IPsec VPN 用の IKE(インターネット鍵交換)
インターネット鍵交換バージョン 2(IKEv2)は、IPsec ベースのトンネリング プロトコルで、ピア VPN デバイス間のセキュアな VPN 通信チャネルを提供し、IPsec セキュリティ アソシエーション(SA)のネゴシエーションと認証を保護された方法で定義します。
IKE と IPsec パケット処理
IKE は、IPsec のトンネル管理機能を提供し、エンド エンティティを認証します。IKE は、Diffie-hellman(DH)鍵交換を実行して、ネットワーク デバイス間に IPsec トンネルを生成します。IKE によって生成される IPsec トンネルは、IP レイヤーのネットワーク デバイス間のユーザー トラフィックの暗号化、暗号解読、認証目的で使用されます。
IKE パケット処理
クリアテキスト パケットがトンネリングが必要なジュニパーネットワークスのデバイスに到着し、そのトンネル用のアクティブなフェーズ 2 SA が存在しない場合、Junos OS は IKE ネゴシエーションを開始し、パケットをドロップします。IP パケットヘッダー内の送信元と宛先のアドレスは、それぞれローカルおよびリモートの IKE ゲートウェイです。IP パケット ペイロードには、ISAKMP(IKE)パケットをカプセル化した UDP セグメントがあります。IKE パケットの形式は、フェーズ 1、フェーズ 2 と同じです。を参照してください 。図 1
その間に、送信元ホストは破棄されたパケットを再送しました。通常、2 つ目のパケットが到着するまでに IKE ネゴシエーションが完了し、Junos OS はパケットと、セッション内のすべての後続パケットを、転送前に IPsec で保護します。
[次のペイロード] フィールドには、以下のペイロード タイプのいずれかを示す数字が含まれています。
-
0002—SA ネゴシエーション ペイロードに、フェーズ 1 またはフェーズ 2 SA の定義が含まれています。
-
0004:プロポーザル ペイロードは、フェーズ 1 またはフェーズ 2 のプロポーザルになります。
-
0008:変換ペイロードは、SA ペイロードでカプセル化されるプロポーザル ペイロード内でカプセル化されます。
-
0010 - 鍵交換(KE)ペイロードに、DH パブリック値などの鍵交換を実行するのに必要な情報が含まれています。
-
0020 - 識別(IDx)ペイロード。
-
フェーズ 1 では、IDii はイニシエーター ID を示し、IDir はレスポンダ ID を示します。
-
フェーズ 2 では、IDui はユーザー イニシエーターを示し、IDur はユーザー レスポンダを示します。
ID は、FQDN、U-FQDN、IP アドレス、ASN.1_DN などの IKE ID のタイプです。
-
-
0040:証明書(CERT)ペイロード。
-
0080:証明書要求(CERT_REQ)ペイロード。
-
0100:ハッシュ(HASH)ペイロードに、特定のハッシュ関数のダイジェスト出力が含まれています。
-
0200:署名(SIG)ペイロードにデジタル署名が含まれています。
-
0400—Nonce(Nx)ペイロードには、交換に必要な擬似情報が含まれています。
-
0800:通知ペイロード。
-
1000 - ISAKMP 削除ペイロード。
-
2000 - ベンダー ID(VID)ペイロードをフェーズ 1 ネゴシエーションの任意の場所に含めることができます。Junos OS はこれを使用して、NAT-T 向けのサポートをマークします。
図 2 に示すように、各 ISAKMP ペイロードは、同じ汎用ヘッダーから開始します。
複数の ISAKMP ペイロードをチェーン化し、後続の各ペイロード タイプを [次のヘッダー] フィールドの値で示すことができます。の値 は、最後の ISAKMP ペイロードを示します。0000 例については、図 3 を参照してください。
IPsec パケット処理
IKE ネゴシエーションが完了し、2 つの IKE ゲートウェイがフェーズ 1、フェーズ 2 の SA(セキュリティ アソシエーション)を確立した後、後続のすべてのパケットがトンネルを使用して転送されます。フェーズ 2 SA がトンネル モードで ESP(セキュリティ プロトコルのカプセル化)を指定すると、パケットは に示すようになります 。図 4デバイスによって、開始側ホストが送信する元のパケットに 2 つのヘッダーが追加されます。
図 4 に示すように、開始側ホストが構築するパケットには、ペイロード、TCP ヘッダー、および内部 IP ヘッダー(IP1)が含まれています。
Junos OS が追加するルーター IP ヘッダー(IP2)には、宛先 IP アドレスとしてリモート ゲートウェイの IP アドレスが、送信元 IP アドレスとしてローカル ルーターの IP アドレスが含まれています。また、Junos OS は、外部と内部の IP ヘッダー間に ESP ヘッダーを追加します。ESP ヘッダーには、リモート ピアがパケット受信時に適切に処理できるようにするための情報が含まれています。これについては、図 5 を参照してください。
[次のヘッダー] フィールドは、[ペイロード] フィールド内のデータのタイプを示しています。トンネル モードではこの値は 4 で、ペイロード内に IP パケットが含まれていることを示します。「図 6」を参照してください。
Junos OS における IKE の概要
IKE は、インターネットなどのセキュリティで保護されていないメディアを介して、暗号化および認証用のキーを安全に交換する方法を提供します。IKEにより、一対のセキュリティ・ゲートウェイで以下のことが可能になります。セキュリティゲートウェイがトンネルと鍵情報を交換できるセキュアなトンネルを動的に確立します。トンネル属性のネゴシエーションや鍵管理など、ユーザーレベルのトンネルまたは SA を設定します。これらのトンネルは、同じセキュア チャネル上で更新および終了することもできます。IKE は Diffie-Hellman 方式を採用しており、IPsec ではオプションです(共有鍵はエンドポイントで手動で入力できます)。
IKEv2 では、以下をサポートしています。
ルートベース VPN
サイトツーサイト VPN
デッドピア検出。
シャーシ クラスタ
事前共有キー認証
証明書ベースの認証。
子 SA。IKEv2 の子 SA は、IKEv1 ではフェーズ 2 SA として知られています。IKEv2 では、基になる IKE SA なしでは子 SA は存在できません。
AutoVPN
動的エンドポイント VPN
EAP は、IKEv2 を使用したリモート アクセスでサポートされています。
トラフィック セレクター。
IKEv2 は、以下の機能をサポートしていません。
