Использование IPSec
Протокол IPSec используется для предотвращения утечки данных и внесения изменений в пакеты IP, отправляемые и получаемые по сети IP. Он выполняет шифрование на уровне протокола IP с целью обеспечения безопасности без учета конфигурации приложений или сети.
Условия применения IPSec и поддерживаемые режимы
Пакеты, к которым не применяется IPSec
Пакеты, в которых указан кольцевой адрес, адрес многоадресной рассылки или широковещательный адрес
Пакеты IKE, отправляемые из порта UDP 500
Пакеты опроса соседа и объявления соседа ICMPv6
Режим работы протокола обмена ключами (режим IKE)
Режим IKE, поддерживаемый аппаратом, является основным режимом, который используется для шифрования пакетов и агрессивного режима без шифрования.
Режим обмена данными по протоколу IPSec
Единственным режимом обмена данными, который поддерживает аппарат, является транспортный режим, в котором шифруется только часть без заголовка IP. Туннельный режим, в котором шифруется весь пакет IP, не поддерживается.
Соответствует FIPS 140
Во время обмена данными по протоколу IPSec, независимо от значения параметра [Форматировать метод кодирования в FIPS 140], всегда используется модуль шифрования, прошедший проверку подлинности FIPS 140. [Форматировать метод кодирования в FIPS 140]
Чтобы обеспечить соответствие обмена данными по протоколу IPSec стандарту FIPS 140, необходимо установить длину обоих ключей DH и RSA для обмена данными по протоколу IPSec 2048 бит или больше в сетевом окружении, к которому относится аппарат.
* Длину ключа можно указать только для ключа DH на аппарате. На аппарате нет параметров для ключа RSA, это необходимо учитывать при создании окружения.
Использование IPSec совместно с фильтрацией по IP-адресам
При отправке пакетов сначала применяются параметры фильтра IP-адресов. Настройка брандмауэра
При получении пакетов сначала применяются параметры IPSec.
Настройка политики IPSec
Для того чтобы аппарат выполнял обмен данными с шифрованием IPSec, необходимо создать политику IPSec и указать в ней соответствующий диапазон и алгоритмы для проверки подлинности и шифрования. Основными составляющими политики являются следующие элементы:
Селектор
Укажите, к каким пакетам IP будет применяться обмен данными по протоколу IPSec. Помимо задания IP-адресов аппарата и устройств, которые обмениваются с ним данными, также можно указать номера их портов.
Режим работы протокола обмена ключами (режим IKE)
Протокол обмена ключами поддерживает Internet Key Exchange Version 1 (IKEv1). В качестве способа проверки подлинности выберите метод предварительного обмена ключами или метод цифровой подписи.
Метод предварительного обмена ключами:
При этом способе проверки подлинности для обмена данными между аппаратом и другими устройствами используется общее ключевое слово, которое называется общим ключом.
При этом способе проверки подлинности для обмена данными между аппаратом и другими устройствами используется общее ключевое слово, которое называется общим ключом.
Метод цифровой подписи
Аппарат и другие устройства подтверждают подлинность друг друга путем проверки цифровых подписей друг друга, выполняемой вручную.
Аппарат и другие устройства подтверждают подлинность друг друга путем проверки цифровых подписей друг друга, выполняемой вручную.
* Необходимо настроить параметры, чтобы активировать использование SNTP.
ESP/AH
Настройте параметры протоколов ESP или AH, которые будут использоваться для обмена данными по протоколу IPSec. Для еще более высокой безопасности можно применить PFS.
Настройка IPSec
Активируйте IPSec, а затем создайте и зарегистрируйте политику IPSec. Если будет создано несколько политик, нужно будет указать порядок их применения. Можно создать до 10 политик.
В этом разделе описывается, как настроить параметры с компьютера, используя Remote UI (Удаленный ИП).
На панели управления выберите [
Параметры/Регистрация] на экране [Главный] или другом экране, а затем выберите [Предпочтения] для настройки параметров. [Параметры IPSec]
Необходимо иметь права администратора или администратора сети.
На панели управления выберите [
Параметры/Регистрация] на экране [Главный] или другом экране, а затем выберите [Предпочтения] для настройки параметров. [Параметры IPSec]Необходимо иметь права администратора или администратора сети.
Необходимая подготовка
Подключите аппарат непосредственно к компьютеру, который находится в одной виртуальной частной сети (VPN) с ним. Заранее проверьте условия эксплуатации и выполните настройку на компьютере. IPSec
С учетом выбранного способ проверки подлинности IKE подготовьте следующее:
При использовании метода общего ключа активируйте TLS для обмена данными с Remote UI (Удаленный ИП). Использование TLS
При использовании метода цифровой подписи подготовьте для использования ключ и сертификат, а также настройте параметры, чтобы разрешить использование SNTP.
При использовании PFS удостоверьтесь, что свойство PFS включено на устройстве, с которым ведется обмен данными.
