IPSecin käyttö
Käytä IP Security Protocol (IPSec) -protokollaa estääksesi IP-verkon kautta lähetettyjen ja vastaanotettujen IP-pakettien salakuuntelun ja peukaloinnin. Tämä suorittaa salauksen IP-protokollatasolla turvallisuuden varmistamiseksi turvautumatta sovellukseen tai verkkoasetuksiin.
IPSec-soveltuvat ehdot ja tuetut tilat
Paketit, joihin IPSeciä ei käytetä
Paketit, jotka määrittävät silmukka-, ryhmälähetys- tai sarjalähetysosoitteen
UDP-portista 500 lähetetyt IKE-paketit
ICMPv6 Neighbor Solicitation- ja Neighbor Advertisement -paketit
Avaimenvaihtoprotokollan toimintatila (IKE-tilat)
Laitteen tukemat IKE-tilat ovat päätila, jota käytetään pakettien salaamiseen, sekä salaamaton aggressiivinen tila.
IPSec-viestintätila
Laitteen tukema viestintätila on vain siirtotila, joka salaa vain IP-ylätunnisteen ulkopuolisen osan. Tunnelitilaa, joka salaa koko IP-paketin, ei tueta.
Mukauttaminen FIPS 140 -standardiin
IPSec-viestinnän aikana [Alusta salausmenetelmä FIPS 140:lle]-asetuksesta riippumatta käytetään aina FIPS 140 -autentikoinnin mukaista salausmoduulia. [Alusta salausmenetelmä FIPS 140:lle]
Varmista, että IPSec-viestintä on FIPS 140:n mukaista, asettamalla sekä DH- että RSA-avainten pituudeksi IPSec-viestintää varten vähintään 2 048 bittiä laitteen verkkoympäristössä.
* Voit määrittää avaimen pituuden vain laitteen DH-avaimelle. Huomioithan ympäristöä rakentaessasi, ettei laitteessa ole asetusta RSA-avaimelle.
IPSecin käyttö yhdessä IP-osoitesuodatuksen kanssa
Kun paketteja lähetetään, IP-osoitteen suodatinasetukset otetaan käyttöön ensimmäisenä. Palomuurin määrittäminen
Kun paketteja vastaanotetaan, IPSec-asetukset otetaan käyttöön ensimmäisenä.
IPSec-käytännön määritys
IPSec-viestinnän käyttämiseksi laitteella on luotava IPSec-käytäntö, joka sisältää sovellettavan alueen ja algoritmit todennusta ja salausta varten. Käytäntö koostuu pääasiassa seuraavista osista:
Valitsin
Määritä, mihin IP-paketteihin IPSec-viestintää käytetään. Laitteen ja tiedonsiirtolaitteiden IP-osoitteen määrittämisen lisäksi voit määrittää myös niiden porttinumerot.
Avaimenvaihtoprotokollan toimintatila (IKE-tila)
Avaimenvaihtoprotokolla tukee Internet Key Exchange -versiota 1 (IKEv1). Aseta todennusmenetelmäksi joko esijaettu avain -menetelmä tai digitaalinen allekirjoitus -menetelmä.
Esijaettu avain -menetelmä
Tämä todennusmenetelmä käyttää yhteistä avainsanaa, jota kutsutaan jaetuksi avaimeksi laitteen ja muiden laitteiden välisessä viestinnässä.
Tämä todennusmenetelmä käyttää yhteistä avainsanaa, jota kutsutaan jaetuksi avaimeksi laitteen ja muiden laitteiden välisessä viestinnässä.
Digitaalinen allekirjoitus -menetelmä
Kaikki laitteet todentavat toisensa vahvistamalla vastavuoroisesti digitaaliset allekirjoituksensa.
Kaikki laitteet todentavat toisensa vahvistamalla vastavuoroisesti digitaaliset allekirjoituksensa.
* Asetukset on määritettävä SNTP:n käyttöön ottamiseksi.
ESP/AH
Määritä IPSec-viestinnässä käytettävien ESP- tai AH-protokollien asetukset. Nosta turvallisuustasoa käyttämällä Perfect Forward Secrecy (PFS) -toimintoa.
IPSec-määritykset
Ota IPSec käyttöön ja luo ja rekisteröi sitten IPSec-käytäntö. Jos useita käytäntöjä on luotu, määritä järjestys, jossa niitä sovelletaan. Voit luoda enintään 10 käytäntöä.
