IPSecの設定

本製品では、オプションのIPSecセキュリティボードを装着して、本製品の操作パネル上のIPSec設定画面で<IPSecを使用>を[ON]にするとIPSec通信を使用できます。

IPSecはIPネットワーク上で送受信されるIPパケットを盗聴、改ざん、なりすましなどの脅威から保護してセキュリティを確保するプロトコルです。IPsecが適用されるのは、TCPパケット、UDP(User Datagram Protocol)パケット、ICMP(Internet Control Message Protocol)パケットです。IPSecが他のセキュリティプロトコルと比較して優れているのは、インターネットの基本プロトコルであるIPにセキュリティ機能が追加されているため、アプリケーションソフトウェアやネットワーク構成に依存しない点です。

ここでは、本製品の操作パネルでセキュリティポリシーを作成してIPSec通信を設定する方法について説明しています。セキュリティポリシーとは、IPSecの処理を適用するパケット、認証と暗号化に使用するアルゴリズムなど、IPSecの設定内容を登録したものです。IPSecのセキュリティポリシーに従いネゴシエーションを行ってトラフィックごとに確立された論理的コネクションをIPSec SA(Security Association)と呼びます。

以下は、本製品のIPSecの特徴です。


おことわり
  • [IPSec設定]は、オプションのPCIバス拡張キットを装着した状態でIPSecセキュリティボードを装着したときのみ、TCP/IP設定画面に表示されます。

  • 通信モード

本製品がサポートしているIPSecの通信モードはトランスポートモードのみのため、認証と暗号化が適用されるのはIPパケットのデータ部分だけです。

  • 認証と暗号化の方式

本製品では、以下のうち必ず一つを設定する必要があります。両方の方式を同時に設定することはできません。

  • AH(Authentication Header)
    IPヘッダを含む通信データの改ざんを検出して認証を保証するプロトコルです。通信データは暗号化されません。
  • ESP(Encapsulating Security Payload)
    通信データのペイロード部分のみの整合性と認証を保証した上、暗号化によって機密性を提供するプロトコルです。
  • 鍵交換プロトコル

ISAKMP(Internet Security Association and Key Management Protocol)に基いて鍵の交換を行うIKEv1(Internet Key Exchange version 1)をサポートしています。IKEには2つのフェーズがあり、フェーズ1でIKEで使用するSAを作成(IKE SA)して、フェーズ2ではIPSecで使用するSA(IPSec SA)を作成します。

事前共有鍵方式の認証を設定する場合は、事前共有鍵と呼ばれる、データを送受信するデバイスで共通に使用するキーワード(24文字以内)を事前に決めておく必要があります。IPSec通信を行う接続先と同じ事前共有鍵を本製品の操作パネルで設定して、事前共有鍵方式で認証を行います。

電子署名方式の認証を選択する場合は、PC上で作成した鍵ペアファイルとCA証明書ファイルをリモートUIを使用して事前にインストールしたあと、インストールしたファイルを本製品の操作パネルで登録する必要があります。CA証明書を使用して、IPSec通信の接続先とお互いの認証を行います。

電子署名方式の認証で使用可能な鍵ペアとCA証明書は以下のとおりです。

  • RSAアルゴリズム
  • X.509証明書
  • PKCS#12形式の鍵ペア

おことわり
  • ISAKMPでは、送受信にUDP(User Datagram Protocol)のポート500番を使用します。
  • 鍵ペアファイルとCA証明書ファイルのインストールについては、「リモートUI」を参照してください。