Verwenden von IPSec
Verwenden Sie das IP-Sicherheitsprotokoll (IPSec), um das Abhören und Manipulieren von IP-Paketen zu verhindern, die über ein IP-Netzwerk gesendet und empfangen werden. Die Verschlüsselung erfolgt auf der Ebene des IP-Protokolls, um die Sicherheit zu gewährleisten, ohne sich auf eine Anwendung oder eine Netzwerkkonfiguration verlassen zu müssen.
Anwendbare Bedingungen und unterstützte Modi von IPSec
Pakete, auf die IPSec nicht angewendet wird
Pakete, die eine Loopback-, Multicast- oder Broadcast-Adresse angeben
IKE-Pakete, die von UDP-Port 500 gesendet werden
ICMPv6-Pakete Neighbor Solicitation und Neighbor Advertisement
Betriebsmodus des Schlüsselaustauschprotokolls (IKE-Modi)
Die vom Gerät unterstützte IKE-Modi sind Hauptmodus, der zur Verschlüsselung von Paketen verwendet wird, und aggressiver Modus ohne Verschlüsselung.
IPSec-Kommunikationsmodus
Der vom Gerät unterstützte Kommunikationsmodus ist nur der Transportmodus, bei dem nur der Teil ohne den IP-Header verschlüsselt wird. Der Tunnelmodus, der das gesamte IP-Paket verschlüsselt, wird nicht unterstützt.
Konformität mit FIPS 140
Während der IPSec-Kommunikation wird unabhängig von der Einstellung [Verschlüsselungsmethode für FIPS 140 formatieren] immer ein Verschlüsselungsmodul verwendet, das eine FIPS 140-Authentifizierung bezogen hat. [Verschlüsselungsmethode für FIPS 140 formatieren]
Um sicherzustellen, dass die IPSec-Kommunikation mit FIPS 140 konform ist, müssen Sie die Schlüssellänge sowohl des DH- als auch des RSA-Schlüssels für die IPSec-Kommunikation in der Netzwerkumgebung, zu der das Gerät gehört, auf 2048 Bit oder länger setzen.
* Sie können die Schlüssellänge nur für den DH-Schlüssel auf dem Gerät festlegen. Es gibt keine Einstellung für den RSA-Schlüssel auf dem Gerät, daher sollten Sie dies beim Aufbau der Umgebung berücksichtigen.
Verwenden von IPSec zusammen mit IP-Adressfilterung
Beim Versenden der Pakete werden zunächst die IP-Adressfiltereinstellungen angewendet. Einrichten einer Firewall
Beim Empfang der Pakete werden zunächst die IPSec-Einstellungen angewendet.
Konfiguration von IPSec-Richtlinien
Um eine IPSec-Kommunikation auf dem Gerät durchzuführen, müssen Sie eine IPSec-Richtlinie erstellen, die den anwendbaren Bereich und die Algorithmen für die Authentifizierung und Verschlüsselung enthält. Die Richtlinie besteht hauptsächlich aus den folgenden Elementen:
Selektor
Geben Sie an, bei welchen IP-Paketen die IPSec-Kommunikation angewendet werden soll. Zusätzlich zur Angabe der IP-Adresse des Geräts und der kommunizierenden Geräte können Sie auch deren Portnummern angeben.
Betriebsmodus des Schlüsselaustauschprotokolls (IKE-Modus)
Das Schlüsselaustauschprotokoll unterstützt IKEv1 (Internetschlüsselaustausch, Version 1). Wählen Sie als Authentifizierungsmethode die Pre-Shared-Key-Methode (vorher vereinbarter Schlüssel) oder die Digitalsignatur-Methode.
Pre-Shared-Key-Methode
Bei dieser Authentifizierungsmethode wird ein gemeinsames Schlüsselwort, ein so genannter Shared Key, für die Kommunikation zwischen diesem Gerät und anderen Geräten verwendet.
Bei dieser Authentifizierungsmethode wird ein gemeinsames Schlüsselwort, ein so genannter Shared Key, für die Kommunikation zwischen diesem Gerät und anderen Geräten verwendet.
Digitalsignatur-Methode:
Dieses Gerät und andere Geräte authentifizieren sich gegenseitig, indem sie ihre digitalen Signaturen verifizieren.
