IPSecの設定をする
IP Security Protocol(IPSec)はインターネットなどのネットワークで暗号化通信をするためのプロトコルです。TLS暗号化通信がウェブブラウザーや電子メールクライアントなど、特定のアプリケーションで暗号化する技術であるのに対し、IPSec通信はIPプロトコルのレベルで暗号化を行いますので、より汎用性の高いセキュリティーを実現できます。本機のIPSecはパケットのIPヘッダーを除いた部分だけを暗号化するトランスポートモードに対応し、本機と同じVPN(仮想プライベートネットワーク)を構成するパソコンと直接接続します。動作条件を確認し(
管理機能)、あらかじめパソコン側の設定を済ませておいてください。
IPSecの設定をする
本機でIPSecを使った暗号化通信を行うには、セキュリティーポリシー(SP)を作成する必要があります。ポリシーはおもに次の内容で構成されます。複数のポリシーを作成した場合は、優先順位を設定します。
セレクター
どのIPパケットにIPSec通信を適用するかを設定します。本機や通信相手側のIPアドレスだけでなく、ポート番号も指定できます。
IKE
鍵交換プロトコルとして使用するIKEv1の設定をします。選択する認証方式によって必要な準備や設定方法が異なりますのでご注意ください。
[事前共有鍵方式]
本機と通信相手とで共有鍵と呼ばれる共通のキーワードを使用する認証方式です。あらかじめリモートUIの通信にTLSを使えるように設定しておいてください(
TLS用の鍵と証明書を設定する)。
[電子署名方式]
本機と通信相手側が電子署名を互いに送信/検証し合って相互認証を行います。使用する鍵と証明書を用意しておいてください(
ネットワーク通信用の鍵と証明書を登録する)。
AH/ESP
IPSec通信で使用するESPとAHという 2 つのプロトコルの設定をします。AHとESPは併用も可能です。PFSを使用すればセキュリティーをさらに強化できます。
1
リモートUIを起動し、管理者モードでログインする
リモートUIを起動する2
ポータルページで、[設定/登録]をクリックする
リモートUIの画面について3
[ネットワーク設定]
[IPSec設定]の順に進む
4
[編集]をクリックする
5
[IPSecを使用する]にチェックマークを付け、[OK]をクリックする
セキュリティーポリシーに該当するパケットだけを受信するようにしたいときは、[ポリシー外パケットの受信を許可する]のチェックマークを外します。
6
[新規ポリシーの登録]をクリックする
7
ポリシーを設定する
1 | [ポリシー名]にポリシーを区別するための名称を半角英数字で入力する |
2 | [ポリシーを有効にする]にチェックマークを付ける |
8
セレクターの設定をする
[ローカルアドレス]
ポリシーを適用する本機のIPアドレスの種類を、次の中から選んでクリックします。
[全IPアドレス] | すべてのIPパケットにIPSecを適用します。 |
[自IPv4アドレス] | 本機のIPv4アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。 |
[自IPv6アドレス] | 本機のIPv6アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。 |
[リモートアドレス]
ポリシーを適用する通信相手側のIPアドレスの種類を、次の中から選んでクリックします。
[全IPアドレス] | すべてのIPパケットにIPSecを適用します。 |
[全IPv4アドレス] | 通信相手側のIPv4アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。 |
[全IPv6アドレス] | 通信相手側のIPv6アドレスを使って送受信するすべてのIPパケットにIPSecを適用します。 |
[IPv4手動指定] | IPSecを適用するIPv4アドレスを単独または範囲で入力指定します。[手動指定アドレス]にIPv4アドレス(またはその範囲)を入力してください。 |
[IPv6手動指定] | IPSecを適用するIPv6アドレスを単独または範囲で入力指定します。[手動指定アドレス]にIPv6アドレス(またはその範囲)を入力してください。 |
[手動指定アドレス]
[リモートアドレス]で[IPv4手動指定]または[IPv6手動指定]を選んだときは、ポリシーを適用するIPアドレスを入力します。アドレスどうしを「-」(ハイフン)でつないで範囲を指定することもできます。
IPアドレスの入力形式
| 入力方法 | 入力例 |
単一のアドレスを指定するとき | IPv4の場合は、「.」(ピリオド)で数字を区切ります。 | 192.168.0.10 |
IPv6の場合は、「:」(コロン)で英数字を区切ります。 | fe80::10 |
アドレスを範囲で指定するとき | 「-」(ハイフン)でアドレスをつなぎます。 | 192.168.0.10- 192.168.0.20 |
[サブネット指定]
手動でIPv4アドレスの範囲を指定する場合、サブネットマスクを使って範囲を設定することもできます。サブネットマスクは「.」(ピリオド)で数字を区切って入力します(入力例:「255.255.255.240」)。
