IPsecで通信する
お使いの環境でIPsecを導入している場合に設定します。
IPsecは、暗号化技術を利用して、IPパケット単位でデータの改ざんやデータの漏洩を防止する技術です。ネットワーク層で暗号化を行うため、暗号化をサポートしていない上位層のプロトコルや、暗号化に対応していないアプリケーションを使っても、安全に通信できます。
Web Connectionの管理者モード(または本機の[設定メニュー]-[管理者])の[ネットワーク]-[TCP/IP設定]-[IPsec]で[IPsec設定]を選び、[OK]をクリックします。
[IPsec設定]の[IKEv1]または[IKEv2]で[編集]をクリックし、次の設定をします。
設定
説明
[暗号化アルゴリズム]
通信に使う共通鍵の生成に使う、暗号化アルゴリズムを選びます。
[認証アルゴリズム]
通信に使う共通鍵の生成に使う、認証アルゴリズムを選びます。
[暗号鍵有効時間]
通信の暗号化に使う共通鍵を、安全に生成するために、共通鍵の有効時間を設定します(初期値:[28800]秒)。
有効時間が経過すると、新しい鍵が生成されるため、セキュリティーを確保できます。
[Diffie-Hellman Group]
Diffie-Hellmanグループを選びます(初期値:[グループ2])。
[ネゴシエーションモード]
ネゴシエーションモードを選びます(初期値:[Main Mode])。[IKEv2]では設定できません。
[IPsec設定]の[SA]で[登録]をクリックし、SA(Security Association)を登録します。
SAは10グループまで登録できます。
設定
説明
[名称]
SA設定の名前を入力します("を除く半角1文字以上、10文字以内)。
[カプセル化モード]
IPsecの動作モードを選びます(初期値:[トランスポート])。
[セキュリティープロトコル]
セキュリティープロトコルを選びます。
[鍵交換方式]
通信の暗号化に使う共通鍵を安全に生成するときの、鍵交換方式を設定します(初期値:[IKEv1])。
[トンネルエンドポイント]
[カプセル化モード]で[トンネルモード]を選んだ場合に、通信相手先となるIPsecゲートウェイのIPアドレスを入力します。
[確立後の破棄時間]
通信の暗号化に使う共通鍵の有効時間を入力します(初期値:[3600]秒)。
[IKE設定]
このSAで使う、IKEの設定をします。[鍵交換方式]で[IKEv1]または[IKEv2]を選んだ場合に設定します。
[認証方式]:認証方式を選びます。
[Localの認証方式]:[鍵交換方式]で[IKEv2]を選んだ場合に、本機の認証方式を選びます。
[Peerの認証方式]:[鍵交換方式]で[IKEv2]を選んだ場合に、通信の相手先を認証する方式を選びます。
[ESN]:64ビットの拡張シーケンス番号を適用する場合は、オンにします。
[Replay Detection]:リプレイ防御を有効にする場合は、オンにします。
[ESP暗号化アルゴリズム]:[セキュリティープロトコル]で[ESP]を選んだ場合は、ESP暗号化アルゴリズムを設定します。
[ESP認証アルゴリズム]:[セキュリティープロトコル]で[ESP]を選んだ場合は、ESP認証アルゴリズムを設定します。
[AH認証アルゴリズム]:[セキュリティープロトコル]で[AH]を選んだ場合は、AH認証アルゴリズムを設定します。
[Perfect Forward Secrecy]:IKEの強度を上げたい場合は、オンにします。オンにすると、通信にかかる時間が長くなります。
[IPsec設定]の[通信相手先]で[登録]をクリックし、本機の通信相手を登録します。
通信相手先は10件まで登録できます。
設定
説明
[通信相手先]
通信相手先を登録する場合は、オンにします(初期値:オフ)。
[名称]
通信相手先の名前を入力します("を除く半角1文字以上、10文字以内)。
[IPアドレス指定]
通信相手先のアドレスの指定方法を選びます。選んだ指定方法に合わせて、通信相手先のIPアドレスを指定します。
[Pre-Shared Key文字列]
通信の相手と共有するPre-Shared Key文字列をASCIIコード(128文字以内)またはHEXコード(256文字以内)で入力します。
通信相手と同じ文字列を設定します。
[Key-ID文字列]
Pre-Shared Keyに指定する、Key-IDを入力します(128バイト以内)。
[IPsec設定]の[プロトコル指定]で[登録]をクリックし、IPsec通信を行うプロトコルを指定します。
プロトコル指定は10項目まで登録できます。
