Konfigurácia nastavení IPSec

Používaním rozšírenia IPSec môžete predísť zachyteniu paketov IP prenášaných v sieti IP tretími osobami a manipulácii s nimi. Keďže rozšírenie IPSec dopĺňa funkcie zabezpečenia do základného súboru protokolov používaných pre internet (IP), poskytuje zabezpečenie nezávislé od aplikácií či sieťovej konfigurácie. Ak chcete v tomto zariadení využívať komunikáciu cez IPSec, je potrebné nakonfigurovať nastavenia, ako sú parametre aplikácií a algoritmus na overovanie a šifrovanie. Na konfiguráciu týchto nastavení sú potrebné oprávnenia správcu alebo správcu siete (NetworkAdmin).
Režim komunikácie
Toto zariadenie podporuje len transportný režim komunikácie IPSec. V dôsledku toho sa overovanie a šifrovanie uplatňuje len na dátové úseky paketov IP.
Protokol výmeny kľúča
Toto zariadenie podporuje verziu 1 protokolu Internet Key Exchange (IKEv1) na výmenu kľúčov na základe protokolu Internet Security Association and Key Management Protocol (ISAKMP). Ako metódu overovania nastavte buď metódu predzdieľaného kľúča, alebo metódu digitálneho podpisu.
Keď chcete nastaviť metódu predzdieľaného kľúča, je potrebné dopredu si premyslieť prístupovú frázu (predzdieľaný kľúč), ktorý sa bude používať medzi zariadením a komunikačným partnerom IPSec.
Keď chcete nastaviť metódu digitálneho podpisu, na vykonávanie vzájomného overovania medzi zariadením a komunikačným partnerom IPSec použite CA certifikát a kľúč s certifikátom vo formáte PKCS#12. Viac informácií o registrácii nových CA certifikátov alebo kľúčov s certifikátmi nájdete v časti Registrácia kľúča a certifikátu pre sieťovú komunikáciu. Pozor, pred použitím tejto metódy je nutné v zariadení nakonfigurovať protokol SNTP. Nastavenia protokolu SNTP
Bez ohľadu na nastavenie položky <Metóda kódovania formátu na FIPS 140-2> sa bude pre potreby komunikácie IPSec používať šifrovací modul, ktorý už získal certifikáciu podľa normy FIPS 140-2.
Na zabezpečenie zhody komunikácie IPSec s normou FIPS 140-2 je potrebné v sieťovom prostredí, do ktorého zariadenie patrí, nastaviť dĺžku kľúča DH aj RSA pre potreby komunikácie IPSec na 2048 bitov alebo viac.
Zo zariadenia možno špecifikovať len dĺžku kľúča DH.
Konfiguráciu prostredia si poznačte, lebo v zariadení nie sú žiadne nastavenia RSA.
Je možné zaregistrovať až 10 politík zabezpečenia.
1
Stlačte tlačidlo (Nastav./Uložiť).
2
Stlačte tlačidlo <Predvoľby>  <Sieť>  <Nastavenia TCP/IP>  <Nastavenia IPSec>.
3
Nastavte položku <Použiť IPSec> na možnosť <Zap.> a stlačte tlačidlo <Uložiť>.
4
Zadajte názov politiky.
Stlačte tlačidlo <Názov opatrenia>, zadajte názov a stlačte tlačidlo <OK>.
Multifunkčné tlačiarne Canon podporujú dve dĺžky kľúčov pre metódu šifrovania AES: 128 bitov a 256 bitov. Ak chcete požadovať dĺžku kľúča 256 bitov a vyhovieť normám overovania CC, pod položkou <Povoliť iba 256 bitov pre dĺžku kódu AES> nastavte možnosť <Zap.>.
5
Nakonfigurujte parametre aplikácie IPSec.
1
Stlačte tlačidlo <Nastavenia selektora>.
2
Zadajte adresu IP, na ktorú chcete uplatňovať politiku IPSec.
Pod položkou <Lokálna adresa> špecifikujte adresu IP tohto zariadenia a pod položkou <Vzdialená adresa> adresu IP komunikačného partnera.
<Všetky IP adresy>
IPSec sa uplatňuje na všetky odoslané a prijaté pakety IP.
<Adresa IPv4>
IPSec sa uplatňuje na pakety IP odoslané na adresu IPv4 tohto zariadenia a prijaté z nej.
<Adresa IPv6>
IPSec sa uplatňuje na pakety IP odoslané na adresu IPv6 tohto zariadenia a prijaté z nej.