Tässä osiossa ohjeistetaan asetusten määrittäminen Remote UI (Etäkäyttöliittymä) -sovelluksen avulla tietokoneella.
Valitse [
Asetukset/Tallennus] käyttöpaneelin näkymässä [Päävalikko] tai muussa näytössä ja määritä sitten asetukset valitsemalla [Yleisasetukset]. [IPSec-asetukset]
Pääkäyttäjän tai NetworkAdmin-oikeudet edellytetään.
Valitse [
Asetukset/Tallennus] käyttöpaneelin näkymässä [Päävalikko] tai muussa näytössä ja määritä sitten asetukset valitsemalla [Yleisasetukset]. [IPSec-asetukset]Pääkäyttäjän tai NetworkAdmin-oikeudet edellytetään.
Valmistelut
Liitä laite suoraan tietokoneeseen, joka on samassa virtuaalisessa yksityisverkossa (VPN) kuin laite. Vahvista toimintaehdot ja viimeistele asetukset tietokoneella etukäteen. IPSec
Valmistele seuraavat asiat IKE-todennusmenetelmän mukaisesti:
Kun käytät esijaettu avain -menetelmää, ota TLS käyttöön Remote UI (Etäkäyttöliittymä) -sovelluksen viestinnässä. TLS:n käyttäminen
Kun käytät digitaalinen allekirjoitus -menetelmää, valmistele käytettävä avain ja varmenne ja määritä asetukset sallimaan SNTP:n käyttö.
Kun käytät PFS:ää, tarkista, että PFS on käytössä viestintälaitteessa.
1
Kirjaudu Remote UI (Etäkäyttöliittymä) -sovellukseen järjestelmänvalvojana. Remote UI (Etäkäyttöliittymä) -sovelluksen käynnistys
2
Valitse Remote UI (Etäkäyttöliittymä) -portaalisivulla [Settings/Registration]. Remote UI (Etäkäyttöliittymä) -sovelluksen portaalisivu
3
Valitse [Network Settings].
Verkkoasetusikkuna ilmestyy näyttöön.
4
Valitse [IPSec Settings].
[IPSec Settings] -näyttö avautuu.
5
Valitse [Use IPSec] -valintaruutu.
Jos haluat vastaanottaa vain käytännön mukaisia paketteja, valitse [Reject] kohdassa [Receive Non-Policy Packets].
6
Valitse [OK].
Verkkoasetusikkuna ilmestyy jälleen näyttöön.
7
Valitse [IPSec Policy List].
[IPSec Policy List] -näyttö avautuu.
8
Valitse [Register New IPSec Policy].
[Register Policy] -näyttö avautuu.
9
Määritä käytännön nimi ja valitse [On] kohdassa [Policy On/Off].
Käytä käytännön nimeämisessä aakkosnumeerisia merkkejä.
10
Rajoita AES-avaimen pituutta tarpeen mukaan.
Jos haluat rajoittaa AES-avaimen pituuden 256 bittiin esimerkiksi silloin, kun haluat täyttää CC-todennusstandardit, valitse [Only Allow 256-bit for AES Key Length] -valintaruutu.
* Canon-monitoimilaitteet tukevat kahta avaimen pituutta AES-salausmenetelmälle: 128-bittinen ja 256-bittinen.
11
Aseta valitsin.
1
Valitse [Selector Settings].
[Selector] -näyttö avautuu.
2
Aseta valitsin.
[Local Address Settings] ja [Remote Address Settings]
Aseta IP-osoite, jonka kanssa IPSec-viestintää käytetään. Määritä laitteen IP-osoite kohdassa [Local Address Settings] ja yhteyslaitteen IP-osoite kohdassa [Remote Address Settings].
[All IP Addresses]
Valitse tämä, jos haluat käyttää IPSeciä kaikkiin IP-paketteihin.
[IPv4 Address] tai [All IPv4 Addresses]
Valitse tämä käyttääksesi IPSec-viestintää IP-paketteihin, joiden lähettämisessä ja vastaanottamisessa käytetään IPv4-osoitetta.
[IPv6 Address] tai [All IPv6 Addresses]
Valitse tämä käyttääksesi IPSec-viestintää IP-paketteihin, joiden lähettämisessä ja vastaanottamisessa käytetään IPv6-osoitetta.
