advertisement
Beveiliging
Geavanceerde beveiligingsfuncties implementeren
600U-03W
Bevoegde gebruikers kunnen worden benadeeld door aanvallen van kwaadwillende personen, bijvoorbeeld door sniffing, spoofing en het manipuleren van gegevens die over een netwerk worden verzonden. Om uw belangrijke en kostbare gegevens te beschermen tegen deze aanvallen, ondersteunt de machine de volgende functies te verbetering van de veiligheid en beveiliging.
TLS-gecodeerde communicatie
TLS is een protocol voor het coderen (versleutelen) van gegevens die over een netwerk worden verstuurd en wordt vaak gebruikt voor communicatie via een webbrowser of een e-mailprogramma. TLS maakt beveiligde
IPSec-communicatie
Terwijl TLS alleen de gegevens codeert die in een bepaald programma worden gebruikt, zoals een webbrowser of een e-mailprogramma, worden met IPSec alle IP-pakketten (of payloads daarvan) gecodeerd. Dit betekent
Verificatie met IEEE 802.1X
IEEE 802.1X is een norm en tegelijkertijd een mechanisme voor het blokkeren van onbevoegde toegang tot het netwerk door het centraal beheren van gegevens voor gebruikersverificatie. Als een apparaat probeert verbinding te maken met het 802.1X-netwerk, moeten de gebruikersgegevens worden geverifieerd om er zeker van te zijn dat de verbinding tot stand wordt gebracht door een bevoegde gebruiker. Hiertoe worden verificatiegegevens verzonden naar en gecontroleerd door een zogenaamde RADIUS-server, die op basis van het verificatieresultaat communicatie met het netwerk toestaat of weigert. Als de verificatie mislukt, wordt de externe toegang tot het netwerk geblokkeerd door een LAN-switch. Het apparaat kan als een clienttoestel
worden aangesloten op een 802.1X-netwerk. IEEE 802.1X-verificatie configureren(P. 271)
254
Beveiliging
KOPPELINGEN
Instellingen configureren voor sleutelparen en digitale certificaten(P. 277)
255
Beveiliging
TLS gebruiken voor beveiligde communicatie
600U-03X
U kunt met behulp van Transport Layer Security (TLS) de communicatie coderen die plaatsvindt tussen het apparaat en een webbrowser op de computer en de af te drukken IPP Print gegevens. TLS is een mechanisme voor het coderen van gegevens die over het netwerk worden verzonden of ontvangen. TLS moet zijn ingeschakeld wanneer u de externe UI gebruikt voor het opgeven van instellingen voor IPSec (Pre-Shared Key Method), verificatie met IEEE 802.1X
(TTLS/PEAP) of SNMPv3. Als u via TLS gecodeerde communicatie wilt gebruiken, moet u een sleutelpaar instellen en de
digitale certificaten(P. 277) ).
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
3
Klik op [Netwerk] [TCP/IP-instellingen].
256
Beveiliging
4
Klik op [Bewerken] in [TLS-instellingen].
5
TLS-instellingen bewerken.
[Instellingen sleutel en certificaat]
Selecteer een sleutel in de lijst met sleutels en certificaten.
● Selecteer een sleutel in de lijst met sleutels en certificaten en klik op [Standaard sleutelinstellingen].
Details bekijken van een certificaat
257
Beveiliging
● U kunt de details van het certificaat controleren of het certificaat verifiëren door op de gewenste
Als [Standaard sleutelinstellingen] niet verschijnt
● De instelling [Standaard sleutelinstellingen] wordt niet weergegeven als TLS reeds is ingeschakeld door
[Instellingen externe UI] of [IPP-afdrukinstellingen]. Om een andere sleutel te gebruiken, raadpleegt u stap 6 en schakelt u de selectievakjes [Gebruik TLS] in [Instellingen externe UI] of [IPPafdrukinstellingen] uit.
[Toegestane versies]
Selecteer de toegestane versies voor TLS.
[Te beperken versleutelingsalgoritmes]
Selecteer het coderingsalgoritme dat moet worden beperkt tegen gebruik voor TLS. Als u geen beperking aanbrengt, selecteer dan [Geen].
6
Schakel TLS in voor de externe UI.
TLS gebruiken voor communicatie met de externe UI
1
Klik op [Beveiliging] [Instellingen externe UI].
2
Klik op [Bewerken].
3
Schakel het selectievakje [Gebruik TLS] in en klik op [OK].
258
Beveiliging
[Gebruik TLS]
Schakel dit selectievakje in om TLS voor externe communicatie te gebruiken. Als u TLS niet wilt gebruiken, schakelt u het selectievakje uit.
TLS voor een functie gebruiken die compatibel is met beveiligde communicatie
TLS gebruiken voor het afdrukken met IPP
Voer de volgende instelling in om gebruik te maken van TLS bij het afdrukken met IPP. Raadpleeg
IPP.
[Netwerk] [TCP/IP-instellingen] [Bewerken] in [IPP-afdrukinstellingen] Activeer het selectievakje [Gebruik TLS] [OK]
7
Een harde reset uitvoeren.
● Klik op [Apparaatcontrole], selecteer [Harde reset] en klik vervolgens op [Uitvoeren].