[プレフィックス長]
手動でIPv6アドレスの範囲を指定する場合、プレフィックスを使って範囲を設定することもできます。プレフィックス長を0~128の範囲で入力してください。
[ローカルポート]/[リモートポート]
HTTPやWSDなど、プロトコルごとにIPSec通信をする/しないを判断するポリシーを作成したいときは、[単一指定]をクリックしてポリシーを適用するプロトコルのポート番号をローカル(本機側)/リモート(通信相手側)で入力します。
IPSecが適用されないパケット
ループバック/マルチキャスト/ブロードキャストアドレスを指定したパケット
UDPポート500番から送信されるIKEパケット
ICMPv6のNeighbor Solicitation/Neighbor Advertisementパケット
9
IKEの設定をする
[IKEモード]
鍵交換プロトコルの動作モードです。本機は「メインモード」に対応しますが、「アグレッシブモード」には対応していません。
[認証方式]
本機の認証方法を[事前共有鍵方式]または[電子署名方式]から選んで設定します。[事前共有鍵方式]で設定する場合は、リモートUI通信に対してあらかじめTLSを有効にする必要があります。[電子署名方式]の場合は、使用する鍵と証明書を用意しておいてください。
TLS用の鍵と証明書を設定する [有効時間]
制御用通信路として使用するIKE SA(ISAKMP SA)の有効時間を分単位で入力します。
[認証]/[暗号]/[DHグループ]
鍵交換で使用するアルゴリズムをそれぞれプルダウンメニューで選びます。
[認証] | ハッシュアルゴリズムを選びます。 |
[暗号] | 暗号化アルゴリズムを選びます。 |
[DHグループ] | 鍵の強度を決定するDiffie-Hellmanグループを選びます。 |
事前共有鍵方式で認証する
1 | [認証方式]で[事前共有鍵方式]をクリックし、[共有鍵の設定]をクリックする |
2 | 共有鍵として使用する文字列を半角英数字で入力し、[OK]をクリックする |
3 | [有効時間]と[認証]/[暗号]/[DHグループ]を設定する |
電子署名方式で認証する
1 | [認証方式]で[電子署名方式]をクリックし、[鍵と証明書]をクリックする |
2 | 使用する鍵と証明書の右側にある[使用鍵登録]をクリックする 証明書の内容を確認するには [鍵の名前]のリンクか証明書のアイコンをクリックすると、証明書の詳細情報確認や検証ができます。 |
3 | [有効時間]と[認証]/[暗号]/[DHグループ]を設定する |
10
IPSec通信の設定をする
[PFSを使用する]
セッションキーに対してPerfect Forward Secrecy(PFS)を設定するときはチェックマークを付けます。PFSを使用するとより安全ですが、通信に負荷がかかります。通信相手の機器でもPFSが有効であることをあらかじめ確認しておいてください。
[時間で指定する]/[サイズで指定する]
データ用通信路として使用するIPSec SAの有効期間を設定します。必要に応じてどちらか片方または両方にチェックマークを付けます。両方にチェックマークを付けると、設定した値に先に達した方が適用されます。
[時間で指定する] | 有効期間を分単位で入力します。 |
[サイズで指定する] | 有効期間をメガバイト単位で入力します。 |
[アルゴリズム選択]
使用するIPSecヘッダー(ESPおよびAH)とそのアルゴリズムに応じて、[ESP]/[ESP(AES-GCM)]/[AH(SHA1)]にチェックマークを付けます。AES-GCMは認証と暗号化の両方を行うアルゴリズムです。[ESP]を選ぶときは、[ESP認証]および[ESP暗号]のプルダウンメニューから認証および暗号化のアルゴリズムを選びます。
[ESP認証] | ESPによる認証を行うときは[SHA1]を、行わないときは[使用しない]を選びます。 |
[ESP暗号] | ESPの暗号化アルゴリズムを選びます。アルゴリズムを特定したくないときは[NULL]を、ESPによる暗号化を行わないときは[使用しない]を選んでください。 |
[接続モード]
IPSecの接続モードです。本機はIPヘッダーを除いた部分だけを暗号化する「トランスポートモード」に対応しますが、IPパケット全体を暗号化する「トンネルモード」には対応していません。
11
[OK]をクリックする
他のポリシーを登録するときは、手順6に戻ります。
12
[登録されているIPSecポリシー]に一覧表示されているポリシーの優先順位を設定する
送受信するパケットにIPSec通信を適用するかどうかの判断は、上位のポリシーから優先的に行われます。[上げる]または[下げる]をクリックしてポリシーの位置を上下してください。
ポリシーを編集するとき
[ポリシー名]のリンクをクリックして編集画面を表示します。
ポリシーを削除するとき
削除したいポリシーの右側にある[削除]
[OK]をクリックします。
13
|
操作パネルで設定するときホーム画面の<メニュー>からIPSec通信を有効/無効に切り替えることもできます。 <IPSecを使用> |