IPSec parametrų konfigūravimas

Naudodami IPSec galite užkirsti kelią trečiosioms šalims perimti ar piktavališkai pakeisti duomenis IP paketų, kurie perduodami IP tinklu. Kadangi IPSec suteikia saugos funkcijų IP (įprastiniam protokolų rinkiniui, naudojamam internete), jis gali suteikti nuo programų ar tinklo konfigūracijos nepriklausomos saugos. Norėdami su šiuo aparatu vykdyti IPSec ryšį, turite taip sukonfigūruoti parametrus, kad jie atitiktų programos parametrus ir algoritmą, naudojamus tapatybės nustatymui ir šifravimui. Norint konfigūruoti šiuos parametrus, būtinos „Administrator“ (administratoriaus) arba „NetworkAdmin“ (tinklo administratoriaus) teisės.
Ryšio režimas
Šis aparatas IPSec ryšiui palaiko tik transportavimo režimą. Todėl autentifikavimas ir šifravimas taikomi tik IP paketų duomenų porcijoms.
Raktų mainų protokolas
Šis aparatas palaiko interneto raktų mainų 1 versiją (IKEv1) raktų mainams pagal Interneto saugos asociacijos ir raktų valdymo protokolą (ISAKMP). Autentifikavimo metodui nustatykite arba iš anksto bendrinamo rakto metodą, arba skaitmeninio parašo metodą.
Nustatant iš anksto bendrinamo rakto metodą turite iš anksto parinkti praleidimo terminą (iš anksto bendrinamą raktą), kuris naudojamas tarp aparato ir IPSec ryšio kolegos.
Nustatydami skaitmeninio parašo metodą, naudokite CA sertifikatą bei PKCS#12 formato raktą ir sertifikatą, kad atliktumėte abipusį autentifikavimą tarp aparato ir IPSec ryšio kolegos. Daugiau informacijos apie naujų CA sertifikatų arba raktų / sertifikatų registravimą rasite skyriuje „Tinklo ryšio rakto ir sertifikato registravimas“. Atkreipkite dėmesį, kad prieš aparaatui naudojant šį metodą jame būtina sukonfigūruoti SNTP. SNTP parametrų nustatymas
Nepriklausomai nuo IPSec ryšio parametro <Formatuoti šifravimo metodą FIPS 140-2>, bus naudojamas šifravimo modulis, kuris jau gavo FIPS140-2 sertifikavimą.
Kad IPSec ryšys atitiktų FIPS 140-2, turite nustatyti ir DH, ir RSA rakto ilgį IPSec ryšiui į 2048 bitų ar ilgesnį tinklo aplinkoje, kuriai priklauso aparatas.
Iš aparato galima nustatyti tik DH rakto ilgį.
Konfigūruodami savo aplinką būkite atidūs, nes aparate nėra RSA parametrų.
Galite registruoti iki 10 saugos strategijų.
1
Paspauskite  (Nust./Įreg.).
2
Spustelėkite <Nuostatos>  <Tinklas>  <TCP/IP parametrai>  <IPSec parametrai>.
3
Nustatykite <IPSec naudojimas> į <Įjungt.>, tada spustelėkite <Įregistravimas>.
4
Nurodykite strategijos pavadinimą.
Spustelėkite <Strategijos pavadinimas>, įveskite pavadinimą, tada paspauskite <Gerai>.
Daugiafunkciai „Canon“ spausdintuvai palaiko du rakto ilgius AES šifravimo metodui: 128 bitų ir 256 bitų. Norėdami nustatyti rakto ilgį į 256 bitų ir atitikti CC autentifikavimo standartus, nustatykite <Leisti tik 256 bitų AES rakto ilgį> į <Įjungt.>.
5
Sukonfigūruokite IPSec programos parametrus.
1
Paspauskite <Išrinkiklio parametrai>.
2
Nurodykite IP adresą, kuriam bus taikoma IPSec strategija.
Šio aparato IP adresą nurodykite parametre <Vietinis adresas>, o ryšio kolegos IP adresą nurodykite parametre <Nuotolinis adresas>.

<Visi IP adresai>
IPSec taikoma visiems siunčiamiems ir gaunamiems IP paketams.
<IPv4 adresas>
IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio aparato IPv4 adresų.
<IPv6 adresas>
IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio aparato IPv6 adresų.
<Visi IPv4 adresai>
IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš ryšio kolegos IPv4 adresų.