ポリシーベースの VPN
VPN監視。
IP ペイロード圧縮プロトコル(IPComp)。
Junos OS での IKEv2 の設定
VPN ピアは、IKEv1 または IKEv2 のいずれかに構成されます。ピアが IKEv2 として構成されている場合、リモート ピアが IKEv1 のネゴシエーションを開始しても、IKEv1 にフォールバックすることはできません。デフォルトでは、ジュニパーネットワークスのセキュリティデバイスはIKEv1ピアです。
IKEv2を設定するには、構成ステートメントを [] 階層レベルで使用します。version v2-onlyedit security ike gateway gw-name
IKEバージョンは、 および CLI操作コマンドの出力に表示されます。show security ike security-associationsshow security ipsec security-associations
ジュニパーネットワークス デバイスは、フェーズ 2 ネゴシエーションの最大 4 つのプロポーザルをサポートします。これにより、受け入れるトンネル パラメーターの範囲をどのくらい制限するかを指定できます。Junos OS は、定義済みの標準、互換、基本フェーズ 2 のプロポーザル セットを提供します。カスタムフェーズ2プロポーザルを定義することもできます。
IKEv2 構成ペイロードについて
構成ペイロードは、応答側から開始側へのプロビジョニング情報の伝送用に提供されるインターネット鍵交換バージョン 2(IKEv2)オプションです。IKEv2 構成ペイロードは、ルートベース VPN でのみサポートされます。
RFC 5996、 インターネット鍵交換プロトコル バージョン 2(IKEv2)では、応答側が開始側に返すことのできる 15 種類の構成属性が定義されています。 は、SRXシリーズファイアウォールでサポートされるIKEv2設定属性について説明しています。表 1
|
属性タイプ |
値 |
説明 |
長さ |
|---|---|---|---|
|
INTERNAL_IP4_ADDRESS |
1 |
内部ネットワーク上のアドレスを指定します。複数の内部アドレスを要求できます。レスポンダは、要求されたアドレス数まで送信できます。 |
0 または 4 オクテット |
|
INTERNAL_IP4_NETMASK |
2 |
内部ネットワークのネットマスク値を指定します。要求メッセージと応答メッセージで使用できるネットマスク値は 1 つだけ (例:255.255.255.0)、INTERNAL_IP4_ADDRESS 属性でのみ使用する必要があります。 |
0 または 4 オクテット |
|
INTERNAL_IP4_DNS |
3 |
ネットワーク内の DNS サーバーのアドレスを指定します。複数の DNS サーバーを要求できます。レスポンダは、0 個以上の DNS サーバ属性で応答できます。 |
0 または 4 オクテット |
|
INTERNAL_IP4_NBNS |
4 |
ネットワーク内の NetBIOS ネーム サーバー (NBNS) (WINS サーバーなど) のアドレスを指定します。複数の NBNS サーバーを要求できます。レスポンダーは、ゼロ以上の NBNS サーバー属性で応答できます。 |
0 または 4 オクテット |
| INTERNAL_IP6_ADDRESS |
8 |
内部ネットワーク上のアドレスを指定します。複数の内部アドレスを要求できます。レスポンダは、要求されたアドレス数まで送信できます。 |
0 または 17 オクテット |
| INTERNAL_IP6_DNS |
10 |
ネットワーク内の DNS サーバーのアドレスを指定します。複数の DNS サーバーを要求できます。レスポンダは、0 個以上の DNS サーバ属性で応答できます。 |
0 または 16 オクテット |
IKE レスポンダがイニシエーターにプロビジョニング情報を提供するには、RADIUS サーバーなどの指定されたソースから情報を取得する必要があります。プロビジョニング情報は、RADIUS サーバーを介して DHCP サーバーから返すこともできます。RADIUS サーバーでは、ユーザー情報に認証パスワードを含めないでください。RADIUS サーバー プロファイルは、[] 階層レベルの構成を使用して IKE ゲートウェイにバインドされます。aaa access-profile profile-nameedit security ike gateway gateway-name
Junos OSリリース20.3R1以降、ikedプロセスを実行しているSPC3およびvSRX仮想ファイアウォールとのSRX5000ラインで、IKEv2設定ペイロードを次のように改善しました。
-
IPv4 および IPv6 ローカル アドレス プールのサポート。ピアに固定 IP アドレスを割り当てることもできます。
IKE の確立中に、イニシエーターはレスポンダに IPv4 アドレス、IPv6 アドレス、DNS アドレス、または WINS アドレスを要求します。レスポンダーは、イニシエータの認証に成功した後、ローカルアドレスプールから、またはRADIUSサーバーを介してIPアドレスを割り当てます。設定に応じて、この IP アドレスは、ピアが接続するたびに動的に割り当てられるか、固定 IP アドレスとして割り当てられます。RADIUSサーバーがフレームプールで応答した場合、Junos OSは、対応するローカルプールから設定に基づいてIPアドレスまたは情報を割り当てます。ローカルアドレスプールとRADIUSサーバーの両方を設定した場合、RADIUSサーバーから割り当てられたIPアドレスがローカルプールよりも優先されます。ローカル IP アドレス プールを設定し、RADIUS サーバーが IP アドレスを返さなかった場合、ローカル プールは IP アドレスをリクエストに割り当てます。
-
に追加オプションが導入されました。
noneauthentication-order認証順序(アクセスプロファイル)を参照してください。authentication-order (Access Profile) -
RADIUSアカウンティングの開始および停止メッセージは、RADIUSサーバーにトンネルまたはピアの状態を通知します。これらのメッセージは、追跡目的または DHCP サーバーなどのサブシステムへの通知に使用できます。
RADIUS サーバーがアカウンティングの開始メッセージまたは停止メッセージをサポートしていることを確認します。また、SRXシリーズファイアウォールとRADIUSサーバーの両方に、これらのメッセージを追跡するための適切な設定が設定されていることを確認してください。
-
