IPSecを使用する
IPSec(IP Security Protocol)を利用して、IPネットワーク上で送受信されるIPパケットの盗聴や改ざんなどを防ぎます。IPプロトコルのレベルで暗号化を行うため、アプリケーションやネットワーク構成に依存せずにセキュリティーを確保できます。
IPSecの適用条件と対応モード
IPSecが適用されないパケット
ループバック/マルチキャスト/ブロードキャストアドレスを指定したパケット
UDPポート 500 番から送信されるIKEパケット
ICMPv6のNeighbor Solicitation/Neighbor Advertisementパケット
鍵交換プロトコルの動作モード(IKEモード)について
本機は、パケットが暗号化されるメインモードと、暗号化されないアグレッシブモードの両方に対応しています。
IPSecの通信モードについて
本機は、IPヘッダーを除いた部分だけを暗号化するトランスポートモードのみに対応しています。IPパケット全体を暗号化するトンネルモードには対応していません。
FIPS140準拠について
IPSec通信では、[暗号方式をFIPS 140準拠にする]の設定にかかわらず、常にFIPS 140認証を取得した暗号モジュールが使用されます。[暗号方式をFIPS 140準拠にする]
IPSec通信をFIPS140に準拠させるには、本機が属するネットワーク環境において、IPSec通信でDHとRSAのそれぞれで、鍵長が 2048 bit以上に設定されている必要があります。
※本機で鍵長の設定ができるのはDHのみです。RSAについての設定は本機にはないため、環境構築時に注意が必要です。
IPアドレスフィルターとIPSecを併用する場合
パケットの送信時は、IPアドレスフィルターの設定が先に適用されます。ファイアウォールを設定する
パケットの受信時は、IPSecの設定が先に適用されます。
IPSecポリシーの構成
本機でIPSec通信を行うには、適用範囲や認証と暗号化のアルゴリズムなど、IPSecのポリシーを作成する必要があります。ポリシーはおもに以下の内容で構成されます。
セレクター
どのIPパケットにIPSec通信を適用するかを設定します。本機や通信相手側のIPアドレスだけでなく、ポート番号も指定できます。
鍵交換プロトコルの動作モード(IKEモード)について
鍵交換プロトコルはIKEv1(Internet Key Exchange version 1)に対応しています。事前共有鍵方式または電子署名方式のどちらかの認証方式を設定します。
事前共有鍵方式
本機と通信相手とで共有鍵と呼ばれる共通のキーワードを使用する認証方式です。
本機と通信相手とで共有鍵と呼ばれる共通のキーワードを使用する認証方式です。
電子署名方式
本機と通信相手側が電子署名を互いに送信/検証し合って相互認証を行います。
本機と通信相手側が電子署名を互いに送信/検証し合って相互認証を行います。
※SNTPを使用できるように設定しておく必要があります。
ESP/AH
IPSec通信で使用するプロトコルのESPまたはAHを設定します。PFS(Perfect Forward Secrecy)を使用すれば、セキュリティーをさらに強化できます。
IPSecを設定する
IPSecの使用を有効にしてから、IPSecのポリシーを作成して登録します。複数のポリシーを作成した場合は、優先順位を設定します。作成できるポリシーは最大 10 件です。
ここでは、パソコンからリモートUIを使用して設定する方法を説明します。
操作パネルでは、[ホーム]画面などの[
設定/登録]
[環境設定]から設定します。[IPSec設定]
Administrator権限またはNetworkAdmin権限が必要です。
操作パネルでは、[ホーム]画面などの[
設定/登録][環境設定]から設定します。[IPSec設定]Administrator権限またはNetworkAdmin権限が必要です。
必要な準備
本機と同じVPN(仮想プライベートネットワーク)を構成するパソコンと直接接続します。動作条件を確認し、あらかじめパソコン側の設定を済ませておきます。IPSec
IKEの認証方式に応じて、以下の準備をします。
事前共有鍵方式の場合は、リモートUI通信でのTLSを有効にします。TLSを使用する
電子署名方式の場合は、使用する鍵と証明書を用意し、SNTPを使用できるように設定します。
PFSを使用する場合は、通信相手の機器でPFSが有効であることを確認します。
1
リモートUIに管理者ユーザーでログインする リモートUIを起動する
2
リモートUIのポータル画面で、[設定/登録]をクリックする リモートUIのポータル画面
3