➠ De instellingen worden ingeschakeld nadat een harde reset is verricht.
Het bedieningspaneel gebruiken
● Tevens kunt u TLS beveiligde communicatie in- of uitschakelen in het instellingenmenu van het
bedieningspaneel. Instell. externe UI(P. 354)
259
Beveiliging
De externe UI starten met TLS
● Als u probeert de externe UI te starten terwijl TLS is ingeschakeld, kan er een waarschuwing worden weergegeven met betrekking tot het beveiligingscertificaat. Controleer in dat geval of de juiste URL is
KOPPELINGEN
Sleutelparen genereren(P. 278)
Door een CA uitgegeven sleutelparen en digitale certificaten gebruiken(P. 287)
IPSec-instellingen configureren(P. 261)
IEEE 802.1X-verificatie configureren(P. 271)
De machine bewaken en bedienen met SNMP(P. 190)
260
Beveiliging
IPSec-instellingen configureren
600U-03Y
Internet Protocol Security (IPSec of IPsec) bestaat uit een verzameling protocollen voor het coderen van gegevens die worden getransporteerd over een netwerk, inclusief internet-netwerken. Terwijl TLS alleen de gegevens codeert die in een bepaald programma worden gebruikt, zoals een webbrowser of een e-mailprogramma, worden met IPSec complete IP-pakketten of de payloads daarvan gecodeerd, waardoor met IPSec een flexibelere beveiliging kan worden gerealiseerd. De IPSec van het apparaat werkt in de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. Met deze functie kan het apparaat direct worden verbonden met een computer die zich in hetzelfde VPN
(Virtual Private Network) bevindt. Controleer de systeemvereisten en stel de juiste configuratie in op de computer
voordat u het apparaat gaat configureren. Beheerfuncties(P. 495)
Beveiligingsprincipes registreren(P. 261)
IPSec communicatie inschakelen(P. 268)
IPSec gebruiken met een IP-adresfilter
● Bij het ontvangen van een pakket worden de IPSec instellingen vóór de filterinstellingen voor IP-adressen toegepast. Bij het verzenden van een pakket worden de juiste instellingen voor IP-adressen vóór de IPSec
instellingen toegepast. IP-adressen opgeven voor firewallregels(P. 225)
Beveiligingsprincipes registreren
U kunt IPSec voor gecodeerde communicatie pas gebruiken als u beleidsinstellingen (SP) voor beveiliging hebt
dergelijke beleidsinstelling bestaat uit de hieronder beschreven groepen met instellingen. U kunt meerdere beleidsinstellingen registreren overeenkomstig een combinatie van het IP-adres en het poortnummer. Als u klaar bent met de instellingen, geeft u de volgorde aan waarin u de beleidsinstellingen wilt toepassen.
Selector
De beleidsinstelling Selector definieert voorwaarden waaraan IP-pakketten moeten voldoen om met IPSeccommunicatie te worden uitgewisseld. Voorbeelden van voorwaarden zijn IP-adressen en poortnummers van de machine en van de apparaten waarmee wordt gecommuniceerd.
IKE
De beleidsinstelling IKE configureert de IKEv1 die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. De instructies verschillen naargelang de geselecteerde verificatiemethode.
[Vooraf gedeelde sleutelmethode]
U kunt een sleutel van alfanumerieke tekens delen met de andere apparaten. Schakel vooraf TLS voor de
externe UI in ( TLS gebruiken voor beveiligde communicatie(P. 256) ).
[Methode digitale handtekening]
Het apparaat en de andere apparaten verifiëren elkaar door elkaars digitale handtekening te controleren. U
moet een sleutelpaar gereed hebben ( Door een CA uitgegeven sleutelparen en digitale certificaten
261
Beveiliging
Protocollen en opties instellen
Geef de instellingen op voor ESP en AH, die tijdens IPSec-communicatie worden toegevoegd aan pakketten. ESP en AH kunnen niet tegelijkertijd worden gebruikt. U kunt ook aangeven of u PFS wilt inschakelen voor een nog betere beveiliging.
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] [IPSec-instellingen].
4
Klik op [IPSec-beleidslijst].
262
Beveiliging
5
Klik op [Registreer IPSec-beleid].
6
Voer de naam van een beleid in [Policy-naam] en activeer het selectievakje [Beleid inschakelen].
[Policy-naam]
Typ alfanumerieke tekens als de naam die wordt gebruikt voor het identificeren van het beleid.
[Beleid inschakelen]
Schakel dit selectievakje in om het beleid in te schakelen. Als u het beleid niet gebruikt, schakelt u het selectievakje uit.
7
Geef de selectorinstellingen op.
263
Beveiliging
[Lokaal adres]
Selecteer in onderstaande lijst het type IP-adres van het apparaat waarop u het beleid wilt toepassen.
[Alle IP-adressen] Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten.
[IPv4-adres]
[IPv6-adres]
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar het
IPv4-adres van het apparaat worden verstuurd.
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar het
IPv6-adres van het apparaat worden verstuurd.
