IPSecの設定をする

IP Security Protocol(IPSec)はインターネットなどのネットワークで暗号化通信をするためのプロトコルです。SSL暗号化通信がウェブブラウザーや電子メールクライアントなど、特定のアプリケーションで暗号化する技術であるのに対し、IPSec通信はIPプロトコルのレベルで暗号化を行いますので、より汎用性の高いセキュリティーを実現できます。本機のIPSecはパケットのIPヘッダーを除いた部分だけを暗号化するトランスポートモードに対応し、本機と同じVPN(仮想プライベートネットワーク)を構成するパソコンと直接接続します。動作条件を確認し、あらかじめパソコン側の設定を済ませておいてください。
IPSecの動作条件
IPSecの機能制限について
ユニキャストアドレス(単一の相手)に対する通信だけに対応しています。
本機でIPSecを使用するときは、DHCPv6は使用できません。
NATやIPマスカレードを導入しているネットワークでは使用できません。
IPアドレスフィルターとIPSecを併用するとき
IPアドレスフィルターの設定が先に適用されます。

IPSecの設定をする

本機でIPSecを使った暗号化通信を行うには、セキュリティーポリシー(SP)を作成する必要があります。ポリシーはおもに次の内容で構成され、最大10件まで登録できます。複数のポリシーを作成した場合は、優先順位を設定します。
セレクター
どのIPパケットにIPSec通信を適用するかを設定します。本機や通信相手側のIPアドレスだけでなく、ポート番号も指定できます。
IKE
鍵交換プロトコルとして使用するIKEv1の設定をします。選択する認証方式によって必要な準備や設定方法が異なりますのでご注意ください。
[事前共有鍵方式]
本機と通信相手とで共有鍵と呼ばれる共通のキーワードを使用する認証方式です。あらかじめリモートUIの通信にSSLを使えるように設定しておいてください(SSLでリモートUI通信を暗号化する)。
[電子署名方式]
本機と通信相手側が電子署名を互いに送信/検証し合って相互認証を行います。使用する鍵ペアを用意しておいてください(認証局発行の鍵ペアと電子証明書を使う)。
AH/ESP
IPSec通信で使用するESPとAHという2つのプロトコルの設定をします。AHとESPは併用も可能です。PFSを使用すればセキュリティーをさらに強化できます。
 
 
1
リモートUIを起動し、管理者モードでログインする リモートUIを起動する
2
[設定/登録]をクリックする
3
[セキュリティー設定]  [IPSec設定]をクリックする
4
[編集]をクリックする
5
[IPSecを使用する]にチェックマークを付け、[OK]をクリックする
セキュリティーポリシーに該当するパケットだけを受信するようにしたいときは、[ポリシー外パケットの受信を許可する]のチェックマークを外します。
6
[新規ポリシーの登録]をクリックする
7
ポリシーを設定する
1
[ポリシー名]にポリシーを区別するための名称を24文字以内の半角英数字で入力する
2
[ポリシーを有効にする]にチェックマークを付ける
8
セレクターの設定をする
 
[ローカルアドレス]
ポリシーを適用する本機のIPアドレスの種類を、次の中から選んでクリックします。
[全IPアドレス]
すべてのIPパケットにIPSecを適用します。
[自IPv4アドレス]
本機のIPv4アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。
[自IPv6アドレス]
本機のIPv6アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。
 
[リモートアドレス]
ポリシーを適用する通信相手側のIPアドレスの種類を、次の中から選んでクリックします。
[全IPアドレス]
すべてのIPパケットにIPSecを適用します。
[全IPv4アドレス]
通信相手側のIPv4アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。
[全IPv6アドレス]
通信相手側のIPv6アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。
[IPv4手動指定]
IPSecを適用するIPv4アドレスを単独または範囲で入力指定します。[手動指定アドレス]にIPv4アドレス(またはその範囲)を入力してください。
[IPv6手動指定]
IPSecを適用するIPv6アドレスを単独または範囲で入力指定します。[手動指定アドレス]にIPv6アドレス(またはその範囲)を入力してください。
 
[手動指定アドレス]
[リモートアドレス]で[IPv4手動指定]または[IPv6手動指定]を選んだときは、ポリシーを適用するIPアドレスを入力します。アドレスどうしを「-」(ハイフン)でつないで範囲を指定することもできます。
IPアドレスの入力形式
入力方法
入力例
単一のアドレスを指定するとき
IPv4の場合は、「.」(ピリオド)で数字を区切ります。
192.168.0.10
IPv6の場合は、「:」(コロン)で英数字を区切ります。
fe80::10
アドレスを範囲で指定するとき
「-」(ハイフン)でアドレスをつなぎます。
192.168.0.10-
192.168.0.20
アドレスの範囲をプレフィックスで指定するとき(IPv6のみ)
アドレス、「/」(スラッシュ)、プレフィックス長の順に入力します。
fe80::1234/64
 
