Konfiguracija nastavitev IPSec

Če uporabljate IPSec, lahko tretjim osebam preprečite prestrezanje ali spreminjanje paketov IP, poslanih prek omrežja IP. Ker IPSec doda varnostne funkcije za IP, osnovno zbirko protokolov za internet, zagotavlja varnost, ki je neodvisna od načina uporabe ali konfiguracije omrežja. Če s to napravo komunicirate prek protokola IPSec, morate konfigurirati nastavitve, kot so parametri uporabe in algoritem za preverjanje pristnosti in šifriranje. Te nastavitve je mogoče konfigurirati samo s skrbniškimi pravicami.

Omogočanje komunikacije IPSec

Registriranje pravilnika


Način komunikacije Ta naprava podpira samo način prenosa za komunikacijo prek protokola IPSec. Preverjanje pristnosti in šifriranje se zato uporabita samo za podatke paketov IP. Protokol za izmenjavo ključev Ta naprava podpira internetno izmenjavo ključev različice 1 (IKEv1) za izmenjavo ključev glede na Internet Security Association and Key Management Protocol (ISAKMP). Za način preverjanja pristnosti nastavite način za vnaprej dogovorjen ključ ali način za digitalni podpis. Ko nastavljate način za vnaprej dogovorjen ključ, morate vnaprej izbrati geslo (vnaprej dogovorjen ključ), ki ga bosta uporabljala tiskalnik in naprava, s katero komunicira prek protokola IPSec. Če nastavite način digitalnega podpisa, uporabite potrdilo overitelja potrdil in ključ v obliki PKCS#12 ter potrdilo za vzajemno preverjanje pristnosti tiskalnika in naprave, ki komunicira prek protokola IPSec. Če želite več informacij o registriranju novih potrdil overitelja potrdil ali ključev/potrdil, glejte Registriranje ključa in potrdila za omrežno komunikacijo. Preden lahko naprava uporablja ta način, je treba za napravo konfigurirati SNTP. Izbira nastavitev za SNTP

Način komunikacije

Ta naprava podpira samo način prenosa za komunikacijo prek protokola IPSec. Preverjanje pristnosti in šifriranje se zato uporabita samo za podatke paketov IP.

Protokol za izmenjavo ključev

Ta naprava podpira internetno izmenjavo ključev različice 1 (IKEv1) za izmenjavo ključev glede na Internet Security Association and Key Management Protocol (ISAKMP). Za način preverjanja pristnosti nastavite način za vnaprej dogovorjen ključ ali način za digitalni podpis.

Ko nastavljate način za vnaprej dogovorjen ključ, morate vnaprej izbrati geslo (vnaprej dogovorjen ključ), ki ga bosta uporabljala tiskalnik in naprava, s katero komunicira prek protokola IPSec.

Če nastavite način digitalnega podpisa, uporabite potrdilo overitelja potrdil in ključ v obliki PKCS#12 ter potrdilo za vzajemno preverjanje pristnosti tiskalnika in naprave, ki komunicira prek protokola IPSec. Če želite več informacij o registriranju novih potrdil overitelja potrdil ali ključev/potrdil, glejte Registriranje ključa in potrdila za omrežno komunikacijo. Preden lahko naprava uporablja ta način, je treba za napravo konfigurirati SNTP. Izbira nastavitev za SNTP


Ne glede na nastavitev možnosti [Format Encryption Method to FIPS 140-2] za komunikacijo IPSec bo uporabljen modul šifriranja, ki je že pridobil potrdilo FIPS 140-2. Če želite, da je komunikacija prek protokola IPSec skladna s standardom FIPS 140-2, morate za komunikacijo prek protokola IPSec dolžino ključa za DH in RSA v omrežnem okolju, v katerem je naprava, nastaviti na 2048-bitno ali daljšo. V napravi je mogoče nastaviti samo dolžino ključa za DH. Zabeležite pri konfiguriranju okolja, saj v napravi ni nastavitev za RSA. Registrirate lahko do 10 varnostnih pravilnikov.

