Configurarea setărilor IPSec

Utilizând IPSec, puteți împiedica terții să intercepteze sau să modifice pachetele IP transportate prin rețeaua IP. Deoarece IPSec adaugă funcții de securitate la IP (o suită de protocoale de bază folosite pentru Internet), poate oferi o securitate care este independentă de aplicații sau de configurația rețelei. Pentru a efectua comunicarea IPSec cu acest aparat, trebuie să configurați setări precum parametrii de aplicație și algoritmul pentru autentificare și criptare. Pentru configurarea acestor setări sunt necesare privilegii de Administrator sau de NetworkAdmin.
Modul de comunicație
Acest aparat acceptă doar modul de transport pentru comunicarea IPSec. Drept urmare, autentificarea și criptarea se aplică numai porțiunilor de date ale pachetelor IP.
Protocol schimbare parolă
Acest aparat acceptă Internet Key Exchange versiunea 1 (IKEv1) pentru schimbul de chei bazat pe Internet Security Association and Key Management Protocol (ISAKMP). Pentru metoda de autentificare, setați metoda cheii pre-partajate sau metoda semnăturii digitale.
Când setați metoda cheii pre-partajate, trebuie să stabiliți în prealabil o expresie de acces (cheie pre-partajată), care este utilizată între aparat și perechea de comunicare IPSec.
Când setați metoda semnăturii digitale, utilizați un certificat CA și o cheie și un certificat de format PKCS#12 pentru a efectua autentificarea reciprocă între aparat și perechea de comunicare IPSec. Pentru mai multe informații despre înregistrarea de noi certificate CA sau chei/certificate, consultați Înregistrarea unei chei și a unui certificat pentru comunicarea în rețea. Rețineți că SNTP trebuie configurat pentru aparat înainte de a utiliza această metodă. Efectuarea setărilor SNTP
Indiferent de setarea opțiunii <Metoda criptare format conform FIPS 140-2> pentru comunicația IPSec, va fi utilizat un modul de criptare care a obținut deja certificarea FIPS140-2.
Pentru a face comunicația IPSec conformă cu FIPS 140-2, trebuie să setați lungimea cheii atât pentru DH cât și pentru RSA pentru comunicația IPSec la 2048 de biți sau mai mult în mediul de rețea căruia îi aparține aparatul.
Doar lungimea cheii pentru DH poate fi specificată de la aparat.
Țineți cont de acest lucru când configurați mediul dumneavoastră, deoarece în aparat nu există setări pentru RSA.
Puteți să înregistrați până la 10 politici de securitate.
1
Apăsați  (Setări/Înregistr.).
2
Apăsați <Preferinţe>  <Reţea>  <Setări TCP/IP>  <Setări IPSec>.
3
Setați <Foloseşte IPSec> la <Pornit> și apăsați <Înregistrare>.
4
Specificați un nume pentru politică.
Apăsați <Nume regulă>, introduceți numele și apăsați <OK>.
Imprimantele multifuncționale Canon acceptă două lungimi de chei pentru metoda de criptare AES: 128 de biți și 256 de biți. Pentru a restricționa lungimea cheii la 256 de biți și a respecta standardele de autentificare CC, setați opțiunea <Permite doar 256-bit pentru Lung. cheie AES> la <Pornit>.
5
Configurați parametrii de aplicație IPSec.
1
Apăsați <Setări selector>.
2
Specificați adresa IP la care să se aplice politica IPSec.
Specificați adresa IP a acestui aparat în <Adresa locală> și specificați adresa IP a perechii de comunicare în <Adresa la distanţă>.
<Toate adrese IP>
IPSec se aplică tuturor pachetelor IP trimise și primite.
<Adresa IPv4>
IPSec se aplică pachetelor IP trimise către și primite de la adresa IPv4 a acestui aparat.
<Adresa IPv6>
IPSec se aplică pachetelor IP trimise către și primite de la adresa IPv6 a acestui aparat.
<Toate adr. IPv4>
IPSec se aplică pachetelor IP trimise către și primite de la adresa IPv4 a perechii de comunicare.
<Toate adr. IPv6>
IPSec se aplică pachetelor IP trimise către și primite de la adresa IPv6 a perechii de comunicare.
<Setări man. IPv4>
Specificați adresa IPv4 la care să se aplice IPSec.
Selectați <Adresă unică> pentru a introduce o adresă IPv4 individuală.
Selectați <Gamă adrese> pentru a specifica un interval de adrese IPv4. Introduceți câte o adresă separată pentru <Prima adresă> și <Ultima Adresă>.
Selectați <Setări subreţea> pentru a specifica un interval de adrese IPv4 utilizând o mască de subrețea. Introduceți valori separate pentru <Adresa> și <Mască subreţea>.
<Setări man. IPv6>
Specificați adresa IPv6 la care să se aplice IPSec.
Selectați <Adresă unică> pentru a introduce o adresă IPv6 individuală.
Selectați <Gamă adrese> pentru a specifica un interval de adrese IPv6. Introduceți câte o adresă separată pentru <Prima adresă> și <Ultima Adresă>.
Selectați <Specificare prefix> pentru a specifica un interval de adrese IPv6 utilizând un prefix. Introduceți valori separate pentru <Adresa> și <Lungime prefix>.
3
Specificați portul la care să se aplice IPSec.
Apăsați <Specif. după număr de port> pentru a utiliza numerele de porturi când specificați porturile la care se aplică IPSec. Selectați <Toate porturile> pentru a aplica IPSec la toate numerele de porturi. Pentru a aplica IPSec la un anumit număr de port, apăsați <Port unic> și introduceți numărul portului. După ce specificați porturile, apăsați <OK>. Specificați portul acestui aparat în <Port local> și specificați portul perechii de comunicare în <Port la distanţă>.
