IPSec iestatījumu konfigurēšana

Izmantojot IPSec, jūs varat novērst trešo personu IP tīklā pārvadāto IP pakešu pārtveršanu vai to sabojāšanu. Tā kā IPSec pievieno drošības funkcijas IP, pamata protokolu komplektam, ko izmanto internetā, tas var sniegt drošību neatkarīgi no lietojumprogrammām vai tīkla konfigurācijas. Lai veiktu IPSec komunikāciju ar šo iekārtu, jums jākonfigurē tādi iestatījumi kā lietojumprogrammas parametri, kā arī autentifikācijas un šifrēšanas algoritms. Lai konfigurētu šos iestatījumus, nepieciešamas administratora vai NetworkAdmin tiesības.
Saziņas režīms
Šī iekārta IPSec sakariem atbalsta tikai transportēšanas režīmu. Tā rezultātā autentifikāciju un šifrēšanu piemēro tikai IP pakešu datu daļām.
Atslēgu apmaiņas protokols
Šī iekārta atbalsta interneta atslēgu apmaiņas 1. versiju (IKEv1) atslēgu apmaiņai, pamatojoties uz interneta drošības asociāciju un atslēgu pārvaldības protokolu (ISAKMP). Autentifikācijas metodei iestatiet sākotnēji koplietotās atslēgas metodi vai digitālā paraksta metodi.
Iestatot sākotnēji koplietotās atslēgas metodi, jums iepriekš jāizlemj par ieejas frāzi (sākotnēji koplietotu atslēgu), kas tiek izmantota starp iekārtu un IPSec sakaru partneri.
Iestatot digitālā paraksta metodi, izmantojiet CA sertifikātu un PKCS # 12 formāta atslēgu un sertifikātu savstarpējai autentifikācijai starp iekārtu un IPSec sakaru partneri. Vairāk informācijas par jaunu CA sertifikātu vai atslēgtu/sertifikātu reģistrēšanu skatīt Tīkla saziņas atslēgas un sertifikāta reģistrēšana. Atcerieties, ka pirms šīs metodes izmantošanas SNTP jābūt konfigurētam iekārtai. SNTP iestatījumu veikšana
Neatkarīgi no <Formatēt šifrēšanas metodi uz FIPS 140-2> iestatījuma IPSec sakariem, tiks izmantots šifrēšanas modulis, kuram jau ir saņemts FIPS140-2 sertifikāts.
Lai IPSec sakari atbilstu FIPS 140-2 prasībām, tīkla vidē, kurai iekārta pieder, IPSec sakaros gan DH, gan RSA atslēgas garums ir jāiestata uz 2048 bitiem vai vairāk.
Tikai DH atslēgas garumu var norādīt, izmantojot iekārtu.
Konfigurējot apkārtējo vidi, ņemiet to vērā, jo iekārtā nav RSA iestatījumu.
Jūs varat reģistrēt līdz pat 10 drošības politikām.
1
Nospiediet  (Iestat./reģistr.).
2
Nospiediet <Preferences>  <Tīkls>  <TCP/IP iestatījumi>  <IPSec iestatījumi>.
3
Iestatiet <Lietot IPSec> pozīcijā <Iesl.> un nospiediet <Reģistrēt>.
4
Ievadiet politikas nosaukumu.
Nospiediet <Politikas nosaukums>, ievadiet nosaukumu un nospiediet <OK>.
Canon daudzfunkciju printeri atbalsta divus atslēgu garumus AES šifrēšanas metodei: 128 biti un 256 biti. Lai ierobežotu atslēgas garumu līdz 256 bitiem un nodrošinātu atbilstību CC autentifikācijas standartiem, iestatiet <AES atslēgas garumam atļaut tikai 256 bitus> pozīcijā <Iesl.>.
5
Konfigurējiet IPSec lietotnes parametrus.
1
Nospiediet <Selektora iestatījumi>.
2
Norādiet IP adresi, kurai tiks piemērots IPSec politika.
Norādiet šīs iekārtas IP adresi sadaļā <Lokālā adrese>, un norādiet sakaru partnera IP adresi <Attālā adrese>.

<Visas IP adreses>
IPSec tiek piemērots visām nosūtītājam un saņemtajām IP paketēm.
<IPv4 adrese>
IPSec piemēro IP paketēm, kas nosūtītas un saņemtas no šīs iekārtas IPv4 adreses.
<IPv6 adrese>
IPSec piemēro IP paketēm, kas nosūtītas un saņemtas no šīs iekārtas IPv6 adreses.