Ne glede na nastavitev možnosti [Format Encryption Method to FIPS 140-2] za komunikacijo IPSec bo uporabljen modul šifriranja, ki je že pridobil potrdilo FIPS 140-2.

Če želite, da je komunikacija prek protokola IPSec skladna s standardom FIPS 140-2, morate za komunikacijo prek protokola IPSec dolžino ključa za DH in RSA v omrežnem okolju, v katerem je naprava, nastaviti na 2048-bitno ali daljšo.

V napravi je mogoče nastaviti samo dolžino ključa za DH.

Zabeležite pri konfiguriranju okolja, saj v napravi ni nastavitev za RSA.

Registrirate lahko do 10 varnostnih pravilnikov.

Omogočanje komunikacije IPSec

Zaženite vmesnik Remote UI (Oddaljeni uporabniški vmesnik). Zagon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)

Na strani portala kliknite [Settings/Registration]. Zaslon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)

Kliknite [Network Settings]

[IPSec Settings].

Izberite [Use IPSec] in kliknite [OK].

Če želite prejeti samo pakete, ki so skladni z varnostnim pravilnikom, izberite [Reject] za [Receive Non-Policy Packets].

Registriranje pravilnika

Zaženite vmesnik Remote UI (Oddaljeni uporabniški vmesnik). Zagon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)

Na strani portala kliknite [Settings/Registration]. Zaslon vmesnika Remote UI (Oddaljeni uporabniški vmesnik)

Kliknite [Network Settings]

[IPSec Policy List].

Kliknite [Register New IPSec Policy].

Nastavite pravilnik.

[Policy Name]

Vnesite ime za prepoznavo pravilnika.

[Policy On/Off]

Izberite [On], če želite omogočiti registriran pravilnik.

[Only Allow 256-bit for AES Key Length]

Potrdite to polje, če želite dolžino ključa za način šifriranja AES omejiti na 256 bitov in zagotoviti skladnost s standardi preverjanja pristnosti CC.

Konfigurirajte parametre za način uporabe komunikacije prek protokola IPSec.

Kliknite [Selector Settings].

Navedite naslov IP, za katerega želite uporabiti pravilnik o komunikaciji prek protokola IPSec.

Naslov IP te naprave navedite v polje [Local Address], naslov IP naprave, s katero komunicira tiskalnik, pa v polje [Remote Address].

[All IP Addresses]	IPSec se uporabi za vse poslane in prejete pakete IP.
[IPv4 Address]	IPSec se uporabi za pakete IP, ki se pošljejo in prejmejo z naslova IPv4 te naprave.
[IPv6 Address]	IPSec se uporabi za pakete IP, ki se pošljejo in prejmejo z naslova IPv6 te naprave.
[All IPv4 Addresses]	IPSec se uporabi za pakete IP, ki se pošljejo in prejmejo z naslova IPv4 naprave, s katero komunicira tiskalnik.
[All IPv6 Addresses]	IPSec se uporabi za pakete IP, ki se pošljejo in prejmejo z naslova IPv6 naprave, s katero komunicira tiskalnik.
[IPv4 Manual Settings]	Navedite naslov IPv4, ki ga želite uporabiti za IPSec. Izberite [Single Address], če želite vnesti posamezni naslov IPv4. Izberite [Range Address], če želite vnesti obseg naslovov IPv4. V polji [First Address] in [Last Address] vnesite ločena naslova. Izberite [Subnet Settings], če želite vnesti obseg naslovov IPv4 z masko podomrežja. V polji [First Address] in [Subnet Settings] vnesite ločeni vrednosti.
[IPv6 Manual Settings]	Navedite naslov IPv6, ki ga želite uporabiti za IPSec. Izberite [Single Address], če želite vnesti posamezni naslov IPv6. Izberite [Range Address], če želite vnesti obseg naslovov IPv6. V polji [First Address] in [Last Address] vnesite ločena naslova. Izberite [Prefix Address], če želite vnesti obseg naslovov IPv6 s predpono. V polji [First Address] in [Prefix Length] vnesite ločeni vrednosti.

