NFX デバイスの IP セキュリティ
概要
IPsec は、ネットワークレベルのデータ整合性、データの機密性、データ送信元の認証、リプレイからの保護を提供します。IPsec は、メディアの複雑な組み合わせで実行されるあらゆるメディアまたはアプリケーション プロトコルの混合で、IP 上で実行されるあらゆるプロトコルを保護できます。IPsec は、システムが必要なセキュリティ プロトコルを選択し、セキュリティ サービスに使用するアルゴリズムを決定し、要求されたサービスを提供するために必要な暗号化キーを実装できるようにすることで、OSI(Open Systems Interconnection)モデルのネットワーク レイヤーでセキュリティ サービスを提供します。IPsecは、国際技術タスクフォース(IETF)によって標準化されています。
IPsecは、1組のホストまたはセキュリティゲートウェイ間、またはセキュリティゲートウェイとホスト間の1つ以上のパスを保護します。ネットワークデバイス間で送信者/受信者を認証し、IPバージョン4(IPv4)およびバージョン6(IPv6)トラフィックを暗号化する安全な方法を提供することで、これを実現します。
IPsec の主な概念は次のとおりです。
SA(セキュリティアソシエーション)—SAは、IPsec関係を確立しているデバイス間でネゴシエートされたIPsec仕様のセットです。これらの仕様には、認証と暗号化のタイプの設定、および IPsec 接続の確立に使用される IPsec プロトコルが含まれています。セキュリティ アソシエーションは、SPI(セキュリティ パラメーター インデックス)、IPv4 または IPv6 の宛先アドレス、AH または ESP(セキュリティ プロトコル)によって一意に識別されます。IPsecセキュリティアソシエーションは、設定ステートメントを介して手動で、またはIKEネゴシエーションによって動的に確立されます。SA の詳細については、「 セキュリティ アソシエーション」を参照してください。
IPsec鍵管理—VPNトンネルはIPsec技術を使用して構築されます。仮想プライベートネットワーク(VPN)トンネルは、手動鍵、AutoKey インターネット鍵交換(IKE)、Diffie-Hellman(DH)交換など、3 種類の鍵作成メカニズムで動作します。NFX150 デバイスは IKEv1 および IKEv2 をサポートします。IPsec鍵管理の詳細については、 IPsec鍵管理を参照してください。
IPsec セキュリティ プロトコル— IPsec は 2 つのプロトコルを使用して IP レイヤーでの通信を保護します。
認証ヘッダー(AH)—IPパケットの送信元を認証し、そのコンテンツの整合性を検証するためのセキュリティプロトコル。
ESP(セキュリティ ペイロードのカプセル化)—IP パケット全体を暗号化し、その内容を認証するためのセキュリティ プロトコル。
IPsecセキュリティプロトコルの詳細については、 IPsecセキュリティプロトコルを参照してください。
IPsecトンネルネゴシエーション-IKE IPsecトンネルを確立するには、ネゴシエーションの2つのフェーズが必要です。
フェーズ 1 では、参加者は IPsec SA をネゴシエートするためのセキュアな接続を確立します。
フェーズ2では、参加者は暗号化のためにIPsec SAをネゴシエートし、その後のユーザーデータの交換を認証します。
IPsecトンネルネゴシエーションの詳細については、 IPsecトンネルネゴシエーションを参照してください。
表 1 は、NFX シリーズ デバイスでサポートされている IPsec 機能を示しています。
機能 |
参照 |
---|---|
AutoVPNスポーク |
|
自動検出 VPN(ADVPN)パートナー
メモ:
NFX150デバイスでは、ADVPN Suggesterを設定することはできません。 |
|
サイトツーサイト VPN と動的エンドポイント |
|
ルートベース VPN
メモ:
NFX150デバイスは、ポリシーベースVPNをサポートしていません。 |
|
NAT-T |
|
デッドピア検出 |
セキュリティの設定
NFX150 デバイスでは、IP セキュリティ(IPsec)を使用してセキュリティを実装します。IP セキュリティ(IPsec)の設定プロセスには、以下のタスクが含まれます。
インターフェイスの設定
LANまたはWANでIPsecを有効にするには、ネットワーク接続とデータフローを提供するためにインターフェイスを設定する必要があります。
IPsecを設定するには、FPC1インターフェイスを使用します。
インターフェイスを設定するには、次の手順を実行します。
ルーティング オプションの設定
特定のルーティング プロトコルに固有ではないルーティング機能と機能を、総称してプロトコル非依存型ルーティング プロパティと呼びます。これらの機能は、多くの場合、ルーティングプロトコルと相互作用します。多くの場合、プロトコルに依存しないプロパティとルーティング ポリシーを組み合わせて、目標を達成します。例えば、プロトコル非依存のプロパティを使用して静的ルートを定義し、ルーティングポリシーを使用して、BGP、OSPF、IS-ISなどのルーティングプロトコルに静的ルートを再配布します。
プロトコル非依存型ルーティングプロパティには以下が含まれます。
スタティック ルート、アグリゲート ルート、生成ルート
グローバルプリファレンス
Martian ルート数
ルーティングテーブルとRIB(ルーティング情報ベース)グループ
インターフェイス ルートがインポートされるルーティング テーブル グループを設定するには、次の手順を実行します。
セキュリティIKEの設定
