IPsecセキュリティ アソシエーションの設定
ES PIC の手動 IPsec セキュリティ アソシエーションの設定
IPsec セキュリティ サービスを使用するには、ホスト間にセキュリティ アソシエーション(SA)を作成します。SA は、2 つのホストが IPsec によって安全に相互に通信できるようにするシンプレックス接続です。SA には、手動と動的の 2 種類があります。
手動 SA にはネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。その結果、ピアは、すべてが同じ設定済みオプションを共有している場合にのみ通信できます。
ES PICに手動IPsec SAを設定するには、編集セキュリティipsecセキュリティアソシエーションsa-name]階層レベルで手動ステートメントを含めます。
[edit security ipsec security-association sa-name] manual { direction (inbound | outbound | bi-directional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spiauxiliary-spi-value; encryption { algorithm (des-cbc | 3des-cbc); key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; } }
手動SAを設定するタスクは次のとおりです。
- 処理方向の設定
- 手動SAのプロトコルの設定
- セキュリティ パラメータ インデックスの設定
- 補助セキュリティ パラメータ インデックスの設定
- 認証アルゴリズムとキーの設定
- 暗号化アルゴリズムとキーを構成する
処理方向の設定
direction ステートメントは、インバウンドとアウトバウンドの IPsec 処理を設定します。方向ごとに異なるアルゴリズム、キー、またはセキュリティ パラメーター インデックス (SPI) 値を定義する場合は、インバウンド オプションとアウトバウンド オプションを構成します。両方向に同じ属性が必要な場合は、双方向オプションを使用します。
IPsec 処理の方向を設定するには、 direction ステートメントを含め、[ edit security ipsec security-association sa-name manual] 階層レベルで方向を指定します。
[edit security ipsec security-association sa-name manual] direction (inbound | outbound | bidirectional);
次の例は、インバウンド処理方向とアウトバウンド処理方向に対して異なるアルゴリズム、キー、およびセキュリティー・パラメーター・インデックス値を定義する方法を示しています。
[edit security ipsec security-association sa-name] manual { direction inbound { encryption { algorithm 3des-cbc; key ascii-text 23456789012345678901234; } protocol esp; spi 16384; } direction outbound { encryption { algorithm 3des-cbc; key ascii-text 12345678901234567890abcd; } protocol esp; spi 24576; } }
次の例は、双方向処理に対して同じアルゴリズム、キー、およびセキュリティ パラメーターのインデックス値を定義する方法を示しています。
[edit security ipsec security-association sa-name manual] direction bidirectional { authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } protocol ah; spi 20001; }
手動SAのプロトコルの設定
IPsec は、カプセル化セキュリティ ペイロード(ESP)と認証ヘッダー(AH)という 2 つのプロトコルを使用して IP トラフィックを保護します。トランスポート モード SA では、ESP と AH の両方がサポートされます。強力な認証には、AH プロトコルが使用されます。 バンドル オプションは、AH認証とESP暗号化を使用します。AH は IP パケットの認証を強化するため、ESP 認証は使用されません。
AHプロトコルは、M Seriesルーターでのみサポートされています。
ES PIC で IPsec プロトコルを設定するには、edit security ipsec security-associationsa-name手動方向(インバウンド | アウトバウンド | 双方向)]階層レベルでプロトコルステートメントを含め、ah、bundle、またはespオプションを指定します。
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] protocol (ah | bundle | esp);
セキュリティ パラメータ インデックスの設定
SPI は、受信ホストで使用する SA を一意に識別する任意の値です。送信ホストは、SPI を使用して、すべてのパケットのセキュリティ保護に使用する SA を識別して選択します。受信ホストは、SPI を使用して、パケットの暗号化解除に使用される暗号化アルゴリズムと鍵を識別して選択します。
各手動SAには、固有のSPIとプロトコルの組み合わせが必要です。