[ネットワーク]をクリックする
ネットワークの設定画面が表示されます。
4
[IPSec設定]をクリックする
[IPSec設定]画面が表示されます。
5
[IPSecを使用する]にチェックマークを付ける
ポリシーに該当するパケットのみを受信する場合は、[ポリシー外パケットの受信]で[拒否]を選択します。
6
[OK]をクリックする
ネットワークの設定画面に戻ります。
7
[IPSecポリシー一覧]をクリックする
[IPSecポリシー一覧]画面が表示されます。
8
[新規IPSecポリシーの登録]をクリックする
[ポリシーの登録]画面が表示されます。
9
ポリシー名を入力し、[ポリシーのON/OFF]で[ON]を選択する
ポリシー名には、ポリシーを区別するための名前を半角英数字で入力します。
10
必要に応じて、AESの鍵長を制限する
CC認証の規格を満たしたい場合など、AESの鍵長を 256 bitに制限したいときは[AESの鍵の長さを256bitに制限する]にチェックマークを付けます。
※キヤノン複合機では、AESの暗号方式は 128 bitと 256 bitの 2 つの鍵長に対応しています。
11
セレクターを設定する
1
[セレクター設定]をクリックする
[セレクター]画面が表示されます。
2
セレクターの設定をする
[ローカルアドレス設定]/[リモートアドレス設定]
IPSec通信を適用するIPアドレスを設定します。本機側のIPアドレスは[ローカルアドレス設定]で、通信相手側のIPアドレスは[リモートアドレス設定]で設定します。
[全IPアドレス]
すべてのIPパケットにIPSec通信を適用する場合に選択します。
[自IPv4アドレス]/[全IPv4アドレス]
IPv4アドレスを使用して送受信するIPパケットにIPSec通信を適用する場合に選択します。
[自IPv6アドレス]/[全IPv6アドレス]
IPv6アドレスを使用して送受信するIPパケットにIPSec通信を適用する場合に選択します。
[IPv4手動指定]
IPSec通信を適用するIPv4アドレスを指定する場合に選択します。適用するIPv4アドレスは、以下のいずれかの方法で指定します。
特定のIPv4アドレスを指定する場合
[単一アドレス]を選択し、[開始アドレス]にIPv4アドレスを入力します。
[単一アドレス]を選択し、[開始アドレス]にIPv4アドレスを入力します。
IPv4アドレスを範囲で指定する場合
[範囲アドレス]を選択し、[開始アドレス]と[終了アドレス]にIPv4アドレスを入力します。
[範囲アドレス]を選択し、[開始アドレス]と[終了アドレス]にIPv4アドレスを入力します。
サブネットマスクを使用してIPv4アドレスを範囲で指定する場合
[サブネット指定]を選択し、[開始アドレス]にIPv4アドレスを入力して、[サブネット指定]にサブネットマスクを入力します。
[サブネット指定]を選択し、[開始アドレス]にIPv4アドレスを入力して、[サブネット指定]にサブネットマスクを入力します。
[IPv6手動指定]
IPSec通信を適用するIPv6アドレスを指定する場合に選択します。適用するIPv6アドレスは、以下のいずれかの方法で指定します。
特定のIPv6アドレスを指定する場合
[単一アドレス]を選択し、[開始アドレス]にIPv6アドレスを入力します。
[単一アドレス]を選択し、[開始アドレス]にIPv6アドレスを入力します。
IPv6アドレスを範囲で指定する場合
[範囲アドレス]を選択し、[開始アドレス]と[終了アドレス]にIPv6アドレスを入力します。
[範囲アドレス]を選択し、[開始アドレス]と[終了アドレス]にIPv6アドレスを入力します。
プレフィックスを使用してIPv6アドレスを範囲で指定する場合
[プレフィックスアドレス]を選択し、[開始アドレス]にIPv6アドレスを入力して、[プレフィックス長]にプレフィックス長を入力します。
[プレフィックスアドレス]を選択し、[開始アドレス]にIPv6アドレスを入力して、[プレフィックス長]にプレフィックス長を入力します。
[ポート設定]
IPSec通信を適用するポートを設定します。
[ポート番号で指定]
IPSec通信を適用するポートをポート番号で指定する場合に選択し、本機側のポート番号を[ローカルポート]で、通信相手側のポート番号を[リモートポート]で指定します。
すべてのポート番号にIPSec通信を適用する場合は、[全ポート]を選択します。
特定のポート番号にIPSec通信を適用する場合は、[単一指定]を選択し、ポート番号を入力します。
[サービス名で指定]
IPSec通信を適用するポートをサービス名で指定する場合に選択し、適用するサービス名にチェックマークを付けます。
