پیکربندی تنظیمات IPSec

با استفاده از IPSec، می‌توانید مانع از رهگیری یا دستکاری بسته‌های IP منتقل شده ازطریق شبکه IP توسط اشخاص ثالث شوید. از آنجایی که IPSec عملکردهای امنیتی به IP اضافه می‌کنند (مجموعه پروتکل پایه استفاده شده برای اینترنت)، می‌تواند امنیتی ارائه دهد که مستقل از پیکربندی برنامه‌ها یا شبکه است. برای برقراری ارتباط IPSec با این دستگاه، باید تنظیماتی مانند پارامترهای برنامه و الگوریتم برای تأیید اعتبار و رمزگذاری را پیکربندی کنید. امتیازهای سرپرست یا NetworkAdmin برای پیکربندی این تنظیمات الزامی است.


حالت ارتباط این دستگاه فقط از حالت انتقال برای ارتباط IPSec پشتیبانی می‌کند. در نتیجه، تأیید اعتبار و رمزگذاری فقط بر بخش‌های داده مربوط به بسته‌های IP اعمال می‌شود. پروتکل تبادل کلید این دستگاه از تبادل کلید اینترنت نسخه 1 (IKEv1) برای تبادل کلیدها براساس انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP) پشتیبانی می‌کند. برای روش تأیید اعتبار، روش کلید از قبل به اشتراک گذاشته شده یا روش امضای دیجیتال را تنظیم کنید. هنگام تنظیم روش کلید از قبل به اشتراک گذاشته شده، باید از قبل عبارت عبوری (کلید از قبل به اشتراک گذاشته شده) در نظر بگیرید که بین جفت ارتباط دستگاه و IPSec استفاده می‌شود. هنگام تنظیم روش امضای دیجیتال، از کلید و گواهی قالب گواهی CA و PKCS#12 استفاده کنید تا تأیید اعتبار دوجانبه‌ای بین جفت ارتباط دستگاه و IPSec انجام شود. برای اطلاعات بیشتر درباره ثبت گواهی‌های CA جدید یا کلیدها/گواهی‌ها، به ثبت یک کلید و گواهی برای ارتباط شبکه بروید. توجه داشته باشید که قبل از استفاده از این روش، باید SNTP برای دستگاه پیکربندی شود. انجام تنظیمات SNTP

حالت ارتباط

این دستگاه فقط از حالت انتقال برای ارتباط IPSec پشتیبانی می‌کند. در نتیجه، تأیید اعتبار و رمزگذاری فقط بر بخش‌های داده مربوط به بسته‌های IP اعمال می‌شود.

پروتکل تبادل کلید

این دستگاه از تبادل کلید اینترنت نسخه 1 (IKEv1) برای تبادل کلیدها براساس انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP) پشتیبانی می‌کند. برای روش تأیید اعتبار، روش کلید از قبل به اشتراک گذاشته شده یا روش امضای دیجیتال را تنظیم کنید.

هنگام تنظیم روش کلید از قبل به اشتراک گذاشته شده، باید از قبل عبارت عبوری (کلید از قبل به اشتراک گذاشته شده) در نظر بگیرید که بین جفت ارتباط دستگاه و IPSec استفاده می‌شود.

هنگام تنظیم روش امضای دیجیتال، از کلید و گواهی قالب گواهی CA و PKCS#12 استفاده کنید تا تأیید اعتبار دوجانبه‌ای بین جفت ارتباط دستگاه و IPSec انجام شود. برای اطلاعات بیشتر درباره ثبت گواهی‌های CA جدید یا کلیدها/گواهی‌ها، به ثبت یک کلید و گواهی برای ارتباط شبکه بروید. توجه داشته باشید که قبل از استفاده از این روش، باید SNTP برای دستگاه پیکربندی شود. انجام تنظیمات SNTP


صرف نظر از تنظیم <Format Encryption Method to FIPS 140-2> برای ارتباط IPSec، ماژول رمزگذاری که قبلاً گواهی FIPS140-2 کسب کرده است، استفاده خواهد شد. برای اینکه ارتباط IPSec را به گونه‌ای تنظیم کنید که از FIPS 140-2 پیروی کند، باید طول کلید DH و RSA را برای ارتباط IPSec تا 2048 بیت یا بیشتر در محیط شبکه که دستگاه به آن تعلق دارد، تنظیم کنید. فقط طول کلید برای DH را می‌توان از دستگاه مشخص کرد. هنگام پیکربندی محیط مراقب باشید زیرا هیچ تنظیمی برای RSA در دستگاه وجود ندارد. می‌توانید تا 10 خط مشی امنیتی ثبت کنید.