Dieses Gerät und andere Geräte authentifizieren sich gegenseitig, indem sie ihre digitalen Signaturen verifizieren.
* Sie müssen die Einstellungen konfigurieren, um die Verwendung von SNTP zu ermöglichen.
ESP/AH
Konfigurieren Sie die Einstellungen für die ESP- oder AH-Protokolle, die für die IPSec-Kommunikation verwendet werden sollen. Verwenden Sie PFS (Perfect Forward Secrecy) für noch mehr Sicherheit.
Konfigurieren von IPSec
Aktivieren Sie die Verwendung von IPSec, und erstellen sowie registrieren Sie dann eine IPSec-Richtlinie. Wenn mehrere Richtlinien erstellt wurden, geben Sie die Reihenfolge an, in der sie angewendet werden sollen. Sie können bis zu 10 Richtlinien erstellen.
In diesem Abschnitt wird beschrieben, wie Sie die Einstellungen über Remote UI von einem Computer aus konfigurieren können.
Wählen Sie auf dem Bedienfeld im Bildschirm [Startseite] oder einem anderen Bildschirm die Option [
Einstell./Speicherung] und dann [Präferenzen], um die Einstellungen zu konfigurieren. [Einstellungen IPSec]
Es sind Administrator- oder Netzwerkadministratorrechte erforderlich.
Wählen Sie auf dem Bedienfeld im Bildschirm [Startseite] oder einem anderen Bildschirm die Option [
Einstell./Speicherung] und dann [Präferenzen], um die Einstellungen zu konfigurieren. [Einstellungen IPSec]Es sind Administrator- oder Netzwerkadministratorrechte erforderlich.
Erforderliche Vorbereitungen
Schließen Sie das Gerät direkt an einen Computer an, der sich im selben virtuellen privaten Netzwerk (VPN) wie das Gerät befindet. Überprüfen Sie die Betriebsbedingungen, und schließen Sie zunächst die Einstellungen auf dem Computer ab. IPSec
Bereiten Sie gemäß der IKE-Authentifizierungsmethode folgendes vor:
Wenn Sie die Pre-Shared-Key-Methode verwenden, aktivieren Sie TLS für die Remote UI-Kommunikation. Verwenden von TLS
Wenn Sie die digitale Signaturmethode verwenden, bereiten Sie den zu verwendenden Schlüssel und das Zertifikat vor, und konfigurieren Sie die Einstellungen, um die Verwendung von SNTP zu ermöglichen.
Wenn Sie PFS verwenden, stellen Sie sicher, dass PFS auf dem kommunizierenden Gerät aktiviert ist.
1
Melden Sie sich bei Remote UI als Administrator an. Starten von Remote UI
2
Klicken Sie auf der Portalseite von Remote UI auf [Einstellungen/Speicherung]. Remote UI-Portalseite
3
Klicken Sie auf [Einstellungen Netzwerk].
Der Netzwerk-Einstellungsbildschirm wird angezeigt.
4
Klicken Sie auf [Einstellungen IPSec].
Der Bildschirm [Einstellungen IPSec] wird angezeigt.
5
Aktivieren Sie das Kontrollkästchen [IPSec verwenden].
Um nur Pakete zu empfangen, die der Richtlinie entsprechen, wählen Sie [Zurückweisen] unter [Pakete ohne Richtlinie empfangen].
6
Klicken Sie auf [OK].
Der Netzwerk-Einstellungsbildschirm wird erneut angezeigt.
7
Klicken Sie auf [Liste IPSec-Richtlinie].
Der Bildschirm [Liste IPSec-Richtlinie] wird angezeigt.
8
Klicken Sie auf [Neue IPSec Richtlinie speichern].
Der Bildschirm [Richtlinie speichern] wird angezeigt.
9
Geben Sie den Richtliniennamen an, und wählen Sie [Ein] unter [Richtlinie Ein/Aus].
Geben Sie als Richtliniennamen einen Namen in alphanumerischen Zeichen ein, der die Richtlinie identifiziert.
10
Schränken Sie die AES-Schlüssellänge je nach Bedarf ein.
Um die AES-Schlüssellänge auf 256 Bit zu beschränken, wenn Sie beispielsweise die CC-Authentifizierungsstandards einhalten möchten, aktivieren Sie das Kontrollkästchen [Nur 256-Bit für AES Schlüssellänge zulassen].
