IPSecの設定をする
IPSecを利用すると、IPネットワーク上で送受信されるIPパケットの盗聴や改ざんなどを防ぐことができます。IPSecは、インターネットの基本プロトコルであるIPにセキュリティー機能を追加するため、アプリケーションやネットワーク構成に依存せずにセキュリティーを確保することができます。本機でIPSec通信を行うには、IPSecの適用範囲や認証と暗号化のアルゴリズムなどを指定する必要があります。設定にはAdministratorまたはNetworkAdminの権限が必要です。
|
通信モードについて本機がサポートしているIPSecの通信モードはトランスポートモードのみです。そのため、IPパケットのデータ部分だけしか認証と暗号化が適用されません。 鍵交換プロトコルについてISAKMP(Internet Security Association and Key Management Protocol)に基づいて鍵の交換を行うIKEv1(Internet Key Exchange version 1)を本機はサポートしています。認証方式は、事前共有鍵方式または電子署名方式のどちらかを設定します。 事前共有鍵方式を設定する場合は、IPSec通信を行う相手との間で使用するパスフレーズ(事前共有鍵)を事前に決めておく必要があります。 電子署名方式を設定する場合は、IPSec通信を行う相手とお互いの認証を行うため、CA証明書とPKCS#12形式の鍵と証明書を使用します。CA証明書や鍵と証明書を新たに登録する場合は、ネットワーク通信用の鍵と証明書を登録するを参照してください。なお、あらかじめSNTPを使用できるように設定しておく必要があります。SNTPの設定をする |
 |
IPSec通信では<暗号方式をFIPS 140-2準拠にする>の設定にかかわらず、常にFIPS140-2認証を取得した暗号モジュールが使用されます。 IPSec通信をFIPS 140-2に準拠させるには、デバイスが存在するネットワーク環境において、IPSec通信でDHとRSAのそれぞれで、鍵長が2048bit以上に設定されている必要があります。 デバイスで鍵長の設定ができるのはDHのみです。 RSAについての設定はデバイスには無いので、環境構築時に注意が必要です。 セキュリティーポリシーは、10個まで登録できます。 |
1
(設定/登録)を押す2
<環境設定> 
<ネットワーク> <TCP/IP設定> <IPSec設定>を押す
<ネットワーク> <TCP/IP設定> <IPSec設定>を押す3
<IPSecを使用>で<ON>を押し、<登録>を押す
4
ポリシー名を設定する
<ポリシー名>を押して名称を入力したあと、<OK>を押します。
キヤノン複合機では、AESの暗号方式は128bitと256bitの2つの鍵長に対応しています。この鍵長を256bitに制限しCC認証の規格を満たしたい場合などに<AESの鍵の長さを256bitに制限>を<ON>にします。
5
IPSecの適用範囲を設定する
1 | <セレクター設定>を押す | ||||||||||||||
2 | IPSecのポリシーを適用するIPアドレスを指定する 本機側のIPアドレスは<ローカルアドレス>で、通信相手側のIPアドレスは<リモートアドレス>で指定してください。 
| ||||||||||||||
3 | IPSecを適用するポートを設定する IPSecを適用するポートをポート番号で指定する場合は、<ポート番号で指定>を押します。すべてのポート番号にIPSecを適用する場合は<全ポート>を選択します。特定のポート番号にIPSecを適用する場合は、<単一指定>を押してポート番号を入力します。ポートを指定したあと、<OK>を押します。なお、本機側のポートは<ローカルポート>で、通信相手側のポートは<リモートポート>で指定してください。  IPSecを適用するポートをサービス名で指定する場合は、<サービス名で指定>を押します。一覧からサービスを選び、<サービスのON/OFF>を押して一覧の表示を<ON>に切り替えたあと、<OK>を押します。  | ||||||||||||||
4 | <OK>を押す |
6
認証と暗号化の設定をする
1 | <IKE設定>を押す | ||||||||||
2 | 必要な設定をする   <IKEモード>鍵交換プロトコルの動作モードを選びます。<メイン>にするとIKEセッション自体を暗号化するためセキュリティーが強化されますが、暗号化しない<アグレッシブ>よりも通信に負荷がかかります。  <有効期間>生成されるIKE SAの有効期間を設定します。  <認証方式>本機の認証方法を次の中から選んで設定します。
 <認証/暗号化アルゴリズム>IKEフェーズ1の認証と暗号化のアルゴリズムの設定方法を<自動>または<手動指定>から選びます。<自動>を選んだ場合は、本機と通信相手の両方が使用可能なアルゴリズムが自動的に設定されます。特定のアルゴリズムを指定したいときは<手動指定>を選び、次の設定をします。
| ||||||||||
3 | <OK>を押す |
|
<IKE設定>画面で<IKEモード>を<メイン>に選択し、<認証方式>を<事前共有鍵方式>に設定した場合に、複数のセキュリティーポリシーを登録するときには、次の制限を受けます。 事前共有鍵方式の共有鍵:セキュリティーポリシーを適用するリモートIPアドレスを単一指定以外で複数指定した場合は、セキュリティーポリシーの共有鍵はすべて同一になります。 優先順位:セキュリティーポリシーを適用するリモートIPアドレスを複数指定した場合は、単一指定した場合よりも、セキュリティーポリシーの優先順位が下になります。 |
7
IPSec通信の設定をする
1 | <IPSec通信設定>を押す | ||||||
2 | 必要な設定をする  <有効期間>生成されるIPSec SAの有効期間を設定します。<時間>または<サイズ>のどちらかを必ず設定してください。両方を設定すると、先に有効期限に達したものが適用されます。 <PFS>PFS(Perfect Forward Secrecy)を<ON>にすると暗号鍵の機密性が上がりますが、通信に負荷がかかります。なお、通信相手の機器でもPFSを有効にしておく必要があります。 <認証/暗号化アルゴリズム>IKEフェーズ2の認証と暗号化のアルゴリズムの設定方法を<自動>または<手動指定>から選びます。<自動>を選んだ場合は、ESP認証と暗号化のアルゴリズムが自動的に設定されます。特定の認証方式を選びたいときは<手動指定>を選び、次のいずれかの認証方式を選びます。
| ||||||
3 | <OK> <OK>を押す |
8
登録したポリシーを有効にし、優先順位を確認する
一覧から登録したポリシーを選んで<ポリシーのON/OFF>を押し、<ON>に切り替えます。
ポリシーは一覧の上位から優先して適用されます。優先順位を変更したい場合は、一覧からポリシーを選んで<優先順位を上へ>または<優先順位を下へ>を押します。
ポリシーに該当しないパケットを送受信したくない場合は、<ポリシー外パケットの受信>で<拒否>を選んでください。
9
<OK>を押す
10
(設定/登録) (設定/登録) <設定の反映> <はい>を押す |
IPSecポリシーを管理する手順3の画面から、ポリシーを編集することができます。 ポリシーの内容を編集したい場合は、一覧からポリシーを選んで<編集>を押します。 ポリシーを無効にしたい場合は、一覧からポリシーを選んで<ポリシーのON/OFF>を押します。 ポリシーを削除したい場合は、一覧からポリシーを選んで<削除> <はい>を押します。 |