<Visi IPv6 adresai>
IPSec taikoma IP paketams, kurie siunčiami ir gaunami iš šio ryšio kolegos IPv6 adresų.
<IPv4 rankin. parametrai>
Nurodykite IPv4 adresą, kuriam bus taikoma IPSec strategija.
Pasirinkite <Vienas adresas>, jei norite įvesti atskirą IPv4 adresą.
Pasirinkite <Adresų diapazonas>, jei norite nurodyti IPv4 adresų diapazoną. Įveskite atskirus adresus prie <Pirmasis adresas> ir <Paskutinis adresas>.
Pasirinkite <Potinklio parametrai>, jei norite nurodyti IPv4 adresų diapazoną naudodami potinklio šabloną. Įveskite atskiras reikšmes prie <Adresas> ir <Potinklio kaukė>.
<IPv6 rankin. parametrai>
Nurodykite IPv6 adresą, kuriam bus taikoma IPSec strategija.
Pasirinkite <Vienas adresas>, jei norite įvesti atskirą IPv6 adresą.
Pasirinkite <Adresų diapazonas>, jei norite nurodyti IPv6 adresų diapazoną. Įveskite atskirus adresus prie <Pirmasis adresas> ir <Paskutinis adresas>.
Pasirinkite <Prefikso nurodymas>, jei norite nurodyti IPv6 adresų diapazoną naudodami prefiksą. Įveskite atskiras reikšmes prie <Adresas> ir <Prefikso ilgis>.
3
Nurodykite prievadą, kuriam bus taikoma IPSec strategija.
Spustelėkite <Nurodyti pagal prievado numerį>, jei nurodydami prievadus, kuriems taikoma IPSec, norite naudoti prievadų numerius. Pasirinkite <Visi prievadai>, jei norite IPSec taikyti visiems prievadų numeriams. Norėdami IPSec taikyti konkrečiam prievado numeriui, paspauskite <Vienas prievadas> ir įveskite prievado numerį. Nurodę prievadus, spustelėkite <Gerai>. Šio aparato prievadą nurodykite <Vietinis prievadas>, o ryšio kolegos prievadą nurodykite <Nuotolinis prievadas>.
Spustelėkite <Nurodyti pagal tarnybos pavad.>, jei nurodydami prievadus, kuriems taikoma IPSec, norite naudoti paslaugų pavadinimus. Iš sąrašo pasirinkite paslaugą, spustelėdami <Tarnybos įjung./išjung.> nustatykite ją į <Įjungt.>, tada spustelėkite <Gerai>.
4
Paspauskite <Gerai>.
6
Sukonfigūruokite autentifikavimo ir šifravimo parametrus.
1
Paspauskite <IKE parametrai>.
2
Konfigūruokite reikiamus parametrus.
<IKE režimas>
Pasirinkite raktų mainų protokolo veikimo režimą. Kai darbo režimas nustatytas kaip <Pagrindinis>, saugumas padidėja, nes pati IKE sesija yra užšifruota, tačiau komunikacijai tenka didesnė našta, palyginti su <Agresyvusis>, kuris neatlieka šifravimo.
<Galiojimas>
Nustatykite sugeneruoto IKE SA galiojimo pabaigos datą.
<Autentifikavimo metodas>
Pasirinkite vieną iš toliau aprašomų autentifikavimo būdų.
<Išanks.bendr. rakto metod.>
Nustatykite tokį patį praleidimo terminą (iš anksto bendrinamą raktą), kuris nustatytas ryšio kolegai. Paspauskite <Bendrinamasis raktas>, įveskite simbolių eilutę, kuri bus naudojama kaip bendrinamas raktas, ir spustelėkite <Gerai>.
<Sk. parašo būdas>
Nustatykite raktą ir sertifikatą, kurie bus naudojami abipusiam autentifikavimui su ryšio kolega. Paspauskite <Raktas ir sertifikatas>, pasirinkite raktą ir sertifikatą, kurie bus naudojami, tada spustelėkite <Nustatyti numat. raktu>  <Taip>  <Gerai>.
<Autentifikavimo/šifravimo algoritmas>
Pasirinkite <Automt.> arba <Rankiniai parametrai>, kad nustatytumėte 1 IKE etapo autentifikavimo ir šifravimo algoritmą. Pasirinkus <Automt.>, automatiškai nustatomas algoritmas, kurį gali naudoti ir šis aparatas, ir ryšio kolega. Jei norite nurodyti konkretų algoritmą, pasirinkite <Rankiniai parametrai> ir žemiau sukonfigūruokite parametrus.
