IPSecの設定をする
IP Security Protocol (IPSec)はインターネットなどのネットワークで暗号化通信をするためのプロトコルです。TLS暗号化通信がウェブブラウザーや電子メールクライアントなど、特定のアプリケーションで暗号化する技術であるのに対し、IPSec通信はIPプロトコルのレベルで暗号化を行いますので、より汎用性の高いセキュリティーを実現できます。本機のIPSecはパケットのIP ヘッダーを除いた部分だけを暗号化するトランスポートモードに対応し、本機と同じVPN(仮想プライベートネットワーク)を構成するパソコンと直接接続します。動作条件を確認し、あらかじめパソコン側の設定を済ませておいてください。
IPSecの動作条件
本機のIPSecはRFC4301、RFC4302、RFC4303、RFC4305に準拠しています。
|
通信相手の対応OS
|
Windows Vista/7/8/10/Server 2008/Server 2012/Server 2016
|
|
|
接続モード
|
トランスポートモード
|
|
|
鍵交換プロトコル
|
IKEv1
|
|
|
動作モード
|
メインモード
アグレッシブモード
|
|
|
認証方式
|
事前共有鍵方式
電子署名方式
|
|
|
ハッシュアルゴリズム
|
SHA1
MD5
|
|
|
暗号化アルゴリズム
(および鍵長) |
3DES-CBC
AES-CBC(128 ビット/192 ビット/256 ビット)
|
|
|
鍵交換アルゴリズム/グループ(および鍵長)
|
Diffie-Hellman (DH)
Group 1(768 ビット)
Group 2(1024 ビット)
Group 14(2048 ビット)
|
|
|
ESP(Encapsulating Security Payload)
|
ハッシュアルゴリズム
|
SHA1
MD5
|
|
暗号化アルゴリズム
(および鍵長) |
3DES-CBC
AES-CBC(128 ビット/192 ビット/256 ビット)
|
|
|
AH(Authentication Header)
|
ハッシュアルゴリズム
|
SHA1
MD5
|
 |
IPSec通信を設定する前に通信相手となるOSのIPSec設定を確認してください。OSの設定と本機の設定の組み合わせが正しくない場合、IPSecでの通信ができません。
|
 |
IPSecの機能制限についてユニキャストアドレス(単一の相手)に対する通信にだけ対応しています。
本機でIPSecを使用するときは、DHCPv6は使用できません。
NATやIPマスカレードを導入しているネットワークでは使用できません。
IKEv1 phase1でのPFSには対応していません。
IPアドレスフィルターとIPSecを併用するとき受信ではIPSec、送信ではIPアドレスフィルターの設定が先に適用されます。
|
セキュリティーポリシーを登録する
本機でIPSecを使った暗号化通信を行うには、最初にセキュリティーポリシー(SP)を作成してから、IPSec設定を有効(IPSec通信を有効にする)に設定する必要があります。ポリシーはおもに次の内容で構成され、最大 10 件まで登録できます。IPアドレスやポート番号の組み合わせによって、複数のポリシーを登録することができます。複数のポリシーを作成した場合は、優先順位を設定します。
セレクターの設定
どのIPパケットにIPSec通信を適用するかを設定します。本機や通信相手のIPアドレスだけでなく、ポート番号も指定できます。
IKEの設定
鍵交換プロトコルとして使用するIKEv1の設定をします。選択する認証方式によって必要な準備や設定方法が異なりますのでご注意ください。
[事前共有鍵方式]
本機と通信相手とで共有鍵と呼ばれる共通のキーワードを使用する認証方式です。あらかじめリモートUIの通信にTLSを使えるように設定しておいてください(TLSで暗号化通信をする)。
本機と通信相手とで共有鍵と呼ばれる共通のキーワードを使用する認証方式です。あらかじめリモートUIの通信にTLSを使えるように設定しておいてください(TLSで暗号化通信をする)。
[電子署名方式]
本機と通信相手側が電子署名を互いに送信/検証し合って相互認証を行います。使用する鍵ペアを用意しておいてください(認証局発行の鍵ペアや電子証明書を使う)。
