IPSec gebruiken
Gebruik IP Security Protocol (IPSec) om spionage van en knoeien met IP-pakketten te verhinderen die via een IP-netwerk worden verzonden en ontvangen. Dit past versleuteling op IP-protocolniveau toe om beveiliging te garanderen zonder dat u vertrouwt op een toepassing of netwerkconfiguratie.
Toepasbare condities en ondersteunde modi voor IPSec
Pakketten waarop IPSec niet wordt toegepast
Pakketten die een loopback-, multicast- en broadcastadres opgeven
IKE-pakketten die vanaf UDP-poort 500 zijn verzonden
Pakketten voor "neighbor solicitation" en "neighbor advertisement" van ICMPv6
Bedieningsmodus van het protocol voor uitwisselen van sleutels
De IKE-modi die door de machine worden ondersteund zijn de hoofdmodus die wordt gebruikt om pakketten te versleutelen en de agressieve modus zonder versleuteling.
IPSec-communicatiemodus
De door het apparaat ondersteunde communicatiemodus is slechts de transportmodus, die uitsluitend het gedeelte zonder de IP-koptekst versleutelt. De tunnelmodus, die het hele IP-pakket versleutelt, wordt niet ondersteund.
Conform maken met FIPS 140
Tijdens IPSec-communicatie wordt, ongeacht de instelling van [Stel de encryptiemethode in op FIPS 140], altijd een versleutelingsmodule gebruikt met FIPS 140-verificatie. [Stel de encryptiemethode in op FIPS 140]
Als u wilt dat IPSec-communicatie voldoet aan FIPS 140, moet u de lengte van zowel de DH- als de RSA-sleutel voor IPSec-communicatie instellen op 2048 bits of langer in de netwerkomgeving waartoe de machine behoort.
* U kunt de sleutellengte alleen opgeven voor de DH-sleutel op de machine. Er is geen instelling voor de RSA-sleutel op de machine, dus houd hier rekening mee bij het bouwen van de omgeving.
IPSec samen met IP-adresfiltering gebruiken
Wanneer pakketten worden verzonden, worden eerst de IP-adresfilterinstellingen toegepast. Een firewall instellen
Wanneer pakketten worden ontvangen, worden eerst de IPSec-instellingen toegepast.
IPSec-beleidsconfiguratie
Om IPSec-communicatie op het apparaat toe te passen, moet u een IPSec-beleid creëren dat het toepasbare bereik en algoritmes voor verificatie en versleuteling omvat. Het beleid wordt uitsluitend samengesteld uit de volgende items:
Selector
Geef op welke IP-pakketten worden toegepast voor IPSec-communicatie. Naast het opgeven van het IP-adres van het apparaat en communicerende apparaten kunt u ook hun poortnummers opgeven.
Bedieningsmodus van het protocol voor uitwisselen van sleutels (IKE-modus)
Het protocol voor sleuteluitwisseling ondersteunt IKEv1 (Internet Key Exchange Version 1). Bij de authenticatiemethode selecteert u de gedeelde sleutelmethode of de digitale-handtekeningenmethode.
Gedeelde sleutelmethode
Deze authenticatiemethode gebruikt een algemeen sleutelwoord, genaamd Gedeelde sleutel, voor communicatie tussen de machine en andere apparaten.
Deze authenticatiemethode gebruikt een algemeen sleutelwoord, genaamd Gedeelde sleutel, voor communicatie tussen de machine en andere apparaten.
Digitale-handtekeningmethode
De machine en andere apparaten verifiëren elkaar door wederzijds hun digitale handtekeningen te controleren.
De machine en andere apparaten verifiëren elkaar door wederzijds hun digitale handtekeningen te controleren.
* U moet de instellingen configureren om het gebruik van SNTP mogelijk te maken.
ESP/AH
Configureer de instellingen voor de ESP- of AH-protocollen die worden gebruikt voor IPSec-communicatie. Gebruik Perfect Forward Secrecy (PFS) voor nog betere beveiliging.
IPSec configureren
Schakel het gebruik van IPSec in. Creëer en registreer het IPSec beleid. Als er meer dan één beleid is gecreëerd, geef dan de volgorde op waarin ze worden toegepast. U kunt maximaal 10 beleidsregels maken.