3
[OK]をクリックする
[ポリシーの登録]画面に戻ります。
12
IKEを設定する
1
[IKE設定]をクリックする
[IKE]画面が表示されます。
2
IKEの設定をする
[IKEモード]
鍵交換プロトコルの動作モードを選択します。[メイン]を選択すると、IKEセッション自体を暗号化するためセキュリティーが強化されますが、暗号化しない[アグレッシブ]よりも通信に負荷がかかります。
[有効期間]
制御用通信路として使用するIKE SA(ISAKMP SA)の有効期間を分単位で入力します。
[認証方式]
本機の認証方法を選択します。
[事前共有鍵方式]を選択した場合は、[共有鍵の設定] 共有鍵として使用する文字列を半角英数字で入力 [OK]をクリックします。
共有鍵として使用する文字列を半角英数字で入力 [OK]をクリックします。[電子署名方式]を選択した場合は、[鍵と証明書] 使用する鍵と証明書の[使用する]をクリックします。
使用する鍵と証明書の[使用する]をクリックします。[認証/暗号化アルゴリズム]
IKEフェーズ1の認証と暗号化のアルゴリズムを設定します。
本機と通信相手の両方が使用可能なアルゴリズムが自動的に設定されるようにする場合は、[自動]を選択します。
特定のアルゴリズムを指定する場合は、[手動指定]を選択し、[認証]/[暗号]/[DHグループ]を設定します。
[認証]:ハッシュアルゴリズムを選択します。
[暗号]:暗号化アルゴリズムを選択します。
[DHグループ]:鍵の強度を決定するDiffie-Hellmanグループを選択します。
[IKEモード]を[メイン]、[認証方式]を[事前共有鍵方式]に設定した場合 セレクター設定の[リモートアドレス設定]で単一アドレス以外を指定した場合に、複数のポリシーを作成するときは、以下の制限があります。 単一アドレス以外を指定したポリシーの共有鍵は、すべて同一の文字列にする必要があります。 単一アドレスを指定したポリシーより上位の優先順位に設定することはできません。 |
3
[OK]をクリックする
[ポリシーの登録]画面に戻ります。
13
IPSec通信を設定する
1
[IPSec通信設定]をクリックする
[IPSec通信]画面が表示されます。
2
IPSec通信の設定をする
[有効期間]
データ用通信路として使用するIPSec SAの有効期間を、時間/サイズの片方または両方で指定します。
[時間]にチェックマークを付けた場合は、有効期間を分単位で入力します。
[サイズ]にチェックマークを付けた場合は、有効期間をメガバイト単位で入力します。
両方にチェックマークを付けた場合は、指定した値に先に達した項目が適用されます。
[PFS]
セッションキーに対してPFSを設定する場合は、チェックマークを付けます。
[認証/暗号化アルゴリズム]
IKEフェーズ2の認証と暗号化のアルゴリズムを設定します。
ESP認証と暗号化のアルゴリズムが自動的に設定されるようにする場合は、[自動]を選択します。
特定の認証方式を指定する場合は、[手動指定]を選択し、以下のいずれかの認証方式を選択します。
[ESP]:
認証と暗号化の両方を行います。
[ESP認証]と[ESP暗号]で、アルゴリズムを選択します。アルゴリズムを設定しない場合は、[NULL]を選択します。
認証と暗号化の両方を行います。
[ESP認証]と[ESP暗号]で、アルゴリズムを選択します。アルゴリズムを設定しない場合は、[NULL]を選択します。
[ESP(AES-GCM)]:
認証と暗号化の両方を行います。
アルゴリズムとしてAES-GCMを使用します。
認証と暗号化の両方を行います。
アルゴリズムとしてAES-GCMを使用します。
[AH(SHA1)]:
認証は行いますが、データは暗号化しません。
アルゴリズムとしてSHA1を使用します。
認証は行いますが、データは暗号化しません。
アルゴリズムとしてSHA1を使用します。
[接続モード]
本機はトランスポートモードのみに対応しています。
3
[OK]をクリックする
[ポリシーの登録]画面に戻ります。
14
[OK]をクリックする
[IPSecポリシー一覧]画面に、作成したポリシーが追加されます。
複数のポリシーを登録した場合
ポリシーを選択し、[優先度を上げる]/[優先度を下げる]をクリックして優先順位を設定します。上位のポリシーが優先してIPSec通信に適用されます。
15
[設定の反映][OK]をクリックする
[OK]をクリックする設定が反映されます。
16
リモートUIからログアウトする
メモ
登録済みのポリシーを編集する
[IPSecポリシー一覧]画面で、編集したいポリシー名をクリックすると、登録内容を編集できます。