صرف نظر از تنظیم <Format Encryption Method to FIPS 140-2> برای ارتباط IPSec، ماژول رمزگذاری که قبلاً گواهی FIPS140-2 کسب کرده است، استفاده خواهد شد.

برای اینکه ارتباط IPSec را به گونه‌ای تنظیم کنید که از FIPS 140-2 پیروی کند، باید طول کلید DH و RSA را برای ارتباط IPSec تا 2048 بیت یا بیشتر در محیط شبکه که دستگاه به آن تعلق دارد، تنظیم کنید.

فقط طول کلید برای DH را می‌توان از دستگاه مشخص کرد.

هنگام پیکربندی محیط مراقب باشید زیرا هیچ تنظیمی برای RSA در دستگاه وجود ندارد.

می‌توانید تا 10 خط مشی امنیتی ثبت کنید.

(Settings/Register‎) را فشار دهید.

<Preferences>‏

<Network>‏

<TCP/IP Settings>‏

<IPSec Settings> را فشار دهید.

<Use IPSec> را روی <On> تنظیم نمایید و <Register> را فشار دهید.

نامی برای خط مشی مشخص کنید.

<Policy Name> را فشار دهید، نام را وارد کنید و <OK> را فشار دهید.

چاپگرهای چند منظوره Canon از دو طول کلید برای روش رمزگذاری AES پشتیبانی می‌کنند: 128 بیت و 256 بیت. برای محدود کردن طول کلید به 256 بیت و پیروی از استانداردهای تأیید اعتبار CC،<Only Allow 256-bit for AES Key Length> را روی <On> تنظیم کنید.

پارامترهای برنامه IPSec را پیکربندی کنید.

روی <Selector Settings> فشار دهید.

آدرس IP را مشخص کنید تا خط مشی IPSec را روی آن اعمال کنید.

آدرس IP این دستگاه را در <Local Address> مشخص کنید و آدرس IP جفت ارتباط را در <Remote Address> مشخص کنید.

<All IP Addresses>	IPSec را روی همه بسته‌های IP ارسال شده و دریافت شده اعمال می‌شود.
<IPv4 Address>	IPSec روی بسته‌های IP ارسال شده به و دریافت شده از آدرس IPv4 این دستگاه اعمال می‌شود.
<IPv6 Address>	IPSec روی بسته‌های IP ارسال شده به و دریافت شده از آدرس IPv6 این دستگاه اعمال می‌شود.
<All IPv4 Addresses>	IPSec روی بسته‌های IP ارسال شده به و دریافت شده از آدرس IPv4 جفت ارتباط اعمال می‌شود.
<All IPv6 Addresses>	IPSec روی بسته‌های IP ارسال شده به و دریافت شده از آدرس IPv6 جفت ارتباط اعمال می‌شود.
<IPv4 Manual Settings>	آدرس IPv4 را مشخص کنید تا IPSec را روی آن اعمال کنید. <Single Address> را انتخاب کنید تا یک آدرس IPv4 وارد کنید. <Address Range> را انتخاب کنید تا محدوده آدرس‌های IPv4 را مشخص کنید. آدرس مجزایی برای <First Address> و <Last Address> وارد کنید. <Subnet Settings> را انتخاب کنید تا با استفاده از پوشش شبکه فرعی، محدوده آدرس‌های IPv4 را مشخص کنید. مقادیر مجزایی برای <Address> و <Subnet Mask> وارد کنید.
<IPv6 Manual Settings>	آدرس IPv6 را مشخص کنید تا IPSec را روی آن اعمال کنید. <Single Address> را انتخاب کنید تا یک آدرس IPv6 وارد کنید. <Address Range> را انتخاب کنید تا محدوده آدرس‌های IPv6 را مشخص کنید. آدرس مجزایی برای <First Address> و <Last Address> وارد کنید. <Specify Prefix> را انتخاب کنید تا با استفاده از پیشوند، محدوده آدرس‌های IPv6 را مشخص کنید. مقادیر مجزایی برای <Address> و <Prefix Length> وارد کنید.

درگاه را مشخص کنید تا IPSec را روی آن اعمال کنید.

