45.xx.nn.xx)
(Nur voll ausgestattete Druckserver) Die Kombination von IPsec und Firewall ermöglicht die
Netzwerkschichtsicherheit in IPv4- und IPv6-Netzwerken. Mit der Firewall allein kann lediglich gesteuert werden, welchen IP-Adressen der Zugriff gestattet wird. IPsec gemäß RFC 2401 bietet durch
Authentifizierung und Verschlüsselung eine höhere Sicherheit.
Die IPsec-Konfiguration ist relativ komplex. Da IPsec Sicherheit in der Netzwerkschicht bietet und relativ unabhängig von den Anwendungsschichten sein kann, wird die Möglichkeit zu einer sicheren Host-zu-Host-Kommunikation in einem ausgedehnten Netzwerk (z. B. dem Internet) beträchtlich erhöht.
● Wenn IPsec unterstützt wird, können Sie sowohl Firewall als auch IPsec zum Schutz des IP-Datenverkehrs einsetzen.
● Wird IPsec nicht unterstützt, ist nur der Schutz durch eine Firewall möglich.
HINWEIS: Neben dem Schutz durch Firewall und IPsec in der Netzwerkschicht unterstützt der Druckserver auch einen SNMPv3-Agenten in der Anwendungsschicht zur Sicherheit von
Verwaltungsanwendungen sowie SSL-Standards (Secure Sockets Layer) in der Transportschicht für sichere Client-Server-Anwendungen (z. B. Client-Server-Authentifizierung oder HTTPS-Kommunikation).
Sie müssen für den IPsec/Firewall-Betrieb auf dem Druckserver eine IPsec/Firewall-Richtlinie für bestimmte IP-Datenpakete definieren. Sie können in Ihrem Webbrowser über den HP Embedded Web Server auf die Seiten mit der IPsec- und Firewall-Richtlinie zugreifen. Die folgenden Abbildungen zeigen typische IPsec- und Firewall-Richtlinienseiten.
HINWEIS: Damit die Kommunikation mit einem HP Jetdirect-Druckserver möglich ist, der mit einer IPsec-Richtlinie konfiguriert wurde, müssen auch die für den Zugriff verwendeten Computer
entsprechend eingerichtet werden. Die auf dem Druckserver und den Computern konfigurierten IPsec-Richtlinien müssen kompatibel sein. Andernfalls kann keine Verbindung hergestellt werden.
Um eine konfigurierte Richtlinie zu aktivieren, müssen Sie auf Übernehmen klicken.
Abbildung 5-1 Seite „Firewall-Richtlinie“
Abbildung 5-2 Seite „IPsec-Richtlinie“
Die Elemente auf der Seite IPsec/Firewall-Richtlinie werden in der folgenden Tabelle beschrieben.
Tabelle 5-1 Seite „IPsec/Firewall-Richtlinie“
Element Beschreibung
IPsec/Firewall aktivieren oder
Firewall aktivieren
Aktivieren Sie dieses Kontrollkästchen, um die IPsec- oder Firewall-Richtlinie zu aktivieren. Deaktivieren Sie es, wenn Sie IPsec oder die Firewall deaktivieren möchten.
IPsec/Firewall-Regeln Sie können bis zu zehn Regeln in absteigender Reihenfolge konfigurieren (z. B. ist Regel 1 in der Rangfolge höher als Regel 2).
Definieren Sie die Regeln mithilfe der folgenden Felder:
● Aktivieren: Mit diesem Kontrollkästchen kann die Regel für die Richtlinie aktiviert oder deaktiviert werden.
● Adressvorlage: Legen Sie fest, auf welche IP-Adressen die Regel angewendet wird. Sie können eine der vordefinieren Vorlagen auswählen oder eine eigene Vorlage definieren. Klicken Sie auf einen Vorlageneintrag, um dessen Konfiguration zu überprüfen oder zu ändern.
● Dienstvorlage: Legen Sie fest, für welche Dienste die Regel gültig ist. Sie können eine der vordefinieren Vorlagen auswählen oder eine eigene Vorlage definieren. Klicken Sie auf einen Vorlageneintrag, um dessen Konfiguration zu überprüfen oder zu ändern.
ACHTUNG: Wenn die Vorlage Alle Dienste für eine Regel nicht ausgewählt wird, kann ein ernstes Sicherheitsrisiko entstehen. Netzwerkanwendungen, die erst nach der Aktivierung der IPsec-Richtlinie zum Einsatz kommen, werden möglicherweise nur durch IPsec geschützt, wenn die Vorlage Alle Dienste verwendet wird.
Wenn z. B. ein Plugin für einen Internetdienst installiert oder die Firmware des Druckers bzw. Druckservers aktualisiert wird, kann dies zu einer Verbindung führen, die nicht durch die IPsec-Richtlinie abgedeckt wird. In diesen Fällen sollten die Richtlinien immer überprüft werden.
