Налаштування параметрів протоколу IPSec

За допомогою використання протоколу IPSec можна запобігти перехопленню або підробці третіми особами IP-пакетів, що передаються IP-мережею. Оскільки IPSec – це версія IP з додатковими функціями безпеки (основний пакет протоколів, що використовується в Інтернеті), він забезпечує безпеку незалежно від програм або конфігурації мережі. Щоб установити зв’язок з апаратом за протоколом IPSec, необхідно налаштувати параметри, як-от параметри програм і алгоритм автентифікації та шифрування. Для налаштування цих параметрів потрібні права адміністратора чи мережевого адміністратора.


Режим зв’язку За використання протоколу IPSec цей апарат підтримує лише режим передавання. Тому автентифікація та шифрування застосовуються лише до частин IP-пакетів, у яких розміщено дані. Протокол ключового обміну Цей апарат підтримує протокол обміну ключами версії 1 (IKEv1) для обміну ключами на основі інтернет протоколу асоціацій безпеки та керування ключами (ISAKMP). Для автентифікації слід вибрати метод із використанням попередньо наданого ключа або цифрового підпису. Установлюючи метод із використанням попередньо наданого ключа, потрібно заздалегідь визначитися з парольною фразою (попередньо наданий ключ), яка використовується для зв’язку апарата з вузлом зв’язку IPSec. Установлюючи метод із використанням цифрового підпису, використовуйте сертифікат, виданий центром сертифікації, ключ формату PKCS#12 і сертифікат для здійснення взаємної автентифікації між апаратом і вузлом зв’язку IPSec. Додаткові відомості про реєстрацію нових сертифікатів центра сертифікації або ключів чи сертифікатів див. в розділі Реєстрація ключа та сертифіката для встановлення зв’язку з мережею. Зауважте, що перед використанням цього методу слід налаштувати SNTP для апарата. Настроювання параметрів SNTP

Режим зв’язку

За використання протоколу IPSec цей апарат підтримує лише режим передавання. Тому автентифікація та шифрування застосовуються лише до частин IP-пакетів, у яких розміщено дані.

Протокол ключового обміну

Цей апарат підтримує протокол обміну ключами версії 1 (IKEv1) для обміну ключами на основі інтернет протоколу асоціацій безпеки та керування ключами (ISAKMP). Для автентифікації слід вибрати метод із використанням попередньо наданого ключа або цифрового підпису.

Установлюючи метод із використанням попередньо наданого ключа, потрібно заздалегідь визначитися з парольною фразою (попередньо наданий ключ), яка використовується для зв’язку апарата з вузлом зв’язку IPSec.

Установлюючи метод із використанням цифрового підпису, використовуйте сертифікат, виданий центром сертифікації, ключ формату PKCS#12 і сертифікат для здійснення взаємної автентифікації між апаратом і вузлом зв’язку IPSec. Додаткові відомості про реєстрацію нових сертифікатів центра сертифікації або ключів чи сертифікатів див. в розділі Реєстрація ключа та сертифіката для встановлення зв’язку з мережею. Зауважте, що перед використанням цього методу слід налаштувати SNTP для апарата. Настроювання параметрів SNTP


Незалежно від значення параметра <Форматувати метод шифрування до FIPS 140-2> для встановлення зв’язку за протоколом IPSec, використовуватимуться модуль шифрування, який уже пройшов сертифікацію FIPS140-2. Щоб зв’язок за протоколом IPSec відповідав вимогам стандарту FIPS 140-2, потрібно встановити довжину ключа для DH і RSA для IPSec до 2048 бітів або довше в мережевому середовищі, до якого належить апарат. З апарата можна вказати лише довжину ключа для DH. Зверніть увагу, що під час налаштування середовища з апарата параметри RSA недоступні. Ви можете зареєструвати до 10 політик безпеки.

Незалежно від значення параметра <Форматувати метод шифрування до FIPS 140-2> для встановлення зв’язку за протоколом IPSec, використовуватимуться модуль шифрування, який уже пройшов сертифікацію FIPS140-2.

Щоб зв’язок за протоколом IPSec відповідав вимогам стандарту FIPS 140-2, потрібно встановити довжину ключа для DH і RSA для IPSec до 2048 бітів або довше в мережевому середовищі, до якого належить апарат.

З апарата можна вказати лише довжину ключа для DH.

Зверніть увагу, що під час налаштування середовища з апарата параметри RSA недоступні.

Ви можете зареєструвати до 10 політик безпеки.

Натисніть

(Парам./Реєстр.).

Натисніть <Настройки>

<Мережа>

<Параметри TCP/IP>

<Параметри IPSec>.

Установіть для параметра <Використовувати IPSec> значення <Увімк.> і натисніть кнопку <Реєструвати>.

Укажіть ім’я політики.

Натисніть вкладку <Ім’я політики>, введіть ім’я та натисніть кнопку <OK>.

