IPSecを使用する

IPSec(IP Security Protocol)を利用して、IPネットワーク上で送受信されるIPパケットの盗聴や改ざんなどを防ぎます。IPプロトコルのレベルで暗号化を行うため、アプリケーションやネットワーク構成に依存せずにセキュリティーを確保できます。

IPSecの適用条件と対応モード

IPSecが適用されないパケット
ループバック/マルチキャスト/ブロードキャストアドレスを指定したパケット
UDPポート500番から送信されるIKEパケット
ICMPv6のNeighbor Solicitation/Neighbor Advertisementパケット
鍵交換プロトコルの動作モード(IKEモード)について
本機が対応しているIKEモードは、パケットが暗号化されるメインモードのみです。暗号化されないアグレッシブモードには対応していません。
通信モードについて
本機が対応しているIPSecの通信モードは、IPヘッダーを除いた部分だけを暗号化するトランスポートモードのみです。IPパケット全体を暗号化するトンネルモードには対応していません。
IPアドレスフィルターとIPSecを併用する場合
IPアドレスフィルターの設定が先に適用されます。ファイアウォールを設定する

IPSecポリシーの構成

本機でIPSec通信を行うには、適用範囲や認証と暗号化のアルゴリズムなど、IPSecのポリシーを作成する必要があります。ポリシーはおもに以下の内容で構成されます。
セレクター
どのIPパケットにIPSec通信を適用するかを設定します。本機や通信相手側のIPアドレスだけでなく、ポート番号も指定できます。
IKE
鍵交換プロトコルはIKEv1(Internet Key Exchange version 1)に対応しています。事前共有鍵方式または電子署名方式のどちらかの認証方式を設定します。
事前共有鍵方式
本機と通信相手とで共有鍵と呼ばれる共通のキーワードを使用する認証方式です。
電子署名方式
本機と通信相手側が電子署名を互いに送信/検証し合って相互認証を行います。
ESP/AH
IPSec通信で使用するプロトコルのESPとAHを設定します。ESPとAHは併用も可能です。PFS(Perfect Forward Secrecy)を使用すれば、セキュリティーをさらに強化できます。

