Korzystanie z protokołu IPSec
Użyj protokołu IP Security Protocol (IPSec), aby zapobiec podsłuchiwaniu i manipulowaniu pakietami IP wysyłanymi i odbieranymi przez sieć IP. Wykonuje to szyfrowanie na poziomie protokołu IP, aby zapewnić bezpieczeństwo bez konieczności polegania na konfiguracji aplikacji lub sieci.
Obowiązujące warunki i obsługiwane tryby protokołu IPSec
Pakiety, do których nie ma zastosowania protokół IPSec
Pakiety określające adres loopback, multiemisji lub emisyjny
Pakiety IKE wysłane z UDP na porcie 500
Pakiety ICMPv6 Neighbor Solicitation i Neighbor Advertisement
Tryb działania protokołu wymiany kluczy (tryby IKE)
Urządzenie obsługuje następujące tryby IKE: tryb główny, służący do szyfrowania pakietów, oraz tryb agresywny bez szyfrowania.
Tryb komunikacji IPSec
Tryb komunikacji obsługiwany przez urządzenie to wyłącznie tryb transportowy, który szyfruje tylko część z wyłączeniem nagłówka IP. Tryb tunelowy, który szyfruje cały pakiet IP, nie jest obsługiwany.
Zgodny ze standardem FIPS 140
Podczas komunikacji IPSec, niezależnie od ustawienia [Formatowanie Metody Szyfrowania na FIPS 140], zawsze używany jest moduł szyfrujący, który uzyskał uwierzytelnienie FIPS 140. [Formatowanie Metody Szyfrowania na FIPS 140]
Aby mieć pewność, że komunikacja IPSec jest zgodna ze standardem FIPS 140, należy ustawić długość kluczy DH i RSA dla komunikacji IPSec na 2048 bitów lub dłużej w środowisku sieciowym, do którego należy urządzenie.
* Możesz określić długość klucza tylko dla klucza DH w urządzeniu. Na urządzeniu nie ma ustawienia klucza RSA, należy więc wziąć to pod uwagę podczas tworzenia środowiska.
Używanie protokołu IPSec razem z filtrowaniem adresów IP
Podczas wysyłania pakietów w pierwszej kolejności stosowane są ustawienia filtru adresu IP. Konfigurowanie zapory sieciowej
Po odebraniu pakietów najpierw stosowane są ustawienia protokołu IPSec.
Konfiguracja zasad protokołu IPSec
Aby umożliwić komunikację IPSec w urządzeniu, musisz utworzyć zasadę IPSec, która zawiera odpowiedni zakres i algorytmy uwierzytelniania i szyfrowania. Zasady te składają się głównie z następujących elementów:
Selektor
Określ, do których pakietów IP ma zostać zastosowana komunikacja IPSec. Oprócz określenia adresu IP urządzenia i komunikujących się z nim urządzeń, możesz także określić numery ich portów.
Tryb działania protokołu wymiany kluczy (tryb IKE)
Protokół wymiany kluczy obsługuje protokół Internet Key Exchange w wersji 1 (IKEv1). Jako metodę uwierzytelniania wybierz metodę klucza wstępnie udostępnionego lub metodę podpisu cyfrowego.
Metoda klucza wstępnie udostępnionego
Ta metoda uwierzytelniania wykorzystuje udostępnione słowo kluczowe, nazywane kluczem udostępnionym, umożliwiające komunikację pomiędzy urządzeniem i innymi urządzeniami.
Ta metoda uwierzytelniania wykorzystuje udostępnione słowo kluczowe, nazywane kluczem udostępnionym, umożliwiające komunikację pomiędzy urządzeniem i innymi urządzeniami.
Metoda podpisu cyfrowego
Urządzenie i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemną weryfikację swoich podpisów cyfrowych.
Urządzenie i inne urządzenia uwierzytelniają się wzajemnie poprzez wzajemną weryfikację swoich podpisów cyfrowych.
* Aby umożliwić korzystanie z protokołu SNTP, należy skonfigurować te ustawienia.
ESP/AH
Skonfiguruj ustawienia protokołów ESP lub AH, które mają być używane w komunikacji IPSec. Dla jeszcze większego bezpieczeństwa zastosuj Perfect Forward Secrecy (PFS).
Konfigurowanie protokołu IPSec
Włącz korzystanie z protokołu IPSec, a następnie utwórz i zarejestruj zasady komunikacji IPSec. W przypadku utworzenia wielu zasad należy określić kolejność ich stosowania. Można utworzyć maksymalnie 10 zasad.