[IPv4 Manual Settings]
Valitsemalla tämän voit määrittää IPv4-osoitteen, johon IPSec-tietoliikennettä käytetään. Määritä jollakin seuraavista tavoista IPv4-osoite, johon asetuksia käytetään.
Määritettäessä yksittäistä IPv4-osoitetta
Valitse [Single Address] ja kirjoita IPv4-osoite kohtaan [First Address].
Valitse [Single Address] ja kirjoita IPv4-osoite kohtaan [First Address].
Määritettäessä IPv4-osoitealuetta
Valitse [Range Address] ja kirjoita IPv4-osoitteet kohtiin [First Address] ja [Last Address].
Valitse [Range Address] ja kirjoita IPv4-osoitteet kohtiin [First Address] ja [Last Address].
Määritettäessä IPv4-osoitealuetta aliverkon peitteellä
Valitse [Subnet Settings] ja kirjoita IPv4-osoite kohtaan [First Address] ja aliverkon peite kohtaan [Subnet Settings].
Valitse [Subnet Settings] ja kirjoita IPv4-osoite kohtaan [First Address] ja aliverkon peite kohtaan [Subnet Settings].
[IPv6 Manual Settings]
Valitse tämä määrittääksesi IPv6-osoitteen, johon IPSec-tietoliikennettä käytetään. Määritä jollakin seuraavista tavoista IPv6-osoite, johon asetuksia käytetään.
Määritettäessä yksittäistä IPv6-osoitetta
Valitse [Single Address] ja kirjoita IPv6-osoite kohtaan [First Address].
Valitse [Single Address] ja kirjoita IPv6-osoite kohtaan [First Address].
Määritettäessä IPv6-osoitealuetta
Valitse [Range Address] ja kirjoita IPv6-osoitteet kohtiin [First Address] ja [Last Address].
Valitse [Range Address] ja kirjoita IPv6-osoitteet kohtiin [First Address] ja [Last Address].
Määritettäessä IPv6-osoitealuetta käyttämällä etuliitettä
Valitse [Prefix Address] ja kirjoita IPv6-osoite kohtaan [First Address] ja etuliitteen pituus kohtaan [Prefix Length].
Valitse [Prefix Address] ja kirjoita IPv6-osoite kohtaan [First Address] ja etuliitteen pituus kohtaan [Prefix Length].
[Port Settings]
Määritä portit, joihin IPSec-viestintää käytetään.
[Specify by Port Number]
Valitse tämä, jos haluat käyttää porttinumeroita määritettäessä portteja, joihin IPSec-viestintää käytetään. Määritä tämän laitteen porttinumero kohdassa [Local Port] ja yhteyslaitteen porttinumero kohdassa [Remote Port].
Jos haluat käyttää IPSec-viestintää kaikkiin porttinumeroihin, valitse [All Ports].
Jos haluat käyttää IPSec-viestintää tiettyyn porttinumeroon, valitse [Single Port] ja lisää porttinumero.
[Specify by Service Name]
Valitse tämä, jos haluat käyttää palvelunimiä määritettäessä portteja, joihin IPSec-viestintää sovelletaan. Valitse niiden palvelujen valintaruudut, joihin IPSec-viestintää käytetään.
3
Valitse [OK].
[Register Policy] -näyttö avautuu.
12
Määritä IKE-asetukset.
1
Valitse [IKE Settings].
[IKE] -näyttö avautuu.
2
Määritä IKE-asetukset.
[IKE Mode]
Valitse avaintenvaihtoprotokollan toimintatapa. Kun [Main] on valittuna, tietoturva paranee, koska itse IKE-istunto on salattu. Viestintä on kuitenkin hitaampaa kuin salaamattomassa [Aggressive]-tilassa.
[Validity]
Syötä minuutteina ajanjakso, jolloin IKE SA:ta (ISAKMP SA) käytetään ohjausviestintäpolkuna.
[Authentication Method]
Valitse laitteen todennusmenetelmä.
Jos valitset [Pre-Shared Key Method], napsauta [Shared Key Settings] 
anna jaettuna avaimena käytettävä merkkijono aakkosnumeerisina merkkeinä napsauta [OK].
anna jaettuna avaimena käytettävä merkkijono aakkosnumeerisina merkkeinä napsauta [OK].Jos valitset [Digital Signature Method], napsauta käytettävästä avaimesta ja varmenteesta [Key and Certificate] [Use].
