IPSecの設定をする

IPSecを利用すると、IPネットワーク上で送受信されるIPパケットの盗聴や改ざんなどを防ぐことができます。IPSecは、インターネットの基本プロトコルであるIPにセキュリティー機能を追加するため、アプリケーションやネットワーク構成に依存せずにセキュリティーを確保することができます。本機でIPSec通信を行うには、IPSecの適用範囲や認証と暗号化のアルゴリズムなどを指定する必要があります。設定にはAdministratorの権限が必要です。
通信モードについて
本機がサポートしているIPSecの通信モードはトランスポートモードのみです。そのため、IPパケットのデータ部分だけしか認証と暗号化が適用されません。
鍵交換プロトコルについて
ISAKMP(Internet Security Association and Key Management Protocol)に基づいて鍵の交換を行うIKEv1(Internet Key Exchange version 1)を本機はサポートしています。認証方式は、事前共有鍵方式または電子署名方式のどちらかを設定します。
事前共有鍵方式を設定する場合は、IPSec通信を行う相手との間で使用するパスフレーズ(事前共有鍵)を事前に決めておく必要があります。
電子署名方式を設定する場合は、IPSec通信を行う相手とお互いの認証を行うため、CA証明書とPKCS#12形式の鍵と証明書を使用します。CA証明書や鍵と証明書を新たに登録する場合は、ネットワーク通信用の鍵と証明書を登録するを参照してください。なお、あらかじめSNTPを使用できるように設定しておく必要があります。SNTPの設定をする
IPSec通信では[暗号方式をFIPS 140-2準拠にする]の設定にかかわらず、常にFIPS140-2認証を取得した暗号モジュールが使用されます。
IPSec通信をFIPS 140-2に準拠させるには、デバイスが存在するネットワーク環境において、IPSec通信でDHとRSAのそれぞれで、鍵長が2048bit以上に設定されている必要があります。
デバイスで鍵長の設定ができるのはDHのみです。
RSAについての設定はデバイスには無いので、環境構築時に注意が必要です。
セキュリティーポリシーは、10個まで登録できます。

IPSecを有効にする

1
リモートUIを起動する リモートUIを起動する
2
ポータルページで[設定/登録]をクリックする リモートUIの画面について
3
[ネットワーク]  [IPSec設定]をクリックする
4
[IPSecを使用する]にチェックマークを付け、[OK]をクリックする
セキュリティーポリシーに該当するパケットだけを受信するようにしたいときは、[ポリシー外パケットの受信]の[拒否]を選択します。

