Použití IPSec
Protokol IPSec (IP Security Protocol) použijte, abyste zabránili odposlouchávání a manipulaci s IP pakety odeslanými a přijatými přes IP síť. Tato funkce provádí šifrování na úrovni protokolu IP, čímž zajišťuje bezpečnost, aniž by bylo zapotřebí spoléhat se na aplikaci nebo konfiguraci sítě.
Použitelné podmínky a podporované režimy protokolu IPSec
Pakety, na které se IPSec nepoužije
Pakety, které specifikují adresu zpětné smyčky, vícesměrového a všesměrového vysílání
Pakety IKE odeslané z protokolu UDP na portu 500
Pakety oslovení souseda a inzerování souseda ICMPv6
Provozní režim protokolu výměny klíčů (režimy IKE)
Režimy IKE podporované přístrojem jsou hlavní režim, který se používá k šifrování paketů, a agresivní režim bez šifrování.
Režim komunikace IPSec
Komunikační režim podporovaný přístrojem je pouze transportní režim, který šifruje pouze část kromě IP hlavičky. Tunelový režim, který šifruje celý IP paket, není podporován.
Vyhovuje FIPS 140
Při komunikaci IPSec se bez ohledu na nastavení [Formátovat způsob šifrování na FIPS 140] vždy používá šifrovací modul, který získal ověření FIPS 140. [Formátovat způsob šifrování na FIPS 140]
Aby komunikace IPSec odpovídala standardu FIPS 140, je třeba v síťovém prostředí, do kterého přístroj patří, nastavit délku klíče DH i klíče RSA pro komunikaci IPSec na 2048 bitů nebo delší.
*Délku klíče můžete zadat pouze pro tlačítko DH na přístroji. Pro klíč RSA není v přístroji žádné nastavení, berte to proto v úvahu při vytváření prostředí.
Použití IPSec společně s filtrováním IP adres
Při odesílání paketů se nejprve použije nastavení filtru IP adres. Nastavení brány firewall
Při příjmu paketů se nejprve použije nastavení IPSec.
Konfigurace zásad IPSec
Chcete-li na přístroji provádět komunikaci IPSec, musíte vytvořit zásady IPSec, které zahrnují příslušný rozsah a algoritmy pro ověřování a šifrování. Zásady se skládají především z následujících položek:
Selektor
Zadejte, na které IP pakety se má použít komunikace IPSec. Kromě zadání IP adresy přístroje a komunikujících zařízení můžete také zadat jejich čísla portů.
Provozní režim protokolu výměny klíčů (režim IKE)
Protokol výměny klíčů podporuje verzi IKEv1 (Internet Key Exchange Version 1). Pro metodu ověřování vyberte metodu předsdíleného klíče nebo metodu digitálního podpisu.
Metoda předsdíleného klíče
Tato metoda ověřování používá pro komunikaci mezi přístrojem a ostatními zařízeními společné klíčové slovo zvané sdílený klíč.
Tato metoda ověřování používá pro komunikaci mezi přístrojem a ostatními zařízeními společné klíčové slovo zvané sdílený klíč.
Metoda digitálního podpisu
Přístroj a ostatní zařízení se navzájem ověřují pomocí vzájemného ověřování svých digitálních podpisů.
Přístroj a ostatní zařízení se navzájem ověřují pomocí vzájemného ověřování svých digitálních podpisů.
*Chcete-li povolit použití SNTP, je třeba nakonfigurovat nastavení.
ESP/AH
Nakonfigurujte nastavení pro protokoly ESP nebo AH, které se mají použít pro komunikaci IPSec. Pro ještě větší zabezpečení použijte funkci Dopředná bezpečnost (Perfect Forward Secrecy, PFS).
Konfigurace IPSec
Povolte použití IPSec a poté vytvořte a zaregistrujte zásady IPSec. Jestliže je vytvořeno více zásad, zadejte pořadí, v jakém mají být použity. Můžete vytvořit až 10 zásad.