Багатофункціональні принтери Canon підтримують дві довжини ключа для методу шифрування AES: 128 бітів і 256 бітів. Щоб обмежити довжину ключа до 256 бітів і забезпечити відповідність стандартам автентифікації CC, установіть для параметра <Дозв. лише 256-розр. довжину ключа AES> значення <Увімк.>.

Налаштуйте параметри програми IPSec.

Натисніть <Параметри селектора>.

Укажіть IP-адресу, до якої слід застосувати політику IPSec.

Укажіть IP-адресу цього апарата в полі <Локальна адреса>, а IP-адресу вузла зв’язку вкажіть у полі <Віддалена адреса>.

<Усі IP-адреси>	IPSec застосовується до всіх надісланих і отриманих IP-пакетів.
<Адреса IPv4>	IPSec застосовується до IP-пакетів, надісланих з IPv4-адреси цього апарата та отриманих на неї.
<Адреса IPv6>	IPSec застосовується до IP-пакетів, надісланих з IPv6-адреси цього апарата та отриманих на неї.
<Усі IPv4- адреси>	IPSec застосовується до IP-пакетів, надісланих з IPv4-адреси однорангового вузла зв’язку та отриманих на неї.
<Усі IPv6- адреси>	IPSec застосовується до IP-пакетів, надісланих з IPv6-адреси однорангового вузла зв’язку та отриманих на неї.
<Пар.IPv4, вст.вручн.>	Укажіть IPv4-адресу, до якої слід застосувати політику IPSec. Виберіть <Одна адреса>, щоб ввести окрему IPv4-адресу. Виберіть <Діапазон адрес>, щоб указати діапазон IPv4-адрес. Введіть окрему адресу для параметрів <Перша адреса> і <Остання адреса>. Виберіть <Параметри підмережі>, щоб указати діапазон IPv4-адрес із використанням маски підмережі. Введіть окремі значення для параметрів <Адреса> і <Маска підмережі>.
<Пар.IPv6, вст.вручн.>	Укажіть IPv6-адресу, до якої слід застосувати політику IPSec. Виберіть <Одна адреса>, щоб ввести окрему IPv6-адресу. Виберіть <Діапазон адрес>, щоб указати діапазон IPv6-адрес. Введіть окрему адресу для параметрів <Перша адреса> і <Остання адреса>. Виберіть <Указати префікс>, щоб указати діапазон IPv6-адрес із використанням префікса. Введіть окремі значення для параметрів <Адреса> і <Довжина префікса>.

Укажіть порт, до якого слід застосувати політику IPSec.

Натисніть <Указати за номером порту>, щоб використовувати номери портів для визначення портів, до яких застосовується політика IPSec. Виберіть <Усі порти>, щоб застосувати політику IPSec до всіх номерів портів. Щоб застосувати політику IPSec до певного номера порту, натисніть <Один порт> і введіть номер порту. Після зазначення портів натисніть кнопку <OK>. Укажіть порт цього апарата в полі <Локальний порт>, а порт однорангового вузла зв’язку вкажіть у полі <Віддалений порт>.

Натисніть <Указати за іменем служби>, щоб використовувати назви служб для визначення портів, до яких застосовується політика IPSec. Виберіть службу зі списку, натисніть <Увімк./вимк. служби>, щоб установити значення <Увімк.>, і натисніть кнопку <OK>.

Натисніть <OK>.

Налаштуйте параметри автентифікації та шифрування.

Натисніть <Параметри IKE>.

Налаштуйте необхідні параметри.

<Режим IKE>

Виберіть режим роботи протоколу обміну ключами. Якщо встановлено режим роботи <Основні>, безпека посилюється, тому що сеанс IKE зашифровано, але порівняно з режимом <Aggressive>, у якому шифрування не виконується, збільшується навантаження на канал обміну даних.

<Термін дії>

Установіть термін дії створеного IKE SA.

<Спосіб автентифікації>

Виберіть один з описаних нижче методів автентифікації.

<Метод автент. за доп. сп. кл.>

Установіть ту саму парольну фразу (попередньо наданий ключ), яку встановлено для однорангового вузла зв’язку. Натисніть <Спільний ключ>, введіть рядок символів, який використовуватиметься як попередньо наданий ключ, і натисніть <OK>.

<Спосіб цифр. підписів>

Установіть ключ і сертифікат, які використовуватимуться для взаємної автентифікації з одноранговим вузлом зв’язку. Натисніть <Ключ і сертифікат>, виберіть ключ і сертифікат для використання та натисніть <Задати як ключ за замовчув.>

<Так>

<OK>.

<Алгоритм автентифікації/шифрування>

Виберіть <Авто> або <Параметри, указув. вручну>, щоб установити спосіб зазначення алгоритму автентифікації та шифрування для етапу 1 підключення за протоколом IKE. Якщо ви вибрали <Авто>, алгоритм, що можна використовувати для цього апарата й однорангового вузла зв’язку, установлюється автоматично. Щоб указати певний алгоритм, виберіть <Параметри, указув. вручну> і налаштуйте вказані далі параметри.