<Specify by Port Number> را فشار دهید تا هنگام مشخص کردن درگاه‌هایی که IPSec روی آنها اعمال می‌شود، از شماره درگاه استفاده کنید. برای اعمال IPSec روی همه شماره درگاه‌ها، <All Ports> را انتخاب کنید. برای اعمال IPSec روی شماره درگاهی خاص، <Single Port> را فشار دهید و شماره درگاه را وارد کنید. بعد از مشخص کردن درگاه‌ها، <OK> را فشار دهید. درگاه این دستگاه را در <Local Port> مشخص کنید و درگاه جفت ارتباط را در <Remote Port> مشخص کنید.

<Specify by Service Name> را فشار دهید تا هنگام مشخص کردن درگاه‌هایی که IPSec روی آنها اعمال می‌شود، از نام سرویس‌ها استفاده کنید. سرویس را در لیست انتخاب کنید و <Service On/Off> را فشار دهید تا آن را روی <On> تنظیم کنید و <OK> را فشار دهید.

روی <OK> فشار دهید.

تنظیمات تأیید اعتبار و رمزگذاری را پیکربندی کنید.

روی <IKE Settings> فشار دهید.

تنظیمات لازم را پیکربندی کنید.

حالت عملیات را برای پروتکل تبادل انتخاب کنید. وقتی حالت عملیات روی <Main> قرار داده شد، امنیت افزایش می‌یابد زیرا خود جلسه IKE رمزگذاری شده است، ولی فشار بیشتری بر ارتباطات در مقایسه با <Aggressive> که رمزگذاری انجام نمی‌دهد، وارد می‌آورد.

دوره انقضای IKE SA ایجادشده را وارد کنید.

یکی از روش‌های تأیید اعتبار توضیح داده شده در زیر را انتخاب کنید.

<Pre-Shared Key Method>	همان عبارت عبوری را (کلید از قبل به اشتراک گذاشته شده) تنظیم کنید که برای جفت ارتباط تنظیم شده است. <Shared Key> را فشار دهید، رشته نویسه را برای استفاده به‌عنوان کلید به اشتراک گذاشته شده وارد کنید و <OK> را فشار دهید.
<Digital Sig. Method>	کلید و گواهی را تنظیم کنید تا برای تأیید اعتبار دوجانبه با جفت ارتباط استفاده شود. <Key and Certificate> را فشار دهید، کلید و گواهی را برای استفاده انتخاب کنید و <Set as Default Key>‏ <Yes>‏ <OK> را فشار دهید.

<Auto> یا <Manual Settings> را انتخاب کنید تا نحوه مشخص کردن الگوریتم تأیید اعتبار و رمزگذاری برای فاز 1 IKE را مشخص کنید. اگر <Auto> را انتخاب کنید، الگوریتمی که می‌توان با این دستگاه و جفت ارتباط استفاده کرد، به طور خودکار تنظیم می‌شود. اگر می‌خواهید الگوریتم خاصی را مشخص کنید، <Manual Settings> را انتخاب کنید و تنظیمات زیر را پیکربندی کنید.

<Authentication>	الگوریتم هش را انتخاب کنید.
<Encryption>	الگوریتم رمزگذاری را انتخاب کنید.
<DH Group>	گروه را برای روش تبادل کلید Diffie-Hellman انتخاب کنید تا طول کلید را تنظیم کنید.

روی <OK> فشار دهید.


وقتی <IKE Mode> روی <Main> در صفحه <IKE Settings> تنظیم می‌شود و <Authentication Method> روی <Pre-Shared Key Method> تنظیم می‌شود، محدودیت‌های زیر هنگام ثبت چند خط مشی امنیتی اعمال می‌شوند. کلید روش کلید از قبل به اشتراک گذاشته شده: هنگام مشخص کردن چند آدرس IP از راه دور که خط مشی امنیتی روی آن اعمال می‌شود، همه کلیدهای به اشتراک گذاشته شده برای آن خط مشی امنیتی مشابه هستند (این مورد هنگام مشخص کردن یک آدرس اعمال نمی‌شود). اولویت: هنگام مشخص کردن چند آدرس IP از راه دور که خط مشی امنیتی روی آن اعمال می‌شود، اولویت آن خط مشی امنیتی زیر خط مشی‌های امنیتی است که تک آدرسی برای آن مشخص می‌شود.

وقتی <IKE Mode> روی <Main> در صفحه <IKE Settings> تنظیم می‌شود و <Authentication Method> روی <Pre-Shared Key Method> تنظیم می‌شود، محدودیت‌های زیر هنگام ثبت چند خط مشی امنیتی اعمال می‌شوند.