<Všetky adr. IPv4>
IPSec sa uplatňuje na pakety IP odoslané na adresu IPv4 komunikačného partnera a prijaté z nej.
<Všetky adr. IPv6>
IPSec sa uplatňuje na pakety IP odoslané na adresu IPv6 komunikačného partnera a prijaté z nej.
<Manuálne nast. IPv4>
Zadajte adresu IPv4, na ktorú chcete uplatňovať IPSec.
Ak chcete zadať individuálnu adresu IPv4, vyberte možnosť <Jedna adresa>.
Ak chcete zadať rozsah adries IPv4, vyberte možnosť <Rozsah adries>. Zadajte adresy do polí <Prvá adresa> a <Posledná adresa>.
Ak chcete zadať rozsah adries IPv4 pomocou masky podsiete, vyberte možnosť <Nastavenia podsiete>. Zadajte do polí <Adresa> a <Maska podsiete> samostatné hodnoty.
<Manuálne nast. IPv6>
Zadajte adresu IPv6, na ktorú chcete uplatňovať IPSec.
Ak chcete zadať individuálnu adresu IPv6, vyberte možnosť <Jedna adresa>.
Ak chcete zadať rozsah adries IPv6, vyberte možnosť <Rozsah adries>. Zadajte adresy do polí <Prvá adresa> a <Posledná adresa>.
Ak chcete zadať rozsah adries IPv6 pomocou predpony, vyberte možnosť <Špecifikovať prefix>. Zadajte do polí <Adresa> a <Dĺžka prefixu> samostatné hodnoty.
3
Špecifikujte port, na ktorý chcete uplatňovať IPSec.
Ak chcete špecifikovať porty, na ktoré sa má uplatňovať IPSec, podľa čísel, stlačte možnosť <Špecifikovať podľa čís. portu>. Ak chcete IPSec uplatňovať na všetky čísla portov, vyberte možnosť <Všetky porty>. Ak chcete IPSec uplatňovať na port s konkrétnym číslom, stlačte možnosť <Jeden port> a zadajte číslo portu. Po špecifikácii portu stlačte <OK>. Pod položkou <Miestny port> špecifikujte port tohto zariadenia a pod položkou <Vzdialený port> port komunikačného partnera.
Ak chcete špecifikovať porty, na ktoré sa má uplatňovať IPSec, podľa názvu služby, stlačte možnosť <Špecif. podľa názvu služby>. Vyberte službu zo zoznamu, stlačte položku <Služba zap./vyp.>, nastavte pod ňou možnosť <Zap.> a stlačte <OK>.
4
Stlačte tlačidlo <OK>.
6
Nakonfigurujte nastavenia overovania a šifrovania.
1
Stlačte tlačidlo <Nastavenia IKE>.
2
Nakonfigurujte potrebné nastavenia.
<Režim IKE>
Vyberte prevádzkový režim pre protokol výmeny kľúča. Keď je prevádzkový režim nastavený na možnosť <Hlavné>, zabezpečenie je vylepšené, pretože samotná relácia IKE je šifrovaná, ale na komunikáciu je kladené vyššie zaťaženie v porovnaní s režimom <Agresív.>, ktorý nevykonáva šifrovanie.
<Platnosť>
Nastavte obdobie platnosti vygenerovaného kľúča IKE SA.
<Metóda overenia>
Vyberte jednu z metód overovania opísaných nižšie.
<Metóda predzd. kľúča>
Nastavte tú istú prístupovú frázu (predzdieľaný kľúč), ktorá je nastavená pre komunikačného partnera. Stlačte tlačidlo <Zdieľaný kľúč>, zadajte reťazec znakov, ktorý chcete použiť ako zdieľaný kľúč, a stlačte <OK>.
<Metóda digit. podpisu>
Vyberte kľúč a certifikát, ktorý chcete používať na vzájomné overovanie s komunikačným partnerom. Stlačte tlačidlo <Kľúč a certifikát>, vyberte kľúč a certifikát, ktoré chcete používať, a stlačte možnosť <Nastaviť ako implicit. kód>  <Áno>  <OK>.
<Algoritmus overenia/kódovania>
Ako spôsob nastavenia overovacieho a šifrovacieho algoritmu pre 1. fázu IKE vyberte možnosť <Auto> alebo <Manuálne nastavenia>. Ak vyberiete možnosť <Auto>, automaticky sa nastaví algoritmus, ktorý môže používať aj zariadenie, aj komunikačný partner. Ak chcete špecifikovať konkrétny algoritmus, vyberte možnosť <Manuálne nastavenia> a nakonfigurujte nižšie uvedené nastavenia.