Apăsați <Specif. după nume service> pentru a utiliza nume de servicii când specificați porturile la care se aplică IPSec. Selectați serviciul din listă, apăsați <Service Pornit/Oprit> pentru a-l seta la <Pornit> și apăsați <OK>.
4
Apăsați <OK>.
6
Configurați setările de autentificare și de criptare.
1
Apăsați <Setări IKE>.
2
Configurați setările necesare.
<Mod IKE>
Selectați modul de operare pentru protocolul de schimbare a cheilor. Când modul de operare este setat la <Principal>, securitatea este îmbunătățită, deoarece sesiunea IKE însăși este criptată, dar comunicațiile sunt mai intens solicitate decât în cazul opțiunii <Agresiv>, care nu efectuează criptare.
<Validitate>
Setați perioada de expirare pentru valorile IKE SA generate.
<Metoda autentificare>
Selectați una dintre metodele de autentificare descrise mai jos.
<Met.cu cheie pre-partaj.>
Setați aceeași expresie de acces (cheie pre-partajată) care este setată pentru perechea de comunicare. Apăsați <Cheie partajată>, introduceți șirul de caractere de utilizat drept cheie partajată și apăsați <OK>.
<Metoda cu semnăt.digit.>
Setați cheia și certificatul de utilizat pentru autentificarea reciprocă cu perechea de comunicare. Apăsați <Cheie şi Certificat>, selectați cheia și certificatul de utilizat și apăsați <Setare ca şi cheie implicită>  <Da>  <OK>.
<Algoritm Autentificare/Criptare>
Selectați fie <Auto>, fie <Setări manuale> pentru a seta modul de specificare a algoritmului de autentificare și criptare IKE faza 1. Dacă selectați <Auto>, este setat automat un algoritm care poate fi utilizat atât de aparat, cât și de perechea de comunicare. Dacă doriți să specificați un algoritm particular, selectați <Setări manuale> și configurați setările de mai jos.
<Autentificare>
Selectați algoritmul hash.
<Criptare>
Selectați algoritmul de criptare.
<Grup DH>
Selectați grupul pentru metoda Diffie-Hellman de schimbare a cheilor pentru a seta puterea cheii.
3
Apăsați <OK>.
Când opțiunea <Mod IKE> este setată la <Principal> pe ecranul <Setări IKE> și opțiunea <Metoda autentificare> este setată la <Met.cu cheie pre-partaj.>, următoarele restricții se aplică atunci când înregistrați mai multe politici de securitate.
Cheia la metoda cu cheie per-partajată: atunci când specificați mai multe adrese IP la distanță la care trebuie aplicată o politică de securitate, toate cheile partajate pentru acea politică de securitate sunt identice (acest lucru nu se aplică atunci când este specificată o singură adresă).
Prioritate: atunci când specificați mai multe adrese IP la distanță la care trebuie aplicată o politică de securitate, prioritatea acelei politici de securitate este sub politicile de securitate pentru care este specificată o singură adresă.
7
Configurați setările de comunicare IPSec.
1
Apăsați <Setări reţea IPSec>.
2
Configurați setările necesare.
<Validitate>
Setați perioada de expirare pentru valorile IPSec SA generate. Aveți grijă să setați fie <Ora>, fie <Format>. Dacă le setați pe ambele, se aplică setarea a cărei valoare este atinsă prima.
<PFS>
Dacă setați funcția Perfect Forward Secrecy (PFS) la <Pornit>, secretul cheii de criptare este mărit, dar viteza de comunicare este mai mică. În plus, funcția PFS trebuie activată pe dispozitivul de comunicare pereche.
<Algoritm Autentificare/Criptare>
Selectați fie <Auto>, fie <Setări manuale> pentru a seta modul de specificare a algoritmului de autentificare și criptare IKE faza 2. Dacă selectați <Auto>, algoritmul de autentificare și criptare ESP este setat automat. Dacă doriți să specificați o metodă de autentificare particulară, apăsați <Setări manuale> și selectați una dintre metodele de autentificare de mai jos.
<ESP>
Autentificarea și criptarea sunt ambele efectuate. Selectați algoritmul pentru <Autentificare ESP> și <Criptare ESP>. Selectați <NULL> dacă nu doriți să setați algoritmul de autentificare sau de criptare.
<ESP (AES-GCM)>
AES-GCM se utilizează ca algoritmul ESP și se efectuează atât autentificarea, cât și criptarea.
<AH (SHA1)>
Se efectuează autentificarea, dar datele nu sunt criptate. SHA1 se utilizează ca algoritm.
3
Apăsați <OK> <OK>.
8
Activați politicile înregistrate și verificați ordinea de prioritate.
Selectați politicile înregistrate din listă și apăsați <Politică P/O> pentru a le seta la <Pornit>.
Politicile sunt aplicate în ordinea în care sunt listate, începând din partea de sus. Dacă doriți să schimbați ordinea de prioritate, selectați o politică din listă și apăsați <Ridică priorit> sau <Scade priorit>.
Dacă nu doriți să trimiteți sau să primiți pachete care nu corespund politicilor, selectați <Respinge> pentru <Recepţ. pachete fără politici>.
9
Apăsați <OK>.
10
Apăsați  (Setări/Înregistr.)  (Setări/Înregistr.) <Aplicaţi Mdfct.Set.>  <Da>.
Gestionarea politicilor IPSec
Puteți edita politicile pe ecranul afișat la pasul 3.
Pentru a edita detaliile unei politici, selectați politica din listă și apăsați <Editare>.
Pentru a dezactiva o politică, selectați politica din listă și apăsați <Politică P/O>.
Pentru a șterge o politică, selectați politica din listă și apăsați <Şterge>  <Da>.
A13W-0C3