IPSecを設定する

IPSecの使用を有効にしてから、IPSecのポリシーを作成して登録します。複数のポリシーを作成した場合は、優先順位を設定します。
ここでは、パソコンからリモートUIを使用して設定する方法を説明します。
操作パネルでは、[ホーム]画面の[メニュー][環境設定]から設定します。ただし、操作パネルで設定できるのは、IPSecの使用を有効にするかどうかのみです。[IPSecを使用]
管理者権限が必要です。設定の反映には、本機の再起動が必要となります。
必要な準備
本機と同じVPN(仮想プライベートネットワーク)を構成するパソコンと直接接続します。動作条件を確認し、あらかじめパソコン側の設定を済ませておきます。IPSec
IKEの認証方式に応じて、以下の準備をします。
事前共有鍵方式の場合は、リモートUI通信でのTLSを有効にします。TLSを使用する
電子署名方式の場合は、使用する鍵と証明書を用意します。鍵と証明書を管理/検証する
PFSを使用する場合は、通信相手の機器でPFSが有効であることを確認します。
1
リモートUIに管理者モードでログインする リモートUIを起動する
2
リモートUIのポータル画面で、[設定/登録]をクリックする リモートUIのポータル画面
3
[ネットワーク設定][IPSec設定][編集]をクリックする
[IPSec設定の編集]画面が表示されます。
4
[IPSecを使用する]にチェックマークを付け、[OK]をクリックする
ポリシーに該当するパケットだけを受信する場合は、[ポリシー外パケットの受信を許可する]のチェックマークを外します。
5
[新規ポリシーの登録]をクリックする
[新規IPSecポリシーの登録]画面が表示されます。
6
[ポリシー設定]で、ポリシー名を入力し、[ポリシーを有効にする]にチェックマークを付ける
ポリシー名には、ポリシーを区別するための名前を半角英数字で入力します。
7
[セレクター設定]で、セレクターの設定をする
[ローカルアドレス設定]
ポリシーを適用する本機のIPアドレスの種類を選択します。
すべてのIPパケットにIPSecを適用する場合は、[全IPアドレス]を選択します。
IPv4アドレスまたはIPv6アドレスを使って送受信するIPパケットにIPSecを適用する場合は、[自IPv4アドレス]または[自IPv6アドレス]を選択します。
[リモートアドレス設定]
ポリシーを適用する通信相手側のIPアドレスの種類を選択します。
すべてのIPパケットにIPSecを適用する場合は、[全IPアドレス]を選択します。
IPv4アドレスまたはIPv6アドレスを使って送受信するIPパケットにIPSecを適用する場合は、[全IPv4アドレス]または[全IPv6アドレス]を選択します。
IPSecを適用するIPv4アドレスまたはIPv6アドレスを指定する場合は、[IPv4手動指定]または[IPv6手動指定]を選択します。
[手動指定アドレス]
[IPv4手動指定]または[IPv6手動指定]を選択した場合は、IPアドレスを入力します。「-」(ハイフン)を使用して、IPアドレスを範囲で指定することもできます。
入力例:
単一のIPv4アドレス
192.168.0.10
単一のIPv6アドレス
fe80::10
範囲指定
192.168.0.10-192.168.0.20
[サブネット指定]
[IPv4手動指定]を選択した場合は、サブネットマスクを使ってIPv4アドレスの範囲を設定できます。
入力例:
255.255.255.240
[プレフィックス長]
[IPv6手動指定]を選択した場合は、プレフィックスを使ってIPv6アドレスの範囲を設定できます。プレフィックス長を0~128の範囲で入力します。
[ポート設定]
本機側は[ローカルポート]、通信相手側は[リモートポート]で、IPSecを適用するポートを設定します。
すべてのポート番号にIPSecを適用する場合は、[全ポート]を選択します。
HTTPやWSDなど特定のプロトコルにIPSecを適用する場合は、[単一指定]を選択し、プロトコルのポート番号を入力します。
8
[IKE設定]で、IKEの設定をする
[IKEモード]
本機はメインモードのみに対応しています。
[認証方式]
本機の認証方法を選択します。
[事前共有鍵方式]を選択した場合は、[共有鍵の設定] 共有鍵として使用する文字列を半角英数字で入力 [OK]をクリックします。
[電子署名方式]を選択した場合は、[鍵と証明書] 使用する鍵と証明書の右側にある[使用鍵登録]をクリックします。
[有効時間]
制御用通信路として使用するIKE SA(ISAKMP SA)の有効時間を分単位で入力します。
[認証/暗号化アルゴリズム]
鍵交換で使用するアルゴリズムを選択します。
9
[IPSec通信設定]で、IPSec通信の設定をする
[PFSを使用する]
セッションキーに対してPFSを設定する場合は、チェックマークを付けます。
[有効期間]
データ用通信路として使用するIPSec SAの有効期間を、時間/サイズの片方または両方で指定します。
[時間で指定する]にチェックマークを付けた場合は、有効期間を分単位で入力します。
[サイズで指定する]にチェックマークを付けた場合は、有効期間をメガバイト単位で入力します。
両方にチェックマークを付けた場合は、指定した値に先に達した項目が適用されます。
[認証/暗号化アルゴリズム]
使用するIPSecヘッダー(ESPおよびAH)とそのアルゴリズムに応じて、チェックマークを付けます。
[ESP認証]
[ESP]を選択した場合は、認証アルゴリズムを選択します。ESP認証を行う場合は[SHA1]を、行わない場合は[使用しない]を選択します。
[ESP暗号]
[ESP]を選択した場合は、暗号化アルゴリズムを選択します。アルゴリズムを特定したくない場合は[NULL]を、暗号化を行わない場合は[使用しない]を選択します。
[接続モード]
本機はトランスポートモードのみに対応しています。
10
[OK]をクリックする
[IPSec設定]画面の[登録されているIPSecポリシー]に、新規登録したポリシーが追加されます。
複数のポリシーを登録した場合
ポリシー名の右側にある[上げる]/[下げる]をクリックして優先順位を設定します。上位のポリシーが優先してIPSec通信に適用されます。
11
本機を再起動する 再起動する
設定が反映されます。
登録済みのポリシーを編集する
[IPSec設定]画面の[登録されているIPSecポリシー]で、編集したいポリシー名をクリックすると、登録内容を編集できます
9681-050