[Handmatige IPv4-instellingen] Selecteer deze optie om een specifiek IPv4-adres of een bereik van IPv4-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv4-adres (of het bereik van adressen) in het tekstvak [Handmatig in te stellen adressen].
[Handmatige IPv6-instellingen] Selecteer deze optie om een specifiek IPv6-adres of een bereik van IPv6-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv6-adres (of het bereik van adressen) in het tekstvak [Handmatig in te stellen adressen].
[Handmatig in te stellen adressen]
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Lokaal adres], typt u het IP-adres waarop het beleid moet worden toegepast.
[Subnetinstellingen]
Als u IPv4-adressen handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken.
Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld:'255.255.255.240').
[Extern adres]
Selecteer in onderstaande lijst het type IP-adres van de andere toestellen waarop u het beleid wilt toepassen.
[Alle IP-adressen] Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten.
[Alle IPv4-adressen]
[Alle IPv6-adressen]
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar een IPv4 adres worden verstuurd.
Selecteer deze optie om IPSec te gebruiken voor alle IP-pakketten die van of naar een IPv6 adres worden verstuurd.
[Handmatige IPv4-instellingen] Selecteer deze optie om een specifiek IPv4-adres of een bereik van IPv4-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv4-adres (of het bereik van adressen) in het tekstvak [Handmatig in te stellen adressen].
264
Beveiliging
[Handmatige IPv6-instellingen] Selecteer deze optie om een specifiek IPv6-adres of een bereik van IPv6-adressen op te geven waarvoor u IPSec wilt gebruiken. Typ het IPv6-adres (of het bereik van adressen) in het tekstvak [Handmatig in te stellen adressen].
[Handmatig in te stellen adressen]
Als [Handmatige IPv4-instellingen] of [Handmatige IPv6-instellingen] is geselecteerd bij [Extern adres], typt u het IP-adres waarop het beleid moet worden toegepast.
[Subnetinstellingen]
Als u IPv4-adressen handmatig invoert, kunt u een bereik opgeven door het subnetmasker te gebruiken.
Voer het subnetmasker in en gebruik punten om getallen te scheiden (bijvoorbeeld:'255.255.255.240').
[Lokale poort]/[Externe poort]
Als u voor elk protocol afzonderlijke beleidsinstellingen wilt opgeven, bijvoorbeeld voor HTTP en SMTP, voert u hier het poortnummer van het protocol in als daarvoor IPSec moet worden gebruikt.
● IPSec wordt niet toegepast voor de pakketten die een gespecificeerd multicast- of broadcast-adres hebben.
8
Geef de IKE-instellingen op.
[IKE-modus]
Hier ziet u de modus die wordt gebruikt voor het protocol voor het uitwisselen van sleutels. Gewoonlijk selecteert u de hoofdmodus.
● Selecteer de agressieve modus als er geen vast IP-adres is. Let op: in de agressieve modus is de veiligheid lager dan in de hoofdmodus.
[AUTH-methode]
Selecteer [Vooraf gedeelde sleutelmethode] of [Methode digitale handtekening] voor de methode die wordt gebruikt bij het verifiëren van het apparaat.
● Als de agressieve modus is geselecteerd in [IKE-modus], codeert de instelling [Vooraf gedeelde sleutelmethode] de gedeelde sleutel niet.
[Authentificatie/Encryptie-algoritme]
Om het algoritme dat wordt gebruikt voor het automatisch uitwisselen van de sleutels in te stellen, activeert u het selectievakje [Automatisch]. Als u het selectievakje activeert, wordt het algoritme ingesteld zoals hieronder weergegeven.
[Authentificatie] [SHA1 en MD5]
[Encryptie]
[DH-groep]
[3DES-CBC en AES-CBC]
[Groep 2 (1024)]
265
Beveiliging
Om het algoritme handmatig in te stellen, deactiveert u het selectievakje en selecteert u het algoritme.
[Authentificatie] Selecteer het hash-algoritme.
[Encryptie]
[DH-groep]
Selecteer het coderingsalgoritme.
Selecteer de Diffie-Hellman-groep, die bepalend is voor de sterkte van de sleutel.
[Vooraf gedeelde sleutelmethode] gebruiken voor verificatie
1 Selecteer [Vooraf gedeelde sleutelmethode] bij [AUTH-methode] en klik op [Instellingen gedeelde sleutel].
2
Typ alfanumerieke tekens voor de gedeelde sleutel en klik op [OK].
[Methode digitale handtekening] gebruiken voor verificatie
1 Selecteer [Methode digitale handtekening] bij [AUTH-methode] en klik op [Sleutel en certificaat].
2 Selecteer het sleutelpaar dat u wilt gebruiken en klik op [Standaard sleutelinstellingen].
Details weergeven van een sleutelpaar of certificaat
● U kunt de details van het certificaat controleren of het certificaat verifiëren door op de gewenste
9
Geef de IPSec-instellingen op.
266
Beveiliging
[PFS gebruiken]
Schakel dit selectievakje in om PFS (Perfect Forward Secrecy) in te schakelen voor sleutels van IPSec-sessies.