* Canon Multifunktionsgeräte unterstützen zwei Schlüssellängen für die AES-Verschlüsselungsmethode: 128-Bit und 256-Bit.
11
Stellen Sie den Selektor ein.
1
Klicken Sie auf [Einstellungen Auswahlvorrichtung].
Der Bildschirm [Auswahl] wird angezeigt.
2
Stellen Sie den Selektor ein.
[Einstellungen lokale Adresse] und [Einstellungen Remote-Adresse]
Legen Sie die IP-Adresse fest, auf die die IPSec-Kommunikation angewendet werden soll. Geben Sie die IP-Adresse des Geräts unter [Einstellungen lokale Adresse] und die IP-Adresse des kommunizierenden Geräts unter [Einstellungen Remote-Adresse] an.
[Alle IP-Adressen]
Wählen Sie diese Option, um IPSec auf alle IP-Pakete anzuwenden.
[IPv4-Adresse] oder [Alle IPv4-Adressen]
Wählen Sie diese Option, um die IPSec-Kommunikation auf IP-Pakete anzuwenden, die über eine IPv4-Adresse gesendet und empfangen werden.
[IPv6-Adresse] oder [Alle IPv6-Adressen]
Wählen Sie diese Option, um die IPSec-Kommunikation auf IP-Pakete anzuwenden, die über eine IPv6-Adresse gesendet und empfangen werden.
[Manuelle Einstellungen IPv4]
Wählen Sie diese Option, um eine IPv4-Adresse anzugeben, auf die die IPSec-Kommunikation angewendet werden soll. Verwenden Sie eine der folgenden Methoden, um die IPv4-Adresse anzugeben, auf die Sie die Einstellungen anwenden möchten.
Wenn Sie eine einzelne IPv4-Adresse angeben
Wählen Sie [Einzeladresse], und geben Sie die IPv4-Adresse unter [Erste Adresse] ein.
Wählen Sie [Einzeladresse], und geben Sie die IPv4-Adresse unter [Erste Adresse] ein.
Wenn Sie einen Bereich von IPv4-Adressen angeben
Wählen Sie [Adressbereich], und geben Sie die IPv4-Adressen unter [Erste Adresse] und [Letzte Adresse] ein.
Wählen Sie [Adressbereich], und geben Sie die IPv4-Adressen unter [Erste Adresse] und [Letzte Adresse] ein.
Wenn Sie einen Bereich von IPv4-Adressen mit einer Subnetzmaske angeben
Wählen Sie [Einstellungen Subnet], und geben Sie die IPv4-Adresse unter [Erste Adresse] und die Subnetzmaske unter [Einstellungen Subnet] ein.
Wählen Sie [Einstellungen Subnet], und geben Sie die IPv4-Adresse unter [Erste Adresse] und die Subnetzmaske unter [Einstellungen Subnet] ein.
[Manuelle Einstellungen IPv6]
Wählen Sie diese Option, um eine IPv6-Adresse anzugeben, auf die die IPSec-Kommunikation angewendet werden soll. Verwenden Sie eine der folgenden Methoden, um die IPv6-Adresse anzugeben, auf die Sie die Einstellungen anwenden möchten.
Wenn Sie eine einzelne IPv6-Adresse angeben
Wählen Sie [Einzeladresse], und geben Sie die IPv6-Adresse unter[Erste Adresse] ein.
Wählen Sie [Einzeladresse], und geben Sie die IPv6-Adresse unter[Erste Adresse] ein.
Wenn Sie einen Bereich von IPv6-Adressen angeben
Wählen Sie [Adressbereich], und geben Sie die IPv6-Adressen unter [Erste Adresse] und [Letzte Adresse] ein.
Wählen Sie [Adressbereich], und geben Sie die IPv6-Adressen unter [Erste Adresse] und [Letzte Adresse] ein.
Wenn Sie einen Bereich von IPv6-Adressen mit einer Präfix angeben
Wählen Sie [Präfixadresse], und geben Sie die IPv6-Adresse unter [Erste Adresse] und die Präfixlänge unter [Präfixlänge] ein.
Wählen Sie [Präfixadresse], und geben Sie die IPv6-Adresse unter [Erste Adresse] und die Präfixlänge unter [Präfixlänge] ein.