Navedite vrata, ki jih želite uporabiti za IPSec.

Izberite [Specify by Port Number], če želite pri določanju vrat, za katera se uporablja IPSec, uporabiti številke vrat. Izberite [All Ports], če želite IPSec uporabiti za vse številke vrat. Če želite IPSec uporabiti za določeno številko vrat, izberite [Single Port] in vnesite številko vrat. Vrata te naprave navedite v polje [Local Port], vrata naprave, s katero komunicira tiskalnik, pa v polje [Remote Port].

Če želite vrata, za katera želite uporabiti IPSec, določiti glede na ime storitve, izberite [Specify by Service Name] in izberite storitve, ki jih želite uporabiti.

Kliknite [OK].

Konfigurirajte nastavitve preverjanja pristnosti in šifriranja.

Kliknite [IKE Settings].

Konfigurirajte potrebne nastavitve.

[IKE Mode]

Izberite način delovanja za protokol za izmenjavo ključev. Varnost je večja, če izberete možnost [Main], saj je sama seja IKE šifrirana, vendar je hitrost seje manjša kot ob uporabi možnosti [Aggressive], ki ne šifrira celotne seje.

[Validity]

Nastavite obdobje veljavnosti generiranega SA za IKE.

[Authentication Method]

Izberite enega od načinov preverjanja pristnosti, opisanih spodaj.

[Pre-Shared Key Method]	Nastavite isto geslo (vnaprej dogovorjeno geslo), ki je nastavljeno za napravo, s katero komunicira tiskalnik. Izberite [Shared Key Settings], vnesite niz znakov, ki se bo uporabljal kot ključ v skupni rabi, in izberite [OK].
[Digital Signature Method]	Nastavite ključ in potrdilo, ki se uporabljata za vzajemno preverjanje pristnosti z napravo, s katero komunicira tiskalnik. Kliknite [Key and Certificate] in nato [Use] pri ključu, ki ga želite uporabiti.

[Authentication/Encryption Algorithm]

Izberite [Auto] ali [Manual Settings], če želite nastaviti način določanja preverjanja pristnosti in algoritma šifriranja za 1. korak protokola IKE. Če izberete [Auto], se samodejno nastavi algoritem, ki ga lahko uporabljata ta naprava in naprava, s katero komunicira. Če želite nastaviti določen algoritem, izberite [Manual Settings] in konfigurirajte spodnje nastavitve.

[Authentication]	Izberite razpršilni algoritem.
[Encryption]	Izberite algoritem kodiranja.
[DH Group]	Izberite skupino za način izmenjave ključev Diffie-Hellman za nastavitev moči ključa.

Kliknite [OK].


Če je možnost [IKE Mode] nastavljena na [Main] na zaslonu [IKE] in je možnost [Authentication Method] nastavljena na [Pre-Shared Key Method], pri registriranju več varnostnih pravilnikov veljajo naslednje omejitve. Način vnaprej dogovorjenega ključa: pri določanju več oddaljenih naslovov IP, za katere naj bi se uporabil varnostni pravilnik, so vsi ključi v skupni rabi identični (to ne velja, če je določen en naslov). Prednost: pri določanju več oddaljenih naslovov IP, za katere naj bi se uporabil varnostni pravilnik, je prednost tega varnostnega pravilnika manjša od varnostnih pravilnikov, za katere je določen en naslov.

Če je možnost [IKE Mode] nastavljena na [Main] na zaslonu [IKE] in je možnost [Authentication Method] nastavljena na [Pre-Shared Key Method], pri registriranju več varnostnih pravilnikov veljajo naslednje omejitve.

Način vnaprej dogovorjenega ključa: pri določanju več oddaljenih naslovov IP, za katere naj bi se uporabil varnostni pravilnik, so vsi ključi v skupni rabi identični (to ne velja, če je določen en naslov).

Prednost: pri določanju več oddaljenih naslovov IP, za katere naj bi se uporabil varnostni pravilnik, je prednost tega varnostnega pravilnika manjša od varnostnih pravilnikov, za katere je določen en naslov.

