IPSecの設定をする

IPSecを利用すると、IPネットワーク上で送受信されるIPパケットの盗聴や改ざんなどを防ぐことができます。IPSecは、インターネットの基本プロトコルであるIPにセキュリティー機能を追加するため、アプリケーションやネットワーク構成に依存せずにセキュリティーを確保することができます。本機でIPSec通信を行うには、IPSecの適用範囲や認証と暗号化のアルゴリズムなどを指定する必要があります。設定にはAdministratorまたはNetworkAdminの権限が必要です。
通信モードについて
本機がサポートしているIPSecの通信モードはトランスポートモードのみです。そのため、IPパケットのデータ部分だけしか認証と暗号化が適用されません。
鍵交換プロトコルについて
ISAKMP(Internet Security Association and Key Management Protocol)に基づいて鍵の交換を行うIKEv1(Internet Key Exchange version 1)を本機はサポートしています。認証方式は、事前共有鍵方式または電子署名方式のどちらかを設定します。
事前共有鍵方式を設定する場合は、IPSec通信を行う相手との間で使用するパスフレーズ(事前共有鍵)を事前に決めておく必要があります。
電子署名方式を設定する場合は、IPSec通信を行う相手とお互いの認証を行うため、CA証明書とPKCS#12形式の鍵と証明書を使用します。CA証明書や鍵と証明書を新たに登録する場合は、ネットワーク通信用の鍵と証明書を登録するを参照してください。なお、あらかじめSNTPを使用できるように設定しておく必要があります。SNTPの設定をする
IPSec通信では<暗号方式をFIPS 140-2準拠にする>の設定にかかわらず、常にFIPS140-2認証を取得した暗号モジュールが使用されます。
IPSec通信をFIPS 140-2に準拠させるには、デバイスが存在するネットワーク環境において、IPSec通信でDHとRSAのそれぞれで、鍵長が2048bit以上に設定されている必要があります。
デバイスで鍵長の設定ができるのはDHのみです。
RSAについての設定はデバイスには無いので、環境構築時に注意が必要です。
セキュリティーポリシーは、10個まで登録できます。
1
(設定/登録)を押す
2
<環境設定>  <ネットワーク>  <TCP/IP設定>  <IPSec設定>を押す
3
<IPSecを使用>で<ON>を押し、<登録>を押す
4
ポリシー名を設定する
<ポリシー名>を押して名称を入力したあと、<OK>を押します。
キヤノン複合機では、AESの暗号方式は128bitと256bitの2つの鍵長に対応しています。この鍵長を256bitに制限しCC認証の規格を満たしたい場合などに<AESの鍵の長さを256bitに制限>を<ON>にします。
5
IPSecの適用範囲を設定する
1
<セレクター設定>を押す
2
IPSecのポリシーを適用するIPアドレスを指定する
本機側のIPアドレスは<ローカルアドレス>で、通信相手側のIPアドレスは<リモートアドレス>で指定してください。
<全IPアドレス>
送受信されるすべてのIPパケットにIPSecを適用します。
<自IPv4アドレス>
本機のIPv4アドレスを使って送受信されるIPパケットにIPSecを適用します。
<自IPv6アドレス>
本機のIPv6アドレスを使って送受信されるIPパケットにIPSecを適用します。
<全IPv4アドレス>
通信相手側のIPv4アドレスを使って送受信されるIPパケットにIPSecを適用します。
<全IPv6アドレス>
通信相手側のIPv6アドレスを使って送受信されるIPパケットにIPSecを適用します。
<IPv4手動指定>
IPSecを適用するIPv4アドレスを入力して指定します。
IPv4アドレスを個別に入力するときは、<単一指定>を選びます。
IPv4アドレスの範囲を入力するときは、<範囲指定>を選びます。<開始アドレス>と<終了アドレス>をそれぞれ入力してください。
IPv4アドレスの範囲をサブネットマスクで指定するときは、<サブネット指定>を選びます。<アドレス>と<サブネットマスク>をそれぞれ入力してください。
<IPv6手動指定>
IPSecを適用するIPv6アドレスを入力して指定します。
IPv6アドレスを個別に入力するときは、<単一指定>を選びます。
IPv6アドレスの範囲を入力するときは、<範囲指定>を選びます。<開始アドレス>と<終了アドレス>をそれぞれ入力してください。
IPv6アドレスの範囲をプレフィックスで指定するときは、<プレフィックス指定>を選びます。<アドレス>と<プレフィックス長>をそれぞれ入力してください。
3
IPSecを適用するポートを設定する