Als u PFS inschakelt, wordt de beveiliging verbeterd maar wordt de communicatie ook extra belast. Zorg ervoor dat PFS ook is ingeschakeld voor de andere apparaten. Als u PFS niet gebruikt, deactiveer het selectievakje dan.
[Geldigheid]
Geef hier op hoe lang SA wordt gebruikt als een communicatietunnel. Schakel de selectievakjes [Volgens tijd opgeven] of [Volgens grootte opgeven] in (of, indien nodig, beiden). Als u beide selectievakjes activeert, wordt de SA-sessie beëindigd als aan één van de beide voorwaarden wordt voldaan.
[Volgens tijd opgeven] Typ het aantal minuten voor de tijdsduur van een sessie. De ingevoerde tijd wordt toegepast op zowel IPSec SA als IKE SA.
[Volgens grootte opgeven] Typ een grootte in MB om aan te geven hoeveel gegevens er in een sessie kunnen worden getransporteerd. Het ingevoerde formaat wordt alleen toegepast op IPSec SA.
Als u uitsluitend het selectievakje [Volgens grootte opgeven] hebt geselecteerd
● De geldigheid van IKE SA kan niet worden opgegeven met formaat, zodat de beginwaarde (480 minuten) van [Volgens tijd opgeven] wordt toegepast.
[Authentificatie/Encryptie-algoritme]
Selecteer het protocol en algoritme voor gebruik van IPSec communicatie.
Verbinding automatisch instellen
Selecteer [Automatisch].
[ESP-authentificatie]
ESP wordt ingeschakeld en het verificatie-algoritme wordt ingesteld op [SHA1 en
MD5].
[ESP-encryptie]
ESP wordt ingeschakeld en het encryptie-algoritme wordt ingesteld op [3DES-CBC en
AES-CBC].
ESP gebruiken
Kies [ESP] en selecteer het verificatie- en encryptie-algoritme.
[ESP-authentificatie] Selecteer het hash-algoritme om ESP-verificatie te gebruiken.
[ESP-encryptie] Selecteer het encryptie-algoritme voor ESP.
AH gebruiken
Kies [AH] en selecteer het hash-algoritme om AH-verificatie uit [AH-authentificatie] te gebruiken.
[Verbindingsmodus]
Hier wordt de verbindingsmodus van IPSec weergegeven. Het apparaat biedt ondersteuning voor de transportmodus, waarin de payloads van IP-pakketten worden gecodeerd. De tunnelmodus is niet beschikbaar. In deze modus worden complete IP-pakketten (headers en payloads) ingekapseld.
267
Beveiliging
10
Klik op [OK].
● Als u nog een beveiligingsbeleid wilt registreren, gaat u terug naar stap 5.
11
Bepaal de volgorde van de beleidsinstellingen onder [IPSec-beleidslijst].
● De bovenste set met beleidsinstellingen (ook wel beleidslijnen genoemd) wordt als eerst toegepast, dan de volgende in de lijst, enzovoort. Klik op [Prioriteit verhogen] of [Prioriteit verlagen] om een instelling één positie omhoog of omlaag te verplaatsen.
Een beleid bewerken
● U kunt op de tekstlink onder [Policy-naam] klikken om de instellingen te bewerken.
Een beleid verwijderen
● Klik op [Verwijderen] rechts van het beleid dat u wilt verwijderen.
12
Een harde reset uitvoeren.
● Klik op [Apparaatcontrole], selecteer [Harde reset] en klik vervolgens op [Uitvoeren].
➠ De instellingen worden ingeschakeld nadat een harde reset is verricht.
IPSec communicatie inschakelen
Als het veiligheidsbeleid is geregistreerd, schakelt u de IPSec communicatie in.
268
Beveiliging
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] [IPSec-instellingen].
4
Klik op [Bewerken].
269
Beveiliging
5
Schakel het selectievakje [Gebruik IPSec] in en klik op [OK].
[Gebruik IPSec]
Activeer dit selectievakje als uw apparaat gebruikmaakt van IPsec. Als dat niet zo is, schakelt u het selectievakje uit.
[Ontvangst non-policy pakketten toestaan]
Als u het selectievakje activeert bij het gebruiken van IPSec, worden pakketten die niet beschikbaar zijn voor het geregistreerde beleid ook verzonden / ontvangen. Om verzenden / ontvangen van de pakketten die niet beschikbaar zijn voor het beleid uit te schakelen, deactiveert u het selectievakje.
6
Een harde reset uitvoeren.
● Klik op [Apparaatcontrole], selecteer [Harde reset] en klik vervolgens op [Uitvoeren].
➠ De instellingen worden ingeschakeld nadat een harde reset is verricht.
Het bedieningspaneel gebruiken
● Tevens kunt u IPSec communicatie in- of uitschakelen in het instellingenmenu van het bedieningspaneel.