本機と通信相手側が電子署名を互いに送信/検証し合って相互認証を行います。使用する鍵ペアを用意しておいてください(認証局発行の鍵ペアや電子証明書を使う)。
プロトコルやオプションの設定
IPSec通信で使用するESPとAHという 2 つのプロトコルの設定をします。ESPとAHを併用することはできません。PFSを使用すればセキュリティーをさらに強化できます。
1
リモートUIを起動し、管理者モードでログインする リモートUIを起動する
2
[設定/登録]をクリックする
3
[セキュリティー]
[IPSec設定]をクリックする
[IPSec設定]をクリックする
4
[IPSecポリシー一覧]をクリックする
5
[新規IPSecポリシーの登録]をクリックする
6
[ポリシー名]を入力し、[ポリシーを有効にする]にチェックマークを付ける
[ポリシー名]
ポリシーを区別するための名称を 24 文字以内の半角英数字で入力します。
[ポリシーを有効にする]
ポリシーを有効にするときはチェックマークを付けます。このポリシーを使用しない場合はチェックマークを外してください。
7
セレクターの設定をする
[ローカルアドレス]
ポリシーを適用する本機のIPアドレスの種類を、次の中から選びます。
|
[全IPアドレス]
|
すべてのIPパケットにIPSecを適用します。
|
|
[自IPv4アドレス]
|
本機のIPv4アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。
|
|
[自IPv6アドレス]
|
本機のIPv6アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。
|
|
[IPv4手動指定]
|
IPSecを適用するIPv4アドレスを単独または範囲で入力指定します。[手動指定アドレス]にIPv4アドレス(またはその範囲)を入力してください。
|
|
[IPv6手動指定]
|
IPSecを適用するIPv6アドレスを単独または範囲で入力指定します。[手動指定アドレス]にIPv6アドレス(またはその範囲)を入力してください。
|
[手動指定アドレス]
[ローカルアドレス]で[IPv4手動指定]または[IPv6手動指定]を選んだときは、ポリシーを適用するIPアドレスを入力します。アドレスどうしを「-」(ハイフン)でつないで範囲を指定することもできます。
IPアドレスの入力形式
単一のアドレスを指定するとき(IPv4)
「.」(ピリオド)で数字を区切ります(入力例:「192.168.1.10」)。
「.」(ピリオド)で数字を区切ります(入力例:「192.168.1.10」)。
単一のアドレスを指定するとき(IPv6)
「:」(コロン)で英数字を区切ります(入力例:「fe80::10」)。
「:」(コロン)で英数字を区切ります(入力例:「fe80::10」)。
アドレスを範囲で指定するとき
「-」(ハイフン)でアドレスをつなぎます(入力例:「192.168.1.10-192.168.1.20」「fe80::1000-fe80::1010」)。
「-」(ハイフン)でアドレスをつなぎます(入力例:「192.168.1.10-192.168.1.20」「fe80::1000-fe80::1010」)。
アドレスの範囲をプレフィックスで指定するとき(IPv6のみ)
アドレス、「/」(スラッシュ)、プレフィックス長の順に入力します(入力例:「fe80::1234/64」)。
アドレス、「/」(スラッシュ)、プレフィックス長の順に入力します(入力例:「fe80::1234/64」)。
[サブネット指定]
手動でIPv4アドレスの範囲を指定する場合、サブネットマスクを使って範囲を設定することもできます。サブネットマスクは「.」(ピリオド)で数字を区切って入力します(入力例:「255.255.255.240」)。
[リモートアドレス]
ポリシーを適用する通信相手側のIPアドレスの種類を、次の中から選びます。
|
[全IPアドレス]
|
すべてのIPパケットにIPSecを適用します。
|
|
[全IPv4アドレス]
|
IPv4アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。
|
|
[全IPv6アドレス]
|
IPv6アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。
|
|