IPv6サポートの導入により、設定ペイロードを使用したデュアルスタックトンネルが可能になります。ログイン プロセス中に、IKE は IPv4 アドレスと IPv6 アドレスの両方を要求します。AAA は、要求されたすべてのアドレスが正常に割り当てられた場合にのみログインを許可します。IKE は、要求された IP が割り当てられていない場合、ネゴシエーションを終了します。
ルートベース VPN では、セキュア トンネル(st0)インターフェイスはポイントツーマルチポイントまたはポイントツーポイント モードで動作します。IKEv2 設定ペイロードを介したアドレス割り当てが、ポイントツーマルチポイントモードまたはポイントツーポイントモードでサポートされるようになりました。ポイントツーマルチポイントインターフェイスの場合、インターフェイスには番号が付けられ、設定ペイロードINTERNAL_IP4_ADDRESS属性タイプのアドレスは、関連するポイントツーマルチポイントインターフェイスのサブネットワーク範囲内である必要があります。
Junos OS リリース 20.1R1 以降、IKE ゲートウェイ設定の IKEv2 設定ペイロード要求に共通のパスワードを設定できます。1 から 128 文字の範囲の共通パスワードを使用すると、管理者は共通パスワードを定義できます。このパスワードは、SRXシリーズファイアウォールがIKEv2設定ペイロードを使用してリモートIPsecピアに代わってIPアドレスを要求するときに、SRXシリーズファイアウォールとRADIUSサーバーの間で使用されます。RADIUSサーバーは、設定ペイロード要求用のIP情報をSRXシリーズファイアウォールに提供する前に、認証情報を照合します。共通パスワードは、[] 階層レベルの 構成ステートメントを使用して構成できます。config-payload-password configured-passwordedit security ike gateway gateway-name aaa access-profile access-profile-name
SRXシリーズファイアウォールとRADIUSサーバーの両方で同じパスワードを設定し、認証プロトコルとしてパスワード認証プロトコル(PAP)を使用するようにRADIUSサーバーを設定する必要があります。これがないと、トンネルの確立は成功しません。
図 7 は、IKEv2 構成ペイロードの一般的なワークフローを示しています。
IKEv2 設定ペイロード機能は、ポイントツーマルチポイント セキュア トンネル(st0)インターフェイスとポイントツーポイント インターフェイスの両方でサポートされています。ポイントツーマルチポイントインターフェイスには番号が付けられ、設定ペイロードで提供されるアドレスは、関連するポイントツーマルチポイントインターフェイスのサブネットワーク範囲内である必要があります。
Junos OSリリース20.1R1以降、IKEv2設定ペイロード機能をサポートしており、SRX5000ライン 上のポイントツーポイントインターフェイスと ikedを実行するvSRX仮想ファイアウォールがサポートされています。
ピコセルプロビジョニングの理解
IKEv2設定ペイロードを使用して、SRXシリーズファイアウォールなどのIKEレスポンダーから、セルラーネットワーク内のLTEピコセル基地局などの複数のイニシエータにプロビジョニング情報を伝送できます。ピコセルは、SRXシリーズファイアウォールに接続できる標準構成で出荷されますが、ピコセルプロビジョニング情報は、保護されたネットワーク内の1つ以上のプロビジョニングサーバーに保存されます。pico セルは、プロビジョニング サーバーとのセキュアな接続を確立した後、完全なプロビジョニング情報を受信します。
ピコセルのブートストラップとプロビジョニング、そしてサービスへの導入に必要なワークフローには、4つの異なる段階があります。
-
初期アドレス取得 - ピコセルは、次の情報とともに工場から出荷されます。
-
SRXシリーズファイアウォールへのセキュアゲートウェイトンネルの設定
-
製造元が発行したデジタル証明書
-
保護されたネットワーク内にあるプロビジョニング サーバーの完全修飾ドメイン名 (FQDN)
ピコセルが起動し、IKEネゴシエーション に使用するアドレスをDHCPサーバーから取得します。次に、このアドレスを使用して、SRXシリーズファイアウォール上のセキュアゲートウェイへのトンネルが構築されます。保護されたネットワークで使用するために、運用、管理、および管理(OAM)トラフィックのアドレスもDHCPサーバーによって割り当てられます。
-
ピコセルのプロビジョニング:ピコセルは、割り当てられたOAMトラフィックアドレスを使用して、保護されたネットワーク内のサーバーにプロビジョニング情報(通常は事業者証明書、ライセンス、ソフトウェア、設定情報)を要求します。
再起動—ピコセルが再起動し、取得したプロビジョニング情報を使用して、サービスプロバイダのネットワークおよび運用モデルに固有の情報にします。
-
サービスプロビジョニング—ピコセルがサービスを開始すると、識別名(DN)とFQDN付きのサブジェクト代替名の値を含む単一の証明書を使用して、SRXシリーズファイアウォール上のセキュアゲートウェイへの2つのトンネルを構築します。1 つは OAM トラフィック用で、もう 1 つは第 3 世代パートナーシップ プロジェクト(3GPP)データ トラフィック用です。
関連項目
IKEプロポーザル
IKE 設定は、ピアセキュリティゲートウェイとのセキュア IKE 接続を確立するのに使用するアルゴリズムと鍵を定義します。1 つまたは複数の IKE プロポーザルを設定できます。各プロポーザルは、IKE ホストとそのピア間の IKE 接続を保護するための IKE 属性のリストです。
IKEプロポーザルを設定するには、 ステートメントを含め、[]階層レベルで名前を指定します。proposaledit security ike
IKEポリシー
IKEポリシーは、IKEネゴシエーション時に使用するセキュリティパラメータ(IKEプロポーザル)の組み合わせを定義します。ピアアドレスと、その接続に必要なプロポーザルを定義します。使用する認証方法に応じて、特定のピアの事前共有鍵またはローカル証明書が定義されます。IKE ネゴシエーション中に、IKE は両方のピアで同じ IKE ポリシーを探します。ネゴシエーションを開始したピアは、そのすべてのポリシーをリモートピアに送信し、リモートピアは一致を見つけようとします。2 つのピアの両方のポリシーに、同じ設定済み属性を含むプロポーザルがある場合、一致します。ライフタイムが同じでない場合は、(ホストとピアからの)2つのポリシー間の短い方のライフタイムが使用されます。設定された事前共有キーも、そのピアと一致する必要があります。
まず、1 つ以上の IKE プロポーザルを設定します。次に、これらのプロポーザルをIKEポリシーに関連付けます。