設定
説明
[プロトコル指定]
プロトコル指定を登録する場合は、オンにします(初期値:オフ)。
[名称]
プロトコル指定のグループ名を入力します("を除く半角1文字以上、10文字以内)。
[プロトコル識別]
IPsec通信を行うプロトコルを選びます(初期値:[指定なし])。
[ポート番号]
[プロトコル識別]で[TCP]または[UDP]を選んだ場合に、IPsec通信を行うポート番号を設定します。
[ICMPメッセージタイプ]
[プロトコル識別]で[ICMP]を選んだ場合に、ICMPメッセージの種類を指定します。
[ICMPv6メッセージタイプ]
[プロトコル識別]で[ICMPv6]を選んだ場合に、ICMPメッセージの種類を指定します。
Web Connectionの管理者モード(または本機の[設定メニュー]-[管理者])の[ネットワーク]-[TCP/IP設定]-[IPsec]で[IPsec使用設定]を選び、[OK]をクリックします。
[IPsec使用設定]で、次の設定をします。
設定
説明
[IPsec]
IPsecを使う場合は、オンにします(初期値:オフ)。
[Dead Peer Detection]
通信相手から一定期間内に応答がない場合に、通信相手とのSAを削除します。応答がない通信相手に対して、生存確認の情報を送信するまでの時間を選びます(初期値:[15]秒)。
[Cookie]
サービス妨害攻撃に対して、Cookieを使った防御を有効にするかどうかを選びます(初期値:[無効])。
[ICMP通過]
ICMP(Internet Control Message Protocol)に、IPsecを適用するかどうかを選びます(初期値:[無効])。ICMPにIPsecを適用せず、ICMPパケットを通過させるには[有効]を選びます。
[ICMPv6通過]
ICMPv6(Internet Control Message Protocol for IPv6)に、IPsecを適用するかどうかを選びます(初期値:[無効])。ICMPv6にIPsecを適用せず、ICMPv6パケットを通過させるには、[有効]を選びます。
[Default action]
IPsec通信が有効なときに、[IPsecポリシー]に合致する設定がなかった場合の動作を選びます(初期値:[通過])。[IPsecポリシー]の設定に合致しないIPパケットを破棄したい場合は、[破棄]を選びます。
[証明書検証強度設定]
証明書の検証を行う場合は、検証する項目を選びます。
[有効期限]:証明書が有効期限内かどうかを確認します(初期値:オン)。
[鍵使用法]:証明書の発行者が承認した使用用途に沿って、証明書が使われているかどうかを確認します(初期値:オフ)。
[チェーン]:証明書のチェーン(証明書のパス)に問題がないかどうかを確認します(初期値:オフ)。チェーンの確認は、本機で管理している外部証明書を参照して行います。
[失効確認]:証明書が失効していないかどうかを確認します(初期値:オフ)。失効確認は、OCSP(Online Certificate Status Protocol)サービス、CRL(Certificate Revocation List)の順番で行います。
[IPsec使用設定]の[IPsecポリシー]で[登録]をクリックし、次の設定をします。
IPパケットの条件を指定して、それぞれの条件に合致したIPパケットを通過させたり、許可させたりできます。
設定
説明
[IPsecポリシー]
IPsecポリシーを使うかどうかを選びます(初期値:[使用しない])。
[名称]
IPsecポリシーの名前を入力します("を除く半角1文字以上、10文字以内)。
[通信相手先]
通信相手先の設定を選びます。[IPsec設定]の[通信相手先]で登録した設定から選びます。
[プロトコル指定]
プロトコルを選びます。[IPsec設定]の[プロトコル指定]で登録した設定から選びます。
[IPsec設定]
SAの設定を選びます。[IPsec設定]の[SA]で登録した設定から選びます。
[通信方向]
IPsecの通信方向を選びます。
[action]
指定した条件に合致したIPパケットに対する動作を選びます。
[保護]:条件に合致したIPパケットを保護します。
[通過]:条件に合致したIPパケットを保護しません。
[破棄]:条件に合致したIPパケットを破棄します。
[拒否]:条件に合致したIPパケットを拒否します。
[IPsec]の[通信確認]で、設定した内容で、通信相手先に正しく接続できることを確認します。
[IPアドレス]に通信相手先のIPアドレスを入力し、[接続確認]をクリックします。