Använda IPSec
Använd IP Security Protocol (IPSec) för att förhindra avlyssning och manipulering av IP-paket som skickas och tas emot över ett IP-nätverk. Detta utför kryptering på IP-protokollnivå för att garantera säkerhet utan att förlita sig på en applikation eller nätverkskonfiguration.
IPSec tillämpliga villkor och lägen som stöds
Paket som IPSec inte tillämpas på
Paket som anger en loopback-, multicast- eller broadcastadress
IKE-paket skickade från UDP-port 500
ICMPv6-granninbjudans- och grannannonseringspaket
Driftläge för Key Exchange Protocol (IKE-lägen)
IKE-lägena som stöds av maskinen är huvudläget som används för att kryptera paket och aggressivt läge utan kryptering.
IPSec kommunikationsläge
Kommunikationsläget som stöds av maskinen är endast transportläget, som krypterar endast den del som exkluderar IP-huvudet. Tunnelläge, som krypterar hela IP-paketet, stöds inte.
Överensstämmer med FIPS 140-2
Under IPSec-kommunikation, oavsett [Formatkrypteringsmetod till FIPS 140-2]-inställning, används alltid en krypteringsmodul som har erhållit FIPS 140-2-autentisering. [Formatkrypteringsmetod till FIPS 140-2]
För att säkerställa att IPSec-kommunikation överensstämmer med FIPS 140-2 måste du ställa in nyckellängden på både DH- och RSA-nycklarna för IPSec-kommunikation till 2 048 bitar eller längre i nätverksmiljön som maskinen tillhör.
* Du kan endast ange nyckellängden för DH-nyckeln på maskinen. Det finns ingen inställning för RSA-nyckeln på maskinen, så ta hänsyn till detta när du bygger miljön.
Använda IPSec tillsammans med IP-adressfilter
När paket skickas tillämpas inställningarna för IP-adressfilter först. Konfigurera en brandvägg
När paket tas emot tillämpas IPSec-inställningarna först.
IPSec-policykonfiguration
För att utföra IPSec-kommunikation på maskinen måste du skapa en IPSec-policy som inkluderar tillämpligt intervall och algoritmer för autentisering och kryptering. Policyn består huvudsakligen av följande punkter:
Manövrering
Ange för vilka IP-paket som IPSec-kommunikation ska tillämpas. Förutom att ange IP-adressen för maskinen och kommunicerande enheter kan du också ange deras portnummer.
Driftläge för Key Exchange Protocol (IKE-läge)
Nyckelutbytesprotokollet stöder Internet Key Exchange version 1 (IKEv1). För autentiseringsmetoden anger du antingen i förväg delad nyckel eller metod för digital signatur.
Metod med i förväg delad nyckel
I denna autentiseringsmetod används ett vanligt nyckelord som kallas en delad nyckel för kommunikation mellan maskinen och andra enheter.
I denna autentiseringsmetod används ett vanligt nyckelord som kallas en delad nyckel för kommunikation mellan maskinen och andra enheter.
Metod med digital signatur
Maskinen och andra enheter autentiserar varandra genom att ömsesidigt verifiera sina digitala signaturer.
Maskinen och andra enheter autentiserar varandra genom att ömsesidigt verifiera sina digitala signaturer.
* Du måste konfigurera inställningarna för att möjliggöra användningen av SNTP.
ESP/AH
Konfigurera inställningarna för ESP- eller AH-protokollen som ska användas för IPSec-kommunikation. Använd Perfect Forward Secrecy (PFS) för ännu större säkerhet.
Konfigurera IPSec
Aktivera användningen av IPSec och skapa och registrera sedan en IPSec-princip. Om flera principer har skapats, ange i vilken ordning de tillämpas. Du kan skapa högst 10 principer.
Det här avsnittet beskriver hur du konfigurerar inställningarna med hjälp av Remote UI (Fjärranvändargränssnittet) från en dator.
På kontrollpanelen ska du välja [
Inställningar/Registrering] på skärmen [Hem] eller annan skärm, och sedan [Preferenser] för att konfigurera inställningarna. [IPSec-inställningar]
Administratörs- eller NetworkAdmin-behörighet krävs.
På kontrollpanelen ska du välja [
Inställningar/Registrering] på skärmen [Hem] eller annan skärm, och sedan [Preferenser] för att konfigurera inställningarna. [IPSec-inställningar]Administratörs- eller NetworkAdmin-behörighet krävs.
Förberedelser som krävs
Anslut maskinen direkt till en dator på samma virtuella privata nätverk (VPN) som maskinen. Bekräfta driftvillkoren och slutför inställningarna på datorn i förväg. IPSec
Förbered följande enligt IKE-autentiseringsmetoden:
När du använder metoden för i förväg delad nyckel, aktivera TLS för kommunikation i Remote UI (Fjärranvändargränssnittet). Använda TLS
När du använder den digitala signaturmetoden, förbered nyckeln och certifikatet för användning och konfigurera inställningarna för att möjliggöra användningen av SNTP.