IKEポリシーを設定するには、 ステートメントを含め 、[] 階層レベルでポリシー名を指定します。policyedit security ike
鍵更新と再認証
概要
IKEv2 では、鍵更新と再認証は別個のプロセスです。鍵更新により、IKE セキュリティ アソシエーション(SA)用の新たな鍵が確立され、メッセージ ID カウンターがリセットされますが、ピアの再認証は行われません。再認証は、VPN ピアが認証資格へのアクセスを保持していることを確認します。再認証は、IKE SA および子 SA 用に新たな鍵を確立し、保留中の IKE SA または子 SA の鍵更新は必要なくなります。新しい IKE と子 SA が作成された後、古い IKE と子 SA が削除されます。
IKEv2 の再認証は、デフォルトでは無効になっています。再認証を有効にするには、再認証の頻度を 1~100 の値に構成します。再認証の頻度とは、再認証が行われるまでに発生する IKE 鍵更新の回数のことです。例えば、再認証の頻度を 1 として構成した場合、IKE の鍵更新のたびに再認証が行われます。再認証の頻度を 2 として構成した場合、IKE 鍵更新 2 回につき再認証が 1 回行われます。再認証の頻度を 3 として構成すると、IKE 鍵更新 3 回ごとに再認証が行われる、という具合です。
再認証の頻度は [] 階層レベルの ステートメントで設定します。reauth-frequencyedit security ike policy policy-name 再認証の頻度を 0 (デフォルト) に設定すると、再認証が無効になります。再認証の頻度はピアによってネゴシエートされず、各ピアが独自の再認証頻度値を持つことができます。
サポートされている機能
IKEv2 の再認証は、以下の機能でサポートされています。
IKEv2 イニシエーターまたはレスポンダ
デッドピア検出(DPD)
仮想ルーターと仮想ルーターのセキュア トンネル(st0)インターフェイス
ネットワーク アドレス変換トラバーサル(NAT-T)
SRX5400、SRX5600、およびSRX5800デバイス用のアクティブ-アクティブおよびアクティブ-パッシブ モードのシャーシ クラスタ
SRX5400、SRX5600、SRX5800デバイスでのISSU(インサービスソフトウェアアップグレード)
インサービスハードウェアアップグレード(ISHU)手順を使用した、新しいサービス処理ユニット(SPU)のアップグレードまたは挿入
限界
IKEv2 再認証を使用する場合は、以下の点に注意してください。
NAT-T を使用すると、以前の IKE SA とは異なるポートで新しい IKE SA を作成できます。このシナリオでは、古い IKE SA が削除されない可能性があります。
NAT-T シナリオでは、NAT デバイスの背後にあるイニシエータが、再認証後にレスポンダーになることができます。NAT セッションが期限切れになると、NAT デバイスは、別のポートに到着する可能性のある新しい IKE パケットを破棄することがあります。NAT セッションを存続させるには、NAT-T キープアライブまたは DPD を有効にする必要があります。AutoVPN の場合、スポークに設定された再認証の頻度は、ハブに設定された再認証の頻度よりも小さくすることをお勧めします。
再認証の頻度に基づいて、元のIKE SAのイニシエーターまたはレスポンダーのいずれかが新しいIKE SAを開始できます。拡張認証プロトコル(EAP)認証および構成ペイロードでは、IKE SA が元の IKE SA と同じパーティによって開始される必要があるため、EAP 認証または構成ペイロードでの再認証はサポートされません。
IKE 認証(証明書ベースの認証)
証明書認証の複数階層
認定書ベースの認証は、IKE ネゴシエーション中に SRX シリーズファイアウォールでサポートされる認証方法です。大規模なネットワークでは、複数の認証局(CA)がそれぞれのエンドデバイスにエンドエンティティ(EE)証明書を発行できます。個々の場所、部門、または組織に対して個別の CA を持つのが一般的です。
証明書ベースの認証に単一レベルの階層を使用する場合、ネットワーク内のすべての EE 証明書は、同じ CA によって署名されている必要があります。すべてのファイアウォール デバイスには、ピア証明書の検証用に同じ CA 証明書が登録されている必要があります。IKE ネゴシエーション中に送信される証明書ペイロードには、EE 証明書のみが含まれます。
または、IKE ネゴシエーション中に送信される証明書ペイロードに、EE および CA 証明書のチェーンを含めることができます。証明書 チェーン は、ピアの EE 証明書を検証するために必要な証明書のリストです。証明書チェーンには、EE 証明書と、ローカルピアに存在しない CA 証明書が含まれます。
ネットワーク管理者は、IKE ネゴシエーションに参加するすべてのピアが、それぞれの証明書チェーンに少なくとも 1 つの共通の信頼される CA を持っていることを確認する必要があります。共通の信頼された CA は、ルート CA である必要はありません。EE の証明書とチェーン内の最上位の CA を含む、チェーン内の証明書の数は 10 を超えることはできません。
Junos OSリリース18.1R1以降では、指定したCAサーバーまたはCAサーバーのグループを使用して、設定されたIKEピアを検証できます。証明書チェーンを使用する場合、ルート CA は IKE ポリシーで設定された信頼できる CA グループまたは CA サーバと一致する必要があります
に示される CA 階層 図 8の例では、ルート CA はネットワーク内のすべてのデバイスにとって共通の信頼された CA です。ルート CA は、エンジニアリング CA と販売 CA にそれぞれ Eng-CA と Sales-CA として識別される CA 証明書を発行します。Eng-CA は、開発 CA と品質保証 CA にそれぞれ Dev-CA と Qa-CA として識別される CA 証明書を発行します。ホスト A は Dev-CA から EE 証明書を受信し、ホスト B は Sales-CA から EE 証明書を受け取ります。
各エンド デバイスは、その階層内に CA 証明書をロードする必要があります。ホスト A には、ルート CA、英語 CA、および開発 CA の証明書が必要です。sales-CA および Qa-CA の証明書は必要ありません。ホスト B には、ルート CA 証明書と販売 CA 証明書が必要です。証明書は、デバイスに手動で読み込むか、簡易証明書登録プロセス(SCEP)を使用して登録できます。
各エンド デバイスには、証明書チェーン内の各 CA の CA プロファイルを設定する必要があります。以下の出力は、Host-A で構成された CA プロファイルを示しています。