IPSecを適用するポートをポート番号で指定する場合は、<ポート番号で指定>を押します。すべてのポート番号にIPSecを適用する場合は<全ポート>を選択します。特定のポート番号にIPSecを適用する場合は、<単一指定>を押してポート番号を入力します。ポートを指定したあと、<OK>を押します。なお、本機側のポートは<ローカルポート>で、通信相手側のポートは<リモートポート>で指定してください。
IPSecを適用するポートをサービス名で指定する場合は、<サービス名で指定>を押します。一覧からサービスを選び、<サービスのON/OFF>を押して一覧の表示を<ON>に切り替えたあと、<OK>を押します。
4
<OK>を押す
6
認証と暗号化の設定をする
1
<IKE設定>を押す
2
必要な設定をする
<IKEモード>
鍵交換プロトコルの動作モードを選びます。<メイン>にするとIKEセッション自体を暗号化するためセキュリティーが強化されますが、暗号化しない<アグレッシブ>よりも通信に負荷がかかります。
<有効期間>
生成されるIKE SAの有効期間を設定します。
<認証方式>
本機の認証方法を次の中から選んで設定します。
<事前共有鍵方式>
通信相手側が設定しているものと同じパスフレーズ(事前共有鍵)を設定します。<共有鍵>を押し、共有鍵として使用する文字列を入力したあと、<OK>を押します。
<電子署名方式>
通信相手との相互認証で使用する鍵と証明書を設定します。<鍵と証明書>を押し、使用する鍵と証明書を選んだあと、<使用鍵に設定>  <はい>  <OK>を押します。
<認証/暗号化アルゴリズム>
IKEフェーズ1の認証と暗号化のアルゴリズムの設定方法を<自動>または<手動指定>から選びます。<自動>を選んだ場合は、本機と通信相手の両方が使用可能なアルゴリズムが自動的に設定されます。特定のアルゴリズムを指定したいときは<手動指定>を選び、次の設定をします。
<認証>
ハッシュアルゴリズムを選びます。
<暗号>
暗号化アルゴリズムを選びます。
<DHグループ>
鍵の強度を決定する鍵交換方式(Diffie-Hellman鍵交換方式)のグループを選びます。
3
<OK>を押す
<IKE設定>画面で<IKEモード>を<メイン>に選択し、<認証方式>を<事前共有鍵方式>に設定した場合に、複数のセキュリティーポリシーを登録するときには、次の制限を受けます。
事前共有鍵方式の共有鍵:セキュリティーポリシーを適用するリモートIPアドレスを単一指定以外で複数指定した場合は、セキュリティーポリシーの共有鍵はすべて同一になります。
優先順位:セキュリティーポリシーを適用するリモートIPアドレスを複数指定した場合は、単一指定した場合よりも、セキュリティーポリシーの優先順位が下になります。
7
IPSec通信の設定をする
1
<IPSec通信設定>を押す
2
必要な設定をする
<有効期間>
生成されるIPSec SAの有効期間を設定します。<時間>または<サイズ>のどちらかを必ず設定してください。両方を設定すると、先に有効期限に達したものが適用されます。
<PFS>
PFS(Perfect Forward Secrecy)を<ON>にすると暗号鍵の機密性が上がりますが、通信に負荷がかかります。なお、通信相手の機器でもPFSを有効にしておく必要があります。
<認証/暗号化アルゴリズム>
IKEフェーズ2の認証と暗号化のアルゴリズムの設定方法を<自動>または<手動指定>から選びます。<自動>を選んだ場合は、ESP認証と暗号化のアルゴリズムが自動的に設定されます。特定の認証方式を選びたいときは<手動指定>を選び、次のいずれかの認証方式を選びます。
<ESP>
認証と暗号化の両方を行います。<ESP認証>と<ESP暗号>でアルゴリズムを選んでください。認証または暗号化のアルゴリズムを設定しないときは、<NULL>を選択します。
<ESP (AES-GCM)>
ESPのアルゴリズムとしてAES-GCMを使用し、認証と暗号化の両方を行います。
<AH (SHA1)>
認証は行いますが、データは暗号化しません。アルゴリズムとしてSHA1を使用します。
3
<OK>  <OK>を押す
8
登録したポリシーを有効にし、優先順位を確認する
一覧から登録したポリシーを選んで<ポリシーのON/OFF>を押し、<ON>に切り替えます。
ポリシーは一覧の上位から優先して適用されます。優先順位を変更したい場合は、一覧からポリシーを選んで<優先順位を上へ>または<優先順位を下へ>を押します。
ポリシーに該当しないパケットを送受信したくない場合は、<ポリシー外パケットの受信>で<拒否>を選んでください。
9
<OK>を押す
10
(設定/登録) (設定/登録) <設定の反映>  <はい>を押す
IPSecポリシーを管理する
手順3の画面から、ポリシーを編集することができます。
ポリシーの内容を編集したい場合は、一覧からポリシーを選んで<編集>を押します。
ポリシーを無効にしたい場合は、一覧からポリシーを選んで<ポリシーのON/OFF>を押します。
ポリシーを削除したい場合は、一覧からポリシーを選んで<削除>  <はい>を押します。
697A-0AL