<Visas IPv4 adreses>
IPSec piemēro IP paketēm, kas nosūtītas un saņemtas no sakaru partnera IPv4 adreses.
<Visas IPv6 adreses>
IPSec piemēro IP paketēm, kas nosūtītas un saņemtas no sakaru partnera IPv6 adreses.
<IPv4 man. iestatījumi>
Norādiet IPv4 adresi, kurai tiks piemērots IPSec politika.
Atzīmējiet <Viena adrese>, lai ievadītu atsevišķu IPv4 adresi.
Atzīmējiet <Adrešu diapazons>, lai norādītu IPv4 adrešu diapazonu. Ievadiet atsevišķu adresi <Pirmā adrese> un <Pēdējā adrese>.
Atzīmējiet <Apakštīkla iestatījumi>, lai norādītu to IPv4 adrešu diapazonu, kuras izmanto apakštīkla masku. Ievadiet atsevišķas vērtības sadaļām <Adrese> un <Apakštīkla maska>.
<IPv6 man. iestatījumi>
Norādiet IPv6 adresi, kurai tiks piemērots IPSec politika.
Atzīmējiet <Viena adrese>, lai ievadītu atsevišķu IPv6 adresi.
Atzīmējiet <Adrešu diapazons>, lai norādītu IPv6 adrešu diapazonu. Ievadiet atsevišķu adresi <Pirmā adrese> un <Pēdējā adrese>.
Atzīmējiet <Norādīt prefiksu>, lai norādītu to IPv6 adrešu diapazonu, kuras izmanto prefiksu. Ievadiet atsevišķas vērtības sadaļām <Adrese> un <Prefiksa garums>.
3
Norādiet portu, kuram tiks piemērots IPSec politika.
Nospiediet <Norādīt pēc porta numura>, lai izmantotu portu numurus, norādot portus, kuriem piemēro IPSec. Atzīmējiet <Visi porti>, lai piemērotu IPSec visiem portu numuriem. Lai piemērotu IPSec konkrētam porta numuram, nospiediet <Viens ports> un ievadiet porta numuru. Kad porti ir norādīti, nospiediet <OK>. Norādiet šīs iekārtas portu sadaļā <Lokālais ports>, un norādiet sakaru partnera portu <Attālais ports>.
Nospiediet <Norādīt pēc pakalp. nosauk.>, lai izmantotu pakalpojumu nosaukumus, norādot portus, kuriem piemēro IPSec. Izvēlieties pakalpojumu sarakstā, nospiediet <Pakalpojums iesl./izsl.>, lai to iestatītu pozīcijā <Iesl.>, un nospiediet <OK>.
4
Nospiediet <OK>.
6
Konfigurējiet autentifikācijas un šifrēšanas iestatījumus.
1
Nospiediet <IKE iestatījumi>.
2
Konfigurējiet nepieciešamos iestatījumus.
<IKE režīms>
Izvēlieties darbības režīmu atslēgu apmaiņas protokolam. Kad darbības režīms ir iestatīts kā <Galvenā>, ir iespējota drošība, jo pati IKE sesija ir šifrēta, bet smagāka slodze ir saziņai salīdzinājumā ar <Agresīvi>, kas neveic šifrēšanu.
<Derīgums>
Iestatiet ģenerētā IKE SA derīguma termiņu.
<Autentifikācijas metode>
Atzīmējiet vienu no turpmāk aprakstītajām autentifikācijas metodēm.
<Iepr. kopliet. atsl. metode>
Uzstādiet to pašu ievades frāzi (sākotnēji koplietojama atslēga), kas ir uzstādīta sakaru partnerim. Nospiediet <Koplietota atslēga>, rakstzīmju virkni, kas tiks izmantota kā koplietojama atslēga, un nospiediet <OK>.
<Ciparparakst. metode>
Uzstādiet atslēgu un sertifikātu, kas tiks izmantots savstarpējai autentifikācijai ar sakaru partneri. Nospiediet <Atslēga un sertifikāts>, lai izvēlētos izmantojamo atslēgu un sertifikātu, un nospiediet <Iestatīt kā nokl. atslēgu>  <Jā>  <OK>.
<Autentifikācijas/šifrēšanas algoritms>
Izvēlieties vai nu <Aut.>, vai <Manuāli iestatījumi>, lai iestatītu, kādā veidā norādīt autentifikācijas un šifrēšanas algoritmu IKE 1. fāzei. Ja izvēlaties <Aut.>, automātiski tiek iestatīts algoritms, kuru var izmantot gan šī iekārta, gan sakaru partneris. Ja vēlaties norādīt konkrētu algoritmu, izvēlieties <Manuāli iestatījumi> un konfigurējiet turpmāk redzamos iestatījumus.