● Aktion bei Übereinstimmung: Legen Sie hier fest, wie der IP-Datenverkehr verarbeitet wird, der die angegebenen Adressen und Dienste enthält.
Im Firewall-Betrieb kann der Datenverkehr zugelassen oder blockiert werden.
Im IPsec-Betrieb kann der Datenverkehr ohne IPsec-Schutz zugelassen, blockiert oder durch die angegebene IPsec-Vorlage geschützt werden. Klicken Sie auf einen Vorlageneintrag, um dessen Konfiguration zu überprüfen oder zu ändern.
Standardregel Geben Sie an, ob die Standardregel den Datenverkehr blockiert oder zulässt. Über die Standardregel wird festgelegt, ob IP-Pakete verarbeitet werden, die nicht den
konfigurierten Regeln entsprechen.
Wählen Sie Blockieren (Standardeinstellung) aus, wenn der Datenverkehr blockiert werden soll.
Wählen Sie Zulassen aus, wenn der Datenverkehr zugelassen werden soll. Das Zulassen von IP-Paketen, die nicht mit den konfigurierten Regeln übereinstimmen, kann zu Sicherheitsproblemen führen.
Ein Beispiel hierfür sehen Sie unter „Beispiel für die Konfiguration der Standardregel“ auf Seite 126.
Tabelle 5-1 Seite „IPsec/Firewall-Richtlinie“ (Fortsetzung)
Element Beschreibung
Regeln hinzufügen Regeln löschen
Wählen Sie Regeln hinzufügen aus, um Regeln mit dem IPsec-Assistenten zu konfigurieren.
Wählen Sie Regeln löschen aus, um eine oder mehrere Regeln aus der Richtlinie zu entfernen.
Erweitert Konfigurieren Sie die Funktion Fehlersicher, um zu verhindern, dass während der IPsec/Firewall-Konfiguration kein HTTPS-Zugriff mehr auf den Druckserver möglich ist.
Sie können Ausnahmen (Multicast- und Broadcast-Datenpakete) festlegen, die nicht von der IPsec/Firewall-Richtlinie berücksichtigt werden. Dies ist unter Umständen für die Geräteerkennung durch Installationsprogramme erforderlich.
Beispiel für die Konfiguration der Standardregel
Das folgende Beispiel zeigt, welche Aktionen vom Druckserver ausgeführt werden, wenn die Standardregel auf Zulassen oder Blockieren (Standardeinstellung) eingestellt wird.
Beispiel für die IPsec-Richtlinienkonfiguration: IPsec ist auf dem Druckserver mit folgender Regel aktiviert:
● Alle IPv4-Adressen
● Alle Jetdirect-Druckdienste
● Eine einfache IPsec-Vorlage für diese Adressen und Dienste ist konfiguriert.
Wenn Standardregel auf Zulassen eingestellt wird:
● Ein IP-Paket, das nicht durch IPsec geschützt, aber in dessen IPv4-Adresse der Druckanschluss 9100 angegeben ist, wird nicht verarbeitet (es wird blockiert), da es die konfigurierte Regel verletzt.
● Ein IP-Paket, das nicht durch IPsec geschützt, aber in dessen IPv4-Adresse ein anderer Dienstanschluss als 9100 angegeben ist (z. B. Telnet), wird zugelassen und verarbeitet.
Wenn Standardregel auf Blockieren eingestellt wird:
● Ein IP-Paket, das nicht durch IPsec geschützt, aber in dessen IPv4-Adresse der Druckanschluss 9100 angegeben ist, wird nicht verarbeitet (es wird blockiert), da es die konfigurierte Regel verletzt.
● Ein an den Druckanschluss 9100 gesendetes IPsec-Paket mit IPv4-Adresse wird zugelassen und verarbeitet, da es die Regel erfüllt.
● Ein an den Telnet-Anschluss gesendetes, nicht durch IPsec geschütztes Paket mit IPv4-Adresse wird durch die Standardregel blockiert.
IPsec-Sicherheitsassoziationen (SA)
Für Pakete, die durch IPsec geschützt sind, muss eine IPsec-Sicherheitsassoziation (Security Association, SA) vorhanden sein. Die Assoziation definiert, wie das Paket bei der Übertragung von Host zu Host geschützt wird. Dazu werden u. a. Informationen wie das verwendete IPsec-Protokoll, die
Authentifizierungs- und Chiffrierschlüssel sowie die Dauer der Schlüsselnutzung verwendet.
Eine IPsec-Sicherheitsassoziation ist unidirektional. Ein Host kann über eine Assoziation für eingehende Pakete und eine Assoziation für ausgehende Pakete verfügen, die für bestimmte IP-Paketprotokolle und Dienste verwendet werden. Das IPsec-Protokoll wird dann für den Schutz verwendet.