När du använder PFS, kontrollera att PFS är aktiverat på den kommunicerande enheten.
1
Logga in på Remote UI (Fjärranvändargränssnittet) som administratör. Starta Remote UI (Fjärranvändargränssnittet)
2
Från Remote UI (Fjärranvändargränssnittet) portalskärm klickar du på [Settings/Registration]. Remote UI (Fjärranvändargränssnittet) portalsida
3
Klicka på [Network Settings].
Skärmbilden för nätverksinställningar visas.
4
Klicka på [IPSec Settings].
Skärmen [IPSec Settings] visas.
5
Markera kryssrutan [Use IPSec].
För att bara ta emot paket som uppfyller principen, välj [Reject] i [Receive Non-Policy Packets].
6
Klicka på [OK].
Skärmbilden för nätverksinställningar visas igen.
7
Klicka på [IPSec Policy List].
Skärmen [IPSec Policy List] visas.
8
Klicka på [Register New IPSec Policy].
Skärmen [Register Policy] visas.
9
Ange principnamnet och välj [On] i [Policy On/Off].
Ange ett namn för principnamnet för att identifiera principen med alfanumeriska tecken.
10
Begränsa AES-nyckelns längd vid behov.
För att begränsa AES-nyckellängden till 256 bitar, till exempel när du vill uppfylla CC-autentiseringsstandarder, markera kryssrutan [Only Allow 256-bit for AES Key Length].
* Canon flerfunktionsskrivare stöder två nyckellängder för AES-krypteringsmetod: 128 bitar och 256 bitar.
11
Ställ in väljaren.
1
Klicka på [Selector Settings].
Skärmen [Selector] visas.
2
Ställ in väljaren.
[Local Address Settings] och [Remote Address Settings]
Ställ in IP-adressen som IPSec-kommunikationen ska tillämpas på. Ange IP-adressen för den här maskinen i [Local Address Settings] och ange IP-adressen för aktuell kommunikationspeer i [Remote Address Settings].
[All IP Addresses]
Välj det här för att använda IPSec för alla IP-paket.
[IPv4 Address] eller [All IPv4 Addresses]
Välj detta för att tillämpa IPSec-kommunikation på IP-paket som skickas och tas emot med en IPv4-adress.
[IPv6 Address] eller [All IPv6 Addresses]
Välj detta för att tillämpa IPSec-kommunikation på IP-paket som skickas och tas emot med en IPv6-adress.
[IPv4 Manual Settings]
Välj detta för att ange en IPv4-adress som IPSec-kommunikation ska tillämpas på. Använd någon av följande metoder för att ange IPv4-adressen som inställningarna ska tillämpas på.
När du anger en enda IPv4-adress
Välj [Single Address] och ange IPv4-adressen i [First Address].
Välj [Single Address] och ange IPv4-adressen i [First Address].
När du anger ett intervall med IPv4-adresser
Välj [Range Address] och ange IPv4-adresserna i [First Address] och [Last Address].
Välj [Range Address] och ange IPv4-adresserna i [First Address] och [Last Address].
När du anger ett intervall av IPv4-adresser med hjälp av en nätmask
Välj [Subnet Settings], ange IPv4-adressen i [First Address] och ange nätmasken i [Subnet Settings].
Välj [Subnet Settings], ange IPv4-adressen i [First Address] och ange nätmasken i [Subnet Settings].
[IPv6 Manual Settings]
Välj detta för att ange en IPv6-adress som IPSec-kommunikation ska tillämpas på. Använd någon av följande metoder för att ange IPv6-adressen som inställningarna ska tillämpas på.
När du anger en enda IPv6-adress
Välj [Single Address] och ange IPv6-adressen i [First Address].
Välj [Single Address] och ange IPv6-adressen i [First Address].
När du anger ett intervall med IPv6-adresser
Välj [Range Address] och ange IPv6-adresserna i [First Address] och [Last Address].
Välj [Range Address] och ange IPv6-adresserna i [First Address] och [Last Address].
När du anger ett intervall av IPv6-adresser med ett prefix
Välj [Prefix Address], ange IPv6-adressen i [First Address] och ange prefixlängden i [Prefix Length].
Välj [Prefix Address], ange IPv6-adressen i [First Address] och ange prefixlängden i [Prefix Length].
[Port Settings]
Ställ in portarna som IPSec-kommunikation ska tillämpas på.
[Specify by Port Number]
Välj detta för att använda portnummer när du anger de portar som IPSec-kommunikation gäller. Ange porten för den här maskinen i [Local Port] och ange port för aktuell kommunikationsenhet i [Remote Port].
För att tillämpa IPSec-kommunikation på alla portnummer, välj [All Ports].
För att tillämpa IPSec-kommunikation för att ett visst portnummer, tryck på [Single Port], och ange portnumret.