KOPPELINGEN
Instellingen configureren voor sleutelparen en digitale certificaten(P. 277)
270
Beveiliging
IEEE 802.1X-verificatie configureren
600U-040
De machine kan als een clientapparaat worden aangesloten op een 802.1X-netwerk. Een doorsnee 802.1X-netwerk bestaat uit een RADIUS-server (verificatieserver), een LAN-switch (authenticator) en clientapparaten met verificatiesoftware (supplicants). Als een apparaat probeert verbinding te maken met het 802.1X-netwerk, moeten de gebruikersgegevens worden geverifieerd om er zeker van te zijn dat de verbinding tot stand wordt gebracht door een bevoegde gebruiker. Hiertoe worden verificatiegegevens verzonden naar en gecontroleerd door een zogenaamde
RADIUS-server, die op basis van het verificatieresultaat communicatie met het netwerk toestaat of weigert. Als de verificatie mislukt, wordt de externe toegang tot het netwerk geblokkeerd door een LAN-switch (of een toegangspunt).
Selecteer een verificatiemethode uit de onderstaande opties. Installeer of registreer indien nodig een sleutelpaar of
digitale certificaten gebruiken(P. 287) ).
TLS
De machine en de verificatieserver verifiëren elkaar door de wederzijdse certificaten te controleren. Een sleutelpaar uitgegeven door een certificeringsinstantie (CA) is vereist voor de clientverificatie (voor het verifiëren van het apparaat). In het geval van de serververificatie kan een CA-certificaat worden gebruikt dat is geïnstalleerd via de externe UI, samen met een CA-certificaat dat vooraf op het apparaat is geïnstalleerd.
TTLS
Bij deze verificatiemethode wordt de clientverificatie uitgevoerd met een gebruikersnaam en wachtwoord, en de serververificatie met een CA-certificaat. U kunt MSCHAPv2 of PAP selecteren als het interne protocol. TTLS kan gelijktijdig worden gebruikt met PEAP. Schakel eerst TLS voor de externe UI in en configureer dan deze
verificatiemethode ( TLS gebruiken voor beveiligde communicatie(P. 256) ).
PEAP
De vereiste instellingen zijn bijna gelijk aan die van TTLS. MS-CHAPv2 wordt gebruikt als het interne protocol.
beveiligde communicatie(P. 256) ).
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
271
Beveiliging
3
Klik op [Netwerk] [IEEE 802.1X-instellingen].
4
Klik op [Bewerken].
5
Schakel het selectievakje [Gebruik IEEE 802.1X] in, typ de aanmeldingsnaam in het vak [Loginnaam] en geef de vereiste instellingen op.
272
Beveiliging
[Gebruik IEEE 802.1X]
Schakel dit selectievakje in om verificatie met IEEE 802.1X mogelijk te maken.
[Loginnaam]
Typ alfanumerieke tekens als de naam (EAP-identiteit) die wordt gebruikt voor het identificeren van de gebruiker.
TLS instellen
1
Schakel het selectievakje [Gebruik TLS] in en klik op [Sleutel en certificaat].
● U kunt geen TLS gebruiken in combinatie met TTLS of PEAP.
2
Selecteer een sleutel in de lijst met sleutels en certificaten en klik op [Standaard sleutelinstellingen].
Details weergeven van een sleutelpaar of certificaat
● U kunt de details van het certificaat controleren of het certificaat verifiëren door op de gewenste
TTLS/PEAP instellen
1
Schakel het selectievakje [Gebruik TTLS] of [Gebruik PEAP] in.
273
Beveiliging
Intern protocol voor TTLS
● U kunt MSCHAPv2 of PAP selecteren. Als u PAP wilt gebruiken, klik dan op het keuzerondje [PAP].
2
Klik op [Wijzig gebruikersnaam/wachtwoord].
● Als u een andere gebruikersnaam wilt opgeven dan de aanmeldingsnaam, schakelt u het selectievakje
[Gebruik loginnaam als gebruikersnaam] uit. Schakel het selectievakje in als u de aanmeldingsnaam wilt gebruiken als de gebruikersnaam.
3 Stel de gebruikersnaam en het wachtwoord in en klik op [OK].
274
Beveiliging
[Gebruikersnaam]
Gebruik alfanumerieke tekens voor de gebruikersnaam.
[Wijzig wachtwoord]
Als u het wachtwoord wilt instellen of wijzigen, schakelt u het selectievakje in en typt u tekens voor het nieuwe wachtwoord in de vakken [Wachtwoord] en [Bevestigen].
6
Klik op [OK].
7
Een harde reset uitvoeren.
● Klik op [Apparaatcontrole], selecteer [Harde reset] en klik vervolgens op [Uitvoeren].
➠ De instellingen worden ingeschakeld nadat een harde reset is verricht.
275
Beveiliging
Het bedieningspaneel gebruiken
●
KOPPELINGEN
Instellingen configureren voor sleutelparen en digitale certificaten(P. 277)
276
Beveiliging
Instellingen configureren voor sleutelparen en digitale certificaten
600U-041
Om de communicatie te coderen met een extern apparaat, moet vooraf een coderingssleutel worden verzonden en ontvangen via een onbeveiligd netwerk. Dit probleem wordt opgelost door cryptografie met openbare sleutels.
Cryptografie met openbare sleutels garandeert een veilige uitwisseling door belangrijke en waardevolle gegevens te beschermen tegen aanvallen, zoals sniffing, spoofing en het manipuleren van gegevens die over een netwerk worden verzonden.