[IPv4手動指定]
|
IPSecを適用するIPv4アドレスを単独または範囲で入力指定します。[手動指定アドレス]にIPv4アドレス(またはその範囲)を入力してください。
|
|
[IPv6手動指定]
|
IPSecを適用するIPv6アドレスを単独または範囲で入力指定します。[手動指定アドレス]にIPv6アドレス(またはその範囲)を入力してください。
|
[手動指定アドレス]
[リモートアドレス]で[IPv4手動指定]または[IPv6手動指定]を選んだときは、ポリシーを適用するIPアドレスを入力します。アドレスどうしを「-」(ハイフン)でつないで範囲を指定することもできます。
IPアドレスの入力形式
単一のアドレスを指定するとき(IPv4)
「.」(ピリオド)で数字を区切ります(入力例:「192.168.1.10」)。
「.」(ピリオド)で数字を区切ります(入力例:「192.168.1.10」)。
単一のアドレスを指定するとき(IPv6)
「:」(コロン)で英数字を区切ります(入力例:「fe80::10」)。
「:」(コロン)で英数字を区切ります(入力例:「fe80::10」)。
アドレスを範囲で指定するとき
「-」(ハイフン)でアドレスをつなぎます(入力例:「192.168.1.10-192.168.1.20」「fe80::1000-fe80::1010」)。
「-」(ハイフン)でアドレスをつなぎます(入力例:「192.168.1.10-192.168.1.20」「fe80::1000-fe80::1010」)。
アドレスの範囲をプレフィックスで指定するとき(IPv6のみ)
アドレス、「/」(スラッシュ)、プレフィックス長の順に入力します(入力例:「fe80::1234/64」)。
アドレス、「/」(スラッシュ)、プレフィックス長の順に入力します(入力例:「fe80::1234/64」)。
[サブネット指定]
手動でIPv4アドレスの範囲を指定する場合、サブネットマスクを使って範囲を設定することもできます。サブネットマスクは「.」(ピリオド)で数字を区切って入力します(入力例:「255.255.255.240」)。
[ローカルポート]/[リモートポート]
HTTPやSMTPなど、プロトコルごとにIPSec通信をする/しないを判断するポリシーを作成したいときは、[単一指定]をクリックしてポリシーを適用するプロトコルのポート番号をローカル(本機側)/リモート(通信相手側)で入力します。
マルチキャスト/ブロードキャストアドレスを指定したパケットは、IPSecが適用されません。
8
IKEの設定をする
[IKEモード]
鍵交換プロトコルの動作モードです。通常は「メインモード」を選びます。
「アグレッシブモード」は、IPアドレスが固定されていない場合などに設定しますが、「メインモード」よりもセキュリティーが低くなります。
[認証方式]
本機の認証方法を[事前共有鍵方式]または[電子署名方式]から選んで設定します。
[IKEモード]で「アグレッシブモード」を選んでいるときは、[事前共有鍵方式]では共有鍵が暗号化されません。
[認証/暗号化アルゴリズム]
鍵交換で使用するアルゴリズムを自動で設定するときは[自動指定する]にチェックマークを付けます。チェックマークを付けると、アルゴリズムは次のように設定されます。
|
[認証]
|
[SHA1とMD5]
|
|
[暗号]
|
[3DES-CBCとAES-CBC]
|
|
[DHグループ]
|
[Group2(1024)]
|
手動で設定する場合は[自動指定する]のチェックマークを外し、アルゴリズムを選びます。
|
[認証]
|
ハッシュアルゴリズムを選びます。
|
|
[暗号]
|
暗号化アルゴリズムを選びます。
|
|
[DHグループ]
|
鍵の強度を決定するDiffie-Hellmanグループを選びます。
|
[事前共有鍵方式]で認証する
|
1
|
[認証方式]で[事前共有鍵方式]を選び、[共有鍵の設定]をクリックする
|
|
2
|
共有鍵として使用する文字列を 24 文字以内の半角英数字で入力し、[OK]をクリックする
 |
[電子署名方式]で認証する
|
1
|
[認証方式]で[電子署名方式]を選び、[鍵と証明書]をクリックする
|
|
2
|
使用する鍵ペアを選び、[使用鍵設定]をクリックする
 |
9
IPSec通信の設定をする
[PFSを使用する]