W tym rozdziale opisano, jak skonfigurować ustawienia za pomocą Remote UI (Zdalny interfejs użytkownika) z komputera.
Na panelu sterowania wybierz [
Ustawienia/Rejestracja] na ekranie [Strona główna] lub innym, a następnie wybierz [Właściwości], aby skonfigurować ustawienia. [Ustawienia IPSec]
Wymagane są uprawnienia typu Administrator lub NetworkAdmin.
Na panelu sterowania wybierz [
Ustawienia/Rejestracja] na ekranie [Strona główna] lub innym, a następnie wybierz [Właściwości], aby skonfigurować ustawienia. [Ustawienia IPSec]Wymagane są uprawnienia typu Administrator lub NetworkAdmin.
Wymagane czynności przygotowawcze
Podłącz urządzenie bezpośrednio do komputera znajdującego się w tej samej wirtualnej sieci prywatnej (VPN), co urządzenie. Upewnij się, jakie są warunki działania urządzenia i zakończ wcześniej wprowadzanie ustawień na komputerze. IPSec
Poczyń poniższe przygotowania zgodnie z metodą uwierzytelniania IKE:
W przypadku korzystania z metody klucza wstępnie udostępnionego należy włączyć protokół TLS w celu komunikacji z Remote UI (Zdalny interfejs użytkownika). Korzystanie z TLS
W przypadku korzystania z metody podpisu cyfrowego przygotuj klucz i certyfikat do użycia oraz skonfiguruj ustawienia, aby umożliwić korzystanie z protokołu SNTP.
Jeśli używasz PFS, sprawdź, czy w urządzeniu komunikującym się włączona jest obsługa PFS.
1
Zaloguj się do Remote UI (Zdalny interfejs użytkownika) jako administrator. Uruchamianie aplikacji Remote UI (Zdalny interfejs użytkownika)
2
Na stronie portalu Remote UI (Zdalny interfejs użytkownika) kliknij na [Settings/Registration]. Strona główna Remote UI (Zdalny interfejs użytkownika)
3
Kliknij [Network Settings].
Wyświetli się ekran ustawień sieciowych.
4
Kliknij [IPSec Settings].
Zostanie wyświetlony ekran [IPSec Settings].
5
Zaznacz pole wyboru [Use IPSec].
Aby odbierać tylko pakiety spełniające zasady, wybierz opcję [Reject] w menu [Receive Non-Policy Packets].
6
Kliknij [OK].
Ekran ustawień sieciowych zostanie wyświetlony ponownie.
7
Kliknij [IPSec Policy List].
Zostanie wyświetlony ekran [IPSec Policy List].
8
Kliknij [Register New IPSec Policy].
Zostanie wyświetlony ekran [Register Policy].
9
Określ nazwę zasady i wybierz opcję [On] w menu [Policy On/Off].
W polu Nazwa zasady wprowadź nazwę identyfikującą tę zasadę, używając znaków alfanumerycznych.
10
W razie potrzeby ogranicz długość klucza AES.
Aby ograniczyć długość klucza AES do 256 bitów, na przykład gdy chcesz spełnić standardy uwierzytelniania CC, zaznacz pole wyboru [Only Allow 256-bit for AES Key Length].
* Urządzenia wielofunkcyjne marki Canon obsługują dwie długości klucza dla metody szyfrowania AES: 128 bitów i 256 bitów.
11
Ustaw selektor.
1
Kliknij [Selector Settings].
Zostanie wyświetlony ekran [Selector].
2
Ustaw selektor.
[Local Address Settings] oraz [Remote Address Settings]
Ustaw adres IP, do którego chcesz zastosować komunikację IPSec. Podaj adres IP urządzenia w menu [Local Address Settings] i adres IP urządzenia komunikującego się w menu [Remote Address Settings].
[All IP Addresses]
Wybierz tę opcję, aby zastosować protokół IPSec do wszystkich pakietów IP.
[IPv4 Address] lub [All IPv4 Addresses]
Wybierz tę opcję, aby zastosować komunikację IPSec do pakietów IP wysyłanych i odbieranych przy użyciu protokołu IPv4.
[IPv6 Address] lub [All IPv6 Addresses]
Wybierz tę opcję, aby zastosować komunikację IPSec do pakietów IP wysyłanych i odbieranych przy użyciu protokołu IPv6.
[IPv4 Manual Settings]
Wybierz tę opcję, aby określić adres IPv4, do którego ma zostać zastosowana komunikacja IPSec. Użyj dowolnej z poniższych metod, aby określić adres IPv4, do którego mają zostać zastosowane te ustawienia.