<Overenie>
Vyberte transformačný algoritmus.
<Kódovanie>
Vyberte algoritmus šifrovania.
<Skupina DH>
Vyberte skupinu pre metódu výmeny kľúča Diffie-Hellman na nastavenie sily kľúča.
3
Stlačte tlačidlo <OK>.
Keď je pod položkou <Režim IKE> na obrazovke <Nastavenia IKE> nastavená možnosť <Hlavné> a pod položkou <Metóda overenia> je nastavená možnosť <Metóda predzd. kľúča>, platia pri registrácii viacerých politík zabezpečenia nasledujúce obmedzenia:
Kľúč pre metódu predzdieľaného kľúča: pri zadávaní viacerých adries IP, na ktoré sa má politika zabezpečenia uplatňovať, sú všetky zdieľané kľúče pre danú politiku zabezpečenia totožné (to neplatí, keď je zadaná jedna adresa).
Priorita: ak zadáte viacero vzdialených adries IP, na ktoré sa má politika zabezpečenia vzťahovať, priorita takejto politiky zabezpečenia je nižšia ako priorita politík zabezpečenia s jednou špecifikovanou adresou.
7
Konfigurácia nastavení komunikácie IPSec.
1
Stlačte tlačidlo <Nastavenia siete IPSec>.
2
Nakonfigurujte potrebné nastavenia.
<Platnosť>
Nastavte obdobie platnosti vygenerovaného kľúča IPSec SA. Nastavte jednu z možností <Čas> alebo <Veľkosť>. Ak nastavíte obe možnosti, použije sa nastavenie s tou hodnotou, ktorá sa dosiahne ako prvá.
<PFS>
Ak nastavíte funkciu Perfect Forward Secrecy (PFS) na možnosť <Zap.>, utajenie šifrovacieho kľúča sa posilní, ale zníži sa rýchlosť komunikácie. Okrem toho je funkciu PFS potrebné zapnúť aj na partnerskom komunikačnom zariadení.
<Algoritmus overenia/kódovania>
Ako spôsob nastavenia overovacieho a šifrovacieho algoritmu pre 2. fázu IKE vyberte možnosť <Auto> alebo <Manuálne nastavenia>. Ak vyberiete možnosť <Auto>, overovací a šifrovací algoritmus ESP sa nastaví automaticky. Ak chcete nastaviť konkrétnu metódu overovania, stlačte položku <Manuálne nastavenia> a vyberte jednu z nižšie uvedených metód overovania.
<ESP>
Vykonáva sa overenie aj šifrovanie. Vyberte algoritmus pre funkcie <Overenie ESP> a <Kódovanie ESP>. Ak nechcete nastaviť overovací alebo šifrovací algoritmus, vyberte možnosť <NULL>.
<ESP (AES-GCM)>
Ako algoritmus ESP sa používa AES-GCM a vykonáva sa overovanie aj šifrovanie.
<AH (SHA1)>
Overovanie sa vykonáva, ale údaje sa nešifrujú. Ako algoritmus sa používať SHA1.
3
Stlačte tlačidlo <OK> <OK>.
8
Aktivujte zaregistrované politiky a skontrolujte poradie ich priority.
Vyberte zaregistrované politiky zo zoznamu a stlačením tlačidla <Opatrenie zap./vyp.> ich nastavte na možnosť <Zap.>.
Politiky sa uplatňujú v poradí, v akom sú uvedené, začínajúc od vrchu. Ak chcete zmeniť poradie priority, vyberte v zozname politiku a stlačte možnosť <Zvýšiť prioritu> alebo <Znížiť prioritu>.
Ak nechcete odosielať ani prijímať pakety, ktoré nezodpovedajú nastaveným politikám, pod položkou <Prijať pakety bez opatrení> vyberte možnosť <Odmietnuť>.
9
Stlačte tlačidlo <OK>.
10
Stlačte tlačidlo  (Nastav./Uložiť)  (Nastav./Uložiť) <Použ zmeny nast.>  <Áno>.
Správa politík IPSec
Politiky je možné upravovať na obrazovke zobrazenej v kroku 3.
Ak chcete upraviť podrobnosti politiky, vyberte politiku zo zoznamu a stlačte položku <Editovať>.
Ak chcete politiku deaktivovať, vyberte ju zo zoznamu a stlačte položku <Opatrenie zap./vyp.>.
Ak chcete politiku odstrániť, vyberte ju zo zoznamu a stlačte položku <Zmazať>  <Áno>.
A13Y-0C3