[Einstellungen Port]
Legen Sie die Ports fest, auf die die IPSec-Kommunikation angewendet werden soll.
[Durch Portnummer definieren]
Wählen Sie diese Option, um Portnummern zu verwenden, wenn Sie die Ports angeben, auf die die IPSec-Kommunikation angewendet werden soll. Geben Sie die Portnummer des Geräts unter [Lokaler Port] und die Portnummer des kommunizierenden Geräts unter [Remote Port] an.
Um die IPSec-Kommunikation auf alle Portnummern anzuwenden, wählen Sie [Alle Ports].
Um die IPSec-Kommunikation auf eine bestimmte Portnummer anzuwenden, drücken Sie [Single Port], und geben Sie die Portnummer ein.
[Durch Servicename definieren]
Wählen Sie diese Option, um bei Angabe der Ports, auf die die IPSec-Kommunikation angewendet werden soll, Servicenamen zu verwenden. Aktivieren Sie die Kontrollkästchen der Services, auf die die IPSec-Kommunikation angewendet werden soll.
3
Klicken Sie auf [OK].
Der Bildschirm [Richtlinie speichern] wird angezeigt.
12
Konfigurieren Sie die IKE-Einstellungen.
1
Klicken Sie auf [Einstellungen IKE].
Der Bildschirm [IKE] wird angezeigt.
2
Konfigurieren Sie die IKE-Einstellungen.
[IKE-Modus]
Wählen Sie den Betriebsmodus für das Schlüsselaustauschprotokoll aus. Bei Auswahl von [Main] wird die Sicherheit erhöht, da die IKE-Sitzung selbst verschlüsselt wird, jedoch ist die Kommunikation langsamer als bei [Aggressive], wo keine Verschlüsselung stattfindet.
[Gültigkeit]
Geben Sie die Gültigkeitsdauer für IKE SA (ISAKMP SA), die als Kontrollkommunikationspfad verwendet werden soll, in Minuten ein.
[Authentisierungsmethode]
Wählen Sie die Authentifizierungsmethode für das Gerät.
Wenn Sie [Methode Pre-gemeinsamer Schlüssel] auswählen, klicken Sie auf [Einstellungen gemeinsamer Schlüssel] 
geben Sie die Zeichenfolge zur Verwendung als gemeinsamen Schlüssel in alphanumerischen Zeichen ein klicken Sie auf [OK].
geben Sie die Zeichenfolge zur Verwendung als gemeinsamen Schlüssel in alphanumerischen Zeichen ein klicken Sie auf [OK].Wenn Sie [Methode digitale Signatur] auswählen, klicken Sie auf [Schlüssel und Zertifikat] [Verwenden] des zu verwendenden Schlüssels und Zertifikats.
[Verwenden] des zu verwendenden Schlüssels und Zertifikats.[Algorithmus Authentisierung/Verschlüsselung]
Konfigurieren Sie den Authentifizierungs- und Verschlüsselungsalgorithmus für IKE Phase 1.
Um automatisch einen Algorithmus einzustellen, der sowohl von diesem Gerät als auch von dem kommunizierenden Gerät verwendet werden kann, wählen Sie [Auto].
Um einen bestimmten Algorithmus festzulegen, wählen Sie [Manuelle Einstellungen], und konfigurieren Sie die Einstellungen für [Authentisierung], [Verschlüsselung] und [DH-Gruppe] .
[Authentisierung]: Wählen Sie den Hash-Algorithmus.
[Verschlüsselung]: Wählen Sie den Verschlüsselungsalgorithmus.
[DH-Gruppe]: Wählen Sie die Diffie-Hellman-Gruppe, die zur Bestimmung der Schlüsselstärke verwendet wird.
Wenn [IKE-Modus] auf [Main] und [Authentisierungsmethode] auf [Methode Pre-gemeinsamer Schlüssel] gesetzt sind Wenn Sie in den Selektoreinstellungen unter [Einstellungen Remote-Adresse] mehr als eine Adresse angeben, gelten beim Erstellen mehrerer Richtlinien die folgenden Einschränkungen: Bei Richtlinien mit mehr als einer angegebenen Adresse müssen alle gemeinsamen Schlüssel auf dieselbe Zeichenfolge gesetzt werden. Richtlinien, bei denen mehr als eine Adresse angegeben ist, können nicht auf eine höhere Priorität gesetzt werden als Richtlinien, bei denen nur eine Adresse angegeben ist. |
3
Klicken Sie auf [OK].