<Autentifikavim.>
Pasirinkite maišos algoritmą.
<Šifravimas>
Pasirinkite šifravimo algoritmą.
<DH grupė>
Pasirinkite grupę Diffie-Hellman raktų mainų būdui, kad nustatytumėte rakto stiprumą.
3
Paspauskite <Gerai>.
Kai <IKE režimas> nustatyta į <Pagrindinis> <IKE parametrai> ekrane, o <Autentifikavimo metodas> nustatyta į <Išanks.bendr. rakto metod.>, registruojant kelias saugos strategijas galioja toliau pateikiami apribojimai.
Iš anksto bendrinamo rakto metodas: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, visi tai saugos politikai taikomi bendrinami raktai yra identiški (tai netaikoma, kai nurodytas tik vienas adresas).
Pirmenybė: nurodant kelis nuotolinius IP adresus, kuriems bus taikoma saugos strategija, jos pirmenybiškumas yra žemiau saugos strategijos, kuriai nurodytas tik vienas adresas.
7
IPSec ryšio parametrų konfigūravimas.
1
Paspauskite <IPSec tinklo parametrai>.
2
Konfigūruokite reikiamus parametrus.
<Galiojimas>
Nustatykite sugeneruoto „IPSec SA“ galiojimo pabaigos datą. Būtinai nustatykite <Laikas> arba <Formatas>. Jei nustatėte abu, bus taikomas parametras, kurio vertė pasiekiama pirmiau.
<PFS>
Jei funkciją „Perfect Forward Secrecy“ (PFS) nustatysite į <Įjungt.>, šifravimo rakto slaptumas išaugs, tačiau ryšio sparta sumažės. Be to, PFS funkciją būtina įjungti ir kitame ryšio įrenginyje.
<Autentifikavimo/šifravimo algoritmas>
Pasirinkite <Automt.> arba <Rankiniai parametrai>, kad nustatytumėte 2 IKE etapo autentifikavimo ir šifravimo algoritmą. Pasirinkus <Automt.> ESP autentifikavimo ir šifravimo algoritmas nustatomas automatiškai. Jei norite nurodyti konkretų autentifikavimo metodą, paspauskite <Rankiniai parametrai> ir pasirinkite vieną iš toliau pateiktų autentifikavimo metodų.
<ESP>
Atliekamas ir autentifikavimas, ir šifravimas. Pasirinkite algoritmą <ESP autentifikavimas> ir <ESP šifravimas>. Pasirinkite <NULL>, jei nenorite nustatyti autentifikavimo arba šifravimo algoritmo.
<ESP (AES-GCM)>
Kaip ESP algoritmas naudojamas AES-GCM, atliekamas ir autentifikavimas, ir šifravimas.
<AH (SHA1)>
Autentifikavimas vykdomas, bet duomenys nešifruojami. Kaip algoritmas naudojamas SHA1.
3
Paspauskite <Gerai> <Gerai>.
8
Įjunkite registruotas strategijas ir patikrinkite pirmenybiškumo tvarką.
Iš sąrašo pasirinkite registruotas strategijas ir spustelėdami <Strategijos įjung./išjung.> jas <Įjungt.>.
Strategijos pritaikomos tokia tvarka, kokia jos surašytos, pradedant nuo viršaus. Jei norite pakeisti pirmenybiškumo tvarką, sąraše pasirinkite strategiją ir spustelėkite <Pirmumo padidin.> arba <Mažesnis pirmum.>.
Jei nenorite gauti ir siųsti paketų, kurie neatitinka strategijų, pasirinkite <Atmesti> parametrui <Priimti paketus be strategijos>.
9
Paspauskite <Gerai>.
10
Paspauskite  (Nust./Įreg.)  (Nust./Įreg.) <Par. keit. taikymas>  <Taip>.
IPSec strategijų valdymas
Strategijas galite redaguoti ekrane, kuris rodomas 3 veiksme.
Norėdami redaguoti strategijos išsamią informaciją, pasirinkite strategiją iš sąrašo ir spustelėkite <Redagavimas>.
Norėdami išjungti strategiją, pasirinkite ją sąraše ir spustelėkite <Strategijos įjung./išjung.>.
Norėdami ištrinti strategiją, pasirinkite ją sąraše ir paspauskite <Naikinti>  <Taip>.
A13F-0C3