Określając pojedynczy adres IPv4
Wybierz opcję [Single Address] i wprowadź adres IPv4 w polu [First Address].
Wybierz opcję [Single Address] i wprowadź adres IPv4 w polu [First Address].
Określając zakres adresów IPv4
Wybierz opcję [Range Address] i wprowadź adresy IPv4 w polu [First Address] i [Last Address].
Wybierz opcję [Range Address] i wprowadź adresy IPv4 w polu [First Address] i [Last Address].
Podczas określania zakresu adresów IPv4 przy użyciu maski podsieci
Wybierz opcję [Subnet Settings], wprowadź adres IPv4 w polu [First Address] i wprowadź maskę podsieci w polu [Subnet Settings].
Wybierz opcję [Subnet Settings], wprowadź adres IPv4 w polu [First Address] i wprowadź maskę podsieci w polu [Subnet Settings].
[IPv6 Manual Settings]
Wybierz tę opcję, aby określić adres IPv6, do którego ma zostać zastosowana komunikacja IPSec. Użyj dowolnej z poniższych metod, aby określić adres IPv6, do którego mają zostać zastosowane te ustawienia.
Określając pojedynczy adres IPv6
Wybierz opcję [Single Address] i wprowadź adres IPv6 w polu [First Address].
Wybierz opcję [Single Address] i wprowadź adres IPv6 w polu [First Address].
Określając zakres adresów IPv6
Wybierz opcję [Range Address] i wprowadź adresy IPv6 w polu [First Address] i [Last Address].
Wybierz opcję [Range Address] i wprowadź adresy IPv6 w polu [First Address] i [Last Address].
Określając zakres adresów IPv6 za pomocą prefiksu
Wybierz opcję [Prefix Address], wprowadź adres IPv6 w polu [First Address] i wprowadź długość prefiksu w polu [Prefix Length].
Wybierz opcję [Prefix Address], wprowadź adres IPv6 w polu [First Address] i wprowadź długość prefiksu w polu [Prefix Length].
[Port Settings]
Ustaw porty, do których ma być stosowana komunikacja IPSec.
[Specify by Port Number]
Wybierz tę opcję, aby używać numerów portów podczas określania portów, do których ma zastosowanie komunikacja IPSec. Podaj numer portu urządzenia w polu [Local Port] i określ numer portu urządzenia komunikującego się w polu [Remote Port].
Aby zastosować protokół IPSec do wszystkich numerów portów, wybierz opcję [All Ports].
Aby zastosować komunikację IPSec do określonego numeru portu, naciśnij przcysik [Single Port] i wprowadź numer portu.
[Specify by Service Name]
Wybierz tę opcję, aby podczas określania portów, do których ma zastosowanie komunikacja IPSec, używane były nazwy usług. Zaznacz pola wyboru usług, do których chcesz zastosować komunikację IPSec.
3
Kliknij [OK].
Zostanie wyświetlony ekran [Register Policy].
12
Skonfiguruj ustawienia trybu IKE.
1
Kliknij [IKE Settings].
Zostanie wyświetlony ekran [IKE].
2
Skonfiguruj ustawienia trybu IKE.
[IKE Mode]
Wybierz tryb działania protokołu wymiany kluczy. Po wybraniu opcji [Main] bezpieczeństwo jest zwiększone, ponieważ sama sesja IKE jest szyfrowana, ale komunikacja jest wolniejsza niż w trybie [Aggressive], który nie wykonuje szyfrowania.
[Validity]
Wprowadź w minutach okres ważności IKE SA (ISAKMP SA), który ma być używany jako ścieżka komunikacji kontrolnej.
[Authentication Method]
Wybierz metodę uwierzytelniania urządzenia.
Jeśli wybierzesz opcję [Pre-Shared Key Method], kliknij przycisk [Shared Key Settings] 
wprowadź ciąg znaków, który ma być używany jako klucz udostępniony, używając znaków alfanumerycznych , kliknij przycisk [OK].
wprowadź ciąg znaków, który ma być używany jako klucz udostępniony, używając znaków alfanumerycznych , kliknij przycisk [OK].Jeśli wybierzesz opcję [Digital Signature Method], kliknij przycisk [Key and Certificate] [Use] klucza i certyfikatu, którego chcesz użyć.
[Use] klucza i certyfikatu, którego chcesz użyć.[Authentication/Encryption Algorithm]
Skonfiguruj algorytm uwierzytelniania i szyfrowania dla fazy 1 trybu IKE.
Aby automatycznie ustawić algorytm, który może być używany zarówno przez to urządzenie, jak i urządzenie komunikujące się, wybierz opcję [Auto].
