グループVPNv2

グループ VPNv2 の GDOI プロトコルについて

グループVPNv2は、RFC 6407、 GDOI( 解釈のグループドメイン )に基づいています。この RFC では、グループ メンバー間で SA を確立するグループ メンバーとグループ サーバー間のプロトコルについて説明します。GDOIメッセージは、デバイスグループのSAを作成、維持、または削除します。グループVPNv2は、vSRX仮想ファイアウォールインスタンスと、SRX5400、SRX5600、SRX5800デバイスを除くすべてのSRXシリーズファイアウォールでサポートされています。

GDOIプロトコルはUDPポート848で動作します。インターネットセキュリティアソシエーションとキー管理プロトコル(ISAKMP)は、IKE IPsecトンネルのSAを確立するための2つのネゴシエーションフェーズを定義します。フェーズ 1 では、2 つのデバイスが GDOI などの他のセキュリティ プロトコルに対して ISAKMP SA を確立できます。

グループ VPNv2 では、グループ サーバーとグループ メンバー間でフェーズ 1 ISAKMP SA ネゴシエーションが実行されます。サーバーとメンバーは、同じ ISAKMP ポリシーを使用する必要があります。サーバーとメンバー間のGDOI交換は、他のグループ・メンバーと共有される SA を確立します。グループ メンバーは、他のグループ メンバーと IPsec をネゴシエートする必要はありません。GDOI 交換 は、ISAKMP フェーズ 1 SA で保護する必要があります。

GDOI 交換には 2 種類あります。

• この交換により、メンバーは groupkey-pull 、グループによって共有された SA と鍵をサーバーから要求できます。グループ メンバーは、Exchange を介してグループ サーバーに登録する groupkey-pull 必要があります。

• groupkey-push交換は、既存のグループ SA が期限切れになる前にサーバーがグループ SA とキーをメンバーに送信できるようにする単一の鍵更新メッセージです。キー更新メッセージは、サーバーからメンバーに送信される未承諾メッセージです。

グループ VPNv2 サーバーとメンバーについて

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 のデバイスおよび vSRX 仮想ファイアウォール インスタンスでサポートされています。グループVPNv2の中心は、グループコントローラ/キーサーバー(GCKS)です。サーバークラスターを使用してGCKSの冗長性を提供できます。

GCKSまたはグループサーバーは、以下のタスクを実行します。

• グループメンバーシップを制御します。

• 暗号化キーを生成します。

• 新しいグループ SA とキーをメンバーに送信します。グループ メンバーは、グループ SA とグループ サーバーによって提供されるキーに基づいてトラフィックを暗号化します。

グループ サーバーは、複数のグループにサービスを提供できます。1 台のセキュリティ デバイスを複数のグループのメンバーにできます。

各グループは、1~4,294,967,295の数字であるグループ識別子で表されます。グループ サーバーとグループ メンバーは、グループ識別子によって一緒にリンクされます。グループごとに1つのグループ識別子しか持つことができず、複数のグループが同じグループ識別子を使用することはできません。

グループVPNv2サーバーとメンバーアクションの概要を以下に示します。

1. グループ サーバーは、メンバーの登録を UDP ポート 848 でリッスンします。

2. グループ サーバーに登録するには、まずメンバーがサーバーに IKE SA を確立します。メンバーデバイスは、グループに参加するために正しいIKEフェーズ1認証を提供する必要があります。メンバー単位での事前共有鍵認証がサポートされています。

3. 認証と登録に成功すると、メンバーデバイスは、GDOI groupkey-pull 交換を使用してサーバーから、指定されたグループ識別子のグループSAとキーを取得します。

4. サーバーは、グループのメンバーシップにメンバーを追加します。

5. グループメンバーは、グループSAキーで暗号化されたパケットを交換します。

サーバーは、キー更新(GDOI groupkey-push)メッセージを含むグループ メンバーに SA と鍵更新を送信します。サーバーは、SAの期限が切れる前にキー更新メッセージを送信し、グループメンバー間のトラフィックを暗号化するために有効なキーを使用できるようにします。

サーバーから鍵更新メッセージが送信された場合、各グループ メンバーからの確認メッセージ(ack)が必要です。サーバーがメンバーから ack メッセージを受信しない場合、キー更新メッセージは構成済 retransmission-period みで再送信されます(デフォルトは 10 秒です)。構成 number-of-retransmission 後にメンバーからの返信がない場合(デフォルトは2回)、そのメンバーはサーバーの登録済みメンバーから削除されます。サーバーとメンバー間のIKE SAも削除されます。

また、サーバーは、グループSAが変更されたときに新しいキーをメンバーに提供するために、キー更新メッセージを送信します。

グループVPNv2の制限について

グループVPNv2サーバーは、RFC 6407、 GDOI(解釈のグループドメイン)をサポートするグループVPNv2メンバーでのみ動作します。

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 のデバイスおよび vSRX 仮想ファイアウォール インスタンスでサポートされています。このリリースのグループ VPNv2 では、以下はサポートされていません。