バンドルオプションを使用するようにプロトコルステートメントを設定する場合は、補助SPIを使用します。
ES PICでSPIを設定するには、 spi ステートメントを含め、[ edit security ipsecセキュリティアソシエーション sa-name 手動方向(インバウンド | アウトバウンド | 双方向)] 階層レベルで値(256〜16,639)を指定します。
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] spi spi-value;
補助セキュリティ パラメータ インデックスの設定
バンドル オプションを使用するようにプロトコル ステートメントを設定すると、Junos OS は ESP に補助 SPI を、AH に SPI を使用します。
各手動SAには、固有のSPIとプロトコルの組み合わせが必要です。
補助 SPI を設定するには、[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] 階層レベルで auxiliary-spi ステートメントを含め、値を 256 から 16,639 までの整数に設定します。
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] auxiliary-spi auxiliary-spi-value;
認証アルゴリズムとキーの設定
認証アルゴリズムとキーを設定するには、[edit security ipsec security-associationsa-name手動方向(インバウンド | アウトバウンド | 双方向)] 階層レベルで認証ステートメントを含めます。
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); }
アルゴリズムは次のいずれかになります。
hmac-md5-96:パケット データを認証するハッシュ アルゴリズム。128 ビットのオーセンティケータ値と 96 ビットのダイジェストが生成されます。
hmac-sha1-96:パケット データを認証するハッシュ アルゴリズム。160 ビットのオーセンティケーター値と 96 ビットのダイジェストが生成されます。
キーは次のいずれかです。
ASCII テキスト key- ASCII テキスト キー。 hmac-md5-96 オプションを使用すると、キーに次のものが含まれます。
16 文字の ASCII 文字。 hmac-sha1-96 オプションを使用すると、キーに 20 文字の ASCII 文字が含まれます。
16 進数の key- 16 進数のキー。 hmac-md5-96 オプションを使用すると、キーには 32 個の 16 進文字が含まれます。 hmac-sha1-96 オプションを使用すると、キーには 40 個の 16 進文字が含まれます。
暗号化アルゴリズムとキーを構成する
IPsec暗号化を設定するには、 暗号化 ステートメントを含め、[ 編集セキュリティipsecセキュリティアソシエーション sa-name 手動方向(インバウンド|アウトバウンド|双方向)] 階層レベルでアルゴリズムとキーを指定します。
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] encryption { algorithm (des-cbc | 3des-cbc); key (ascii-text key | hexadecimal key); }
アルゴリズムは次のいずれかになります。
des-cbc:ブロックサイズが8バイトの暗号化アルゴリズム。そのキー サイズは 64 ビット長です。
3des-cbc:ブロックサイズが24バイトの暗号化アルゴリズム。そのキー サイズは 192 ビット長です。
手記:データ暗号化標準 (DES) 暗号化アルゴリズムの弱い鍵と半弱い鍵のリストについては、RFC 2409 を参照してください。 3des-cbc の場合、最初の 8 バイトを 2 番目の 8 バイトと同じにせず、2 番目の 8 バイトを 3 番目の 8 バイトと同じにすることをお勧めします。
キーは次のいずれかです。
ASCII テキスト - ASCII テキスト キー。 des-cbc オプションを使用すると、キーには 8 文字の ASCII 文字が含まれます。 3des-cbc オプションを使用すると、キーに 24 文字の ASCII 文字が含まれます。
16 進数 - 16 進数のキー。 des-cbc オプションを使用すると、キーには 16 個の 16 進文字が含まれます。 3des-cbc オプションを使用すると、キーには 48 個の 16 進文字が含まれます。
手記:AH プロトコルを使用する場合、暗号化を設定できません。
関連項目
動的 IPsec セキュリティ アソシエーションの設定
動的 SAは、セキュリティー・ゲートウェイによってネゴシエーションされた一連のプロポーザルを使用して構成します。キーはネゴシエーションの一部として生成され、構成で指定する必要はありません。動的 SA には 1 つ以上のプロポーザルが含まれており、これによってピアとネゴシエートするプロトコルやアルゴリズムのリストに優先順位を付けることができます。
動的SAを設定するには、[edit security ipsec security-associationsa-name]階層レベルで動的ステートメントを含めます。IPsec ポリシー名と、オプションで 32 パケットまたは 64 パケットのリプレイ ウィンドウ サイズを指定します。
[edit security ipsec security-association sa-name] dynamic { ipsec-policy policy-name; replay-window-size (32 | 64); }