1
Войдите в Remote UI (Удаленный ИП) в качестве администратора. Запуск Remote UI (Удаленный ИП)
2
На странице портала Remote UI (Удаленный ИП) щелкните [Settings/Registration]. Страница портала Remote UI (Удаленный ИП)
3
Выберите команду [Network Settings].
Отобразится экран настроек сети.
4
Выберите команду [IPSec Settings].
Отобразится диалоговое окно [IPSec Settings].
5
Выберите флажок [Use IPSec].
Чтобы получать только пакеты, соответствующие политике, выберите [Reject] в [Receive Non-Policy Packets].
6
Выберите команду [OK].
Снова отобразится экран настроек сети.
7
Выберите команду [IPSec Policy List].
Отобразится диалоговое окно [IPSec Policy List].
8
Выберите команду [Register New IPSec Policy].
Отобразится диалоговое окно [Register Policy].
9
Укажите имя политики и выберите [On] в [Policy On/Off].
Для указания имени политики необходимо использовать буквенно-цифровые символы.
10
При необходимости ограничьте длину ключа AES.
Чтобы ограничить длину ключа AES 256 битами, например, если необходимо соответствие стандартам аутентификации CC, установите флажок [Only Allow 256-bit for AES Key Length].
* Многофункциональные аппараты Canon поддерживают два варианта длины ключа для шифрования по методу AES: 128 бит и 256 бит.
11
Установите селектор.
1
Выберите команду [Selector Settings].
Отобразится диалоговое окно [Selector].
2
Установите селектор.
[Local Address Settings] и [Remote Address Settings]
Задайте IP-адрес для обмена данными с применением IPSec. Укажите IP-адрес аппарата в поле [Local Address Settings], а затем укажите IP-адрес устройства, с которым будет осуществляться обмен данными, в поле [Remote Address Settings].
[All IP Addresses]
Если выбрать эту настройку, IPSec будет применяться ко всем пакетам IP.
[IPv4 Address] или [All IPv4 Addresses]
Если выбрать эту настройку, отправка и получение пакетов IP по адресу IPv4 будут осуществляться с применением IPSec.
[IPv6 Address] или [All IPv6 Addresses]
Если выбрать эту настройку, отправка и получение пакетов IP по адресу IPv6 будут осуществляться с применением IPSec.
[IPv4 Manual Settings]
Выбор этой настройки позволяет указать адрес IPv4, обмен данными по которому будет осуществляться с применением IPSec. Указать адрес IPv4, к которому следует применить настройки, можно любым из описанных далее способов.
При указании одного адреса IPv4
Выберите [Single Address] и введите адрес IPv4 в поле [First Address].
Выберите [Single Address] и введите адрес IPv4 в поле [First Address].
При указании диапазона адресов IPv4
Выберите [Range Address] и введите адреса IPv4 в поля [First Address] и [Last Address].
Выберите [Range Address] и введите адреса IPv4 в поля [First Address] и [Last Address].
При указании диапазона адресов IPv4 с использованием маски подсети
Выберите [Subnet Settings], введите адрес IPv4 в поле [First Address], затем введите маску подсети в [Subnet Settings].
Выберите [Subnet Settings], введите адрес IPv4 в поле [First Address], затем введите маску подсети в [Subnet Settings].
[IPv6 Manual Settings]
Выбор этой настройки позволяет указать адрес IPv6, обмен данными по которому будет осуществляться с применением IPSec. Указать адрес IPv6, к которому следует применить настройки, можно любым из описанных далее способов.
При указании одного адреса IPv6
Выберите [Single Address] и введите адрес IPv6 в поле [First Address].
Выберите [Single Address] и введите адрес IPv6 в поле [First Address].
При указании диапазона адресов IPv6
Выберите [Range Address] и введите адреса IPv6 в поля [First Address] и [Last Address].
Выберите [Range Address] и введите адреса IPv6 в поля [First Address] и [Last Address].
При указании диапазона адресов IPv6 с использованием префикса
Выберите [Prefix Address], введите адрес IPv6 в поле [First Address], затем введите длину префикса в поле [Prefix Length].
Выберите [Prefix Address], введите адрес IPv6 в поле [First Address], затем введите длину префикса в поле [Prefix Length].
[Port Settings]
Задайте порты, через которые будет осуществляться обмен данными с применением IPSec.
[Specify by Port Number]
Выбор этой настройки позволяет указать номера портов, через которые будет осуществляться обмен данными с применением IPSec. Укажите номер порта аппарата в поле [Local Port], затем укажите номер порта устройства, с которым осуществляется обмен данными, в поле [Remote Port].
Для того чтобы применить обмен данными по протоколу IPSec ко всем номерам портов, выберите [All Ports].
Чтобы применить обмен данными по протоколу IPSec только к определенному порту, нажмите [Single Port] и введите номер порта.
[Specify by Service Name]
Выберите этот параметр, чтобы использовать имена служб при указании портов, к которым применяется обмен данными по протоколу IPSec. Установите флажки служб, к которым применяется обмен данными по протоколу IPSec.
3
Выберите команду [OK].
Отобразится диалоговое окно [Register Policy].