<Автентифікація>	Виберіть алгоритм гешування.
<Шифрування>	Виберіть алгоритм шифрування.
<Група DH>	Виберіть групу для методу обміну ключами Діффі-Хелмана, щоб установити надійність ключа.

Натисніть <OK>.


Якщо для параметра <Режим IKE> установлено значення <Основні> на екрані <Параметри IKE>, а для параметра <Спосіб автентифікації> установлено значення <Метод автент. за доп. сп. кл.>, під час реєстрації кількох політик безпеки застосовуються наведені нижче обмеження. Ключ для методу з використанням попередньо наданого ключа: коли вказано кілька віддалених IP-адрес, до яких слід застосувати політику безпеки, усі попередньо надані ключі для цієї політики безпеки ідентичні (це правило не застосовується, коли вказано одну адресу). Пріоритет: коли вказано кілька віддалених IP-адрес, до яких слід застосувати політику безпеки, пріоритет цієї політики безпеки нижче, ніж у політик безпеки, для яких указано одну адресу.

Якщо для параметра <Режим IKE> установлено значення <Основні> на екрані <Параметри IKE>, а для параметра <Спосіб автентифікації> установлено значення <Метод автент. за доп. сп. кл.>, під час реєстрації кількох політик безпеки застосовуються наведені нижче обмеження.

Ключ для методу з використанням попередньо наданого ключа: коли вказано кілька віддалених IP-адрес, до яких слід застосувати політику безпеки, усі попередньо надані ключі для цієї політики безпеки ідентичні (це правило не застосовується, коли вказано одну адресу).

Пріоритет: коли вказано кілька віддалених IP-адрес, до яких слід застосувати політику безпеки, пріоритет цієї політики безпеки нижче, ніж у політик безпеки, для яких указано одну адресу.

Налаштуйте параметри зв’язку за протоколом IPSec.

Натисніть <Параметри мережі IPSec>.

Налаштуйте необхідні параметри.

<Термін дії>

Установіть термін дії створеного IPSec SA. Обов’язково вкажіть значення в полі <Час> або <Формат>. Якщо значення вказано в обох полях, застосовується те з них, якого буде досягнуто раніше.

<PFS>

Якщо встановити для функції досконалої прямої секретності (PFS) значення <Увімк.>, рівень секретності ключа шифрування збільшиться, але швидкість передавання даних сповільниться. Крім того, на одноранговому вузлі зв’язку слід увімкнути функцію PFS.

<Алгоритм автентифікації/шифрування>

Виберіть <Авто> або <Параметри, указув. вручну>, щоб установити спосіб зазначення алгоритму автентифікації та шифрування для етапу 2 підключення за протоколом IKE. Якщо ви вибрали <Авто>, алгоритм автентифікації та шифрування ESP встановлюється автоматично. Якщо потрібно вказати певний метод автентифікації, натисніть <Параметри, указув. вручну> і виберіть один з указаних далі методів автентифікації.

<ESP>	Виконуються автентифікація й шифрування. Виберіть алгоритм для параметрів <Автентифікація ESP> і <Шифрування ESP>. Виберіть <NULL>, якщо встановлювати алгоритм автентифікації або шифрування не потрібно.
<ESP (AES-GCM)>	AES-GCM використовується як алгоритм ESP; виконується автентифікація й шифрування.
<AH (SHA1)>	Виконується автентифікація, але дані не шифруються. Як алгоритм використовується SHA1.

Натисніть <OK>

<OK>.

Увімкніть зареєстровані політики та перевірте порядок пріоритетності.

Виберіть зареєстровані політики зі списку та натисніть <Увімк./вимк. політики>, щоб установити для них значення <Увімк.>.

Політики застосовуються в тому порядку, у якому вони вказані в списку, починаючи зверху. Якщо слід змінити порядок пріоритетності, виберіть політику в списку та натисніть <Збільшити пріоритет> або <Знизьте пріоритет>.

Якщо слід заборонити надсилання або отримання пакетів, які не відповідають вимогам політик, виберіть значення <Відхилити> для параметра <Отримання пакетів поза політикою>.

Натисніть <OK>.

Натисніть

(Парам./Реєстр.)

<Заст. зміни парам.>

<Так>.


Керування політиками IPSec Ви можете редагувати політики на екрані, який показано на кроці 3. Щоб відредагувати відомості про політику, виберіть її в списку та натисніть <Редагування>. Щоб вимкнути політику, виберіть її в списку та натисніть <Увімк./вимк. політики>. Щоб видалити політику, виберіть її в списку та натисніть <Видалити> <Так>.

Керування політиками IPSec

Ви можете редагувати політики на екрані, який показано на кроці 3.

Щоб відредагувати відомості про політику, виберіть її в списку та натисніть <Редагування>.

Щоб вимкнути політику, виберіть її в списку та натисніть <Увімк./вимк. політики>.

Щоб видалити політику, виберіть її в списку та натисніть <Видалити>

<Так>.