Konfiguriranje postavki za IPSec

Upotrebom opcije IPSec trećim stranama možete onemogućiti presretanje ili neovlašteni pristup IP paketima koji se prenose preko IP mreže. Budući da IPSec dodaje sigurnosne funkcije IP-u, osnovnom skupu protokola koji se upotrebljava za Internet, može omogućiti zaštitu koja je neovisna o aplikacijama ili mrežnoj konfiguraciji. Kako biste osigurali IPSec komunikaciju s ovim uređajem, morate konfigurirati postavke poput aplikacijskih parametara i algoritma za autentikaciju i enkripciju. Za konfiguriranje tih postavki nužne su ovlasti administratora ili mrežnog administratora.


Komunikacijski način rada Uređaj podržava samo način prijenosa za IPSec komunikaciju. Rezultat toga jest da se autentikacija i enkripcija primjenjuju samo na podatkovne dijelove IP paketa. Protokol razmjene ključeva Uređaj podržava Internet Key Exchange verzije 1 (IKEv1) za razmjenu ključeva temeljem standarda ISAKMP (Internet Security Association and Key Management Protocol). Za metodu autentikacije odaberite metodu unaprijed dijeljenog ključa ili metodu digitalnog potpisa. Prilikom postavljanja metode unaprijed dijeljenog ključa, morate unaprijed odabrati pristupni izraz (unaprijed dijeljeni ključ) koji se upotrebljava između uređaja i uređaja za IPSec komunikaciju. Prilikom postavljanja metode digitalnog potpisa, odaberite CA certifikat i ključ u formatu PKCS#12 i certifikat za međusobnu autentikaciju između uređaja i uređaja za IPSec komunikaciju. Više informacija o registraciji novih CA certifikata ili ključeva/certifikata potražite u odjeljku Registriranje ključa i certifikata za mrežnu razmjenu podataka. Napominjemo kako SNTP prije upotrebe te metode mora biti konfiguriran za uređaj. Podešavanje SNTP postavki

Komunikacijski način rada

Uređaj podržava samo način prijenosa za IPSec komunikaciju. Rezultat toga jest da se autentikacija i enkripcija primjenjuju samo na podatkovne dijelove IP paketa.

Protokol razmjene ključeva

Uređaj podržava Internet Key Exchange verzije 1 (IKEv1) za razmjenu ključeva temeljem standarda ISAKMP (Internet Security Association and Key Management Protocol). Za metodu autentikacije odaberite metodu unaprijed dijeljenog ključa ili metodu digitalnog potpisa.

Prilikom postavljanja metode unaprijed dijeljenog ključa, morate unaprijed odabrati pristupni izraz (unaprijed dijeljeni ključ) koji se upotrebljava između uređaja i uređaja za IPSec komunikaciju.

Prilikom postavljanja metode digitalnog potpisa, odaberite CA certifikat i ključ u formatu PKCS#12 i certifikat za međusobnu autentikaciju između uređaja i uređaja za IPSec komunikaciju. Više informacija o registraciji novih CA certifikata ili ključeva/certifikata potražite u odjeljku Registriranje ključa i certifikata za mrežnu razmjenu podataka. Napominjemo kako SNTP prije upotrebe te metode mora biti konfiguriran za uređaj. Podešavanje SNTP postavki


Bez obzira na postavljanje opcije <Format metode kriptiranja na FIPS 140-2> za IPSec komunikaciju, koristit će se modul za enkripciju s postojećim FIPS140-2 certifikatom. Kako biste osigurali usklađenost IPSec komunikacije sa standardom FIPS 140-2, u mrežnom okruženju kojemu uređaj pripada morate postaviti dužinu ključa za DH i RSA u IPSec komunikaciji na 2048 ili više bitova. S uređaja možete odrediti samo dužinu ključa za DH. Obratite pažnju prilikom konfiguriranja okruženja, jer uređaj ne sadrži postavke za RSA. Možete registrirati do 10 sigurnosnih pravila.

Bez obzira na postavljanje opcije <Format metode kriptiranja na FIPS 140-2> za IPSec komunikaciju, koristit će se modul za enkripciju s postojećim FIPS140-2 certifikatom.

Kako biste osigurali usklađenost IPSec komunikacije sa standardom FIPS 140-2, u mrežnom okruženju kojemu uređaj pripada morate postaviti dužinu ključa za DH i RSA u IPSec komunikaciji na 2048 ili više bitova.

S uređaja možete odrediti samo dužinu ključa za DH.

Obratite pažnju prilikom konfiguriranja okruženja, jer uređaj ne sadrži postavke za RSA.

Možete registrirati do 10 sigurnosnih pravila.

Pritisnite

(Postavke/Registr.).

Pritisnite <Vaše postavke>

<Mreža>

<IPSec postavke>.

