Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

NFXデバイス上のIPセキュリティ

概要

IPsec は、ネットワークレベルのデータ整合性、データの機密性、データ送信元の認証、およびリプレイからの保護を提供します。IPsec は、あらゆるメディアで IP 上で動作するプロトコル、または複雑なメディアの組み合わせで実行されるアプリケーション プロトコルの組み合わせを保護できます。IPsec は、システムが必要なセキュリティ プロトコルを選択し、セキュリティ サービスに使用するアルゴリズムを決定し、要求されたサービスを提供するために必要な暗号化キーを実装できるようにすることで、開放型システム間相互接続 (OSI) モデルのネットワーク層でセキュリティ サービスを提供します。IPsecは、国際技術タスクフォース(IETF)によって標準化されています。

IPsec は、ホストのペアまたはセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホスト間の 1 つ以上のパスを保護します。これは、送信者/受信者を認証し、ネットワークデバイス間のIPバージョン4(IPv4)およびバージョン6(IPv6)トラフィックを暗号化する安全な方法を提供することで実現します。

IPsec の主要な概念は次のとおりです。

  • セキュリティアソシエーション(SA):SAは、IPsec関係を確立するデバイス間でネゴシエートされたIPsec仕様のセットです。これらの仕様には、認証と暗号化のタイプ、および IPsec 接続の確立に使用される IPsec プロトコルの設定が含まれています。セキュリティ アソシエーションは、SPI(セキュリティ パラメータ インデックス)、IPv4 または IPv6 の宛先アドレス、セキュリティ プロトコル(AH または ESP)によって一意に識別されます。IPsec セキュリティ アソシエーションは、設定ステートメントによって手動で確立されるか、IKE ネゴシエーションによって動的に確立されます。SAの詳細については、「 セキュリティアソシエーション」を参照してください。

  • IPsec 鍵管理 - VPN トンネルは IPsec テクノロジーを使用して構築されます。仮想プライベートネットワーク(VPN)トンネルは、手動鍵、AutoKeyインターネット鍵交換(IKE)、およびDiffie-Hellman(DH)交換の3種類の鍵作成メカニズムで動作します。NFX150デバイスは、IKEv1とIKEv2をサポートします。IPsec キー管理の詳細については、「 IPsec キー管理」を参照してください。

  • IPsec セキュリティ プロトコル - IPsec は 2 つのプロトコルを使用して、IP レイヤーでの通信を保護します。

    • AH(認証ヘッダー)—IPパケットの送信元を認証し、その内容の整合性を検証するためのセキュリティプロトコル。

    • ESP(セキュリティ ペイロードのカプセル化):IP パケット全体を暗号化してその内容を認証するためのセキュリティ プロトコル。

    IPsec セキュリティ プロトコルの詳細については、「 IPsec セキュリティ プロトコル」を参照してください

  • IPsec トンネル ネゴシエーション:IKE IPsec トンネルを確立するには、ネゴシエーションの 2 つのフェーズが必要です。

    • フェーズ 1 では、参加者がセキュアな接続を確立して IPsec SA をネゴシエートします。

    • フェーズ 2 では、参加者が暗号化のために IPsec SA をネゴシエートして、その後のユーザー データの交換を認証します。

    IPsec トンネル ネゴシエーションの詳細については、「 IPsec トンネル ネゴシエーション」を参照してください。

    Junos OS リリース 19.4 R1 以降、NFX350 デバイスはデフォルトで IKED をサポートしています。

    Junos OS リリース 24.2R1 以降、NFX150 デバイスと NFX250 デバイスは IKED をサポートしています。

    手記:

    NFX350デバイスには、デフォルトデーモンとしてIKEDがあります。Junos OS 24.2R1以降、NFX150およびNFX250デバイスのデフォルトデーモンはIKEDです。

表 1 は、NFXシリーズ デバイスでサポートされている IPsec 機能を示しています。

表 1:NFXシリーズ デバイスでサポートされる IPsec 機能

顔立ち

参考

AutoVPN スポーク

AutoVPN 展開におけるスポーク認証について

自動検出 VPN(ADVPN)パートナー

手記:

NFX150デバイスでは、ADVPNサジェスタを設定できません。

自動検出 VPN について

サイトツーサイトVPNと動的エンドポイント

動的なエンドポイントを持つIPsec VPNについて

ルートベース VPN

手記:

NFX150デバイスは、ポリシーベースのVPNをサポートしません。

ルートベースIPsec VPNについて

NAT-T

NAT-Tについて

デッド ピアの検出

VPN監視について

セキュリティの設定

NFX150デバイスでは、IPsec(IPセキュリティ)を使用してセキュリティが実装されます。IP セキュリティ(IPsec)の設定プロセスには、次のタスクが含まれます。