In deze sectie leert u hoe u met Remote UI (UI op afstand) vanaf een computer de instellingen kiest.
Selecteer op het bedieningspaneel [
Instellingen/Registratie] in het scherm [Home] of ander scherm en selecteer vervolgens [Voorkeuren] om de instellingen te configureren. [IPSec instellingen]
De machtigingen Administrator of NetworkAdmin zijn vereist.
Selecteer op het bedieningspaneel [
Instellingen/Registratie] in het scherm [Home] of ander scherm en selecteer vervolgens [Voorkeuren] om de instellingen te configureren. [IPSec instellingen]De machtigingen Administrator of NetworkAdmin zijn vereist.
Vereiste voorbereidingen
Verbind het apparaat rechtstreeks met een computer op hetzelfde virtual private network (VPN) als het apparaat. Bevestig de condities van de bewerking, en realiseer vooraf de instellingen op de computer. IPSec
Bereid het volgende voor in overeenstemming met de IKE-verificatiemethode:
Als u de gedeelde sleutelmethode gebruikt, schakel dan TLS in voor communicatie via Remote UI (UI op afstand). TLS gebruiken
Als u de digitale handtekeningmethode gebruikt, bereidt u de sleutel en het certificaat voor en configureert u de instellingen om het gebruik van SNTP mogelijk te maken.
Bij gebruik van PFS: controleer dat PFS is ingeschakeld op het communicerende apparaat.
1
Meld u aan Remote UI (UI op afstand) als beheerder. De Remote UI (UI op afstand) starten
2
Klik op de Portal-pagina van Remote UI (UI op afstand) op [Settings/Registration]. Remote UI (UI op afstand)-portaalpagina
3
Klik op [Network Settings].
Het scherm met de netwerkinstellingen wordt weergegeven.
4
Klik op [IPSec Settings].
Het scherm [IPSec Settings] wordt weergegeven.
5
Schakel het selectievakje [Use IPSec] in.
Om alleen pakketten te ontvangen die voldoen aan het beleid, selecteert u [Reject] in [Receive Non-Policy Packets].
6
Klik op [OK].
Het netwerkinstellingen-scherm wordt opnieuw weergegeven.
7
Klik op [IPSec Policy List].
Het scherm [IPSec Policy List] wordt weergegeven.
8
Klik op [Register New IPSec Policy].
Het scherm [Register Policy] wordt weergegeven.
9
Geef de beleidsnaam op en selecteer [On] in [Policy On/Off].
Voer voor de beleidsnaam een naam in om het beleid te identificeren met alfanumerieke tekens.
10
Beperk de lengte van de AES-sleutel, indien nodig.
Als u de lengte van de AES-sleutel wilt beperken tot 256 bits, bijvoorbeeld als u wilt voldoen aan de CC-authenticatienormen, schakelt u het selectievakje in [Only Allow 256-bit for AES Key Length].
*Multifunctionele Canon-machines ondersteunen twee sleutellengtes voor de AES-coderingsmethode: 128-bits en 256-bits.
11
Stel de keuzeschakelaar in.
1
Klik op [Selector Settings].
Het scherm [Selector] wordt weergegeven.
2
Stel de keuzeschakelaar in.
[Local Address Settings] en [Remote Address Settings]
Stel het IP-adres in waarop IPSec-communicatie moet worden toegepast. Geef het IP-adres van de machine op in [Local Address Settings] en het IP-adres van het communicerende apparaat in [Remote Address Settings].
[All IP Addresses]
Selecteer dit om IPSec toe te passen op alle IP-pakketten.
[IPv4 Address] of [All IPv4 Addresses]
Selecteer dit om IPSec-communicatie toe te passen op IP-pakketten die met een IPv4-adres worden verzonden en ontvangen.
[IPv6 Address] of [All IPv6 Addresses]
Selecteer dit om IPSec-communicatie toe te passen op IP-pakketten die worden verzonden en ontvangen met een IPv6-adres.
[IPv4 Manual Settings]
Selecteer dit om een IPv4-adres op te geven waarop IPSec-communicatie moet worden toegepast. Gebruik een van de volgende methoden om het IPv4-adres op te geven waarop de instellingen moeten worden toegepast.
