本機でのIPsec設定はWeb Image Monitorを使用します。ここでは設定項目について説明します。
IPsecの設定項目
設定項目 |
設定内容 |
設定値 |
---|---|---|
IPsec*1 |
IPsec機能を有効にするか無効にするか設定します。 |
・有効 ・無効 |
HTTPS通信の除外 |
HTTPS通信をIPsecから除外するかしないかを設定します。 |
・有効 ・無効 HTTPS通信をIPsecの対象から外すときは有効を選択します。 |
*1 「IPsec」の設定は操作部からもできます。
自動鍵交換設定のセキュリティーレベル
自動鍵交換設定では、セキュリティーレベルの項目を選択すると、セキュリティー詳細項目はレベルに応じて自動設定されます。
各セキュリティーレベルの特徴は以下のとおりです。
セキュリティーレベル |
セキュリティーレベルの特徴 |
---|---|
認証のみ |
パケットデータの暗号化はしないで、通信相手の認証とデータの改ざん防止だけをするときに選択します。パケット単位のデータは平文のままネットワークを流れるので、盗聴される危険性があります。 |
認証と暗号化(低) |
通信相手の認証と改ざん防止に加え、パケットデータを暗号化するときに選択します。「認証と暗号化(高)」よりもセキュリティーの強度は低い設定です。 |
認証と暗号化(高) |
通信相手の認証と改ざん防止に加え、パケットデータを暗号化をするときに選択します。「認証と暗号化(低)」よりもセキュリティー強度の高い設定です。 |
各セキュリティーレベル選択時の自動設定値は以下のとおりです。
設定項目 |
各セキュリティーレベル選択時の設定値 |
||
---|---|---|---|
認証のみ |
認証と暗号化(低) |
認証と暗号化(高) |
|
セキュリティーポリシー |
Apply |
Apply |
Apply |
カプセル化モード |
トランスポート |
トランスポート |
トランスポート |
IPsec要求レベル |
可能な場合使用する |
可能な場合使用する |
必須 |
認証方式 |
PSK |
PSK |
PSK |
フェーズ1 ハッシュアルゴリズム |
MD5 |
SHA1 |
SHA256 |
フェーズ1 暗号化アルゴリズム |
DES |
3DES |
AES-128-CBC |
フェーズ1 Diffie-Hellmanグループ |
2 |
2 |
2 |
フェーズ2 セキュリティープロトコル |
AH |
ESP |
ESP |
フェーズ2 認証アルゴリズム |
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
フェーズ2 暗号化アルゴリズム使用許可 |
平文(NULL暗号) |
3DES/AES-128/AES-192/AES-256 |
AES-128/AES-192/AES-256 |
フェーズ2 PFS |
無効 |
無効 |
2 |
自動鍵交換設定の設定項目
セキュリティーレベルを選択すると、セキュリティー詳細項目は自動設定されますが、アドレスタイプや、ローカルアドレス、リモートアドレスは手動での入力が必須です。また自動設定された内容を手動で変更すると、セキュリティーレベルの表示は自動的に「ユーザー設定」に切り替わります。
設定項目 |
設定内容 |
設定値 |
---|---|---|
アドレスタイプ |
IPsecの対象とするIPアドレスのタイプを選択します。 |
・無効 ・IPv4 ・IPv6 ・IPv4/IPv6(デフォルト設定のみ) |
ローカルアドレス |
機器のアドレスを設定します。IPv6で複数のアドレスを使用しているときは、範囲の指定もできます。 |
・機器のIPv4アドレス、またはIPv6アドレス 範囲で指定しないときは、IPv4はアドレスの後に32を入力し、IPv6はアドレスの後に128を入力します。 |
リモートアドレス |
IPsecの通信対象となる相手先のアドレスを指定します。範囲の指定もできます。 |
・通信相手のIPv4アドレス、またはIPv6アドレス 範囲で指定しないときは、IPv4はアドレスの後に32を入力し、IPv6はアドレスの後に128を入力します。 |
セキュリティーポリシー |
IPsecの処理方法を設定します。 |
・IPsecを適用して送受信する(Apply) ・IPsecを適用せずに送受信する(Bypass) ・パケットを破棄する(Discard) |
カプセル化モード |
カプセル化モードを選択します。 (自動設定対象項目) |
・トランスポート ・トンネル セキュリティーレベルに関係なくトランスポートモードが選択されます。 トンネルを選択したときは、トンネルエンドポイントで始点IPアドレスと終点IPアドレスを指定します。 トンネルエンドポイントの始点IPアドレスにはローカルアドレスと同じ値を設定します。 |
IPsec要求レベル |
通信相手とIPsecだけで通信するか、IPsecが確立できないときは平文で通信するかを選択します。 (自動設定対象項目) |
・可能な場合使用する ・必須 |
認証方法 |
通信相手の認証をする方式を選択します。 (自動設定対象項目) |
・PSK ・証明書 セキュリティーレベルに関係なく「PSK」方式が選択されます。 「PSK」を使用するときは、PSKの文字列を設定します。「証明書」を選択するときは、事前に機器証明書を導入して、IPsec用の証明書を割り当てておきます。 |
PSK文字列 |
自動鍵交換で使用するPSK文字列を設定します。 |
認証方式がPSKのときに、アスキー文字列で32文字以内の文字列を入力します。 |
フェーズ1 ハッシュアルゴリズム |
フェーズ1で使用するハッシュアルゴリズムを選択します。 (自動設定対象項目) |
・MD5 ・SHA1 ・SHA256 ・SHA384 ・SHA512 |
フェーズ1 暗号化アルゴリズム |
フェーズ1で使用する暗号化アルゴリズムを選択します。 (自動設定対象項目) |
・DES ・3DES ・AES-128-CBC ・AES-192-CBC ・AES-256-CBC |
フェーズ1 Diffie-Hellmanグループ |
IKEの暗号鍵生成に使用するDiffie-Hellmanグループ番号を選択します。 (自動設定対象項目) |
・1 ・2 ・14 |
フェーズ1 有効期間 |
フェーズ1で使用するSAの有効期間を設定します。 |
300秒(5分)~172800秒(48時間)の間で秒単位で設定します。 |
フェーズ2 セキュリティープロトコル |
フェーズ2で使用するセキュリティープロトコルを選択します。 暗号化と認証を同時にするときはESPまたはESP+AHを、認証だけをするときはAHを選択します。 (自動設定対象項目) |
・ESP ・AH ・ESP+AH |
フェーズ2 認証アルゴリズム |
フェーズ2で使用する認証アルゴリズムを選択します。 (自動設定対象項目) |
・HMAC-MD5-96 ・HMAC-SHA1-96 ・HMAC-SHA256-128 ・HMAC-SHA384-192 ・HMAC-SHA512-256 |
フェーズ2 暗号化アルゴリズム使用許可 |
フェーズ2で使用する暗号化アルゴリズムを選択します。 (自動設定対象項目) |
・平文(NULL暗号) ・DES ・3DES ・AES-128 ・AES-192 ・AES-256 |
フェーズ2 PFS |
PFSの有効/無効と有効時のDiffieHellmanグループ番号を選択します。 (自動設定対象項目) |
・無効 ・1 ・2 ・14 |
フェーズ2 有効期間 |
フェーズ2で使用するSAの有効期間を設定します。 |
300秒(5分)~172800秒(48時間)の間で秒単位で設定します。 |