Podesite <Koristi IPSec> na <Uključeno> i pritisnite <Registriraj>.

Odredite naziv pravila.

Pritisnite <Naziv pravila>, unesite naziv i pritisnite <OK>.

Višenamjenski pisači Canon kod AES metode enkripcije podržavaju dvije dužine ključeva: 128 i 256 bita. Kako biste ograničili dužinu ključa na 256 bita i ispunili standarde CC autentikacije, postavite <Dopusti samo 256-bit za dužinu AES ključa> na <Uključeno>.

Konfigurirajte parametre IPSec aplikacije.

Pritisnite <Postavke selektora>.

Odredite IP adresu na koju ćete primijeniti IPSec pravila.

Odredite IP adresu ovog uređaja u izborniku <Lokalna adresa> i odredite IP adresu uređaja za komunikaciju u izborniku <Udaljena adresa>.

<Sve IP adrese>	IPSec se primjenjuje na sve poslane i primljene IP pakete.
<IPv4 adresa>	IPSec se primjenjuje na IP pakete poslane i primljene s IPv4 adrese ovog uređaja.
<IPv6 adresa>	IPSec se primjenjuje na IP pakete poslane i primljene s IPv6 adrese ovog uređaja.
<Sve IPv4 adrese>	IPSec se primjenjuje na IP pakete poslane i primljene s IPv4 adrese uređaja za komunikaciju.
<Sve IPv6 adrese>	IPSec se primjenjuje na IP pakete poslane i primljene s IPv6 adrese uređaja za komunikaciju.
<Ručne IPv4 postavke>	Odredite IPv4 adresu na koju ćete primijeniti IPSec. Odaberite <Pojedinačna adresa> i unesite pojedinačnu IPv4 adresu. Odaberite <Raspon adresa> i odredite raspon IPv4 adresa. Unesite zasebnu adresu za <Prva adresa> i <Zadnja adresa>. Odaberite <Postavke podmreže> i odredite raspon IPv4 adresa pomoću maske podmreže. Unesite zasebne vrijednosti za <Adresa> i <Maska podmreže>.
<Ručne IPv6 postavke>	Odredite IPv6 adresu na koju ćete primijeniti IPSec. Odaberite <Pojedinačna adresa> i unesite pojedinačnu IPv6 adresu. Odaberite <Raspon adresa> i odredite raspon IPv6 adresa. Unesite zasebnu adresu za <Prva adresa> i <Zadnja adresa>. Odaberite <Definirajte prefiks> i odredite raspon IPv6 adresa pomoću prefiksa. Unesite zasebne vrijednosti za <Adresa> i <Dužina prefiksa>.

Odredite port na koji ćete primijeniti IPSec.

Pritisnite <Definiraj prema broju porta> za upotrebu brojeva portova prilikom određivanja portova na koje se IPSec odnosi. Odaberite <Svi portovi> kako biste IPSec primijenili na sve brojeve portova. Kako biste IPSec primijenili na određeni broj porta, pritisnite <Pojedinačni port> i unesite broj porta. Nakon određivanja portova pritisnite <OK>. Odredite port ovog uređaja u izborniku <Lokalni port> i odredite port uređaja za komunikaciju u izborniku <Udaljeni port>.

Pritisnite <Definiraj prema nazivu usluge> za upotrebu naziva servisa prilikom određivanja portova na koje se IPSec odnosi. Odaberite servis s popisa, pritisnite <Usluga uklj./isklj.> kako biste ga postavili na <Uključeno> i pritisnite <OK>.

Pritisnite <OK>.

Konfigurirajte postavke autentikacije i enkripcije.

Pritisnite <IKE postavke>.

Konfigurirajte neophodne postavke.

Odaberite način rada za protokol razmjene ključeva. Kada je radni način postavljen na <Glavni>, sigurnost je pojačana jer je sama IKE sesija šifrirana, ali je veći teret stavljen na komunikaciju u odnosu na <Agresivni> radni način, u kojem se šifriranje ne provodi.

Postavite razdoblje isteka generiranog IKE SA.

Odaberite jednu od metoda autentikacije opisanih u nastavku.

<Metoda unap. dijelj. ključa>	Postavite isti pristupni izraz (unaprijed dijeljeni ključ) koji je postavljen za uređaj za komunikaciju. Pritisnite <Dijeljeni ključ>, unesite niz znakova koji ćete upotrebljavati kao dijeljeni ključ i pritisnite <OK>.
<Metoda dig. potpisa>	Postavite ključ i certifikat za upotrebu i međusobnu autentikaciju s uređajem za komunikaciju. Pritisnite <Ključ i certifikat>, odaberite ključ i certifikat za upotrebu i pritisnite <Podesi kao standardni ključ> <Da> <OK>.