Sleutelpaar
Een sleutelpaar bestaat uit een openbare sleutel en een geheime sleutel. Beide sleutels zijn nodig voor het coderen of decoderen van gegevens. Aangezien gegevens die zijn gecodeerd met één van de sleutels uit het sleutelpaar niet kunnen worden hersteld zonder de andere sleutel, kan met dit type cryptografie een veilige uitwisseling van gegevens over het netwerk worden gegarandeerd. U kunt maximaal acht sleutelparen (inclusief de vooraf geïnstalleerde
paren) opslaan ( Door een CA uitgegeven sleutelparen en digitale certificaten
gebruiken(P. 287) ). Voor TLS-gecodeerde communicatie kunt u een sleutelpaar genereren
voor het apparaat ( Sleutelparen genereren(P. 278) ).
CA-certificaat
Digitale certificaten zoals CA-certificaten zijn vergelijkbaar met andere vormen van identificatie, zoals een rijbewijs. Een digitaal certificaat bevat een digitale handtekening die het apparaat in staat stelt spoofing of het manipuleren van gegevens te detecteren. Het is extreem moeilijk voor derden om digitale certificaten te misbruiken. Een digitaal certificaat dat een openbare sleutel van een certificeringsinstantie (CA) bevat, wordt een CA-certificaat genoemd. CAcertificaten worden gebruikt voor het verifiëren van apparaten waarmee uw apparaat communiceert voor functies zoals afdrukken met Google Cloudprinter of IEEE 802.1Xverificatie. U kunt maximaal 150 CA-certificaten registreren, inclusief de 72 certificaten die
vooraf zijn geïnstalleerd op het apparaat ( Door een CA uitgegeven sleutelparen en
digitale certificaten gebruiken(P. 287) ).
277
Beveiliging
Sleutelparen genereren
600U-042
Een sleutelpaar kan worden gegenereerd met het apparaat wanneer dat nodig is voor versleutelde communicatie via
Transport Layer Security (TLS). U kunt TLS gebruiken wanneer u toegang wenst tot het apparaat via de externe UI of
IPP Print verricht. Er kunnen maximaal acht sleutelparen (inclusief de vooraf geïnstalleerde paren) worden geregistreerd op het apparaat. Zelf-gesigneerde certificaten worden gebruikt met sleutelparen die zijn gegenereerd in
'Netwerkcommunicatie'. Met een 'Sleutel en certificaatondertekeningsverzoek (CSR)' kunt u een CA-uitgegeven digitaal certificaat voor het sleutelpaar aanvragen, dat is gegenereerd door het apparaat.
Netwerkcommunicatiesleutel aanmaken(P. 278)
Sleutel en certificaatondertekeningsverzoek (CSR) aanmaken(P. 281)
Netwerkcommunicatiesleutel aanmaken
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] [Instellingen sleutel en certificaat].
278
4
Klik op [Sleutel aanmaken].
Beveiliging
Een geregistreerd sleutelpaar wissen
● Klik op [Verwijderen] bij het sleutelpaar dat u wilt verwijderen klik op [OK].
● U kunt een sleutelpaar niet verwijderen als dit momenteel in gebruik is, bijvoorbeeld wanneer 'TLS' of 'IEEE
802.1X' wordt weergegeven onder [Sleutelgebruik]. In dat geval moet u de functie uitschakelen of het sleutelpaar vervangen voordat u het sleutelpaar kunt verwijderen.
5
Selecteer [Netwerkcommunicatie] en klik op [OK].
6
Geef instellingen op voor de sleutel en het certificaat.
279
Beveiliging
[Sleutelinstellingen]
[Sleutelnaam]
Gebruik alfanumerieke tekens voor de naam van het sleutelpaar. Kies een naam die u eenvoudig kunt terugvinden in lijsten.
[Algoritme handtekening]
Selecteer het algoritme voor de handtekening in de vervolgkeuzelijst.
[Sleutelalgoritme]
RSA of ECDSA wordt gebruikt om een sleutelpaar te genereren. Selecteer de sleutellengte in de vervolgkeuzelijst. Hoe groter het aantal is voor de sleutellengte, hoe trager de communicatie verloopt.
De beveiliging is echter krachtiger.
● [512 bits] kan niet als sleutellengte van RSA worden geselecteerd als [SHA384] of [SHA512] is geselecteerd voor [Algoritme handtekening].
[Certificaatinstellingen]
[Begindatum geldigheid (DD/MM JJJJ)]
Voer de geldigheids-begindatum van het certificaat in.
[Einddatum geldigheid (DD/MM JJJJ)]
Voer de einddatum voor de geldigheidsperiode van het certificaat in. U kunt hier geen datum opgeven die voorafgaat aan [Begindatum geldigheid (DD/MM JJJJ)].
[Land/regio]
Voer tekens in voor de op internet gangbare landcode.
[Staat]/[Plaats]
Gebruik alfanumerieke tekens voor de locatie.
[Organisatie]/[Afdeling]
Gebruik alfanumerieke tekens voor de naam van de organisatie.
[Algemene naam]
Gebruik alfanumerieke tekens voor de algemene naam (Common Name) van het certificaat. 'Common
Name' wordt vaak afgekort tot 'CN'.