[サブネット指定]
手動でIPv4アドレスの範囲を指定する場合、サブネットマスクを使って範囲を設定することもできます。サブネットマスクは「.」(ピリオド)で数字を区切って入力します(入力例:「255.255.255.240」)。
[ローカルポート]/[リモートポート]
HTTPやSMTPなど、プロトコルごとにIPSec通信をする/しないを判断するポリシーを作成したいときは、[単一指定]をクリックしてポリシーを適用するプロトコルのポート番号をローカル(本機側)/リモート(通信相手側)で入力します。
IPSecが適用されないパケット
ループバック/マルチキャスト/ブロードキャストアドレスを指定したパケット
UDPポート500番から送信されるIKEパケット
ICMPv6のNeighbor Solicitation/Neighbor Advertisementパケット
9
IKEの設定をする
[IKEモード]
鍵交換プロトコルの動作モードです。本機は「メインモード」に対応しますが、「アグレッシブモード」には対応していません。
[認証方式]
本機の認証方法を[事前共有鍵方式]または[電子署名方式]から選んで設定します。[事前共有鍵方式]で設定する場合は、リモートUI通信に対してあらかじめSSLを有効にする必要があります(SSLでリモートUI通信を暗号化する)。[電子署名方式]の場合は、使用する鍵ペアを用意しておいてください(鍵ペアと電子証明書の設定をする)。
[有効時間]
制御用通信路として使用するIKE SA(ISAKMP SA)の有効時間を分単位で入力します。
[認証]/[暗号]/[DHグループ]
鍵交換で使用するアルゴリズムをそれぞれプルダウンメニューで選びます。
[認証]
ハッシュアルゴリズムを選びます。
[暗号]
暗号化アルゴリズムを選びます。
[DHグループ]
鍵の強度を決定するDiffie-Hellmanグループを選びます。
 
事前共有鍵方式で認証する
1
[認証方式]で[事前共有鍵方式]をクリックし、[共有鍵の設定]をクリックする
2
共有鍵として使用する文字列を24文字以内の半角英数字で入力し、[OK]をクリックする
3
[有効時間]と[認証]/[暗号]/[DHグループ]を設定する
 
電子署名方式で認証する
1
[認証方式]で[電子署名方式]をクリックし、[鍵と証明書]をクリックする
2
使用する鍵ペアの右側にある[使用鍵登録]をクリックする
証明書の内容を確認するには
[鍵の名前]のリンクか証明書のアイコンをクリックすると、証明書の詳細情報確認や検証ができます。 鍵ペアとCA証明書を検証する
3
[有効時間]と[認証]/[暗号]/[DHグループ]を設定する
10
IPSec通信の設定をする
[PFSを使用する]
セッションキーに対してPerfect Forward Secrecy(PFS)を設定するときはチェックマークを付けます。PFSを使用するとより安全ですが、通信に負荷がかかります。通信相手の機器でもPFSが有効であることをあらかじめ確認しておいてください。
[時間で指定する]/[サイズで指定する]
データ用通信路として使用するIPSec SAの有効期間を設定します。必要に応じてどちらか片方または両方にチェックマークを付けます。両方にチェックマークを付けると、設定した値に先に達した方が適用されます。
[時間で指定する]
有効期間を分単位で入力します。
[サイズで指定する]
有効期間をメガバイト単位で入力します。
 
[アルゴリズム選択]
使用するIPSecヘッダー(ESPおよびAH)とそのアルゴリズムに応じて、[ESP]/[ESP(AES-GCM)]/[AH(SHA1)]にチェックマークを付けます。AES-GCMは認証と暗号化の両方を行うアルゴリズムです。[ESP]を選ぶときは、[ESP認証]および[ESP暗号]のプルダウンメニューから認証および暗号化のアルゴリズムを選びます。
[ESP認証]
ESPによる認証を行うときは[SHA1]を、行わないときは[使用しない]を選びます。
[ESP暗号]
ESPの暗号化アルゴリズムを選びます。アルゴリズムを特定したくないときは[NULL]を、ESPによる暗号化を行わないときは[使用しない]を選んでください。
 
[接続モード]
IPSecの接続モードです。本機はIPヘッダーを除いた部分だけを暗号化する「トランスポートモード」に対応しますが、IPパケット全体を暗号化する「トンネルモード」には対応していません。
11
[OK]をクリックする
他のポリシーを登録するときは、手順6に戻ります。
12
[登録されているIPSecポリシー]に一覧表示されているポリシーの優先順位を設定する
送受信するパケットにIPSec通信を適用するかどうかの判断は、上位のポリシーから優先的に行われます。[上げる]または[下げる]をクリックしてポリシーの位置を上下してください。
ポリシーを編集するとき
[ポリシー名]のリンクをクリックして編集画面を表示します。
ポリシーを削除するとき
削除したいポリシーの右側にある[削除]  [OK]をクリックします。
13
本機を再起動する
電源を切り、10秒待って再び電源を入れます。
 
 
操作パネルのからIPSec通信を有効/無効に切り替えることもできます。 IPSecを使用
099U-0C9