کلید روش کلید از قبل به اشتراک گذاشته شده: هنگام مشخص کردن چند آدرس IP از راه دور که خط مشی امنیتی روی آن اعمال می‌شود، همه کلیدهای به اشتراک گذاشته شده برای آن خط مشی امنیتی مشابه هستند (این مورد هنگام مشخص کردن یک آدرس اعمال نمی‌شود).

اولویت: هنگام مشخص کردن چند آدرس IP از راه دور که خط مشی امنیتی روی آن اعمال می‌شود، اولویت آن خط مشی امنیتی زیر خط مشی‌های امنیتی است که تک آدرسی برای آن مشخص می‌شود.

تنظیمات ارتباط IPSec را پیکربندی کنید.

روی <IPSec Network Settings> فشار دهید.

تنظیمات لازم را پیکربندی کنید.

دوره انقضای IPSec SA ایجادشده را وارد کنید. حتماً <Time> یا <Size> را تنظیم کنید. اگر هر دو را وارد کنید، تنظیماتی که تاریخ آن اول برسد، اعمال خواهد شد.

<PFS>

اگر عملکرد Perfect Forward Secrecy (PFS) را روی <On> تنظیم کنید، محرمانه بودن کلید رمزگذاری افزایش پیدا می‌کند اما سرعت ارتباط کمتر می‌شود. به علاوه، عملیات PFS را باید در دستگاه جفت ارتباط فعال کرد.

<Auto> یا <Manual Settings> را انتخاب کنید تا نحوه مشخص کردن الگوریتم تأیید اعتبار و رمزگذاری برای فاز 2 IKE را مشخص کنید. اگر <Auto> را انتخاب کنید، الگوریتم تأیید اعتبار و رمزگذاری ESP به طور خودکار تنظیم می‌شود. اگر می‌خواهید روش تأیید اعتبار خاصی را مشخص کنید، <Manual Settings> را فشار دهید و یکی از روش‌های تأیید اعتبار زیر را انتخاب کنید.

<ESP>	تأیید اعتبار و رمزگذاری هر دو اجرا می‌شوند. الگوریتم را برای <ESP Authentication> و <ESP Encryption> انتخاب کنید. اگر نمی‌خواهید الگوریتم تأیید اعتبار و رمزگذاری را تنظیم کنید، <NULL> را انتخاب کنید.
‎<ESP (AES-GCM)>‎	از AES-GCM به‌عنوان الگوریتم ESP استفاده می‌شود و تأیید اعتبار و رمزگذاری هر دو اجرا می‌شوند.
‎<AH (SHA1)>‎	تأیید اعتبار اجرا می‌شود اما داده رمزگذاری نمی‌شود. از SHA1 به‌عنوان الگوریتم استفاده می‌شود.

<OK‎>‏

<OK‎> را فشار دهید.

سیاست‌های ثبت شده را فعال کنید و ترتیب اولویت‌ها را بررسی کنید.

سیاست‌های ثبت شده را از لیست انتخاب کنید، و <Policy On/Off> را فشار دهید تا آنها را <On> کنید.

سیاست‌ها به ترتیبی که لیست شده اند، اعمال می‌شوند که از بالای لیست شروع می‌شود. اگر می‌خواهید ترتیب اولویت‌ها را تغییر دهید، سیاستی را در لیست انتخاب کنید و <Raise Priority> یا <Lower Priority> را فشار دهید.

اگر نمی‌خواهید بسته‌هایی که با سیاست‌ها مطابقت ندارند را ارسال یا دریافت کنید، <Reject> برای <Receive Non-Policy Packets> را انتخاب کنید.

روی <OK> فشار دهید.

(Settings/Register)‏

<Apply Set. Chng.‎>‏

<Yes> را فشار دهید.


مدیریت کردن سیاست‌های IPSec می‌توانید سیاست‌هایی که در صفحه مرحله 3 نشان داده می‌شوند را ویرایش کنید. برای ویرایش جزییات یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Edit> را فشار دهید. برای غیرفعال کردن یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Policy On/Off> را فشار دهید. برای حذف یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Delete>‏ <Yes> را فشار دهید.

مدیریت کردن سیاست‌های IPSec

می‌توانید سیاست‌هایی که در صفحه مرحله 3 نشان داده می‌شوند را ویرایش کنید.

برای ویرایش جزییات یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Edit> را فشار دهید.

برای غیرفعال کردن یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Policy On/Off> را فشار دهید.

برای حذف یک سیاست، سیاست موردنظر را از لیست انتخاب کنید و <Delete>‏

<Yes> را فشار دهید.