IPsec設定項目

本機でのIPsec設定はWeb Image Monitorを使用します。ここでは設定項目について説明します。

IPsecの設定項目

設定項目

設定内容

設定値

IPsec*1

IPsec機能を有効にするか無効にするか設定します。

・有効

・無効

HTTPS通信の除外

HTTPS通信をIPsecから除外するかしないかを設定します。

・有効

・無効

HTTPS通信をIPsecの対象から外すときは有効を選択します。

*1 「IPsec」の設定は操作部からもできます。

自動鍵交換設定のセキュリティーレベル

自動鍵交換設定では、セキュリティーレベルの項目を選択すると、セキュリティー詳細項目はレベルに応じて自動設定されます。

各セキュリティーレベルの特徴は以下のとおりです。

セキュリティーレベル

セキュリティーレベルの特徴

認証のみ

パケットデータの暗号化はしないで、通信相手の認証とデータの改ざん防止だけをするときに選択します。パケット単位のデータは平文のままネットワークを流れるので、盗聴される危険性があります。

認証と暗号化(低)

通信相手の認証と改ざん防止に加え、パケットデータを暗号化するときに選択します。「認証と暗号化(高)」よりもセキュリティーの強度は低い設定です。

認証と暗号化(高)

通信相手の認証と改ざん防止に加え、パケットデータを暗号化をするときに選択します。「認証と暗号化(低)」よりもセキュリティー強度の高い設定です。

各セキュリティーレベル選択時の自動設定値は以下のとおりです。

設定項目

各セキュリティーレベル選択時の設定値

認証のみ

認証と暗号化(低)

認証と暗号化(高)

セキュリティーポリシー

Apply

Apply

Apply

カプセル化モード

トランスポート

トランスポート

トランスポート

IPsec要求レベル

可能な場合使用する

可能な場合使用する

必須

認証方式

PSK

PSK

PSK

フェーズ1

ハッシュアルゴリズム

MD5

SHA1

SHA256

フェーズ1

暗号化アルゴリズム

DES

3DES

AES-128-CBC

フェーズ1

Diffie-Hellmanグループ

2

2

2

フェーズ2

セキュリティープロトコル

AH

ESP

ESP

フェーズ2

認証アルゴリズム

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256

フェーズ2

暗号化アルゴリズム使用許可

平文(NULL暗号)

3DES/AES-128/AES-192/AES-256

AES-128/AES-192/AES-256

フェーズ2

PFS

無効

無効

2

自動鍵交換設定の設定項目

セキュリティーレベルを選択すると、セキュリティー詳細項目は自動設定されますが、アドレスタイプや、ローカルアドレス、リモートアドレスは手動での入力が必須です。また自動設定された内容を手動で変更すると、セキュリティーレベルの表示は自動的に「ユーザー設定」に切り替わります。

設定項目

設定内容

設定値

アドレスタイプ

IPsecの対象とするIPアドレスのタイプを選択します。

・無効

・IPv4

・IPv6

・IPv4/IPv6(デフォルト設定のみ)

ローカルアドレス

機器のアドレスを設定します。IPv6で複数のアドレスを使用しているときは、範囲の指定もできます。

・機器のIPv4アドレス、またはIPv6アドレス

範囲で指定しないときは、IPv4はアドレスの後に32を入力し、IPv6はアドレスの後に128を入力します。

リモートアドレス

IPsecの通信対象となる相手先のアドレスを指定します。範囲の指定もできます。

・通信相手のIPv4アドレス、またはIPv6アドレス

範囲で指定しないときは、IPv4はアドレスの後に32を入力し、IPv6はアドレスの後に128を入力します。

セキュリティーポリシー

IPsecの処理方法を設定します。

・IPsecを適用して送受信する(Apply)

・IPsecを適用せずに送受信する(Bypass)

・パケットを破棄する(Discard)

カプセル化モード

カプセル化モードを選択します。

(自動設定対象項目)

・トランスポート

・トンネル

セキュリティーレベルに関係なくトランスポートモードが選択されます。

トンネルを選択したときは、トンネルエンドポイントで始点IPアドレスと終点IPアドレスを指定します。

トンネルエンドポイントの始点IPアドレスにはローカルアドレスと同じ値を設定します。

IPsec要求レベル

通信相手とIPsecだけで通信するか、IPsecが確立できないときは平文で通信するかを選択します。

(自動設定対象項目)

・可能な場合使用する

・必須

認証方法

通信相手の認証をする方式を選択します。

(自動設定対象項目)

・PSK

・証明書

セキュリティーレベルに関係なく「PSK」方式が選択されます。

「PSK」を使用するときは、PSKの文字列を設定します。「証明書」を選択するときは、事前に機器証明書を導入して、IPsec用の証明書を割り当てておきます。

PSK文字列

自動鍵交換で使用するPSK文字列を設定します。

認証方式がPSKのときに、アスキー文字列で32文字以内の文字列を入力します。

フェーズ1

ハッシュアルゴリズム

フェーズ1で使用するハッシュアルゴリズムを選択します。

(自動設定対象項目)

・MD5

・SHA1

・SHA256

・SHA384

・SHA512

フェーズ1

暗号化アルゴリズム

フェーズ1で使用する暗号化アルゴリズムを選択します。

(自動設定対象項目)

・DES

・3DES

・AES-128-CBC

・AES-192-CBC

・AES-256-CBC

フェーズ1

Diffie-Hellmanグループ

IKEの暗号鍵生成に使用するDiffie-Hellmanグループ番号を選択します。

(自動設定対象項目)

・1

・2

・14

フェーズ1

有効期間

フェーズ1で使用するSAの有効期間を設定します。

300秒(5分)~172800秒(48時間)の間で秒単位で設定します。

フェーズ2

セキュリティープロトコル

フェーズ2で使用するセキュリティープロトコルを選択します。

暗号化と認証を同時にするときはESPまたはESP+AHを、認証だけをするときはAHを選択します。

(自動設定対象項目)

・ESP

・AH

・ESP+AH

フェーズ2

認証アルゴリズム

フェーズ2で使用する認証アルゴリズムを選択します。

(自動設定対象項目)

・HMAC-MD5-96

・HMAC-SHA1-96

・HMAC-SHA256-128

・HMAC-SHA384-192

・HMAC-SHA512-256

フェーズ2

暗号化アルゴリズム使用許可

フェーズ2で使用する暗号化アルゴリズムを選択します。

(自動設定対象項目)

・平文(NULL暗号)

・DES

・3DES

・AES-128

・AES-192

・AES-256

フェーズ2

PFS

PFSの有効/無効と有効時のDiffie­Hellmanグループ番号を選択します。

(自動設定対象項目)

・無効

・1

・2

・14

フェーズ2

有効期間

フェーズ2で使用するSAの有効期間を設定します。

300秒(5分)~172800秒(48時間)の間で秒単位で設定します。