Konfigurirajte nastavitve komunikacije prek protokola IPSec.

Kliknite [IPSec Network Settings].

Konfigurirajte potrebne nastavitve.

[Validity]

Nastavite obdobje veljavnosti generiranega SA za IPSec. Nastaviti morate [Time] ali [Size]. Če nastavite oboje, se uporabi nastavitev z vrednostjo, ki je dosežena prva.

[PFS]

Če izberete [Use PFS], je zaupnost ključa za šifriranje večja, vendar je komunikacija počasnejša. Poleg tega mora biti v napravi, s katero komunicira vaša naprava, omogočena funkcija PFS (Perfect Forward Secrecy).

[Authentication/Encryption Algorithm]

Izberite [Auto] ali [Manual Settings], če želite nastaviti način določanja preverjanja pristnosti in algoritma šifriranja za 2. korak protokola IKE. Če izberete [Auto], sta preverjanje pristnosti ESP in algoritem šifriranja nastavljena samodejno. Če želite nastaviti določen način preverjanja pristnosti, izberite [Manual Settings] in izberite enega od spodnjih načinov preverjanja pristnosti.

[ESP]	Izvedeta se preverjanje pristnosti in šifriranje. Izberite algoritem za možnosti [ESP Authentication] in [ESP Encryption]. Izberite [NULL], če ne želite nastaviti preverjanja pristnosti in algoritma šifriranja.
[ESP (AES-GCM)]	AES-GCM se uporablja za algoritem ESP, izvedeta se preverjanje pristnosti in šifriranje.
[AH (SHA1)]	Izvede se preverjanje pristnosti, podatki pa niso šifrirani. Kot algoritem se uporablja SHA1.

Kliknite [OK].

Omogočite registrirane pravilnike in preverite vrstni red prednosti.

Pravilniki se uporabijo v navedenem vrstnem redu z vrha navzdol. Če želite spremeniti vrstni red prednosti, na seznamu izberite pravilnik in kliknite [Raise Priority] ali [Lower Priority].


Upravljanje pravilnikov IPSec Pravilnike lahko uredite na zaslonu, prikazanem v 4. koraku. Če želite urediti podrobnosti pravilnika, kliknite ime pravilnika na seznamu. Če želite onemogočiti pravilnik, kliknite ime pravilnika na seznamu izberite [Off] za [Policy On/Off] kliknite [OK]. Če želite izbrisati pravilnik, na seznamu izberite pravilnik kliknite [Delete] [OK]. Uporaba nadzorne plošče Komunikacijo IPSec lahko omogočite ali onemogočite tudi v meniju <Nastavitev> na zaslonu <Domov>. <IPSec nastavitve> Paketno uvažanje/paketno izvažanje To nastavitev lahko uvozite/izvozite z modeli, ki podpirajo paketno uvažanje te nastavitve. Uvoz in izvoz podatkov o nastavitvah Ta nastavitev je vključena v [Settings/Registration Basic Information] pri paketnem izvozu. Uvoz/izvoz vseh nastavitev

Upravljanje pravilnikov IPSec

Pravilnike lahko uredite na zaslonu, prikazanem v 4. koraku.

Če želite urediti podrobnosti pravilnika, kliknite ime pravilnika na seznamu.

Če želite onemogočiti pravilnik, kliknite ime pravilnika na seznamu

izberite [Off] za [Policy On/Off]

kliknite [OK].

Če želite izbrisati pravilnik, na seznamu izberite pravilnik

kliknite [Delete]

[OK].

Uporaba nadzorne plošče

Komunikacijo IPSec lahko omogočite ali onemogočite tudi v meniju <Nastavitev> na zaslonu <Domov>. <IPSec nastavitve>

Paketno uvažanje/paketno izvažanje

To nastavitev lahko uvozite/izvozite z modeli, ki podpirajo paketno uvažanje te nastavitve. Uvoz in izvoz podatkov o nastavitvah

Ta nastavitev je vključena v [Settings/Registration Basic Information] pri paketnem izvozu. Uvoz/izvoz vseh nastavitev