• Snmp。

• Cisco GET VPN サーバーからポリシーを拒否します。

• フェーズ 1 IKE 認証の PKI サポート。

• グループサーバーとメンバーのコロケーションが、同一の物理デバイスにサーバー機能とメンバー機能を共存させる。

• シャーシ クラスタとして設定されたグループ メンバー。

• 設定と監視用の J-Web インターフェイス。

• マルチキャスト データ トラフィック。

グループVPNv2は、NATが使用されているインターネット全体など、IPアドレスを保持できない導入環境ではサポートされていません。

グループ VPNv2 サーバーメンバー通信について

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 のデバイスおよび vSRX 仮想ファイアウォール インスタンスでサポートされています。サーバー・メンバー通信により、サーバーは GDOI groupkey-push (キー更新) メッセージをメンバーに送信できます。サーバー・メンバー通信がグループに対して構成されていない場合、メンバーは GDOI groupkey-pull メッセージを送信してサーバーに登録して再登録できますが、サーバーはメンバーにメッセージを送信 groupkey-push できません。

サーバーメンバー通信は、構成 server-member-communication ステートメント を [edit security group-vpn server] 階層で使用してグループに対して設定されます。以下のオプションを定義できます。

• サーバーへのメンバーの認証に使用される認証アルゴリズム(sha-256 または sha-384)。デフォルトのアルゴリズムはありません。

• サーバーとメンバー間の通信に使用される暗号化アルゴリズム。aes-128-cbc、aes-192-cbc、または aes-256-cbc を指定できます。デフォルトのアルゴリズムはありません。

• グループ メンバーに送信されるキー更新メッセージのユニキャスト通信タイプ。

• 鍵暗号化キー(KEK)の有効期間。デフォルトは3600秒です。

• グループ・サーバーが応答なしでグループ・メンバーにメッセージを再送信 groupkey-push する回数(デフォルトは 2 回)と再送信間隔(デフォルトは 10 秒)の回数。

グループのサーバー・メンバー通信が構成されていない場合、 コマンドによって show security group-vpn server registered-members 表示されるメンバーシップ・リストには、サーバーに登録されたグループ・メンバーが表示されます。メンバーはアクティブかどうかが分かります。グループのサーバー・メンバー通信が構成されている場合、グループ・メンバーシップ・リストはクリアされます。ユニキャスト通信タイプの場合、 コマンドは show security group-vpn server registered-members アクティブなメンバーのみを表示します。

グループVPNv2の主な運用について

このトピックには、以下のセクションが含まれています。

• グループキー
• キー更新メッセージ
• メンバー登録

グループ サーバーに設定されたグループ ポリシー

VPNグループでは、サーバーがメンバーにプッシュする各グループSAとキーがグループポリシーに関連付けられます。グループ ポリシーは、プロトコル、送信元アドレス、送信元ポート、宛先アドレス、宛先ポートなど、キーを使用する必要があるトラフィックを説明します。サーバーでは、[]階層レベルの match-policy policy-name オプションでグループポリシーがedit security group-vpn server group name ipsec-sa name設定されます。

同一のグループ ポリシー(同じ送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコル値で設定)は、1 つのグループには存在できません。グループに対して同一のグループポリシーを含む設定をコミットしようとすると、エラーが返されます。これが発生した場合、設定をコミットする前に、同一のグループポリシーのいずれかを削除する必要があります。

グループ メンバーに設定された IPsec ポリシー

グループ メンバーの IPsec ポリシーは、以下の情報で構成されています。

• グループ トラフィックの受信ゾーン(from-zone)

• グループ トラフィックの送信ゾーン(to-zone)

• IPsec ポリシーが適用されるグループの名前。特定の from-zone/to-zone ペアによって参照できるグループ VPNv2 名は 1 つだけです。

グループメンバーがグループVPNv2に接続するために使用するインターフェイスは、発信ゾーンに属している必要があります。このインターフェイスは、[edit security group-vpn member ipsec vpn vpn-name]階層レベルの group-vpn-external-interface ステートメントで指定されます。

グループ メンバーでは、[] 階層レベルでedit security ipsec-policy IPsec ポリシーが設定されます。IPsecポリシーに一致するトラフィックは、グループに対して設定された除外ルールとフェイルオープンルールに対してさらにチェックされます。

フェイルクローズ

デフォルトでは、一致しないトラフィックは、グループ サーバーから受信したルールまたは不合格ルールまたはグループ ポリシーがブロックされます。これは フェイルクローズと呼ばれます。

除外ルールと不合格ルール

グループ メンバーでは、各グループに対して以下のタイプのルールを構成できます。

• VPN 暗号化から除外されるトラフィック。このタイプのトラフィックの例には、BGP または OSPF ルーティング プロトコルが含まれます。トラフィックをグループから除外するには、設定を使用します set security group-vpn member ipsec vpn vpn-name exclude rule 。最大 10 個の除外ルールを設定できます。

• お客様の運用に不可欠なトラフィックで、グループ メンバーが IPsec SA 用の有効なトラフィック暗号化キー(TEK)を受信していない場合は、暗号化せずに平文で送信する必要があります。フェイルオープン ルールは、他のすべてのトラフィックがブロックされている間、このトラフィック フローを許可します。設定でフェイルオープンを set security group-vpn member ipsec vpn vpn-name fail-open rule 有効にします。最大10個のフェイルオープンルールを設定できます。

IPsec ポリシーとルールの優先度

IPsec ポリシーとルールには、グループ メンバーに以下の優先度があります。

1. VPN 暗号化から除外するトラフィックを定義するルールを除外します。

2. グループ サーバーからダウンロードされたグループ ポリシー。

3. SA に有効な TEK がない場合、平文で送信されるトラフィックを定義するフェイルオープン ルール。

4. トラフィックをブロックするフェイルクローズ ポリシー。これは、トラフィックが除外ルールまたはフェイルオープンルールまたはグループポリシーに一致しない場合のデフォルトです。