V této části je popsán způsob konfigurace nastavení pomocí Remote UI (Vzdálené UR) z počítače.
Na ovládacím panelu vyberte [
Nastavení/Uložení] na obrazovce [Hlavní obrazovka] nebo na jiné obrazovce a pak vyberte [Možnosti] ke konfiguraci nastavení. [Nastavení IPSec]
Jsou vyžadována oprávnění správce nebo správce sítě.
Na ovládacím panelu vyberte [
Nastavení/Uložení] na obrazovce [Hlavní obrazovka] nebo na jiné obrazovce a pak vyberte [Možnosti] ke konfiguraci nastavení. [Nastavení IPSec]Jsou vyžadována oprávnění správce nebo správce sítě.
Nutná příprava
Připojte přístroj přímo k počítači ve stejné virtuální privátní síti (VPN), jako je přístroj. Potvrďte provozní podmínky a předem dokončete nastavení v počítači. IPSec
Podle metody ověřování IKE si připravte následující:
Při použití metody předsdíleného klíče povolte TLS pro komunikaci s Remote UI (Vzdálené UR). Použití TLS
Při použití metody digitálního podpisu připravte klíč a certifikát, které chcete použít, a nakonfigurujte nastavení tak, aby bylo povoleno použití SNTP.
Při použití PFS ověřte, zda je PFS povoleno na komunikujícím zařízení.
1
Přihlaste se do Remote UI (Vzdálené UR) jako správce. Spuštění Remote UI (Vzdálené UR)
2
Na stránce portálu Remote UI (Vzdálené UR) klikněte na možnost [Settings/Registration]. Portálová stránka Remote UI (Vzdálené UR)
3
Klikněte na [Network Settings].
Zobrazí se obrazovka s nastavením sítě.
4
Klikněte na [IPSec Settings].
Zobrazí se obrazovka [IPSec Settings].
5
Zaškrtněte políčko [Use IPSec].
Chcete-li přijímat pouze pakety, které splňují zásady, vyberte [Reject] v [Receive Non-Policy Packets].
6
Klikněte na [OK].
Znovu se zobrazí obrazovka s nastavením sítě.
7
Klikněte na [IPSec Policy List].
Zobrazí se obrazovka [IPSec Policy List].
8
Klikněte na [Register New IPSec Policy].
Zobrazí se obrazovka [Register Policy].
9
Zadejte název zásad a vyberte [On] v [Policy On/Off].
Jako název zásad zadejte pomocí alfanumerických znaků název pro jejich identifikaci.
10
Podle potřeby omezte délku klíče AES.
Chcete-li omezit délku klíče AES na 256 bitů, například když chcete splnit standardy ověřování CC, zaškrtněte políčko [Only Allow 256-bit for AES Key Length].
*Multifunkční tiskárny Canon podporují dvě délky klíče pro metodu šifrování AES: 128 a 256 bitů.
11
Nastavte volič.
1
Klikněte na [Selector Settings].
Zobrazí se obrazovka [Selector].
2
Nastavte volič.
[Local Address Settings] a [Remote Address Settings]
Nastavte IP adresu, pro kterou chcete použít komunikaci IPSec. Zadejte IP adresu přístroje do [Local Address Settings] a IP adresu komunikačního zařízení do [Remote Address Settings].
[All IP Addresses]
Tuto možnost vyberte, chcete-li použít IPSec pro všechny IP pakety.
[IPv4 Address] nebo [All IPv4 Addresses]
Tuto možnost vyberte, chcete-li použít komunikaci IPSec na IP pakety odesílané a přijímané pomocí adresy IPv4.
[IPv6 Address] nebo [All IPv6 Addresses]
Tuto možnost vyberte, chcete-li použít komunikaci IPSec na IP pakety odesílané a přijímané pomocí adresy IPv6.
[IPv4 Manual Settings]
Tuto možnost vyberte, chcete-li zadat adresu IPv4, na kterou se má použít komunikace IPSec. Pomocí některé z následujících metod zadejte adresu IPv4, na kterou chcete nastavení použít.