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}以下の出力は、Host-B に設定された CA プロファイルを示しています。
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}関連項目
DDoS攻撃からのIKE保護
サービス拒否(DoS)は、安全でないIPsec VPNネットワークで最も一般的でありながら深刻な攻撃の1つです。DoS攻撃は、ネットワークインフラストラクチャに多くの足場を必要としないため、ネットワークをすばやく簡単に取得する方法を提供します。サイバー攻撃者は、この方法を選択してネットワークを制御します。
DoS攻撃で何が起こりますか?
攻撃者は、過剰なトラフィックでネットワークをフラッディングして徐々にクラッシュさせ、ネットワークリソースを使い果たし、メモリやCPUなどのデバイスリソースをさらに制御しようとします。攻撃者が複数のオーケストレーションされたシステムを使用して制御を試み、単一のターゲットを同期的に攻撃する場合、それは分散型DoS(DDoS)攻撃と呼ばれます。
IKE実装におけるDDoS脆弱性
リモートピア(イニシエーター)がSA_INITメッセージを送信すると、ローカルピア(レスポンダー)が応答し、メッセージ構造にメモリを割り当てます。IKE_AUTHメッセージで認証が行われるまで、このセッションを ハーフオープンIKEセッションと呼びます。ピアが IKE セキュリティ アソシエーション(SA)を確立すると、そのセッションはフルオープン IKE セッションと呼ばれます。
IKEv2 DDoSの脆弱性を理解するために、攻撃者がIKE SAに対して簡単な攻撃ベクトルを作成する方法をいくつか見てみましょう。
-
大量の SA_INIT メッセージ (IKE_AUTH メッセージなし) を送信し、攻撃者がハーフオープンの IKE セキュリティ アソシエーション構造を構築できるようにします。これにより、デバイスはリソースを利用し、メモリが不足します。
-
イニシエーターとレスポンダーにそれぞれ正しいSPI_iとSPI_rを持つ大量の迷惑IKE_AUTHパケットを送信します。これにより、パケットの暗号化解除を試行中にデバイスのメモリが不足します。
-
SA_INITパケットを連続して送信する。これにより、暗号化されたパケットのキーを生成しようとしているときに、デバイスのメモリが不足します。
-
フルオープンIKEセッション中に、毎秒大量のキー更新要求を送信します。
-
個別のメッセージ ID を持つ大量のメッセージを送信します。これにより、デバイスはすべての着信IKEメッセージをキューに入れ、メモリが不足します。
IKE実装を保護する方法
当社は、IKEv1とIKEv2の両方のプロトコルでDDoS攻撃を緩和および監視するための堅牢なインフラストラクチャを提供しています。ファイアウォールがIPsec VPNサービスのikedプロセス( パッケージ)を実行する際に、IKE実装に対する攻撃から保護することができます。junos-ike
IKEv2 の DDoS 攻撃防御の詳細については、RFC 8019 インターネット 鍵交換プロトコル バージョン 2(IKEv2)実装を分散型サービス拒否攻撃から保護するを参照してください。RFC に存在するクライアント パズル メカニズムはサポートされていません。IKEv2 DDoS 攻撃防御は RFC 8019 に基づいていますが、ファイアウォールが iked プロセスを使用して IPsec VPN サービスを実行する場合は、IKEv1 に対して同様の保護を提供します。
防御 Aの利益を得る DDoS 攻撃
IKEセキュリティアソシエーションの作成プロセス中に、DDoS攻撃に対する複数の 防御メカニズムを有効にすることができます。これらのメカニズムには、ハーフオープンIKEセキュリティアソシエーションのレート制限と保持期間の設定、およびキー更新リクエストの受信為替レートのさらなる管理が含まれます。保護を確実にするために、以下の対策を提供します。
- ハーフオープンIKE SAの場合:
-
レスポンダは、一定時間、ハーフオープンIKE SAの設定を許可しません。この制限を設定して、タイムアウト時間に達するまでレスポンダが構成しないようにすることができます。詳細については、 のオプションについては、を参照してください。session (Security IKE)
timeout -
レスポンダで許容されるハーフオープンIKE SAの最大許容限度額に設定できます。ハーフオープンIKE SAの総数が最大数に達すると、レスポンダはIKEv1とIKEv2の両方のSAの新しい接続を拒否します。詳細については、 のオプションについては、を参照してください。session (Security IKE)
max-count -
レスポンダは、半分開いているIKE SAのセッション数にしきい値を適用します。ハーフオープンIKE SAの総数がしきい値に達すると、
-
IKEv2 SAの場合、レスポンダは新しい接続に対してクッキーメカニズムを呼び出します。
-
IKEv1 SAの場合、レスポンダは新しい接続を拒否します。
詳細については、 のオプション 、 および を参照してください。session (Security IKE)
thresholdssend-cookiereduce-timeout -
-
レスポンダは、重複したセッションを破棄できます。詳細については、 のオプションについては、を参照してください。session (Security IKE)
discard-duplicate -
認証失敗フェーズと開始失敗フェーズのバックオフ タイムアウトを設定できます。詳細については、 のオプション 、 および を参照してください。session (Security IKE)
backoff-timeoutsinit-phase-failureauth-phase-failure
-
-
フルオープンIKE SAの場合:
-
最大受信キー更新要求レートを構成して、スケーリングされたシナリオで要求を調整できます。詳細については、 のオプションについては、を参照してください。session (Security IKE)
incoming-exchange-max-rates
-
-
レスポンダは、ピアIKE IDに基づいて、ピアからの着信IKEセッションをブロックできます。詳細については、を参照してください。blocklists (Security IKE)RLI41450 Review this entire topic
-
ダイナミック・ゲートウェイの場合、 オプション を使用して、IKEゲートウェイ構成レベルで接続数の制限を設定できます。