Als u één IPv4-adres opgeeft
Selecteer [Single Address] en voer het IPv4-adres in [First Address].
Selecteer [Single Address] en voer het IPv4-adres in [First Address].
Als u een bereik van IPv4-adressen opgeeft
Selecteer [Range Address] en voer de IPv4-adressen in [First Address] en [Last Address] in.
Selecteer [Range Address] en voer de IPv4-adressen in [First Address] en [Last Address] in.
Als u een bereik van IPv4-adressen opgeeft met behulp van een subnetmasker
Selecteer [Subnet Settings], voer het IPv4-adres in [First Address] en voer het subnetmasker in [Subnet Settings].
Selecteer [Subnet Settings], voer het IPv4-adres in [First Address] en voer het subnetmasker in [Subnet Settings].
[IPv6 Manual Settings]
Selecteer dit om een IPv6-adres op te geven waarop IPSec-communicatie moet worden toegepast. Gebruik een van de volgende methoden om het IPv6-adres op te geven waarop de instellingen moeten worden toegepast.
Als u een enkel IPv6-adres opgeeft
Selecteer [Single Address] en voer het IPv6-adres in [First Address] in.
Selecteer [Single Address] en voer het IPv6-adres in [First Address] in.
Als u een bereik van IPv6-adressen opgeeft
Selecteer [Range Address] en voer de IPv6-adressen in [First Address] en [Last Address] in.
Selecteer [Range Address] en voer de IPv6-adressen in [First Address] en [Last Address] in.
Als u een bereik van IPv6-adressen opgeeft met behulp van een prefix
Selecteer [Prefix Address], voer het IPv6-adres in [First Address], en voer de prefixlengte in [Prefix Length].
Selecteer [Prefix Address], voer het IPv6-adres in [First Address], en voer de prefixlengte in [Prefix Length].
[Port Settings]
Stel de poorten in waarop IPSec-communicatie moet worden toegepast.
[Specify by Port Number]
Selecteer dit om poortnummers te gebruiken bij het specificeren van de poorten waarop IPSec-communicatie van toepassing is. Geef het poortnummer van de machine op in [Local Port] en geef het poortnummer van het communicerende apparaat op in [Remote Port].
Als u IPSec-communicatie wilt toepassen op alle poortnummers, selecteert u [All Ports].
Als u de IPSec-communicatie op een specifiek poortnummer wilt toepassen, drukt u op [Single Port] en voert u het poortnummer in.
[Specify by Service Name]
Selecteer dit om servicenamen te gebruiken bij het specificeren van de poorten waarop de IPSec-communicatie van toepassing is. Schakel de selectievakjes in van de services waarop IPSec-communicatie moet worden toegepast.
3
Klik op [OK].
Het scherm [Register Policy] wordt weergegeven.
12
Configureer de IKE-instellingen.
1
Klik op [IKE Settings].
Het scherm [IKE] wordt weergegeven.
2
Configureer de IKE-instellingen.
[IKE Mode]
Selecteer de werkingsmodus van het sleuteluitwisselingsprotocol. Als [Main] is geselecteerd, is de beveiliging verbeterd omdat de IKE-sessie zelf is versleuteld, maar de communicatie is langzamer dan [Aggressive], die geen versleuteling uitvoert.
[Validity]
Voer (in minuten) de geldige periode van IKE SA (ISAKMP SA) in die u wilt gebruiken als het pad voor de besturingscommunicatie.
[Authentication Method]
Selecteer de verificatiemethode van het apparaat.
Als u [Pre-Shared Key Method] selecteert, klikt u op [Shared Key Settings] 
voer de tekenreeks in die u wilt gebruiken als gedeelde sleutel met alfanumerieke tekens klik op [OK].
voer de tekenreeks in die u wilt gebruiken als gedeelde sleutel met alfanumerieke tekens klik op [OK].Als u [Digital Signature Method] selecteert, klikt u op [Key and Certificate] [Use] van de sleutel en het certificaat die u wilt gebruiken.
[Use] van de sleutel en het certificaat die u wilt gebruiken.[Authentication/Encryption Algorithm]
Configureer het authenticatie- en versleutelingsalgoritme voor IKE fase 1.
Om automatisch een algoritme in te stellen dat zowel door deze machine als door de communicerende machine kan worden gebruikt, selecteert u [Auto].