ポリシーを登録する

1
リモートUIを起動するリモートUIを起動する
2
ポータルページで[設定/登録]をクリックする リモートUIの画面について
3
[ネットワーク]  [IPSecポリシー一覧]をクリックする
4
[新規IPSecポリシーの登録]をクリックする
5
ポリシーを設定する
[ポリシー名]
ポリシーを区別するための名称を入力します。
[ポリシーのON/OFF]
登録したポリシーを有効にする場合は[ON]を選択します。
[AESの鍵の長さを256bitに制限する]
AESの暗号方式の鍵長を256bitに制限し、CC認証の規格を満たしたい場合はチェックマークを付けます。
6
IPSecの適用範囲を設定する
1
[セレクター設定]をクリックする
2
IPSecのポリシーを適用するIPアドレスを指定する
本機側のIPアドレスは[ローカルアドレス設定]で、通信相手側のIPアドレスは[リモートアドレス設定]で指定してください。
[全IPアドレス]
送受信されるすべてのIPパケットにIPSecを適用します。
[自IPv4アドレス]
本機のIPv4アドレスを使って送受信されるIPパケットにIPSecを適用します。
[自IPv6アドレス]
本機のIPv6アドレスを使って送受信されるIPパケットにIPSecを適用します。
[全IPv4アドレス]
通信相手側のIPv4アドレスを使って送受信されるIPパケットにIPSecを適用します。
[全IPv6アドレス]
通信相手側のIPv6アドレスを使って送受信されるIPパケットにIPSecを適用します。
[IPv4手動指定]
IPSecを適用するIPv4アドレスを入力して指定します。
IPv4アドレスを個別に入力するときは、[単一アドレス]を選びます。
IPv4アドレスの範囲を入力するときは、[範囲アドレス]を選びます。[開始アドレス]と[終了アドレス]をそれぞれ入力してください。
IPv4アドレスの範囲をサブネットマスクで指定するときは、[サブネット指定]を選びます。[開始アドレス]と[サブネット指定]をそれぞれ入力してください。
[IPv6手動指定]
IPSecを適用するIPv6アドレスを入力して指定します。
IPv6アドレスを個別に入力するときは、[単一アドレス]を選びます。
IPv6アドレスの範囲を入力するときは、[範囲アドレス]を選びます。[開始アドレス]と[終了アドレス]をそれぞれ入力してください。
IPv6アドレスの範囲をプレフィックスで指定するときは、[プレフィックスアドレス]を選びます。[開始アドレス]と[プレフィックス長]をそれぞれ入力してください。
3
IPSecを適用するポートを設定する
IPSecを適用するポートをポート番号で指定する場合は、[ポート番号で指定]を選びます。すべてのポート番号にIPSecを適用する場合は[全ポート]を選びます。特定のポート番号にIPSecを適用する場合は、[単一指定]を選んでポート番号を入力します。なお、本機側のポートは[ローカルポート]で、通信相手側のポートは[リモートポート]で指定してください。
IPSecを適用するポートをサービス名で指定する場合は[サービス名で指定]を選び、使用するサービスにチェックマークを付けます。
4
[OK]をクリックする
7
認証と暗号化の設定をする
1
[IKE設定]をクリックする
2
必要な設定をする
[IKEモード]
鍵交換プロトコルの動作モードを選びます。[メイン]にするとIKEセッション自体を暗号化するためセキュリティーが強化されますが、暗号化しない[アグレッシブ]よりも通信に負荷がかかります。
[有効期間]
生成されるIKE SAの有効期間を設定します。
[認証方式]
本機の認証方法を次の中から選んで設定します。
[事前共有鍵方式]
通信相手側が設定しているものと同じパスフレーズ(事前共有鍵)を設定します。[共有鍵の設定]をクリックし、共有鍵として使用する文字列を入力したあと、[OK]をクリックします。
[電子署名方式]
通信相手との相互認証で使用する鍵と証明書を設定します。[鍵と証明書]をクリックし、使用する鍵の[使用する]をクリックします。
[認証/暗号化アルゴリズム]
IKEフェーズ1の認証と暗号化のアルゴリズムの設定方法を[自動]または[手動指定]から選びます。[自動]を選んだ場合は、本機と通信相手の両方が使用可能なアルゴリズムが自動的に設定されます。特定のアルゴリズムを指定したいときは[手動指定]を選び、次の設定をします。
[認証]
ハッシュアルゴリズムを選びます。
[暗号]
暗号化アルゴリズムを選びます。
[DHグループ]
鍵の強度を決定する鍵交換方式(Diffie-Hellman鍵交換方式)のグループを選びます。
3
[OK]をクリックする
[IKE]画面で[IKEモード]の[メイン]を選択し、[認証方式]を[事前共有鍵方式]に設定した場合に、複数のセキュリティーポリシーを登録するときには、次の制限を受けます。
事前共有鍵方式の共有鍵:セキュリティーポリシーを適用するリモートIPアドレスを単一指定以外で複数指定した場合は、セキュリティーポリシーの共有鍵はすべて同一になります。
優先順位:セキュリティーポリシーを適用するリモートIPアドレスを複数指定した場合は、単一指定した場合よりも、セキュリティーポリシーの優先順位が下になります。
8
IPSec通信の設定をする
1
 [IPSec通信設定]をクリックする
2
必要な設定をする
[有効期間]
生成されるIPSec SAの有効期間を設定します。[時間]または[サイズ]のどちらかを必ず設定してください。両方を設定すると、先に有効期限に達したものが適用されます。
[PFS]
[PFSを使用する]にチェックマークを付けると暗号鍵の機密性が上がりますが、通信に負荷がかかります。なお、通信相手の機器でもPFS(Perfect Forward Secrecy)を有効にしておく必要があります。
[認証/暗号化アルゴリズム]
IKEフェーズ2の認証と暗号化のアルゴリズムの設定方法を[自動]または[手動指定]から選びます。[自動]を選んだ場合は、ESP認証と暗号化のアルゴリズムが自動的に設定されます。特定の認証方式を選びたいときは[手動指定]を選び、次のいずれかの認証方式を選びます。
[ESP]
認証と暗号化の両方を行います。[ESP認証]と[ESP暗号]でアルゴリズムを選んでください。認証または暗号化のアルゴリズムを設定しないときは、[NULL]を選びます。
[ESP (AES-GCM)]
ESPのアルゴリズムとしてAES-GCMを使用し、認証と暗号化の両方を行います。
[AH (SHA1)]
認証は行いますが、データは暗号化しません。アルゴリズムとしてSHA1を使用します。
3
[OK]クリックする
9
[OK]をクリックする
10
登録したポリシーを有効にし、優先順位を確認する
ポリシーは一覧の上位から優先して適用されます。優先順位を変更したい場合は、一覧からポリシーを選んで[優先度を上げる]または[優先度を下げる]をクリックします。
IPSecポリシーを管理する
手順4の画面から、ポリシーを編集することができます。
ポリシーの内容を編集したい場合は、一覧からポリシー名をクリックします。
ポリシーを無効にしたい場合は、一覧からポリシー名をクリック  [ポリシーのON/OFF]の[OFF]を選択  [OK]をクリックします。
ポリシーを削除したい場合は、一覧からポリシーを選んで[削除]  [OK]をクリックします。
操作パネルで設定するとき
<ホーム>画面の<設定>からIPSec通信を有効/無効に切り替えることもできます。<IPSec設定>
一括インポート/エクスポートについて
本設定は、一括インポートに対応した本設定が利用できる機種にインポート/エクスポートできます。 設定データをインポート/エクスポートする
一括エクスポート時、本設定は[設定/登録の基本情報]に含まれます。 設定内容を一括してインポート/エクスポートする
9SA3-066