connections-limit詳細については、ゲートウェイ(セキュリティ IKE)を参照してください。/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-gateway-ike.html
これらのオプションを構成する方法の詳細については、次を参照してください: IKE DDoS 攻撃に対する保護を構成する。IKE DDoS攻撃に対する保護を構成する
以下をサポートしていません。
-
kmdプロセスに基づくIPsec VPNサービスによるDDoS攻撃防御
-
ハッシュおよびURL証明書エンコーディング攻撃に対する保護は、これらのエンコーディングタイプをサポートしていないためです。
DDoS攻撃を監視する方法
DDoS 攻撃を監視するために、以下のメカニズムを提供しています。
-
コマンドを使用して、成熟したIKEセキュリティアソシエーションと成熟していないIKEセキュリティアソシエーションをすべてリストアップします。
show security ike security-associations詳細については、 show security ike security-associationsを参照してください。/documentation/us/en/software/junos/vpn-ipsec/topics/ref/command/show-security-ike-security-associations.html -
IPsec VPNトンネルのグローバルIKE統計情報(進行中、確立済み、期限切れの統計など)を表示するには、 コマンドを使用します。
show security ike stats詳細については、 show security ike statsを参照してください。/documentation/us/en/software/junos/vpn-ipsec/topics/ref/command/show-security-ike-stats.html -
コマンドを使用して、リモート ピアとの IKE ネゴシエーションの成功の詳細を表示します。
show security ike active-peer詳細については、 show security ike active-peerを参照してください。/documentation/us/en/software/junos/vpn-ipsec/topics/ref/command/show-security-ike-active-peer.html -
コマンドを使用して、半分開いているIKE SAを含む、進行中のIKE SAの詳細を表示します。
show security ike peers in-progress詳細については、を参照してください。show security ike peersRLI41450このコマンドを使用して、ブロックされたピア、失敗したピア、およびバックオフ ピアの詳細を確認することもできます。 -
コマンドを使用して、バックオフ、ブロック、失敗、または進行中の IKE ピアをクリアします。
clear security ike peers詳細については、を参照してください。clear security ike peersRLI41450 -
以降の通信からブロックする必要があるピアとの既存のIKEセキュリティアソシエーションを削除するには、 コマンドを使用します。
clear security ike security-associations詳細については、 セキュリティ IKE セキュリティ関連付けのクリアを参照してください。/documentation/us/en/software/junos/vpn-ipsec/topics/ref/command/clear-security-ike-security-associations.html -
IKED syslog メッセージ IKE_GATEWAY_PEER_BLOCKED、 IKE_GATEWAY_PEER_BACKOFF 、および IKE_GATEWAY_PEER_FAILED は、それぞれリモート ピアとのブロック、バックオフ、 および 失敗した IKE ネゴシエーションに関する詳細を提供します。
-
セキュリティを強化するために、Junos OSは、フィルタリング、セッション数、レート制限などのパケットベースのシステム攻撃から保護するサービスをユーザーに提供します。 詳細については、show firewall コマンドおよび [] 階層レベルの ids-optionステートメントを参照してください。/documentation/us/en/software/junos/routing-policy/topics/ref/command/show-firewall-filter.html/documentation/us/en/software/junos/denial-of-service/topics/ref/statement/security-edit-ids-option.html
edit security screen ids-option screen-name
IKE DDoS攻撃に対する保護を構成する
SUMMARY IKEプロトコルに対するDDoS攻撃に対する保護を構成する方法については、このセクションを参照してください。
前提条件
IKE DDoS攻撃に対する保護を構成する前に、次の前提条件を満たしていることを確認してください。
-
ikedプロセスを使用してIPsec VPNサービスを実行するためのパッケージをサポートする SRXシリーズファイアウォール。
junos-ike -
ローカルエンドポイント(レスポンダー)として機能するSRXシリーズファイアウォールは、リモートIKEピア(イニシエーター)に到達可能です。
-
IKE ブロックリストに関連付けることができる IKE ポリシー。
IKE DDoS攻撃に対する保護の構成には、以下の アクション が含まれます。
-
受信ハーフオープンIKE SAを管理します。
-
受信するフルオープンIKE SAを管理します。
-
さまざまなピアからの着信IKEセッションをブロックし、ブロックリストの1つをIKEピアに関連付けるために、複数のブロック方法を設定します。
これらのアクションを構成するには、次のタスクを参照してください。
ハーフオープンIKE SAのIKEセッションを設定する
概要
上記の前提条件をすべて満たしていることを確認します。
このセクションでは、ハーフオープンIKE SAのタイムアウト、最大数、およびしきい値を構成する方法を説明します。設定の変更は新しいセッションに適用できますが、既存のセッションでは、以前に明示的に設定しなかった場合、引き続きデフォルト値が使用されます。[] 階層レベルでのこれらの構成の範囲は、ピアレベルではなく、グローバルレベルで適用されます。edit security ike session half-open
設定
-
