Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

FIPS モードの IPsec の設定

FIPS モードでの Junos OS 向けルーティング エンジン間の内部通信を可能にする IPsec の設定

FIPS モード環境の Junos OS では、2 つのルーティング エンジンを備えたルーターは、ルーティング エンジン間の内部通信に IPsec を使用する必要があります。FIPS モードで Junos OS をインストールした後に、内部 IPsec を設定します。内部 IPsec を設定するには、暗号化オフィサーである必要があります。

メモ:

FIPS モードでは、Junos OS で DES ベースの IPsec SA を設定することはできません。内部 IPsec SA は、HMAC-SHA1-96 認証と 3DES-CBC 暗号化を使用します。

手動 SA にはネゴシエーションは必要ありません。キーを含むすべての値は静的で、設定で指定されます。手動 SA は、使用する SPI 値、アルゴリズム、キーを静的に定義し、トンネルの両端で一致する設定を必要とします。各ピアには、通信を行うために同じ設定オプションが必要です。

メモ:

スイッチが FIPS モードの場合、各ルーティング エンジンで IPsec SA を確立するまで、コマンドを使用 commit synchronize できません。

暗号化オフィサーとして、各ルーティング エンジンで SA を作成し、階層レベルで次のステートメントを使用して、ルーティング エンジン間の通信用に内部 IPsec SA を [security] 設定します。

内部 IPsec を設定するには、ステートメントを security-association 階層レベルに [security] 含めます。手動 IPsec SA を適用する必要がある方向、受信ルーティング エンジンで使用する SA を一意に識別する SPI 値、手動 IPsec SA の認証キーと暗号化キーを定義する IPsec キーなどのパラメーターを設定できます。

Junos-FIPS の内部 IPsec を構成するためのタスクは次のとおりです。手動 IPsec SA を適用する必要がある方向、受信ルーティング エンジンで使用する SA を一意に識別する SPI 値、手動 IPsec SA の認証キーと暗号化キーを定義する IPsec キーを設定できます。

SA 方向の設定

IPsec トンネルの手動 SA を適用する必要がある IPsec SA 方向を設定するには、階層レベルでステートメントをdirection[security ipsec internal security-association manual]含めます。

値は、次のいずれかになります。

  • bidirectional—ルーティング エンジン間で同じ SA 値を両方向に適用します。

  • inbound—これらの SA プロパティをインバウンド IPsec トンネルにのみ適用します。

  • outbound—これらの SA プロパティを送信 IPsec トンネルにのみ適用します。

SA を双方向に設定しない場合は、インバウンド方向とアウトバウンド方向の両方で IPsec トンネルの SA パラメーターを設定する必要があります。次の例では、インバウンドおよびアウトバウンドの IPsec トンネルを使用しています。

メモ:

FIPS モードでは、IPsec キーを Junos OS の ASCII キーとして使用しないことをお勧めします。代わりに、キー強度を最大限に高める 16 進キーとして IPsec キーを使用する必要があります。

IPsec SPI の設定

SPI(セキュリティ パラメーター インデックス)は、1 組のルーティング エンジン間のセキュリティ コンテキストを識別する 32 ビット インデックスです。IPsec SPI 値を設定するには、階層レベルでspiステートメントを[security ipsec internal security-association manual direction]含めます。

値は 256~16,639 でなければなりません。

IPsec キーの設定

メモ:

FIPS モードでは、IPsec キーを Junos OS の ASCII キーとして使用しないことをお勧めします。代わりに、キー強度を最大限に高める 16 進キーとして IPsec キーを使用する必要があります。

VPN を正常に使用するには、鍵の配布と管理が不可欠です。認証および暗号化には、ASCII テキスト キー値を設定する必要があります。ASCII テキスト キーを設定するには、階層レベルで key ステートメントを [security ipsec internal security-association manual direction encryption] 含めます。

このタイプの SA では、両方のキーを事前共有された 16 進値にする必要があり、それぞれに特定の暗号化アルゴリズムが必要です。

  • 認証アルゴリズム

    • HMAC-SHA1-96(40 文字)

    • HMAC-SHA2-256(64 文字)

  • 暗号化アルゴリズム

    • 3DES-CBC(48 文字)

キーの 16 進値を 2 回入力する必要があり、入力する文字列は一致する必要があるか、キーは設定されません。16 進キーはプレーン テキストでは表示されません。FIPS モードの Junos OS の ASCII キーとしてではなく、最大キー強度の 16 進キーとして IPsec キーを使用することをお勧めします。

例:内部 IPsec の設定

SPI 値 512 と FIPS 140-2 ルールに準拠したキー値を使用して、双方向 IPsec SA を設定します。