<Autentifikācija>
Izvēlieties jaukšanas algoritmu.
<Šifrēšana>
Izvēlieties šifrēšanas algoritmu.
<DH grupa>
Izvēlieties grupu Diffie-Hellman atslēgu apmaiņas metodei, lai iestatītu atslēgas stiprumu.
3
Nospiediet <OK>.
Ja <IKE režīms> ir iestatīts pozīcijā <Galvenā> ekrānā <IKE iestatījumi> un <Autentifikācijas metode> ir iestatīts pozīcijā <Iepr. kopliet. atsl. metode>, tiek piemēroti šādi ierobežojumi, reģistrējot vairākas drošības politikas.
Sākotnēji koplietotas atmiņas metode: norādot vairākas attālas IP adreses, kurām jāpiemēro drošības politika, visas koplietotās atslēgas šai drošības politikai ir identiskas (tas neattiecas uz gadījumiem, kad ir norādīta viena adrese).
Prioritāte: norādot vairākas attālas IP adreses, kurām jāpiemēro drošības politika, šīs drošības politikas prioritāte ir zemāka par drošības politikām, kurām ir norādīta viena adrese.
7
Konfigurējiet IPSec sakaru iestatījumus.
1
Nospiediet <IPSec tīkla iestatījumi>.
2
Konfigurējiet nepieciešamos iestatījumus.
<Derīgums>
Iestatiet ģenerētā IPSec SA derīguma termiņu. Noteikti iestatiet vai nu <Laiks>, vai <Formāts>. Ja iestatīsit abus, tiks piemērots iestatījums ar vērtību, kas tiks sasniegta pirmā.
<PFS>
Ja jūs iestatāt Perfect Forward Secrecy (PFS) funkciju pozīcijā <Iesl.>, šifrēšanas atslēgas slepenība pieaug, taču saziņas ātrums palēninās. Turklāt PFS funkcijai ir jābūt iespējotai sakaru partnera ierīcē.
<Autentifikācijas/šifrēšanas algoritms>
Izvēlieties vai nu <Aut.>, vai <Manuāli iestatījumi>, lai iestatītu, kādā veidā norādīt autentifikācijas un šifrēšanas algoritmu IKE 2. fāzei. Ja izvēlaties <Aut.>, ESP autentifikācija un šifrēšanas algoritms tiek uzstādīti automātiski. Ja vēlaties norādīt konkrētu autentifikācijas metodi, nospiediet <Manuāli iestatījumi> un izvēlieties vienu no turpmāk uzskaitītajām autentifikācijas metodēm.
<ESP>
Tiek veikta gan autentifikācija, gan šifrēšana. Izvēlieties algoritmu priekš <ESP autentifikācija> un <ESP šifrēšana>. Atzīmējiet <NULL>, ja nevēlaties iestatīt autentifikācijas vai šifrēšanas algoritmu.
<ESP (AES-GCM)>
AES-GCM tiek izmantots kā ESP algoritms, un tiek veikta gan autentifikācija, gan šifrēšana.
<AH (SHA1)>
Tiek veikta autentifikācija, taču dati nav šifrēti. SHA1 tiek lietots kā algoritms.
3
Nospiediet <OK> <OK>.
8
Iespējojiet reģistrētās politikas un pārbaudiet prioritāro secību.
Izvēlieties sarakstā reģistrētās politikas un nospiediet <Politika iesl./izsl.>, lai tās ieslēgtu <Iesl.>.
Politikas piemēro sarakstā norādītajā secībā, sākot no augšas. Ja vēlaties izmainīt prioritāro secību, izvēlieties sarakstā politiku un nospiediet <Palielināt prioritāti> vai <Zemāka prioritāte>.
Ja nevēlaties sūtīt vai saņemt paketes, kuras neatbilst politikai, izvēlieties <Noraidīt> attiecībā uz <Saņemt politikām neatbilst. pak.>.
9
Nospiediet <OK>.
10
Nospiediet  (Iestat./reģistr.)  (Iestat./reģistr.) <Lietot iest.izmaiņas>  <Jā>.
IPSec politiku pārvaldīšana
Jūs varat rediģēt politikas ekrānā, kas redzams 3. darbībā.
Lai rediģētu informāciju politikā, izvēlieties politiku sarakstā un nospiediet <Rediģēt>.
Lai atspējotu politiku, izvēlieties politiku sarakstā un nospiediet <Politika iesl./izsl.>.
Lai dzēstu politiku, izvēlieties politiku sarakstā un nospiediet <Dzēst>  <Jā>.
ALK1-0E8