[Use].[Authentication/Encryption Algorithm]
Määritä todennus- ja salausalgoritmi IKE-vaiheelle 1.
Jos haluat määrittää automaattisesti algoritmin, jota sekä tämä laite että viestintälaite voivat käyttää, valitse [Auto].
Määritä tietty algoritmi valitsemalla [Manual Settings] ja määrittämällä asetukset [Authentication], [Encryption] ja [DH Group].
[Authentication]: Valitse hajautusalgoritmi.
[Encryption]: Valitse salausalgoritmi.
[DH Group]: Valitse Diffie-Hellman-ryhmä, jota käytetään avaimen vahvuuden määrittämiseen.
|
Kun [IKE Mode] -asetuksena on [Main] ja [Authentication Method] -asetuksena on [Pre-Shared Key Method]
Jos määrität useamman kuin yhden osoitteen kohdassa [Remote Address Settings] valitsinasetuksissa, seuraavat rajoitukset ovat voimassa, kun luot useita käytäntöjä:
Käytännöissä, joissa on määritetty useampi kuin yksi osoite, kaikki jaetut avaimet on asetettava samaan merkkijonoon.
Käytännöille, joissa on määritetty useampi kuin yksi osoite, ei voida asettaa korkeampaa prioriteettia kuin käytännöille, joissa on määritetty yksi osoite.
|
3
Valitse [OK].
[Register Policy] -näyttö avautuu uudelleen.
13
Määritä IPSec-verkkoasetukset.
1
Valitse [IPSec Network Settings].
[IPSec Network] -näyttö avautuu.
2
Määritä IPSec-verkkoasetukset.
[Validity]
Määritä tietoliikennepolkuna käytettävä IPSec SA:n voimassaoloajan, koon tai molempien mukaan.
Jos valitset [Time] -valintaruudun, syötä kelvollinen jakso minuutteina.
Jos valitset [Size] -valintaruudun, syötä kelvollinen jakso megatavuina.
Jos asetat molemmat, asetusta, jonka arvo saavutetaan ensin, käytetään.
[PFS]
Valitse tämä valintaruutu, jos haluat määrittää PFS:n istuntoavaimelle.
[Authentication/Encryption Algorithm]
Aseta todennus- ja salausalgoritmi IKE-vaiheelle 2.
Aseta ESP-todennus- ja salausalgoritmi automaattisesti valitsemalla [Auto].
Jos haluat määrittää tietyn todennustavan, valitse [Manual Settings] ja valitse jokin seuraavista todennusmenetelmistä.
[ESP]:
Sekä todennus että salaus suoritetaan.
Valitse algoritmi kohteista [ESP Authentication] ja [ESP Encryption]. Jos et halua asettaa algoritmia, valitse [NULL].
Sekä todennus että salaus suoritetaan.
Valitse algoritmi kohteista [ESP Authentication] ja [ESP Encryption]. Jos et halua asettaa algoritmia, valitse [NULL].
[ESP (AES-GCM)]:
Sekä todennus että salaus suoritetaan.
AES-GCM:ää käytetään algoritmina.
Sekä todennus että salaus suoritetaan.
AES-GCM:ää käytetään algoritmina.
[AH (SHA1)]:
Todennus suoritetaan, mutta tietoja ei salata.
SHA1:tä käytetään algoritmina.
Todennus suoritetaan, mutta tietoja ei salata.
SHA1:tä käytetään algoritmina.
[Connection Mode]
Laite tukee vain kuljetusmuotoa.
3
Valitse [OK].
[Register Policy] -näyttö avautuu uudelleen.
14
Valitse [OK].
Luotu käytäntö lisätään [IPSec Policy List] -näyttöön.
Kun useita käytäntöjä on rekisteröity
Valitse käytäntö ja napsauta [Raise Priority] tai [Lower Priority] muuttaaksesi prioriteetin järjestystä. Korkeamman tason käytännöt ovat etusijalla, kun niitä sovelletaan IPSec-viestintään.
15
Valitse [Apply Setting Changes] [OK].
[OK].Asetukset otetaan käyttöön.
16
Kirjaudu ulos Remote UI (Etäkäyttöliittymä) -sovelluksesta.
HUOMAUTUS
Rekisteröityjen käytäntöjen muokkaaminen
Muokkaa rekisteröityjä tietoja napsauttamalla muokattavan käytännön nimeä [IPSec Policy List] -näytössä.