IPsec は、インターネット鍵交換(IKE)プロトコルを使用して、IPsec ピアの認証、SA(セキュリティ アソシエーション)設定のネゴシエート、IPsec 鍵の交換を行います。IKE構成は、ピアセキュリティゲートウェイとのセキュアなIKE接続の確立に使用するアルゴリズムとキーを定義します。
IPsec IKE のデバッグと管理のために IKE トレースオプションを構成できます。
IKE トレースオプションを構成するには、以下の手順を実行します。
1つ以上のIKEプロポーザルを設定できます。各プロポーザルは、IKEホストとそのピア間のIKE接続を保護するためのIKE属性のリストです。
IKEプロポーザルを設定するには、以下の手順を実行します。
IPsec IKEプロポーザルの認証方法として、事前共有キーを設定します。
メモ:ネットワーク内のセキュアな通信に IPsec を設定する場合、ネットワーク内のピア デバイスには、少なくとも 1 つの共通認証方法が必要です。設定された認証方法の数に関係なく、1組のデバイス間で使用できる認証方法は1つだけです。
root@host# set security ike proposal ike-proposal-name authentication-method pre-shared-keys
IKEプロポーザルのDiffie-Hellmanグループ(dh-group)を定義します。
root@host# set security ike proposal ike-proposal-name dh-group group14
IKEプロポーザルの認証アルゴリズムを設定します。
root@host# set security ike proposal ike-proposal-name authentication-algorithm sha-256
IKEプロポーザルの暗号化アルゴリズムを定義します。
root@host# set security ike proposal ike-proposal-name encryption-algorithm aes-256-cbc
IKEプロポーザルのライフタイムを秒単位で設定します。
root@host# set security ike proposal ike-proposal-name lifetime-seconds 180 to 86400 seconds
1つ以上のIKEプロポーザルを設定した後、これらのプロポーザルをIKEポリシーに関連付ける必要があります。IKEポリシーは、IKEネゴシエーション中に使用するセキュリティパラメーター(IKEプロポーザル)の組み合わせを定義します。これは、ピアアドレスとその接続に必要なプロポーザルを定義します。どの認証方法を使用するかに応じて、指定されたピアの事前共有鍵を定義します。IKE ネゴシエーション中に、IKE は両方のピアで同じ IKE ポリシーを探します。ネゴシエーションを開始するピアは、すべてのポリシーをリモートピアに送信し、リモートピアが一致を見つけようとします。
IKEポリシーを設定するには、以下の手順を実行します。
第1フェーズモードでIKEポリシーを定義します。
root@host# set security ike policy ike-policy-name mode aggressive
IKEプロポーザルのセットを定義します。
root@host# set security ike policy ike-policy-name proposals proposal-name
IKEの事前共有キーを定義します。
root@host# set security ike policy ike-policy-name pre-shared-key ascii-text text-format
ファイアウォールとセキュリティ デバイス間のネットワーク接続を開始および終了するように IKE ゲートウェイを構成します。
IKEゲートウェイを設定するには、以下の手順を実行します。
IKEポリシーでIKEゲートウェイを設定します。
root@host# set security ike gateway gateway-name ike-policy ike-policy-name
ピアのアドレスまたはホスト名を使用してIKEゲートウェイを設定します。
メモ:デアモンが IKED デーモンの場合、NFX350 デバイスでは複数の IKE ゲートウェイ アドレスの冗長性はサポートされていません。この機能は、KMDデーモンのみがサポートしています。
root@host# set security ike gateway gateway-name address address-or-hostname-of-peer
デッドピア検出(DPD)機能を有効にして、DPDメッセージを定期的に送信します。
root@host# set security ike gateway gateway-name dead-peer-detection always-send
ローカルIKE IDを設定します。
root@host# set security ike gateway gateway-name local-identity <inet | inet6 | key-id | hostname | user-at-hostname | distinguished-name>
リモートIKE IDを設定します。
root@host# set security ike gateway gateway-name remote-identity <inet | inet6 | key-id | hostname | user-at-hostname | distinguished-name>
IKEネゴシエーション用の外部インターフェイスを設定します。
root@host# set security ike gateway gateway-name external-interface ge-1/0/1.0
