ホームWeb設定ツールIPsecで通信する

IPsecで通信する

お使いの環境でIPsecを導入している場合に設定します。

IPsecは、暗号化技術を利用して、IPパケット単位でデータの改ざんやデータの漏洩を防止する技術です。ネットワーク層で暗号化を行うため、暗号化をサポートしていない上位層のプロトコルや、暗号化に対応していないアプリケーションを使っても、安全に通信できます。

  1. 管理者モードの[ネットワーク]-[TCP/IP設定]-[IPsec]で[IPsec設定]を選び、[OK]をクリックします。

  2. [IPsec設定]の[IKEv1]または[IKEv2]で[編集]をクリックし、次の設定をします。

    設定

    説明

    [暗号化アルゴリズム]

    通信に使う共通鍵の生成に使う、暗号化アルゴリズムを選びます。

    [認証アルゴリズム]

    通信に使う共通鍵の生成に使う、認証アルゴリズムを選びます。

    [暗号鍵有効時間]

    通信の暗号化に使う共通鍵を、安全に生成するために、共通鍵の有効時間を設定します。

    有効時間が経過すると、新しい鍵が生成されるため、セキュリティを確保できます。

    [Diffie-Hellmanグループ]

    Diffie-Hellmanグループを選びます。

    [ネゴシエーションモード]

    通信の暗号化に使う共通鍵を、安全に生成する方法を選びます。

  3. [IPsec設定]の[SA]で[登録]をクリックし、SA(Security Association)を登録します。

    • SAは10グループまで登録できます。

    設定

    説明

    [名称]

    SA設定の名前を入力します("を除く半角1文字以上、10文字以内)。

    [カプセル化モード]

    IPsecの動作モードを選びます。

    [セキュリティプロトコル]

    セキュリティプロトコルを選びます。

    [鍵交換方式]

    通信の暗号化に使う共通鍵を安全に生成するときの、鍵交換方式を選びます。

    [トンネルエンドポイント]

    通信相手先IPsecゲートウェイのIPアドレスを入力します。

    [カプセル化モード]で[トンネル]を選んだ場合に、入力します。

    [確立後の破棄時間]

    通信の暗号化に使う共通鍵の有効時間を入力します。

    [IKE設定]

    このSAで使う、IKEの設定をします。

    [鍵交換方式]で[IKEv1]または[IKEv2]を選んだ場合に設定します。

    [認証方式]

    認証方式を選びます。

    [Localの認証方式]

    [鍵交換方式]で[IKEv2]を選んだ場合に、本機の認証方式を選びます。

    [Peerの認証方式]

    [鍵交換方式]で[IKEv2]を選んだ場合に、通信の相手先を認証する方式を選びます。

    [ESP暗号化アルゴリズム]

    [セキュリティプロトコル]で[ESP]を選んだ場合は、ESP暗号化アルゴリズムを設定します。

    [ESP認証アルゴリズム]

    [セキュリティプロトコル]で[ESP]を選んだ場合は、ESP認証アルゴリズムを設定します。

    [AH認証アルゴリズム]

    [セキュリティプロトコル]で[AH]を選んだ場合は、AH認証アルゴリズムを設定します。

    [Perfect ForwardSecrecy]

    IKEの強度を上げたい場合にチェックをつけます。

    チェックをつけると、通信にかかる時間が長くなります。

    [Diffie-Hellmanグループ(IKEv1)]/[Diffie-Hellmanグループ(IKEv2)]

    Diffie-Hellmanグループを選びます。

    [マニュアルキー設定]

    IKEによる自動鍵交換に対応していない機器を使う場合に、それぞれのパラメーターを、手動で設定します。

    [鍵交換方式]で[マニュアルキー]を選んだ場合に設定します。

    [暗号化アルゴリズム]

    暗号化に使うアルゴリズムを選びます。

    [認証アルゴリズム]

    認証に使うアルゴリズムを選びます。

    [SAインデックス]

    IPsecヘッダーに追加する、SAの識別情報(Security Parameter Index)を指定します。

    [暗号化用共通鍵]

    暗号化に使う共通鍵を指定します。

    送信用、受信用に別の共通鍵を指定できます。

    [認証用共通鍵]

    認証に使う共通鍵を指定します。

    送信用、受信用に別の共通鍵を指定できます。

  4. [IPsec設定]の[通信相手先]で[登録]をクリックし、本機の通信相手を登録します。

    • 通信相手先は10件まで登録できます。

    設定

    説明

    [名称]

    通信相手先の名前を入力します("を除く半角1文字以上、10文字以内)。

    [IPアドレス指定]

    通信相手先のIPアドレスを指定します。

    [Pre-Shared Key文字列]

    通信の相手と共有するPre-Shared Key 文字列を入力します。

    • [ASCII]:Pre-Shared Key文字列を、ASCIIコードで入力します(128文字以内)。

    • [HEX]:Pre-Shared Key文字列を、HEXコードで入力します(256文字以内)。

    通信相手と同じ文字列を設定します。

    [Key-ID文字列]