インターフェイスの設定

LANまたはWANでIPsecを有効にするには、ネットワーク接続とデータフローを提供するインターフェイスを設定する必要があります。

手記:

IPsecを設定するには、FPC1インターフェイスを使用します。

インターフェイスを設定するには、以下のステップを実行します。

  1. JCP CLIにログインし、設定モードにします。
  2. 論理インターフェイスでVLANタグサポートを有効にします。
  3. 論理インターフェイスに VLAN ID を割り当てます。
  4. 論理インターフェイスにIPv4アドレスを割り当てます。
  5. 論理インターフェイスにIPv6アドレスを割り当てます。

ルーティング オプションの設定

特定のルーティング プロトコルに固有でないルーティング機能を総称してプロトコル非依存型ルーティング プロパティと呼びます。これらの機能は、多くの場合、ルーティング プロトコルと相互作用します。多くの場合、プロトコルに依存しないプロパティとルーティングポリシーを組み合わせて目的を達成します。例えば、プロトコルに依存しないプロパティを使用して静的ルートを定義し、その後、ルーティングポリシーを使用して、その静的ルートをBGP、OSPF、IS-ISなどのルーティングプロトコルに再配布します。

プロトコル非依存型ルーティング プロパティには、次のようなものがあります。

  • スタティック ルート、アグリゲート ルート、生成ルート

  • グローバル設定

  • 火星のルート

  • ルーティングテーブルとルーティング情報ベース(RIB)グループ

インターフェイス・ルートがインポートされるルーティングテーブル・グループを設定するには、以下のステップを実行します。

  1. RIBと静的ルートを設定します。
  2. 静的ルートを設定します。

セキュリティ IKE の設定

IPsec は、インターネット鍵交換(IKE)プロトコルを使用して、IPsec ピアの認証、セキュリティアソシエーション(SA)設定のネゴシエーション、および IPsec 鍵の交換を行います。IKE 構成は、ピア セキュリティ ゲートウェイとのセキュアな IKE 接続を確立するために使用されるアルゴリズムと鍵を定義します。

IPsec IKE のデバッグと管理のために IKE トレース オプションを設定できます。

IKE トレース オプションを設定するには、以下の手順を実行します。

  1. トレース ファイルの最大サイズを指定します。
  2. IKE の情報をトレースするためのパラメータを指定します。
  3. IKE のトレース情報のレベルを指定します。

1つ以上のIKEプロポーザルを設定できます。各プロポーザルは、IKE ホストとそのピア間の IKE 接続を保護するための IKE 属性のリストです。

IKE の提案を設定するには、以下の手順を実行します。

  1. IPsec IKE の提案の認証方法として事前共有キーを設定します。

    手記:

    ネットワーク内の安全な通信のためにIPsecを設定する場合、ネットワーク内のピアデバイスには少なくとも1つの共通の認証方法が必要です。設定された認証方法の数に関係なく、デバイスのペア間で使用できる認証方法は1つだけです。

  2. IKE の提案の Diffie-Hellman グループ(dh-group)を定義します。

  3. IKE の提案の認証アルゴリズムを設定します。

  4. IKE の提案の暗号化アルゴリズムを定義します。

  5. IKE の提案の有効期間を秒単位で設定します。

1つ以上のIKEプロポーザルを設定した後、これらのプロポーザルをIKEポリシーに関連付ける必要があります。IKE ポリシーは、IKE ネゴシエーション時に使用するセキュリティ パラメーター(IKE プロポーザル)の組み合わせを定義します。これは、ピア アドレスとその接続に必要なプロポーザルを定義します。使用される認証方法に応じて、特定のピアの事前共有キーを定義します。IKE ネゴシエーション中に、IKE は両方のピアで同じ IKE ポリシーを探します。ネゴシエーションを開始したピアはすべてのポリシーをリモート ピアに送信し、リモート ピアは一致するものを見つけようとします。

IKE ポリシーを設定するには、以下のステップを実行します。

  1. 第 1 フェーズモードで IKE ポリシーを定義します。

  2. 一連のIKEプロポーザルを定義します。

  3. IKEの事前共有キーを定義します。

ファイアウォールとセキュリティ デバイス間のネットワーク接続を開始および終了するように IKE ゲートウェイを構成します。

IKE ゲートウェイを設定するには、以下のステップを実行します。

  1. IKEポリシーを使用してIKEゲートウェイを設定します。

  2. ピアのアドレスまたはホスト名を使用して IKE ゲートウェイを設定します。

    手記:

    ディーモンがIKEDデーモンの場合、複数のIKEゲートウェイアドレスの冗長性はNFX350デバイスではサポートされません。KMD デーモンのみがこの機能をサポートします。

  3. デッドピア検出(DPD)機能を有効にして、DPD メッセージを定期的に送信します。

  4. ローカルIKE IDを設定します。

  5. リモートIKE IDを設定します。

  6. IKEネゴシエーション用の外部インターフェースを設定します。

  7. クライアントのユーザー名を設定します。

  8. クライアントのパスワードを設定します。

セキュリティ IPsec の設定

IPsec は、ネットワークレベルのデータ整合性、データの機密性、データ送信元の認証、リプレイからの保護を提供する関連プロトコルのスイートです。IPsec は、あらゆるメディアで IP 上で動作するプロトコル、または複雑なメディアの組み合わせで実行されるアプリケーション プロトコルの組み合わせを保護できます。

リモートIPsecピアとネゴシエートするプロトコルとアルゴリズム、またはセキュリティサービスをリストしたIPsecプロポーザルを設定します。

IPsecプロポーザルを設定するには、以下の手順を実行します。

  1. IPsecプロポーザルとプロポーザルのプロトコルを定義します。
  2. IPsecプロポーザルの認証アルゴリズムを定義します。
  3. IPsecプロポーザルの暗号化アルゴリズムを定義します。
  4. IPsecプロポーザルの有効期間を秒単位で設定します。

1つ以上のIPsecプロポーザルを設定した後、これらのプロポーザルをIPsecポリシーに関連付ける必要があります。IPsecポリシーは、IPsecネゴシエーション中に使用されるセキュリティパラメータ(IPsecプロポーザル)の組み合わせを定義します。これは、Perfect Forward Secrecy(PFS)と接続に必要なプロポーザルを定義します。IPsec ネゴシエーション中に、IPsec は両方のピアで同じプロポーザルを検索します。ネゴシエーションを開始したピアはすべてのポリシーをリモート ピアに送信し、リモート ピアは一致するものを見つけようとします。

IPsec ポリシーを設定するには、以下のステップを実行します。

  1. ポリシーのIPsecポリシー、Perfect Forward Secrecy、およびDiffie-Hellmanグループを定義します。

  2. ポリシーのIPsecプロポーザルのセットを定義します。

IPsec 仮想プライベート ネットワーク (VPN) を構成して、インターネットなどのパブリック WAN を介してリモート コンピューター間で安全に通信する手段を提供します。VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過中の VPN 通信を保護するために、2 点間で IPsec トンネルが作成されます。詳細については、 IPSec VPNの概要を参照してください。

IPSec VPN を設定するには、以下のステップを実行します。

  1. IPSec VPNのIKEゲートウェイを定義します。

  2. IPSec VPN の IPsec ポリシーを定義します。

  3. IPSec VPNのローカルトラフィックセレクターを定義します。

  4. IPSec VPNのリモートトラフィックセレクターを定義します。

  5. IPSec VPN トンネルを確立するための基準を定義します。

セキュリティ ポリシーの設定

セキュリティ ポリシーは、スケジュールされた時刻に指定された IP ソースから指定された IP 宛先に許可されるトラフィックの種類を定義することで、あるゾーンから別のゾーンへのトラフィック フローを制御します。ポリシーにより、セキュリティゾーン間で交差しようとするトラフィックの拒否、許可、拒否、暗号化と復号化、認証、優先度設定、スケジュール、フィルタリング、監視を行うことができます。どのユーザーとどのデータが出入りできるか、いつ、どこに移動できるかを決定できます。

セキュリティ ポリシーを設定するには、次の手順を実行します。

  1. 送信元アドレスのセキュリティポリシーの一致条件を設定します。
  2. 宛先アドレスのセキュリティポリシーの一致条件を設定します。
  3. セキュリティポリシーアプリケーションを設定します。
  4. セキュリティポリシーの一致条件を設定します。

セキュリティ ゾーンの設定

セキュリティ ゾーンは、ポリシーの構成要素です。これらは、1つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティー・ゾーンは、ホストのグループ(ユーザー・システムおよびサーバーなどの他のホスト)とそのリソースを相互に区別して、異なるセキュリティー対策を適用する手段を提供します。詳細については、「 セキュリティ ゾーンの概要」を参照してください。

セキュリティ ゾーンを設定するには、次の手順を実行します。

  1. システムサービスでセキュリティゾーンを設定します。
  2. セキュリティゾーンのプロトコルを定義します。
  3. セキュリティ ゾーンのインターフェイスを設定します。