セッションキーに対してPerfect Forward Secrecy(PFS)を設定するときはチェックマークを付けます。PFSを使用するとより安全ですが、通信に負荷がかかります。通信相手の機器でもPFSが有効であることをあらかじめ確認しておいてください。PFSを使用しない場合はチェックマークを外してください。
[有効期間]
データ用通信路として使用するSAの有効期間を設定します。必要に応じて[時間で指定する]と[サイズで指定する]のどちらか片方または両方にチェックマークを付けます。両方にチェックマークを付けると、設定した値に先に達した方が適用されます。
|
[時間で指定する]
|
有効期間を分単位で入力します。IPSec SAおよびIKE SAの両方に適用されます。
|
|
[サイズで指定する]
|
有効期間をメガバイト単位で入力します。IPSec SAだけに適用されます。
|
[サイズで指定する]だけにチェックマークを付けたとき
IKE SAの有効期間はサイズの指定ができないため、[時間で指定する]の初期値(480 分)が適用されます。
IKE SAの有効期間はサイズの指定ができないため、[時間で指定する]の初期値(480 分)が適用されます。
[認証/暗号化アルゴリズム]
IPSec通信で使用するプロトコルとそのアルゴリズムを選びます。
自動で設定するとき[自動]を選択します。
|
[ESP認証]
|
ESPが有効となり、認証アルゴリズムは[SHA1とMD5]に設定されます。
|
|
[ESP暗号]
|
ESPが有効となり、暗号化アルゴリズムは[3DES-CBCとAES-CBC]に設定されます。
|
ESPを使用するとき[ESP]を選択し、認証および暗号化のアルゴリズムを選びます。
|
[ESP認証]
|
ESPによる認証で使用するハッシュアルゴリズムを選びます。
|
|
[ESP暗号]
|
ESPの暗号化アルゴリズムを選びます。
|
AHを使用するとき[AH]を選択し、[AH認証]からAHによる認証で使用するハッシュアルゴリズムを選びます。
[接続モード]
IPSecの接続モードです。本機はIPヘッダーを除いた部分だけを暗号化する「トランスポートモード」に対応しますが、IPパケット全体を暗号化する「トンネルモード」には対応していません。
10
[OK]をクリックする
他のポリシーを登録するときは、手順 5 に戻ります。
11
[IPSecポリシー一覧]に一覧表示されているポリシーの優先順位を設定する
送受信するパケットにIPSec通信を適用するかどうかの判断は、上位のポリシーから優先的に行われます。[優先度を上げる]または[優先度を下げる]をクリックしてポリシーの位置を上下してください。
ポリシーを編集するとき
[ポリシー名]のリンクをクリックすると、設定内容の編集ができます。
[ポリシー名]のリンクをクリックすると、設定内容の編集ができます。
ポリシーを削除するとき
削除したいポリシーの右側にある[削除]をクリックします。
削除したいポリシーの右側にある[削除]をクリックします。
12
ハードリセットする
[デバイス制御]をクリックし、[ハードリセット]を選んだあと、[実行]をクリックします。
 |
ハードリセット後に設定が有効となります。
|
IPSec通信を有効にする
セキュリティーポリシーを登録したら、IPSec通信を有効にしてください。
1
リモートUIを起動し、管理者モードでログインする リモートUIを起動する
2
[設定/登録]をクリックする
3
[セキュリティー][IPSec設定]をクリックする
[IPSec設定]をクリックする4
[編集]をクリックする
5
[IPSecを使用する]にチェックマークを付け、[OK]をクリックする
[IPSecを使用する]
本機でIPSecを使用するときはチェックマークを付けます。使用しない場合はチェックマークを外してください。IPSecを使用するかどうかは操作パネルで設定することもできます(IPSec)。
[ポリシー外パケットの受信を許可する]
IPSecを使用する場合にチェックマークを付けると、ポリシーに該当しないパケットも送受信します。ポリシーに該当しないパケットを送受信しないようにするときは、チェックマークを外してください。
6
ハードリセットする
[デバイス制御]をクリックし、[ハードリセット]を選んだあと、[実行]をクリックします。
|
|
ハードリセット後に設定が有効となります。
|
関連項目