Om een bepaald algoritme te specificeren, selecteert u [Manual Settings] en configureert u de instellingen [Authentication], [Encryption] en [DH Group].
[Authentication]: Selecteer het hash-algoritme.
[Encryption]: Selecteer het coderingsalgoritme.
[DH Group]: Selecteer de Diffie-Hellman-groep die gebruikt wordt om de sleutelsterkte te bepalen.
|
Als [IKE Mode] is ingesteld op [Main] en [Authentication Method] is ingesteld op [Pre-Shared Key Method]
Als u meer dan één adres in [Remote Address Settings] opgeeft in de selectorinstellingen, gelden de volgende beperkingen wanneer u meerdere beleidsregels maakt:
Voor beleidsregels met meer dan één adres moeten alle gedeelde sleutels op dezelfde string worden ingesteld.
Beleidsregels met meer dan één adres kunnen niet op een hogere prioriteit worden ingesteld dan beleidsregels met één adres.
|
3
Klik op [OK].
Het scherm [Register Policy] wordt opnieuw weergegeven.
13
Configureer de IPSec-netwerkinstellingen.
1
Klik op [IPSec Network Settings].
Het scherm [IPSec Network] wordt weergegeven.
2
Configureer de IPSec-netwerkinstellingen.
[Validity]
Geef de geldige periode van IPSec SA op die u wilt gebruiken als het gegevenscommunicatiepad, op basis van tijd, formaat, of beide.
Als u het selectievakje [Time] selecteert, voert u de geldige periode in minuten in.
Als u het selectievakje [Size] selecteert, voert u de geldige periode in megabytes in.
Als u beide selecteert, wordt het item toegepast waarvan de opgegeven waarde het eerst wordt bereikt.
[PFS]
Selecteer dit selectievakje om PFS voor de sessiesleutel te configureren.
[Authentication/Encryption Algorithm]
Stel het authenticatie- en coderingsalgoritme voor IKE-fase 2 in.
Om automatisch de ESP-authenticatie en het encryptie-algoritme in te stellen, selecteert u [Auto].
Als u een specifieke authenticatiemethode wilt opgeven, selecteert u [Manual Settings] en selecteert u een van de volgende authenticatiemethoden.
[ESP]:
Authenticatie en encryptie worden beide uitgevoerd.
Selecteer het algoritme in [ESP Authentication] en [ESP Encryption]. Als u het algoritme niet wilt instellen, selecteert u [NULL].
Authenticatie en encryptie worden beide uitgevoerd.
Selecteer het algoritme in [ESP Authentication] en [ESP Encryption]. Als u het algoritme niet wilt instellen, selecteert u [NULL].
[ESP (AES-GCM)]:
Authenticatie en versleuteling worden beide uitgevoerd.
AES-GCM wordt gebruikt als algoritme.
Authenticatie en versleuteling worden beide uitgevoerd.
AES-GCM wordt gebruikt als algoritme.
[AH (SHA1)]:
Authenticatie wordt uitgevoerd, maar gegevens worden niet versleuteld.
SHA1 wordt gebruikt als algoritme.
Authenticatie wordt uitgevoerd, maar gegevens worden niet versleuteld.
SHA1 wordt gebruikt als algoritme.
[Connection Mode]
Het apparaat ondersteunt uitsluitend de transportmodus.
3
Klik op [OK].
Het scherm [Register Policy] wordt opnieuw weergegeven.
14
Klik op [OK].
Het nieuw geregistreerde beleid wordt toegevoegd aan [IPSec Policy List] op het scherm.
Als er meer dan één beleid is geregistreerd
Selecteer een beleid en klik op [Raise Priority] of [Lower Priority] om de volgorde van de prioriteit te wijzigen. Een beleid met hoger niveau heeft prioriteit bij toepassing voor IPSec-communicatie.
15
Klik op [Apply Setting Changes] [OK].
[OK].De instellingen worden toegepast.
16
Uitloggen van Remote UI (UI op afstand).
N.B.
Een geregistreerd beleid bewerken
Als u de geregistreerde informatie wilt bewerken, klikt u op de naam van het beleid dat u wilt bewerken op het scherm [IPSec Policy List].