Odaberite <Auto> ili <Ručno podešavanje> i postavite kako odrediti algoritam kriptiranja i autentikacije za IKE, fazu 1. Ako odaberete <Auto>, algoritam koji može upotrebljavati ovaj uređaj i uređaj za komunikaciju postavit će se automatski. Ako želite odrediti određeni algoritam, odaberite <Ručno podešavanje> i konfigurirajte postavke u nastavku.

<Autentikacija>	Odaberite algoritam raspršivanja.
<Enkripcija>	Odaberite algoritam šifriranja.
<DH skupina>	Odaberite grupu za metodu razmjene ključeva Diffie-Hellman i postavite snagu ključa.

Pritisnite <OK>.


Ako za <IKE mod> odaberete vrijednost <Glavni> na zaslonu <IKE postavke>, a <Metoda autentikacije> postavite na <Metoda unap. dijelj. ključa>, vrijedit će sljedeća ograničenja prilikom registracije više sigurnosnih pravila. Metoda unap. dijelj. ključa: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, svi dijeljeni ključevi za to sigurnosno pravilo bit će identični (to se ne primjenjuje ako je određena jedna adresa). Prioritet: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, prioritet tog sigurnosnog pravila bit će ispod sigurnosnih pravila za koja je određena jedna adresa.

Ako za <IKE mod> odaberete vrijednost <Glavni> na zaslonu <IKE postavke>, a <Metoda autentikacije> postavite na <Metoda unap. dijelj. ključa>, vrijedit će sljedeća ograničenja prilikom registracije više sigurnosnih pravila.

Metoda unap. dijelj. ključa: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, svi dijeljeni ključevi za to sigurnosno pravilo bit će identični (to se ne primjenjuje ako je određena jedna adresa).

Prioritet: prilikom navođenja više udaljenih IP adresa na koje će se primijeniti sigurnosno pravilo, prioritet tog sigurnosnog pravila bit će ispod sigurnosnih pravila za koja je određena jedna adresa.

Konfigurirajte IPSec postavke komunikacije.

Pritisnite <IPSec mrežne postavke>.

Konfigurirajte neophodne postavke.

Postavite razdoblje valjanosti generiranog IPSec SA. Postavite <Vrijeme> ili <Format>. Ako postavite oboje, primjenjuje se postavka s vrijednošću koja je prva dosegnuta.

<PFS>

Ako za funkciju Perfect Forward Secrecy (PFS) odaberete <Uključeno>, tajnost ključa šifriranja raste, ali brzina komunikacije opada. Osim toga, funkciju PFS morate omogućiti na uređaju za komunikaciju.

Odaberite <Auto> ili <Ručno podešavanje> i postavite kako odrediti algoritam kriptiranja i autentikacije za IKE, fazu 2. Ako odaberete <Auto>, ESP algoritam kriptiranja i autentikacije postavit će se automatski. Ako želite odrediti konkretnu metodu autentikacije, pritisnite <Ručno podešavanje> i odaberite jednu od metoda autentikacije u nastavku.

<ESP>	Izvršit će se autentikacija i enkripcija. Odaberite algoritam za <ESP autentikacija> i <ESP kriptiranje>. Odaberite <NULL> ako ne želite postaviti algoritam autentikacije ili kriptiranja.
<ESP (AES-GCM)>	AES-GCM se koristi kao ESP algoritam, a provode se autentikacija i enkripcija.
<AH (SHA1)>	Provodi se autentikacija, ali ne i enkripcija podataka. SHA1 se koristi kao algoritam.

Pritisnite <OK>

<OK>.

Omogućite registrirana pravila i provjerite redoslijed prioriteta.

Odaberite registrirana pravila s popisa i pritisnite <Pravilo uklj./isklj.> kako biste odabrali vrijednost <Uključeno>.

Pravila se primjenjuju redoslijedom kojim su navedena, počevši od vrha. Ako želite promijeniti redoslijed prioriteta, odaberite pravila s popisa i pritisnite <Podigni prioritet> ili <Niži prioritet>.

Ako ne želite slati ili primati pakete koji ne odgovaraju pravilima, odaberite <Odbij> za <Primanje paketa bez pravila>.

Pritisnite <OK>.

Pritisnite

(Postavke/Registr.)

<Prim.podeš.promj.>

<Da>.


Upravljanje IPSec pravilima Možete uređivati pravila na zaslonu koji je prikazan u 3. koraku. Kako biste uredili pojedinosti pravila, odaberite pravilo s popisa i pritisnite <Uredi>. Kako biste onemogućili pravilo, odaberite pravilo s popisa i pritisnite <Pravilo uklj./isklj.>. Kako biste izbrisali pravilo, odaberite pravilo s popisa i pritisnite <Izbriši> <Da>.

Konfiguriranje postavki za IPSec

Komunikacijski način rada

Protokol razmjene ključeva

Upravljanje IPSec pravilima