קביעת תצורת ההגדרות של IPSec

על ידי שימוש ב- IPSec, אתה יכול למנוע מגורמים שלישיים ללכוד או לשנות בצורה לא חוקית חבילות IP המועברות דרך רשת ה- IP. מכיוון ש- IPSec מוסיף פונקציות אבטחה ל- IP, חבילת פרוטוקול בסיסית המשמשת לאינטרנט, הוא יכול לספק אבטחה שאינה תלויה ביישומים או בתצורת הרשת. כדי לבצע תקשורת IPSec עם מכשיר זה, עליך לקבוע הגדרות כגון פרמטרים של היישום והאלגוריתם לאימות והצפנה. לביצוע הגדרות אלה נדרשות הרשאות מנהל או NetworkAdmin.
מצב תקשורת
מכשיר זה תומך רק במצב תעבורה לתקשורת IPSec. כתוצאה מכך, אימות והצפנה מוחלים רק על חלקי הנתונים של מנות IP.
פרוטוקול Key Exchange
מכשיר זה תומך ב- Internet Key Exchange גרסה 1 (IKEv1) להחלפת מפתחות על סמך איגוד אבטחת האינטרנט ופרוטוקול ניהול המפתחות (ISAKMP). קבע את שיטת המפתח המשותף מראש או את שיטת החתימה הדיגיטלית עבור שיטת האימות.
בעת הגדרה מראש של שיטת המפתח המשותף, עליכם להחליט מראש על ביטוי סיסמה (מפתח משותף מראש) המשמש בין המכשיר לבין עמית התקשורת IPSec.
בעת הגדרת שיטת החתימה הדיגיטלית, השתמש באישור CA ובתצורת מפתח ותעודת PKCS # 12 כדי לבצע אימות הדדי בין המכשיר לבין עמית התקשורת IPSec. למידע נוסף על רישום אישורי CA חדשים או מפתחות / אישורים, ראה רישום מפתח ואישור עבור תקשורת רשת. שים לב כי יש להגדיר את SNTP עבור המכשיר לפני שהוא משתמש בשיטה זו. קביעת הגדרות SNTP
ללא קשר להגדרת<פירמוט שיטת הצפנה ל-FIPS 140-2> מודול הצפנה שכבר השיג אישור FIPS140-2 ישמש לתקשורת IPSec.
על מנת שתקשורת IPSec תעמוד בדרישה של FIPS 140-2, עליך להגדיר את אורך המפתח של DH וגם של RSA עבור תקשורת IPSec ל -2048 סיביות או יותר בסביבת הרשת שאליה שייך המכשיר.
ניתן לציין רק את אורך המפתח עבור DH מהמכשיר.
שים לב בעת קביעת התצורה של הסביבה שלך, מכיוון שאין הגדרות ל- RSA במכשיר.
אתה יכול לאחסן עד 10 מדיניות אבטחה.
1
לחץ על  (הגדרות/רישום).
2
לחץ על <העדפות>‏  <רשת>‏  <הגדרות TCP/IP>‏  <הגדרות IPSec>.
3
הגדר את <שימוש ב-IPsec> כ-<מופעל>,ולחץ על <רישום>.
4
ציין שם למדיניות.
לחץ על <שם מדיניות>, הזן את השם ולחץ <אישור>.
המדפסות הרב-תכליתיות של Canon תומכות בשני אורכי מפתח עבור שיטת ההצפנה AES: 128 סיביות ו-256 סיביות. להגבלת אורך המפתח ל 256 סיביות ולעמוד בתקני אימות CC, הגדר את <הרשה אורך מפתח AES של 256-סיביות בלבד>כ-<מופעל>.
5
קבע את התצורה של הפרמטרים של היישום IPSec.
1
לחץ על <הגדרות הבורר>.
2
ציין את כתובת ה-IP על מנת להחיל את מדיניות ה- IPSec.
ציין את כתובת ה-IP של מכשיר זה ב- <כתובת מקומית>, וציין את כתובת ה-IP של עמית התקשורת ב- <כתובת מרוחקת>.
<כל כתובות ה-IP>
IPSec מיושם על כל מנות ה- IP שנשלחו והתקבלו.
<כתובת IPv4>
IPSec מיושם על מנות IP שנשלחות אל ומתקבלות מכתובת IPv4 של מכשיר זה.
<כתובת IPv6>
IPSec מיושם על מנות IP שנשלחות אל כתובת IPv6 של מכשיר זה ומתקבלות ממנה.