280
Beveiliging
Om af te drukken met IPPS, moet het 'IP-adres' of de '<hostnaam>.<domeinnaam>' waarmee een
IPPS-verbinding tot stand wordt gebracht, worden ingevoerd in [Algemene naam].
● Voer het IP-adres in als het vast is.
●
Voer '<hostnaam>.<domeinnaam>' in als een DNS-server gebruikt wordt. IPP/IPPS inschakelen(P. 160)
7
Klik op [OK].
● Het genereren van sleutels voor netwerkcommunicatie kan 10 tot 15 minuten in beslag nemen.
● Het gegenereerde sleutelpaar wordt automatisch opgeslagen op de machine.
Sleutel en certificaatondertekeningsverzoek (CSR) aanmaken
1
Start de externe UI en meld u aan in de managementstand.
De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] [Instellingen sleutel en certificaat].
281
4
Klik op [Sleutel aanmaken].
Beveiliging
Een geregistreerd sleutelpaar wissen
● Klik op [Verwijderen] bij het sleutelpaar dat u wilt verwijderen klik op [OK].
● U kunt een sleutelpaar niet verwijderen als dit momenteel in gebruik is, bijvoorbeeld wanneer 'TLS' of 'IEEE
802.1X' wordt weergegeven onder [Sleutelgebruik]. In dat geval moet u de functie uitschakelen of het sleutelpaar vervangen voordat u het sleutelpaar kunt verwijderen.
5
Selecteer [Sleutel en certificaatondertekeningsverzoek (CSR)] en klik op [OK].
6
Geef instellingen op voor de sleutel en het certificaat.
282
Beveiliging
[Sleutelinstellingen]
[Sleutelnaam]
Gebruik alfanumerieke tekens voor de naam van het sleutelpaar. Kies een naam die u eenvoudig kunt terugvinden in lijsten.
[Algoritme handtekening]
Selecteer het algoritme voor de handtekening in de vervolgkeuzelijst.
[Sleutelalgoritme]
RSA of ECDSA wordt gebruikt om een sleutelpaar te genereren. Selecteer de sleutellengte in de vervolgkeuzelijst. Hoe groter het aantal is voor de sleutellengte, hoe trager de communicatie verloopt.
De beveiliging is echter krachtiger.
● [512 bits] kan niet als sleutellengte van RSA worden geselecteerd als [SHA384] of [SHA512] is geselecteerd voor [Algoritme handtekening].
[Instellingen certificaatondertekeningsverzoek (CSR)]
[Land/regio]
Voer tekens in voor de op internet gangbare landcode.
[Staat]/[Plaats]
Gebruik alfanumerieke tekens voor de locatie.
[Organisatie]/[Afdeling]
Gebruik alfanumerieke tekens voor de naam van de organisatie.
[Algemene naam]
Gebruik alfanumerieke tekens voor de algemene naam (Common Name) van het certificaat. 'Common
Name' wordt vaak afgekort tot 'CN'.
Om af te drukken met IPPS, moet het 'IP-adres' of de '<hostnaam>.<domeinnaam>' waarmee een
IPPS-verbinding tot stand wordt gebracht, worden ingevoerd in [Algemene naam].
● Voer het IP-adres in als het vast is.
●
Voer '<hostnaam>.<domeinnaam>' in als een DNS-server gebruikt wordt. IPP/IPPS inschakelen(P. 160)
283
Beveiliging
7
Klik op [OK].
● Het genereren van een sleutel en certificaatondertekeningsverzoek (CSR) kan ongeveer 10 tot 15 minuten in beslag nemen.
8
Klik op [Opslaan in bestand].
● Er wordt een dialoogvenster voor het opslaan van het bestand weergegeven. Kies waar u het bestand wilt opslaan en klik op [Opslaan].
➠ Het CSR-bestand (Key en Certificate Signing Request) wordt opgeslagen op de computer.
9
Hecht het opgeslagen bestand aan en leg de applicatie voor aan de certificeringsinstantie (CA).
◼
Registreer het digitale certificaat dat is afgegeven door de certificeringsinstantie.
U kunt het sleutelpaar dat is gegenereerd door het Certificate Signing Request (CSR) pas gebruiken als het certificaat is geregistreerd. Registreer het digitale certificaat wanneer de certificeringsinstantie het heeft uitgegeven en volg daarvoor onderstaande procedure.
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] [Instellingen sleutel en certificaat].
4
Klik op [Sleutelnaam] of [Certificaat] zodat het certificaat wordt geregistreerd.
284
5
Klik op [Certificaat registreren].
Beveiliging
6
Klik op [Bladeren] in [Bestandspad], geef het bestand voor het certificaatondertekeningsverzoek op en klik op [Registreren].
KOPPELINGEN
Door een CA uitgegeven sleutelparen en digitale certificaten gebruiken(P. 287)
Sleutelparen en digitale certificaten verifiëren(P. 291)
285
Beveiliging
TLS gebruiken voor beveiligde communicatie(P. 256)
IPSec-instellingen configureren(P. 261)
286
Beveiliging
Door een CA uitgegeven sleutelparen en digitale certificaten gebruiken
600U-043
Sleutelparen en digitale certificaten voor gebruik met het apparaat zijn verkrijgbaar bij een certificeringsinstantie (CA).
