IPsec設定項目
本機でのIPsec設定は、ネットワーク上のパソコンからWebブラウザーを使用します。(本機に搭載されているWeb Image Monitorという機能を利用します。)ここでは設定項目について説明します。
IPsecの設定項目
設定項目 | 設定内容 | 設定値 |
---|---|---|
IPsec*1 | IPsec機能を有効にするか無効にするか設定します。 | ・有効 ・無効 |
HTTPS通信の除外 | HTTPS通信をIPsecから除外するかしないかを設定します。 | ・有効 ・無効 HTTPS通信をIPsecの対象から外すときは有効を選択します。 |
*1 「IPsec」の設定は操作部からもできます。
自動鍵交換設定のセキュリティーレベル
自動鍵交換設定では、セキュリティーレベルの項目を選択すると、セキュリティー詳細項目はレベルに応じて自動設定されます。
各セキュリティーレベルの特徴は以下のとおりです。
セキュリティーレベル | セキュリティーレベルの特徴 |
---|---|
認証のみ | パケットデータの暗号化はしないで、通信相手の認証とデータの改ざん防止だけをするときに選択します。パケット単位のデータは平文のままネットワークを流れるので、盗聴される危険性があります。 |
認証と暗号化(低) | 通信相手の認証と改ざん防止に加え、パケットデータを暗号化するときに選択します。「認証と暗号化(高)」よりもセキュリティーの強度は低い設定です。 |
認証と暗号化(高) | 通信相手の認証と改ざん防止に加え、パケットデータを暗号化をするときに選択します。「認証と暗号化(低)」よりもセキュリティー強度の高い設定です。 |
各セキュリティーレベル選択時の自動設定値は以下のとおりです。
設定項目 | 各セキュリティーレベル選択時の設定値 | ||
---|---|---|---|
認証のみ | 認証と暗号化(低) | 認証と暗号化(高) | |
セキュリティーポリシー | Apply | Apply | Apply |
カプセル化モード | トランスポート | トランスポート | トランスポート |
IPsec要求レベル | 可能な場合使用する | 可能な場合使用する | 必須 |
認証方法 | PSK | PSK | PSK |
フェーズ1 ハッシュアルゴリズム | MD5 | SHA1 | SHA256 |
フェーズ1 暗号化アルゴリズム | DES | 3DES | AES-128-CBC |
フェーズ1 Diffie-Hellmanグループ | 2 | 2 | 2 |
フェーズ2 セキュリティープロトコル | AH | ESP | ESP |
フェーズ2 認証アルゴリズム | HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 | HMAC-SHA1-96/HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 | HMAC-SHA256-128/HMAC-SHA384-192/HMAC-SHA512-256 |
フェーズ2 暗号化アルゴリズム使用許可 | 平文(NULL暗号) | 3DES/AES-128/AES-192/AES-256 | AES-128/AES-192/AES-256 |
フェーズ2 PFS | 無効 | 無効 | 2 |
自動鍵交換設定の設定項目
セキュリティーレベルを選択すると、セキュリティー詳細項目は自動設定されますが、アドレスタイプや、ローカルアドレス、リモートアドレスは手動での入力が必須です。また自動設定された内容を手動で変更すると、セキュリティーレベルの表示は自動的に「ユーザー設定」に切り替わります。
設定項目 | 設定内容 | 設定値 |
---|---|---|
アドレスタイプ | IPsecの対象とするIPアドレスのタイプを選択します。 | ・無効 ・IPv4 ・IPv6 ・IPv4/IPv6(デフォルト設定のみ) |
ローカルアドレス | 機器のアドレスを設定します。IPv6で複数のアドレスを使用しているときは、範囲の指定もできます。 | ・機器のIPv4アドレス、またはIPv6アドレス 範囲で指定しないときは、IPv4はアドレスの後に32を入力し、IPv6はアドレスの後に128を入力します。 |
リモートアドレス | IPsecの通信対象となる相手先のアドレスを指定します。範囲の指定もできます。 | ・通信相手のIPv4アドレス、またはIPv6アドレス 範囲で指定しないときは、IPv4はアドレスの後に32を入力し、IPv6はアドレスの後に128を入力します。 |
セキュリティーポリシー | IPsecの処理方法を設定します。 | ・IPsecを適用して送受信する(Apply) ・IPsecを適用せずに送受信する(Bypass) ・パケットを破棄する(Discard) |
カプセル化モード | カプセル化モードを選択します。 (自動設定対象項目) | ・トランスポート ・トンネル セキュリティーレベルに関係なくトランスポートモードが選択されます。 トンネルを選択したときは、トンネルエンドポイントで始点IPアドレスと終点IPアドレスを指定します。 トンネルエンドポイントの始点IPアドレスにはローカルアドレスと同じ値を設定します。 |
IPsec要求レベル | 通信相手とIPsecだけで通信するか、IPsecが確立できないときは平文で通信するかを選択します。 (自動設定対象項目) | ・可能な場合使用する ・必須 |
認証方法 | 通信相手の認証をする方式を選択します。 (自動設定対象項目) | ・PSK ・証明書 セキュリティーレベルに関係なく「PSK」方式が選択されます。 「PSK」を使用するときは、PSKの文字列を設定します。「証明書」を選択するときは、事前に機器証明書を導入して、IPsec用の証明書を割り当てておきます。 |
PSK文字列 | 自動鍵交換で使用するPSK文字列を設定します。 | 認証方式がPSKのときに、アスキー文字列で32文字以内の文字列を入力します。 |
フェーズ1 ハッシュアルゴリズム | フェーズ1で使用するハッシュアルゴリズムを選択します。 (自動設定対象項目) | ・MD5 ・SHA1 ・SHA256 ・SHA384 ・SHA512 |
フェーズ1 暗号化アルゴリズム | フェーズ1で使用する暗号化アルゴリズムを選択します。 (自動設定対象項目) | ・DES ・3DES ・AES-128-CBC ・AES-192-CBC ・AES-256-CBC |
フェーズ1 Diffie-Hellmanグループ | IKEの暗号鍵生成に使用するDiffie-Hellmanグループ番号を選択します。 (自動設定対象項目) | ・1 ・2 ・14 |
フェーズ1 有効期間 | フェーズ1で使用するSAの有効期間を設定します。 | 300秒(5分)~172800秒(48時間)の間で秒単位で設定します。 |
フェーズ2 セキュリティープロトコル | フェーズ2で使用するセキュリティープロトコルを選択します。 暗号化と認証を同時にするときはESPまたはESP+AHを、認証だけをするときはAHを選択します。 (自動設定対象項目) | ・ESP ・AH ・ESP+AH |
フェーズ2 認証アルゴリズム | フェーズ2で使用する認証アルゴリズムを選択します。 (自動設定対象項目) | ・HMAC-MD5-96 ・HMAC-SHA1-96 ・HMAC-SHA256-128 ・HMAC-SHA384-192 ・HMAC-SHA512-256 |
フェーズ2 暗号化アルゴリズム使用許可 | フェーズ2で使用する暗号化アルゴリズムを選択します。 (自動設定対象項目) | ・平文(NULL暗号) ・DES ・3DES ・AES-128 ・AES-192 ・AES-256 |
フェーズ2 PFS | PFSの有効/無効と有効時のDiffieHellmanグループ番号を選択します。 (自動設定対象項目) | ・無効 ・1 ・2 ・14 |
フェーズ2 有効期間 | フェーズ2で使用するSAの有効期間を設定します。 | 300秒(5分)~172800秒(48時間)の間で秒単位で設定します。 |