<כל כתובות ה-IPv4>
IPSec מיושם על מנות IP שנשלחות אל ומתקבלות מכתובת IPv4 של עמית התקשורת.
<כל כתובות ה-IPv6>
IPSec מיושם על מנות IP שנשלחות אל ומתקבלות מכתובת IPv6 של עמית התקשורת.
<הגדרות IPv4 ידניות>
ציין את כתובת ה- IPv4 על מנת להחיל אליה את IPSec.
בחר<כתובת יחידה> להזנת כתובת IPv4 יחידה.
בחר <טווח כתובות> לציון טווח כתובות IPv4. הזן כתובת נפרדת עבור <כתובת ראשונה> ו <כתובת אחרונה>.
בחר <הגדרות רשת משנה> כדי לציין טווח של כתובות IPv4 באמצעות מסיכת רשת משנה. הזן ערכים נפרדים עבור <כתובת> ו- <מסיכת רשת משנה>.
<הגדרות IPv6 ידניות>
ציין את כתובת ה- IPv6 על מנת להחיל אליה את IPSec.
בחר <כתובת יחידה> כדי להזין כתובת IPv6 אישית.
בחר <טווח כתובות> כדי לציין טווח כתובות IPv6. הזן כתובת נפרדת עבור <כתובת ראשונה> ו <כתובת אחרונה>.
בחר <ציון קידומת> לציון טווח כותבות IPv6 באמצעות קידומת. הזן ערכים נפרדים עבור <כתובת> ו- <אורך קידומת>.
3
ציין את היציאה אשר לה יש להחיל IPSec.
לחץ על <ציון לפי מספר יציאה> כדי להתשמש במספרי היציאות בעת ציון היציאות שהבהן יוחל ה-IPSec. בחר <כל היציאות> כדי להחיל IPSec לכל מספרי היציאה. כדי להחיל IPSec למספר יציאה ספציפי, לחץ על <יציאה יחידה> והזן את מספר היציאה. לאחר ציון היציאות, לחץ על <אישור>. ציין את היציאות של מכשיר זה ב- <יציאה מקומית>, וציין את היציאה עבור עמית התקשורת ב- <יציאה מרוחקת>.
לחץ על <ציון לפי שם שירות> כדי להתשמש בשמות השירות בעת ציון היציאות שהבהן יוחל ה-IPSec. בחר את השירות ברשימה, לחץ על <שירות מופעל/כבוי> כדי להגדירו כ- <מופעל>, ולחץ על <אישור>.
4
לחץ על <אישור>.
6
קביעת תצורת הגדרות אימות והצפנה
1
לחץ על <הגדרות IKE>.
2
קבע את ההגדרות הדרושות.
<מצב IKE>
בחר את מצב ההפעלה עבור פרוטוקול החלפת מפתחות. כאשר מצב ההפעלה מוגדר לאפשרות <ראשי>, האבטחה משופרת משום שזמן ההפעלה של ה-IKE עצמו מוצפן, אך העומס על התקשורת גדול יותר בהשוואה לאפשרות <אגרסיבי>, שבה אין הצפנה.
<תקפות>
הגדר את תאריך התפוגה של ה-IKE SA שהופק.
<שיטת אימות>
בחר באחת משיטות האימות המתוארות בהמשך.
<שיטת מפתח ששותפה מראש>
הגדר את ביטוי הסיסמה (מפתח ששותף מראש) שמוגדר עבור התקשורת עם העמית. לחץ על <מפתח משותף>, הזן את מחרוזת התווים שתשמש בתור מפתח משותף, ולחץ על <אישור>.
<שיטת חתימה דיגיטלית>
הגדר את המפתח ואת האישור לשימוש עבור ביצוע אימות הדדי עם עמית התקשורת. לחץ על <מפתח ואישור>, בחר את המפתח ואת האישור, ולחץ על <הגדר כמפתח ברירת מחדל>‏ <כן>‏ <אישור>.
<אלגוריתם אימות/הצפנה>
בחר <אוטו'> או <הגדרות ידניות> כדי להגדיר כיצד לציין את אלגוריתם האימות וההצפנה עבור IKE phase 1. אם תבחר ב- <אוטו'>, יוגדר אלגוריתם שניתן לשימוש הן על ידי מכשיר זה והן על ידי עמית התקשורת באופן אוטומטי. אם אתה מעוניין לציין אלגוריתם מסוים, בחר <הגדרות ידניות> וקבע את תצורת ההגדרות בהמשך.