U kunt deze bestanden opslaan en vervolgens registreren via de UI op afstand. Let er goed op dat het sleutelpaar en
kunt maximaal 8 sleutelparen (inclusief de vooraf geïnstalleerde paren) en maximaal 150 CA-certificaten (inclusief de
72 vooraf geïnstalleerde certificaten) registreren.
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] [Instellingen sleutel en certificaat] of [Instellingen CAcertificaat].
● Klik op [Instellingen sleutel en certificaat] voor het installeren van een sleutelpaar, of [Instellingen CAcertificaat] voor het installeren van een CA-certificaat.
287
Beveiliging
4
Klik op [Registreer sleutel en certificaat] of [Registreer CA-certificaat].
Een geregistreerd sleutelpaar of CA-certificaat wissen
● Klik op [Verwijderen] naast het sleutelpaar of CA-certificaat dat u wilt verwijderen en klik vervolgens op
[OK].
● U kunt een sleutelpaar niet wissen als het op dat moment in gebruik is, bijvoorbeeld wanneer '[TLS]' of
'[IEEE 802.1X]' wordt weergegeven onder [Sleutelgebruik]. In dat geval kunt u het pas wissen als u de functie hebt uitgeschakeld of het sleutelpaar hebt vervangen. U kunt het vooraf geïnstalleerde CAcertificaat niet wissen.
5
Klik op [Installeer].
288
Beveiliging
Een sleutelpaar of CA-certificaat wissen
● Klik op [Verwijderen] naast het bestand dat u wilt verwijderen en klik vervolgens op [OK].
6
Klik op [Bladeren], selecteer het bestand dat u wilt installeren en klik op [Installatie starten].
● Het sleutelpaar of CA-certificaat is geïnstalleerd op het apparaat.
7
Registreer het sleutelpaar of CA-certificaat.
Een sleutelpaar registreren
1 Klik op [Registreren] naast het sleutelpaar dat u wilt opslaan.
2 Voer de naam van het sleutelpaar en het wachtwoord in en klik op [OK].
[Sleutelnaam]
Gebruik alfanumerieke tekens voor de naam van het sleutelpaar dat u wilt registreren.
[Wachtwoord]
Gebruik alfanumerieke tekens voor het wachtwoord van de privésleutel die is ingesteld voor het bestand dat u wilt opslaan.
Een CA-certificaat registreren
Klik op [Registreren] naast het CA-certificaat dat u wilt opslaan.
289
Beveiliging
KOPPELINGEN
Sleutelparen genereren(P. 278)
Sleutelparen en digitale certificaten verifiëren(P. 291)
TLS gebruiken voor beveiligde communicatie(P. 256)
IPSec-instellingen configureren(P. 261)
IEEE 802.1X-verificatie configureren(P. 271)
290
Beveiliging
Sleutelparen en digitale certificaten verifiëren
600U-044
Als u sleutelparen en CA-certificaten hebt geregistreerd, kunt u de gegevens van deze onderdelen bekijken of hun geldigheid en handtekening controleren.
1
Start de externe UI en meld u aan in de managementstand. De UI op afstand starten(P. 295)
2
Klik op [Instellingen/registratie].
3
Klik op [Beveiliging] [Instellingen sleutel en certificaat] of [Instellingen CAcertificaat].
● Klik op [Instellingen sleutel en certificaat] voor het verifiëren van een sleutelpaar, of [Instellingen CAcertificaat] voor het verifiëren van een CA-certificaat.
4
Klik op het pictogram voor het sleutelpaar of certificaat dat u wilt controleren.
291
Beveiliging
● De certificaatgegevens kunt u bekijken op dit scherm.
5
Controleer de details van het certificaat en klik op [Certificaatverificatie].
● Het resultaat van het verifiëren van het certificaat wordt zoals hieronder weergegeven.
KOPPELINGEN
Sleutelparen genereren(P. 278)
Door een CA uitgegeven sleutelparen en digitale certificaten gebruiken(P. 287)
292
De UI op afstand gebruiken
De UI op afstand gebruiken
De UI op afstand gebruiken
293
De UI op afstand gebruiken
De UI op afstand gebruiken
600U-045
Als u een webbrowser gebruikt om het apparaat op afstand te bedienen, kunt u de documenten die wachten om te worden afgedrukt, of de status van het apparaat controleren. U kunt ook enkele instellingen voor het apparaat realiseren. U hoeft uw bureau dus niet te verlaten om systeembeheertaken uit te voeren. Voor meer informatie over
de systeemvereisten voor de externe UI, raadpleegt u Besturingssystemen(P. 499) .
Functies van de UI op afstand
Documenten beheren en de status van de machine controleren(P. 304)
Menuopties instellen via de UI op afstand(P. 313)
Geregistreerde gegevens opslaan/laden(P. 315)
Basisbeginselen van de UI op afstand
De UI op afstand starten(P. 295)
Schermen van de UI op afstand(P. 298)
294
advertisement
* Your assessment is very important for improving the workof artificial intelligence, which forms the content of this project