Wenn die IPsec-Regeln richtig konfiguriert sind, definieren diese die Sicherheitsassoziationen für die ein- und ausgehenden Datenpakete des HP Jetdirect-Druckservers und sorgen dafür, dass der gesamte Datenverkehr sicher ist.
HP Jetdirect IPsec/Firewall-Assistent
Mit dem IPsec/Firewall-Assistenten können Sie Regeln für den IP-Datenverkehr erstellen. Klicken Sie auf Regeln hinzufügen, um den Assistenten zu starten.
Sie können bis zu zehn Regeln eingeben. In jeder Regel werden die Hostadressen, Dienste und die Aktion festgelegt, die für diese Adressen und Dienste durchgeführt wird. Je nachdem, ob IPsec vom Druckserver und vom Gerät unterstützt wird, sind folgende Aktionen möglich:
● Datenverkehr zulassen: Bei IPsec/Firewall-Unterstützung wird der IP-Datenverkehr zugelassen, der nicht durch die IPsec/Firewall-Richtlinie geschützt wird.
● Datenverkehr blockieren: Der angegebene IP-Datenverkehr wird blockiert und nicht verarbeitet.
● Schutz des Datenverkehrs durch IPsec/Firewall-Richtlinie verlangen: Sie werden aufgefordert, eine IPsec-Vorlage mit den Authentifizierungs-/Verschlüsselungseinstellungen für den angegebenen IP-Datenverkehr zu konfigurieren.
Sehen Sie sich dazu die folgende Abbildung an.
Abbildung 5-3 Konfigurieren von Regeln mit dem IPsec-Assistenten
... {
...
HP Jetdirect IPsec/Firewall Policy
IPsec/Firewall Rules
Use the IPsec/Firewall Wizard to Configure Each Rule
Einschränkungen für Regeln, Vorlagen und Dienste
Die Einschränkungen für Regeln, Vorlagen und Dienste sind in der folgenden Tabelle zusammengefasst.
Tabelle 5-2 Einschränkungen für Regeln, Vorlagen und Dienste
Element Höchstwert
Maximale Anzahl von Regeln 10
Maximale Anzahl von Adressvorlagen Beachten Sie Folgendes:
● Alle IP-Adressen: Durch diese Vorlage werden zwei (2) Adressvorlagenregeln erstellt, und zwar eine für alle IPv4-Adressen und eine weitere für alle IPv6-Adressen.
● Alle anderen als Link-Local-IPv6: Durch diese Vorlage werden vier (4) Adressvorlagenregeln erstellt:
◦ :: bis FE7F:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF (lokale und dezentrale Adressen)
◦ :: bis FE7F:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF (lokale Adressen) FE81:: bis FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF (dezentrale Adressen)
◦ FE81:: bis FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF (lokale Adressen) :: bis FE7F:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF (dezentrale Adressen)
◦ FE81:: bis FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF (lokale und dezentrale Adressen)
● Alle Broadcast/Multicast-Adressen: Durch diese Vorlage werden vier (4) Adressvorlagenregeln erstellt:
◦ Lokale IPv4-Adressen 224.0.0.0 bis 239.255.255.255 und alle dezentralen IPv4-Adressen
◦ Einzelne lokale IPv4-Adresse und alle dezentralen IPv4-Adressen
◦ Lokale Adresse 255.255.255.255 und alle dezentralen IPv4-Adressen
◦ Lokale IPv6-Adressen FF00:: / 8 und alle entfernten IPv6-Adressen
HINWEIS: Wenn Sie diese vordefinierten Adressvorlagen mit mehreren Regeln nicht verwenden möchten, können Sie eigene Adressvorlagen erstellen.
8
Maximale Anzahl der benutzerdefinierten Adressvorlagen 8
Maximale Anzahl der Dienste, die zu einer benutzerdefinierten Dienstvorlage hinzugefügt werden können
HINWEIS: Für die vordefinierte Vorlage Alle Dienste gilt dieser Höchstwert nicht. Sie schließt alle vom Druckserver unterstützten Dienste ein.
64
Maximale Anzahl der Dienste, die zur Richtlinie hinzugefügt werden können
Wenn z. B. eine benutzerdefinierte Dienstvorlage aus 64 Diensten besteht, kann keine weitere Dienstvorlage verwendet werden.
64
Maximale Anzahl der Dienstvorlagen in der Richtlinie 10
Maximale Anzahl der benutzerdefinierten Dienstvorlagen, die konfiguriert werden können 10
Maximale Anzahl der IPsec-Vorlagen in der IPsec-Richtlinie 5
Maximale Anzahl der benutzerdefinierten IPsec-Vorlagen, die konfiguriert werden können 5