Při zadávání jediné adresy IPv4
Vyberte [Single Address] a adresu IPv4 zadejte do [First Address].
Vyberte [Single Address] a adresu IPv4 zadejte do [First Address].
Při zadávání rozsahu adres IPv4
Vyberte [Range Address] a adresy IPv4 zadejte do [First Address] a [Last Address].
Vyberte [Range Address] a adresy IPv4 zadejte do [First Address] a [Last Address].
Při zadávání rozsahu adres IPv4 pomocí masky podsítě
Vyberte [Subnet Settings], zadejte adresu IPv4 do [First Address] a masku podsítě do [Subnet Settings].
Vyberte [Subnet Settings], zadejte adresu IPv4 do [First Address] a masku podsítě do [Subnet Settings].
[IPv6 Manual Settings]
Tuto možnost vyberte, chcete-li zadat adresu IPv6, pro kterou se má použít komunikace IPSec. Pomocí některé z následujících metod zadejte adresu IPv6, na kterou chcete nastavení použít.
Při zadávání jediné adresy IPv6
Vyberte [Single Address] a adresu IPv6 zadejte do [First Address].
Vyberte [Single Address] a adresu IPv6 zadejte do [First Address].
Při zadávání rozsahu adres IPv6
Vyberte [Range Address] a adresy IPv6 zadejte do [First Address] a [Last Address].
Vyberte [Range Address] a adresy IPv6 zadejte do [First Address] a [Last Address].
Při zadávání rozsahu adres IPv6 pomocí předpony
Vyberte [Prefix Address], zadejte adresu IPv6 do [First Address] a délku prefixu do [Prefix Length].
Vyberte [Prefix Address], zadejte adresu IPv6 do [First Address] a délku prefixu do [Prefix Length].
[Port Settings]
Nastavte porty, pro které chcete použít komunikaci IPSec.
[Specify by Port Number]
Tuto možnost vyberte, chcete-li při zadávání portů, na které se vztahuje komunikace IPSec, použít čísla portů. Zadejte číslo portu přístroje do [Local Port] a číslo portu komunikačního zařízení do [Remote Port].
Chcete-li použít komunikaci IPSec na všechna čísla portů, vyberte možnost [All Ports].
Chcete-li komunikaci IPSec použít pro určité číslo portu, stiskněte [Single Port] a zadejte číslo portu.
[Specify by Service Name]
Tuto možnost vyberte, chcete-li při zadávání portů, na které se vztahuje komunikace IPSec, použít názvy služeb. Zaškrtněte políčka u služeb, pro které chcete použít komunikaci IPSec.
3
Klikněte na [OK].
Zobrazí se obrazovka [Register Policy].
12
Nakonfigurujte nastavení IKE.
1
Klikněte na [IKE Settings].
Zobrazí se obrazovka [IKE].
2
Nakonfigurujte nastavení IKE.
[IKE Mode]
Vyberte operační režim pro protokol výměny klíčů. Když vyberete [Main], zvýší se zabezpečení, protože samotná relace IKE je šifrována, ale komunikace je pomalejší než [Aggressive], která šifrování neprovádí.
[Validity]
Zadejte v minutách platnou dobu IKE SA (ISAKMP SA), která se má použít jako řídicí komunikační cesta.
[Authentication Method]
Z vyberte metodu ověřování přístroje.
Pokud vyberete [Pre-Shared Key Method], klikněte na [Shared Key Settings] 
zadejte řetězec, který chcete použít jako sdílený klíč pomocí alfanumerických znaků klikněte na [OK].
zadejte řetězec, který chcete použít jako sdílený klíč pomocí alfanumerických znaků klikněte na [OK].Pokud vyberete [Digital Signature Method], klikněte na [Key and Certificate] [Use] klíče a certifikátu, které chcete použít.