[Specify by Service Name]
Välj detta för att använda namnet på tjänsten när du anger de portar som IPSec-kommunikationen gäller för. Markera kryssrutorna för de tjänster som du vill tillämpa IPSec-kommunikation på.
3
Klicka på [OK].
Skärmen [Register Policy] visas.
12
Kontrollera IKE-inställningarna.
1
Klicka på [IKE Settings].
Skärmen [IKE] visas.
2
Kontrollera IKE-inställningarna.
[IKE Mode]
Välj åtgärdsläget för nyckelutbytesprotokollet. När [Main] väljs förbättras säkerheten eftersom själva IKE-sessionen är krypterad, men kommunikationen är långsammare än [Aggressive], som inte utför kryptering.
[Validity]
Ange den giltiga perioden för IKE SA (ISAKMP SA) som ska användas som styrkommunikationsväg i minuter.
[Authentication Method]
Välj maskinens autentiseringsmetod.
Om du väljer [Pre-Shared Key Method], klicka på [Shared Key Settings] 
ange strängen som ska användas som delad nyckel med alfanumeriska tecken klicka på [OK].
ange strängen som ska användas som delad nyckel med alfanumeriska tecken klicka på [OK].Om du väljer [Digital Signature Method], klicka på [Key and Certificate] [Use] för nyckeln och certifikatet som ska användas.
[Use] för nyckeln och certifikatet som ska användas.[Authentication/Encryption Algorithm]
Konfigurera autentiserings- och krypteringsalgoritmen för IKE fas 1.
För att automatiskt ställa in en algoritm som kan användas av både den här maskinen och den kommunicerande enheten, välj [Auto].
För att ange en viss algoritm, välj [Manual Settings] och konfigurera inställningarna [Authentication], [Encryption] och [DH Group].
[Authentication]: Välj hash-algoritm.
[Encryption]: Välj krypteringsalgoritm.
[DH Group]: Välj Diffie-Hellman-gruppen som används för att bestämma nyckellängden.
|
När [IKE Mode] är satt till [Main] och [Authentication Method] är satt till [Pre-Shared Key Method]
Om du anger mer än en adress i [Remote Address Settings] i väljarinställningarna gäller följande begränsningar när du skapar flera principer:
För principer med mer än en adress angiven måste alla delade nycklar ställas in på samma sträng.
Principer med mer än en adress specificerad kan inte ställas in på en högre prioritet än principer med en enda adress specificerad.
|
3
Klicka på [OK].
Skärmen [Register Policy] visas på nytt.
13
Konfigurera nätverksinställningarna för IPSec.
1
Klicka på [IPSec Network Settings].
Skärmen [IPSec Network] visas.
2
Konfigurera nätverksinställningarna för IPSec.
[Validity]
Ange den giltiga perioden för IPSec SA som ska användas som datakommunikationsväg efter tid, storlek eller båda.
Om du markerar kryssrutan [Time], anger du den giltiga perioden i minuter.
Om du markerar kryssrutan [Size] anger du den giltiga perioden i megabyte.
Om du ställer in båda gäller värdet för det angivna objektet som uppnås först.
[PFS]
Markera den här kryssrutan för att konfigurera PFS för sessionsnyckeln.
[Authentication/Encryption Algorithm]
Ställ in autentiserings- och krypteringsalgoritmen för IKE fas 2.
För att automatiskt ställa in ESP-autentiserings- och krypteringsalgoritmen, välj [Auto].
För att ange en viss autentiseringsmetod, välj [Manual Settings] och välj en av följande autentiseringsmetoder.
[ESP]:
Både autentisering och kryptering utförs.
Välj algoritmen i [ESP Authentication] och [ESP Encryption]. Om du inte vill ange algoritm, välj [NULL].
Både autentisering och kryptering utförs.
Välj algoritmen i [ESP Authentication] och [ESP Encryption]. Om du inte vill ange algoritm, välj [NULL].
[ESP (AES-GCM)]:
Både autentisering och kryptering utförs.
AES-GCM används som algoritm.
Både autentisering och kryptering utförs.
AES-GCM används som algoritm.
[AH (SHA1)]:
Autentisering utförs, men data krypteras inte.
SHA1 används som algoritm.
Autentisering utförs, men data krypteras inte.
SHA1 används som algoritm.
[Connection Mode]
Maskinen stöder endast transportläget.
3
Klicka på [OK].
Skärmen [Register Policy] visas på nytt.
14
Klicka på [OK].
Den skapade principen läggs till på skärmen [IPSec Policy List].
När flera principer är registrerade
Välj en princip och klicka på [Raise Priority] eller [Lower Priority] för att ändra prioritetsordningen. Principer på högre nivå har prioritet när de tillämpas på IPSec-kommunikation.
15
Klicka på [Apply Setting Changes] [OK].
[OK].Inställningarna tillämpas.
16
Logga ut från Remote UI (Fjärranvändargränssnittet).
OBS!
Redigera registrerade principer
För att redigera den registrerade informationen, klicka på principnamnet du vill redigera på skärmen [IPSec Policy List].