Aby określić konkretny algorytm, wybierz opcję [Manual Settings] i skonfiguruj ustawienia [Authentication], [Encryption] i [DH Group].
[Authentication]: Wybór algorytmu hashowania.
[Encryption]: Wybór algorytmu szyfrowania.
[DH Group]: Wybierz grupę Diffie-Hellmana, która będzie używana do określania siły klucza.
|
Gdy opcja [IKE Mode] jest ustawiona na wartość [Main] i opcja [Authentication Method] jest ustawiona na wartość [Pre-Shared Key Method]
Jeśli w ustawieniach selektora określisz więcej niż jeden adres w polu [Remote Address Settings], podczas tworzenia wielu zasad obowiązują następujące ograniczenia:
W przypadku zasad z określonym więcej niż jednym adresem wszystkie klucze udostępnione muszą być ustawione na ten sam ciąg.
Zasadom z określonym więcej niż jednym adresem nie można nadać wyższego priorytetu niż zasadom z jednym adresem.
|
3
Kliknij [OK].
Ponownie zostanie wyświetlony ekran [Register Policy].
13
Skonfiguruj ustawienia sieciowe komunikacji IPSec.
1
Kliknij [IPSec Network Settings].
Zostanie wyświetlony ekran [IPSec Network].
2
Skonfiguruj ustawienia sieciowe komunikacji IPSec.
[Validity]
Określ okres ważności IPSec SA, który ma być używany jako ścieżka transmisji danych (czas, rozmiar lub oba te parametry jednocześnie).
Jeśli zaznaczysz pole wyboru [Time], wprowadź ważny okres w minutach.
Jeśli zaznaczysz pole wyboru [Size], wprowadź ważny okres w megabajtach.
W przypadku zaznaczenia obu opcji zastosowany zostanie element, którego określona wartość zostanie osiągnięta jako pierwsza.
[PFS]
Zaznacz to pole wyboru, aby skonfigurować PFS dla klucza sesji.
[Authentication/Encryption Algorithm]
Ustaw algorytm uwierzytelniania i szyfrowania dla fazy 2 trybu IKE.
Aby automatycznie ustawić algorytm uwierzytelniania i szyfrowania ESP, wybierz opcję [Auto].
Aby określić konkretną metodę uwierzytelniania, wybierz opcję [Manual Settings] i wybierz jedną z poniższych metod uwierzytelniania.
[ESP]:
Następuje zarówno uwierzytelnianie, jak i szyfrowanie.
Wybierz algorytm w menu [ESP Authentication] i [ESP Encryption]. Jeżeli nie chcesz ustawiać algorytmu, wybierz opcję [NULL].
Następuje zarówno uwierzytelnianie, jak i szyfrowanie.
Wybierz algorytm w menu [ESP Authentication] i [ESP Encryption]. Jeżeli nie chcesz ustawiać algorytmu, wybierz opcję [NULL].
[ESP (AES-GCM)]:
Przeprowadzane jest zarówno uwierzytelnianie, jak i szyfrowanie.
Jako algorytm wykorzystany zostanie algorytm AES-GCM.
Przeprowadzane jest zarówno uwierzytelnianie, jak i szyfrowanie.
Jako algorytm wykorzystany zostanie algorytm AES-GCM.
[AH (SHA1)]:
Uwierzytelnienie zostało przeprowadzone, ale dane nie są szyfrowane.
Jako algorytm wykorzystano algorytm SHA1.
Uwierzytelnienie zostało przeprowadzone, ale dane nie są szyfrowane.
Jako algorytm wykorzystano algorytm SHA1.
[Connection Mode]
Urządzenie obsługuje tylko tryb transportowy.
3
Kliknij [OK].
Ponownie zostanie wyświetlony ekran [Register Policy].
14
Kliknij [OK].
Utworzona zasada jest dodawana do ekranu [IPSec Policy List].
Gdy zarejestrowanych jest wiele zasad
Wybierz zasadę i kliknij przycisk [Raise Priority] lub [Lower Priority], aby zmienić kolejność priorytetów. Zasady wyższego poziomu mają priorytet w przypadku komunikacji IPSec.
15
Kliknij [Apply Setting Changes] [OK].
[OK].Ustawienia zostały zastosowane.
16
Wyloguj się z Remote UI (Zdalny interfejs użytkownika).
UWAGA
Edycja zarejestrowanej zasady
Aby edytować zarejestrowane informacje, kliknij nazwę polisy, którą chcesz edytować na ekranie [IPSec Policy List].