クライアントのユーザー名を設定します。
root@host# set security ike gateway gateway-name client username client-username
クライアントのパスワードを設定します。
root@host# set security ike gateway gateway-name client password client-password
セキュリティIPsecの設定
IPsec は、ネットワークレベルのデータ整合性、データ機密性、データ送信元の認証、再生からの保護を提供する関連プロトコル スイートです。IPsec は、メディアの複雑な組み合わせで実行されるあらゆるメディアまたはアプリケーション プロトコルの混合で、IP 上で実行されるあらゆるプロトコルを保護できます。
リモートIPsecピアとネゴシエートされるプロトコルとアルゴリズムまたはセキュリティサービスをリストするIPsecプロポーザルを設定します。
IPsecプロポーザルを設定するには、以下の手順を実行します。
1つ以上のIPsecプロポーザルを設定した後、これらのプロポーザルをIPsecポリシーに関連付ける必要があります。IPsecポリシーは、IPsecネゴシエーション中に使用されるセキュリティパラメーター(IPsecプロポーザル)の組み合わせを定義します。Perfect Forward Secrecy(PFS)と接続に必要なプロポーザルを定義します。IPsecネゴシエーション中に、IPsecは両方のピアで同じプロポーザルを検索します。ネゴシエーションを開始するピアは、すべてのポリシーをリモートピアに送信し、リモートピアが一致を見つけようとします。
IPsecポリシーを設定するには、以下の手順を実行します。
ポリシーには、IPsecポリシー、完全転送機密保持、およびDiffie-Hellmanグループを定義します。
root@host# set security ipsec policy ipsec-policy-name perfect-forward-secrecy keys group14
ポリシーのIPsecプロポーザルのセットを定義します。
root@host# set security ipsec policy ipsec-policy-name proposals proposal-name
IPsec仮想プライベートネットワーク(VPN)を設定し、インターネットなどのパブリックWANを介してリモートコンピューター間で安全に通信する手段を提供します。VPN接続は、2つのLAN(サイト間VPN)またはリモートダイヤルアップユーザーとLANをリンクできます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを通過します。WANを通過中のVPN通信を保護するために、2人の参加者はIPsecトンネルを作成します。詳細については、 IPsec VPNの概要を参照してください。
IPsec VPNを設定するには、以下の手順を実行します。
IPsec VPN の IKE ゲートウェイを定義します。
root@host# set security ipsec vpn vpn-name ike gateway remote-gateway-name
IPsec VPNのIPsecポリシーを定義します。
root@host# set security ipsec vpn vpn-name ike ipsec-policy ipsec-policy-name
IPsec VPNのローカルトラフィックセレクターを定義します。
root@host# set security ipsec vpn vpn-name traffic-selector traffic-selector-name local-ip local-traffic-selector-ip-address
IPsec VPNのリモートトラフィックセレクターを定義します。
root@host# set security ipsec vpn vpn-name traffic-selector traffic-selector-name remote-ip remote-traffic-selector-ip-address
IPsec VPN トンネルを確立するための条件を定義します。
root@host# set security ipsec vpn vpn-name establish-tunnels on-traffic
セキュリティ ポリシーの設定
セキュリティポリシーは、指定されたIPソースから指定されたIP宛先に対してスケジュールされた時間に許可されるトラフィックの種類を定義することで、あるゾーンから別のゾーンへのトラフィックフローを制御します。ポリシーにより、あるセキュリティ ゾーンから別のセキュリティ ゾーンに通過しようとするトラフィックの拒否、許可、拒否、暗号化、復号化、認証、優先順位付け、スケジュール、フィルタリング、監視が可能です。どのユーザーを、どのデータを出入りできるか、いつ、どこに移動できるかを決めることができます。
セキュリティ ポリシーを設定するには、次の手順を実行します。
セキュリティ ゾーンの設定
セキュリティ ゾーンは、ポリシーの構成要素です。これらは、1 つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティ ゾーンは、ホストのグループ(ユーザー システムとサーバーなど、その他のホスト)とそのリソースを相互に区別して、異なるセキュリティ対策を適用する手段を提供します。詳細については、「 セキュリティ ゾーンについて」を参照してください。
セキュリティ ゾーンを設定するには、次の手順を実行します。