12
Настройте параметры IKE.
1
Выберите команду [IKE Settings].
Отобразится диалоговое окно [IKE].
2
Настройте параметры IKE.
[IKE Mode]
Выберите режим работы протокола обмена ключами. Если выбрано [Main], безопасность повышается, поскольку шифруется непосредственно сеанс IKE, но обмен данными происходит медленнее, чем в режиме [Aggressive], при котором шифрование не выполняется.
[Validity]
Введите период действия (в минутах) IKE SA (ISAKMP SA), который будет использоваться в качестве канала управления.
[Authentication Method]
Выберите способ проверки подлинности аппарата.
При выборе [Pre-Shared Key Method] нажмите [Shared Key Settings] 
используя буквенно-цифровые символы введите строку, которая будет использоваться в качестве общего ключа, затем нажмите [OK].
используя буквенно-цифровые символы введите строку, которая будет использоваться в качестве общего ключа, затем нажмите [OK].При выборе [Digital Signature Method] нажмите [Key and Certificate] [Use] ключа и сертификата, которые нужно использовать.
[Use] ключа и сертификата, которые нужно использовать.[Authentication/Encryption Algorithm]
Настройте алгоритм проверки подлинности и шифрования для этапа 1 IKE.
Чтобы автоматически установить алгоритм, который может использовать как данный аппарат, так и устройство, с которым осуществляется обмен данными, выберите [Auto].
Чтобы указать конкретный алгоритм, выберите [Manual Settings] и настройте параметры [Authentication], [Encryption] и [DH Group].
[Authentication]: Выберите хэш-алгоритм.
[Encryption]: Выберите алгоритм шифрования.
[DH Group]: Выберите группу шифрования по Диффи–Хеллману, используемую для определения длины ключа.
|
Если параметру [IKE Mode] присваивается значение [Main], а параметру [Authentication Method] присваивается значение [Pre-Shared Key Method]
Если указать более одного адреса в [Remote Address Settings] в параметрах селектора, при создании нескольких политик применяются следующие ограничения:
Для политик, в которых указано более одного адреса, для всех общих ключей должна быть задана одна и та же строка.
Политикам с более чем одним указанным адресом не может быть присвоен более высокий приоритет, чем политикам с одним указанным адресом.
|
3
Выберите команду [OK].
Снова отобразится экран [Register Policy].
13
Настройте параметры сети IPSec.
1
Выберите команду [IPSec Network Settings].
Отобразится диалоговое окно [IPSec Network].
2
Настройте параметры сети IPSec.
[Validity]
Укажите период действия (по времени, размеру или по обоим этим параметрам) IPSec SA, который будет использоваться в качестве канала обмена данными.
При установке флажка [Time] введите действительный период в минутах.
При установке флажка [Size] введите действительный период в мегабайтах.
Если выбраны оба варианта, применяется элемент, заданное значение которого достигается первым.
[PFS]
Установите этот флажок, чтобы настроить PFS для ключа сеанса.
[Authentication/Encryption Algorithm]
Укажите алгоритм проверки подлинности и шифрования для фазы 2 IKE.
Чтобы автоматически установить алгоритм проверки подлинности и шифрования ESP, выберите [Auto].
Чтобы указать конкретный метод проверки подлинности, выберите [Manual Settings] и выберите один из следующих методов проверки подлинности.
[ESP]:
Выполняются как проверка подлинности, так и шифрование.
Выберите алгоритм в [ESP Authentication] и [ESP Encryption]. Если задавать алгоритм не требуется, выберите [NULL].
Выполняются как проверка подлинности, так и шифрование.
Выберите алгоритм в [ESP Authentication] и [ESP Encryption]. Если задавать алгоритм не требуется, выберите [NULL].
[ESP (AES-GCM)]:
Выполняются как проверка подлинности, так и шифрование.
В качестве алгоритма используется AES-GCM.
Выполняются как проверка подлинности, так и шифрование.
В качестве алгоритма используется AES-GCM.
[AH (SHA1)]:
Выполняется проверка подлинности, но данные не шифруются.
В качестве алгоритма используется SHA1.
Выполняется проверка подлинности, но данные не шифруются.
В качестве алгоритма используется SHA1.
[Connection Mode]
Аппарат поддерживает только транспортный режим.
3
Выберите команду [OK].
Снова отобразится экран [Register Policy].
14
Выберите команду [OK].
Созданная политика будет добавлена на экран [IPSec Policy List].
Если зарегистрировано несколько политик
Выберите политику и нажмите [Raise Priority] или [Lower Priority], чтобы изменить порядок приоритета. Политики более высокого уровня применяются к обмену данными по протоколу IPSec в приоритетном порядке.
15
Нажмите [Apply Setting Changes] [OK].
[OK].Параметры будут применены.
16
Выполните выход из Remote UI (Удаленный ИП).
ПРИМЕЧАНИЕ
Изменение зарегистрированных политик
Чтобы отредактировать зарегистрированную информацию, нажмите название политики, которую требуется отредактировать, на экране [IPSec Policy List].