[Use] klíče a certifikátu, které chcete použít.[Authentication/Encryption Algorithm]
Nakonfigurujte ověřovací a šifrovací algoritmus pro fázi 1 IKE.
Chcete-li automaticky nastavit algoritmus, který může používat tento přístroj i komunikující zařízení, vyberte [Auto].
Chcete-li zadat konkrétní algoritmus, vyberte [Manual Settings] a nakonfigurujte nastavení [Authentication], [Encryption] a [DH Group].
[Authentication]: Vyberte hashovací algoritmus.
[Encryption]: Vyberte algoritmus šifrování.
[DH Group]: Vyberte skupinu Diffie-Hellman použitou k určení síly klíče.
|
Když [IKE Mode] je nastaveno na [Main] a [Authentication Method] je nastaveno na [Pre-Shared Key Method]
Pokud zadáte více než jednu adresu do [Remote Address Settings] v nastavení selektoru, platí při vytváření více zásad následující omezení:
U zásad s více než jednou zadanou adresou musí být všechny sdílené klíče nastaveny na stejný řetězec.
Zásady s více než jednou zadanou adresou nelze nastavit vyšší prioritu než zásady s jedinou zadanou adresou.
|
3
Klikněte na [OK].
Znovu se zobrazí obrazovka [Register Policy].
13
Proveďte nastavení sítě IPSec.
1
Klikněte na [IPSec Network Settings].
Zobrazí se obrazovka [IPSec Network].
2
Proveďte nastavení sítě IPSec.
[Validity]
Zadejte platnou dobu IPSec SA, která se má používat jako cesta datové komunikace, podle času, velikosti nebo obojího.
Pokud zaškrtnete políčko [Time], zadejte platné období v minutách.
Pokud zaškrtnete políčko [Size], zadejte platné období v megabajtech.
Pokud vyberete obě možnosti, použije se položka, jejíž zadaná hodnota bude dosažena jako první.
[PFS]
Zaškrtněte toto políčko a nakonfigurujte PFS pro klíč relace.
[Authentication/Encryption Algorithm]
Nastavte algoritmus ověřování a šifrování pro fázi 2 IKE.
Chcete-li automaticky nastavit ověřovací a šifrovací algoritmus ESP, vyberte [Auto].
Chcete-li zadat konkrétní metodu ověřování, vyberte [Manual Settings] a jednu z následujících metod ověřování.
[ESP]:
Provede se ověření i šifrování.
Vyberte algoritmus v [ESP Authentication] a [ESP Encryption]. Pokud nechcete nastavit algoritmus, vyberte [NULL].
Provede se ověření i šifrování.
Vyberte algoritmus v [ESP Authentication] a [ESP Encryption]. Pokud nechcete nastavit algoritmus, vyberte [NULL].
[ESP (AES-GCM)]:
Provede se ověřování i šifrování.
Jako algoritmus se použije AES-GCM.
Provede se ověřování i šifrování.
Jako algoritmus se použije AES-GCM.
[AH (SHA1)]:
Ověřování je provedeno, ale data nejsou zašifrována.
Jako algoritmus je použit SHA1.
Ověřování je provedeno, ale data nejsou zašifrována.
Jako algoritmus je použit SHA1.
[Connection Mode]
Přístroj podporuje pouze transportní režim.
3
Klikněte na [OK].
Znovu se zobrazí obrazovka [Register Policy].
14
Klikněte na [OK].
Vytvořené zásady se přidají na obrazovku [IPSec Policy List].
Když je uloženo více zásad
Vyberte zásady a kliknutím na [Raise Priority] nebo [Lower Priority] změňte pořadí priority. Zásady s vyšší úrovní mají při použití na komunikaci IPSec prioritu.
15
Klikněte na [Apply Setting Changes] [OK].
[OK].Nastavení se použijí.
16
Odhlaste se od Remote UI (Vzdálené UR).
POZNÁMKA
Úprava uložených zásad
Chcete-li upravit uložené informace, klikněte na obrazovce [IPSec Policy List] na název zásad, které chcete upravit.