<אימות>
בחר את אלגוריתם Hash.
<הצפנה>
בחר את אלגוריתם ההצפנה.
<קבוצת DH>
בחר את הקבוצה עבור שיטת החלפת המפתחות Diffie-Hellman כדי להגדיר את עוצמת המפתח.
3
לחץ על <אישור>.
כאשר <מצב IKE> מוגדר כ-<ראשי> במסך <הגדרות IKE> ו<שיטת אימות> מוגדר כ-<שיטת מפתח ששותפה מראש>, ההגבלות הבאות חלות בעת רישום מספר מדיניות אבטחה.
שיטת מפתח של מפתח ששותף מראש: בעת הגדרת כתובות IP מרוחקות מרובות שעליהן תחול מדיניות אבטחה, כל המפתחות ששותפו עבור אותה מדיניות אבטחה יהיו זהים (דבר זה לא יחול כאשר מוגדרת כתובת יחידה).
עדיפות: בעת ציון כתובות IP מרוחקות מרובות שעליהן תחול מדיניות אבטחה, העדיפות של אותה מדיניות נמוכה יותר מאשר סוגי מדיניות אבטחה שעבורן צוינה כתובת אחת.
7
קביעת תצורה של הגדרות תקשורת IPSec.
1
לחץ על <הגדרות רשת IPSec>.
2
קבע את ההגדרות הדרושות.
<תקפות>
הגדר את תאריך התפוגה של ה- IPSec SA שהופק. ודא כי <שעה> או <גודל> הוגדרו. אם תגדיר את שניהם, ההגדרה עם הערך שהושג קודם לכן תיושם.
<PFS>
אם תגדיר את הפונקציה Perfect Forward Secrecy (PFS) כ- <מופעל>, סודיות מפתח ההצפנה תהיה רבה יותר, אך התקשורת תהיה איטית יותר. בנוסף, יש לאפשר את פונקציית ה-PFS בהתקן התקשורת עם העמית.
<אלגוריתם אימות/הצפנה>
בחר <אוטו'> או <הגדרות ידניות> כדי להגדיר כיצד לציין את אלגוריתם האימות וההצפנה עבור IKE phase 2. אם תבחר <אוטו'>, אלגוריתם אימות והצפנת ESP יוגדר אוטומטית. אם תהיה מעוניין לציין שיטת אימות מסוימת, לחץ על <הגדרות ידניות> ובחר אחת משיטות האימות המתוארות בהמשך.
<ESP>
בוצע אימות והצפנה. בחר את האלגוריתם עבור <אימות ESP> ו- <הצפנת ESP>. בחר <NULL> אם אינך מעוניין להגדיר אלגוריתם אימות או הצפנה.
‎<ESP (AES-GCM)>‎
AES-GCM משמש כאלגוריתם ESP, ומבוצעים אימות והצפנה.
‎<AH (SHA1)>‎
מבוצע אימות, אך הנתונים לא מוצפנים. SHA1 משמש כאלגוריתם
3
לחץ על <אישור>‏ <אישור>.
8
אפשר את סוגי המדיניות הרשומים ובדוק את סדר העדיפויות.
בחר את סוגי המדיניות הרשומים מהרשימה, ולחץ על <מדיניות מופעלת/כבויה> כדי להגדירם כ- <מופעל>.
קווי המדיניות מוחלים לפי מיקומם ברשימה, החל מלמעלה. אם אתה מעוניין לשנות את סדר העדיפויות, בחר מדיניות ברשימה ולחץ על <העלה עדיפות> או <עדיפות נמוכה>.
אם אינך מעוניין לקבל או לשלוח מנות שלא תואמות את המדיניות, בחר <דחייה> עבור <קבלת מנות נתונים שאינן כפופות למדיניות>.
9
לחץ על <אישור>.
10
לחץ על  (הגדרות/רישום)‏  (הגדרות/רישום)‏ <החלת שינויי הגדרות>‏  <כן>.
ניהול פריטי מדיניות IPSec
ניתן לערוך פריטי מדיניות במסך שהוצג בשלב 3.
כדי לערוך פרטי מדיניות, בחר את המדיניות ברשימה ולחץ על <עריכה>.
כדי לבטל מדיניות, בחר את המדיניות ברשימה ולחץ על <מדיניות מופעלת/כבויה>.
כדי לבטל מדיניות, בחר את המדיניות ברשימה ולחץ על <מחיקה>‏  <כן>.
A137-0C3