Der Bildschirm [Richtlinie speichern] wird erneut angezeigt.
13
Konfigurieren Sie die IPSec-Netzwerkeinstellungen.
1
Klicken Sie auf [Einstellungen IPSec-Netzwerk].
Der Bildschirm [IPSec-Netzwerk] wird angezeigt.
2
Konfigurieren Sie die IPSec-Netzwerkeinstellungen.
[Gültigkeit]
Geben Sie die Gültigkeitsdauer der IPSec SA an, die als Datenkommunikationspfad verwendet werden soll, und zwar nach Zeit, Größe oder beidem.
Wenn Sie das Kontrollkästchen [Zeit] aktivieren, geben Sie die Gültigkeitsdauer in Minuten ein.
Wenn Sie das Kontrollkästchen [Format] aktivieren, geben Sie die Gültigkeitsdauer in Megabyte ein.
Wenn Sie beides aktivieren, wird das Element, dessen festgelegter Wert zuerst erreicht wird, angewendet.
[PFS]
Aktivieren Sie dieses Kontrollkästchen, um PFS für den Sitzungsschlüssel zu konfigurieren.
[Algorithmus Authentisierung/Verschlüsselung]
Legen Sie den Authentifizierungs- und Verschlüsselungsalgorithmus für IKE Phase 2 fest.
Um den ESP-Authentifizierungs- und -Verschlüsselungsalgorithmus automatisch festzulegen, wählen Sie [Auto].
Um eine bestimmte Authentifizierungsmethode festzulegen, wählen Sie [Manuelle Einstellungen] und dann eine der folgenden Authentifizierungsmethoden aus.
[ESP]:
Es wird sowohl eine Authentifizierung als auch eine Verschlüsselung durchgeführt.
Wählen Sie den Algorithmus unter [ESP-Authentisierung] und [ESP-Verschlüsselung]. Wenn Sie den Algorithmus nicht festlegen möchten, wählen Sie [NULL].
Es wird sowohl eine Authentifizierung als auch eine Verschlüsselung durchgeführt.
Wählen Sie den Algorithmus unter [ESP-Authentisierung] und [ESP-Verschlüsselung]. Wenn Sie den Algorithmus nicht festlegen möchten, wählen Sie [NULL].
[ESP (AES-GCM)]:
Es wird sowohl eine Authentifizierung als auch eine Verschlüsselung durchgeführt.
Als Algorithmus wird AES-GCM verwendet.
Es wird sowohl eine Authentifizierung als auch eine Verschlüsselung durchgeführt.
Als Algorithmus wird AES-GCM verwendet.
[AH (SHA1)]:
Die Authentifizierung wird durchgeführt, jedoch werden die Daten nicht verschlüsselt.
Als Algorithmus wird SHA1 verwendet.
Die Authentifizierung wird durchgeführt, jedoch werden die Daten nicht verschlüsselt.
Als Algorithmus wird SHA1 verwendet.
[Verbindungsmodus]
Das Gerät unterstützt nur den Transportmodus.
3
Klicken Sie auf [OK].
Der Bildschirm [Richtlinie speichern] wird erneut angezeigt.
14
Klicken Sie auf [OK].
Die erstellte Richtlinie wird dem Bildschirm [Liste IPSec-Richtlinie] hinzugefügt.
Wenn mehrere Richtlinien registriert sind
Wählen Sie eine Richtlinie aus, und klicken Sie auf [Vorrang erhöhen] oder [Vorrang reduzieren], um die Reihenfolge der Priorität zu ändern. Richtlinien auf höherer Ebene haben Vorrang, wenn sie auf die IPSec-Kommunikation angewendet werden.
15
Klicken Sie auf [Einstelländerungen anwenden] [OK].
[OK].Die Einstellungen werden angewendet.
16
Melden Sie sich von der Remote UI ab.
HINWEIS
Bearbeiten von registrierten Richtlinien
Um die registrierten Informationen zu bearbeiten, klicken Sie auf dem Bildschirm [Liste IPSec-Richtlinie] auf den Namen der Richtlinie, die Sie bearbeiten möchten.