    Pre-Shared Keyに指定する、Key-IDを入力します(128文字以内)。

  5. [IPsec設定]の[プロトコル指定]で[登録]をクリックし、IPsec通信を行うプロトコルを指定します。

    • プロトコル指定は10項目まで登録できます。

    設定

    説明

    [名称]

    プロトコルの設定の名前を入力します("を除く半角1文字以上、10文字以内)。

    [プロトコル識別]

    IPsec通信を行うプロトコルを選びます。

    [ポート番号]

    [プロトコル識別]で[TCP]または[UDP]を選んだ場合は、IPsec通信を行うポート番号を指定します。

    [ICMPメッセージタイプ]

    [プロトコル識別]で[ICMP]を選んだ場合に、ICMPメッセージの種類を選びます。

    • [Echo Request/Reply]:エコー要求・応答のICMPメッセージを指定します。

    • [指定なし]:ICMPメッセージの種類を指定しません。

    [ICMPv6メッセージタイプ]

    [プロトコル識別]で[ICMPv6]を選んだ場合に、ICMPメッセージの種類を選びます。

    • [Echo Request/Reply]:エコー要求・応答のICMPメッセージを指定します。

    • [指定なし]:ICMPメッセージの種類を指定しません。

  6. 管理者モードの[ネットワーク]-[TCP/IP設定]-[IPsec]で[IPsec使用設定]を選び、[OK]をクリックします。

  7. [IPsec使用設定]で、次の設定をします。

    設定

    説明

    [IPsec]

    IPsecを使うときは、[使用する]を選びます。

    [Dead Peer Detection]

    通信相手から一定期間内に応答がない場合に、通信相手とのSA を削除します。

    応答がない通信相手に対して、生存確認の情報を送信するまでの時間を選びます。

    [Cookie]

    サービス妨害攻撃に対して、Cookie を使った防御を有効にするかどうかを選びます。

    [ICMP通過]

    ICMP (Internet Control Message Protocol) に、IPsecを適用するかどうかを選びます。

    ICMP にIPsec を適用せず、ICMP パケットを通過させるには[有効]を選びます。

    [ICMPv6 通過]

    ICMPv6 (Internet Control Message Protocol for IPv6) に、IPsecを適用するかどうかを選びます。

    ICMPv6 にIPsec を適用せず、ICMPv6 パケットを通過させるには、[有効]を選びます。

    [Default action]

    IPsec 通信が有効なときに、[IPsec ポリシー]に合致する設定がなかった場合の動作を選びます。

    [IPsec ポリシー]の設定に合致しないIP パケットを破棄したい場合は、[破棄]を選びます。

    [証明書検証強度設定]

    証明書の検証を行う場合は、検証する項目を選びます。

    それぞれの項目で[確認する]を選ぶと、その項目について、証明書の検証を行います。

    [有効期限]

    証明書が有効期限内かどうかを確認します。

    初期値は[確認する]です。

    [鍵使用法]

    証明書の発行者が承認した使用用途に沿って、証明書が使われているかどうかを確認します。

    初期値は[確認しない]です。

    [チェーン]

    証明書のチェーン(証明書のパス)に問題がないかどうかを確認します。

    チェーンの確認は、本機で管理している外部証明書を参照して行います。

    初期値は[確認しない]です。

    [失効確認]

    証明書が失効していないかどうかを確認します。

    証明書の失効確認は、以下の順番で行います。

    • OCSP(Online Certificate Status Protocol)サービス

    • CRL(Certificate Revocation List)

    初期値は[確認しない]です。

  8. [IPsec使用設定]の[IPsecポリシー]で[登録]をクリックし、次の設定をします。

    • IPパケットの条件を指定して、それぞれの条件に合致したIPパケットを通過させたり、許可させたりできます。

    設定

    説明

    [名称]

    IPsecポリシーの名前を入力します("を除く半角1文字以上、10文字以内)。

    [通信相手先]

    通信相手の設定を選びます。

    [IPsec設定]の[通信相手先]で登録した設定から選びます。

    [プロトコル指定]

    プロトコルを選びます。

    [IPsec設定]の[プロトコル指定]で登録した設定から選びます。

    [IPsec設定]

    通信相手の設定を選びます。

    [IPsec設定]の[SA]で登録した設定から選びます。

    [通信方向]

    IPsecの通信方向を選びます。

    [action]

    [通信相手先]、[プロトコル指定]、[通信方向]に合致したIPパケットに対する動作を選びます。

    • [保護]:条件に合致したIPパケットを保護します。

    • [通過]:条件に合致したIPパケットを保護しません。

    • [破棄]:条件に合致したIPパケットを破棄します。

    • [拒否]:条件に合致したIPパケットを拒否します。

  9. 管理者モードの[ネットワーク]-[TCP/IP 設定]-[IPsec]の[通信確認]で、設定した内容で、通信相手先に正しく接続できることを確認します。

    • [IPアドレス]に通信相手先のIPアドレスを入力し、[接続確認]をクリックします。