμίσεις> για να ρυθμίσετε πώς θα ορίζεται ο αλγόριθμος πιστοποίησης και κρυπτογράφησης για τη φάση 2 του ΙΚΕ. Αν επιλέξετε <Αυτ.>, ορίζεται αυτόματα ο αλγόριθμος πιστοποίησης ESP και κρυπτογράφησης. Αν θέλετε να ορίσετε συγκεκριμένη μέθοδο πιστοποίησης, πατήστε <Χειροκίνητες Ρυθμίσεις> και επιλέξτε μία από τις παρακάτω μεθόδους πιστοποίησης.
<ESP>
Πραγματοποιούνται τόσο η πιστοποίηση όσο και η κρυπτογράφηση. Επιλέξτε τον αλγόριθμο για την <Πιστοποίηση ESP> και την <Κρυπτογράφηση ESP>. Επιλέξτε το <NULL> αν δεν θέλετε να ορίσετε τον αλγόριθμο πιστοποίησης ή κρυπτογράφησης.
<ESP (AES-GCM)>
Χρησιμοποιείται το AES-GCM ως ο αλγόριθμος ESP, και πραγματοποιούνται τόσο η πιστοποίηση όσο και η κρυπτογράφηση.
<AH (SHA1)>
Πραγματοποιείται πιστοποίηση, αλλά τα δεδομένα δεν κρυπτογραφούνται. Χρησιμοποιείται το SHA1 ως ο αλγόριθμος.
3
Πατήστε <OK> <OK>.
8
Ενεργοποιήστε τις καταχωρισμένες πολιτικές και ελέγξτε τη σειρά προτεραιότητας.
Επιλέξτε τις καταχωρισμένες πολιτικές από τη λίστα και πατήστε<Πολιτική On/Off> για να τις αλλάξετε σε <On>.
Οι πολιτικές εφαρμόζονται με τη σειρά στην οποία εμφανίζονται στη λίστα, ξεκινώντας από την κορυφή. Αν θέλετε να αλλάξετε τη σειρά προτεραιότητας, επιλέξτε μια πολιτική από τη λίστα και πατήστε <Αύξηση Προτερ.> ή <Μείωση Προτερ.>.
Αν δεν θέλετε να στέλνετε ή να λαμβάνετε πακέτα που δεν αντιστοιχούν στις πολιτικές, επιλέξτε <Απόρριψη> για το στοιχείο <Λήψη Πακέτων Εκτός Πολιτικής>.
9
Πατήστε <OK>.
10
Πατήστε  (Ρυθμ./Αποθήκ.)  (Ρυθμ./Αποθήκ.) <ΕφαρμΑλλαγΡυθμ>  <Ναι>.
Διαχείριση πολιτικών IPSec
Μπορείτε να επεξεργάζεστε πολιτικές στην οθόνη που εμφανίζεται στο βήμα 3.
Για να επεξεργαστείτε τις λεπτομέρειες μιας πολιτικής, επιλέξτε την πολιτική από τη λίστα και πατήστε <Τροποποίηση>.
Για να απενεργοποιήσετε μια πολιτική, επιλέξτε την πολιτική από τη λίστα και πατήστε <Πολιτική On/Off>.
Για να διαγράψετε μια πολιτική, επιλέξτε την πολιτική από τη λίστα και πατήστε <Διαγραφή>  <Ναι>.
ALJ7-0E8