オプション を使用してレスポンダのライフタイムパラメータを設定するには:
timeout seconds[edit] user@host# set security ike session half-open timeout 150
この期間中、レスポンダは、タイムアウト時間に達するまで、ハーフオープンIKE SAの構成を許可しません。イニシエータは、レスポンダーの設定に関係なく、60秒のタイムアウト期間を持ち続けることができます。
-
オプション を使用してレスポンダ最大カウントパラメータを設定するには:
max-count value[edit] user@host# set security ike session half-open max-count 1000
オプションは、レスポンダでハーフオープンIKEセッションの最大数を設定します。指定しない場合、デフォルト値は 300 です。設定は 、すべてのしきい値を無効にします。
max-countこのような場合は、しきい値を明示的に設定して適用する必要があります。 -
レスポンダーのセッション数が制限に達したときの オプション を使用して、さまざまな種類のアクションを指定します。
threshold-
オプション を使用して Cookie アクションを適用するためのハーフオープン IKE セッションの最小数を設定するには:
send-cookie count[edit] user@host# set security ike session half-open threshold send-cookie 500
これは、レスポンダが初期応答でピアに返送された Cookie を使用してセッション開始を再試行するようにリモート ピアに要求するしきい値制限を指定します。つまり、ハーフオープンIKEセッション数の制限が500に達すると、ikedプロセスは新しいIKEセッションにクッキーメカニズムを採用します。
-
オプション を使用して、タイムアウトを短縮するアクションを適用するために、ハーフオープンIKEセッションの最小数を設定するには:
reduced-timeout count timeout seconds[edit] user@host# set security ike session half-open threshold reduce-timeout 600 timeout 100
これは、iked プロセスが新しいハーフオープン IKE SA のライフタイムを短縮する制限を指定します。ハーフオープンレスポンダーIKEセッション数がしきい値を下回ると、ハーフオープンレスポンダーIKEセッションは再びデフォルトのタイムアウト値を使用します。
-
-
イニシエーターに応答を送り返さずに、重複したハーフオープンIKEセッションを破棄するために オプション を設定するには:
discard-duplicate[edit] user@host# set security ike session half-open discard-duplicate
ネゴシエーションの進行中にIKE SAがない別のイニシエーターCookieを使用して、同じピアから送信された重複したセッション開始要求(SA_INIT)の場合、レスポンダはパケットを破棄します。
-
オプション を使用して、バックオフタイムアウトを設定できます。
backoff-timeoutsこれにより、セッション開始に失敗した場合にリモート ピアがバックオフする時間が与えられ、その期間中に同じピアが新しいセッションを開始できないようになります。バックオフ タイムアウト後、ピアは新しいセッションを開始できます。セッションの開始は、初期化フェーズと認証フェーズの 2 つのフェーズで失敗する可能性があります。
-
オプション を使用して、IKE_AUTHフェーズ中に障害が発生した場合のバックオフタイムアウトを設定するには:
backoff-timeouts auth-phase-failure value[edit] user@host# set security ike session half-open backoff-timeouts auth-phase-failure 150
を設定する と、ターゲットブロックリストルールのアクションとしてバックオフを設定していない場合でも、ブロックリストに登録されているリモートピアはすべてバックオフします。
auth-phase-failureバックオフのタイムアウトは、 に設定されているタイムアウトです。auth-phase-failureこの例では、デバイスは 150 秒後に新しいセッションを開始します。特定のルールのこのバックオフ タイムアウトを上書きするには、[.backoffruleedit security ike blocklists blocklist1 rule rule-name then backoff timeout-value] hierarchy level -
オプション を使用して、SA_INITフェーズ中に障害が発生した場合にバックオフタイムアウトを設定するには:
backoff-timeouts init-phase-failure value[edit] user@host# set security ike session half-open backoff-timeouts init-phase-failure 160
この例では、デバイスは 160 秒後に新しいセッションを開始します。
-
オプション を使用してレスポンダのライフタイムパラメータを設定するには:
timeout seconds[edit] user@host# set security ike session half-open timeout 150
この期間中、レスポンダは、タイムアウト時間に達するまで、ハーフオープンIKE SAの構成を許可しません。イニシエータは、レスポンダーの設定に関係なく、60秒のタイムアウト期間を持ち続けることができます。
-
フルオープンIKE SAのIKEセッションを設定する
概要
上記の前提条件をすべて満たしていることを確認します。
このセクションでは、[] 階層レベルの オプションを使用して、フルオープンIKE SAのさまざまな着信要求レートを構成する方法を説明します。incoming-exchange-max-ratesedit security ike session full-open
設定
IKE SAの確立後にリモートピアによって開始される様々な交換の最大レートを設定するには、 オプションを設定します。incoming-exchange-max-rates IKEキー更新、IPsecキー更新、キープアライブ(デッドピア検出とも呼ばれる)の3種類の為替レートを設定できます。
-
オプション を使用して、受信ピアが開始する IKE キー更新の最大レートを設定するには:
incoming-exchange-max-rates ike-rekey value[edit] user@host# set security ike session full-open incoming-exchange-max-rates ike-rekey 200/60
このオプションは、IKE SA がすでに存在する既存のピアとのピア単位での IKEv2 キー更新に適用されます。
-
オプションを使用して、受信ピアが開始する IPsec SA のキー更新の最大レートを設定するには:
incoming-exchange-max-rates ipsec-rekey value[edit] user@host# set security ike session full-open incoming-exchange-max-rates ipsec-rekey 100/60
この制限は、トンネルごとに適用されます。
-
オプションを使用して、受信ピア開始キープアライブ最大レートを設定するには:
incoming-exchange-max-rates keepalive value[edit] user@host# set security ike session full-open incoming-exchange-max-rates keepalive 60/60
この制限は、ピアごとに適用されます。
IKEセッションブロックリストを設定する
概要
上記の前提条件をすべて満たしていることを確認します。
ピアIKE IDに基づいてピアからの着信IKEセッションをブロックするには、1つ以上のブロックリストを設定する必要があります。各ブロックリストには、1 つ以上のルールが含まれています。各ルールには、一致条件とアクションがあります。
ブロックリストを構成するときは、次の基準を考慮してください。
-
ブロックリスト ルールは、ネゴシエートされる新しい IKE SA に適用され、既存の IKE SA には影響しません。ピア認証の段階で、デバイスはブロックリスト ルールを適用します。
-
ルールの適用順序は、これらのルールがリストされている順序によって異なります。
-
ロール(イニシエーターまたはレスポンダー)、IDタイプ(IPv4またはIPv6アドレス、ホスト名、識別名、電子メールID、またはキーID)、およびIKE IDに一致する正規表現であるIDパターンに基づいて、一致条件を設定します。
-
各ルールは ID タイプで設定できます。これにより、同じブロックリスト内のルールごとに異なるIKE IDを設定できます。
-
ピア接続を破棄または拒否するアクションを設定します。一致に基づいて、デバイスはアクションを適用します。オプションで、これらのアクションでバックオフタイマーを設定できます。
-
IKEゲートウェイに関連付けられているIKEポリシーのブロックリストを参照します。
-
各 IKE ゲートウェイ は、1 種類のリモート IKE ID タイプのみをサポートします。ゲートウェイにブロックリストをアタッチし、異なるIKE IDを含むルールで構成した場合、ゲートウェイはIKE IDタイプがIKEゲートウェイ用に構成されたものと同じルールのみを適用し、一致させます。
-
IKEゲートウェイに付加されたブロックリストによるトンネル設定率メトリックは、ブロックリストで構成されたルールの数に基づいています。
このセクションでは、ブロックリストを構成し、ブロックリストをIKEポリシーに関連付ける方法を説明します。
設定
-
複数のルールでブロックリストを作成するには:
-
ブロックリストを作成します。
[edit] user@host# set security ike blocklists blocklist1 description block_from_remote
-
1 つ以上のルールを作成します。
[edit] user@host# set security ike blocklists blocklist1 rule rule1 description rule_1 user@host# set security ike blocklists blocklist1 rule rule2 description rule_2
このようなブロックリストとそのルールを複数作成できます。
-
-
一致条件を構成し、アクションを指定するには:
-
ブロックリスト の の一致条件を設定します。rule1blocklist1
[edit] user@host# set security ike blocklists blocklist1 rule rule1 match role initiator user@host# set security ike blocklists blocklist1 rule rule1 match id-type hostname user@host# set security ike blocklists blocklist1 rule rule1 match id-pattern "peer.*\.example\.net" user@host# set security ike blocklists blocklist1 rule rule2 match role initiator user@host# set security ike blocklists blocklist1 rule rule2 match id-type user-at-hostname user@host# set security ike blocklists blocklist1 rule rule2 match id-pattern "hr.example.com"
IKE IDのグループまたはIKE IDの一部を使用してブロックリストを構成するには、サフィックスまたはプレフィックスを付けて を使用します。
id-pattern valueたとえば、hr.example.com、finance.example.com、admin.example.com 一致する必要がある場合に、値 *.example.com を使用できます。ルール で、デバイスはパターン に一致するホスト名を探します。rule1peer.*\.example\.net ここでは、peer.example.net、peer.1.example.net、および peer.uplink.example.net がいくつかの潜在的な一致です。ルール では、デバイスはパターン に一致する電子メールアドレスを探します。rule2hr.example.com 同様に、異なる または に基づいて他のルールに別の一致条件を設定できます。id-typeid-patternこれらのパターンでは、標準の正規表現を使用します。 -
一致に対するアクションを指定します。
[edit] user@host# set security ike blocklists blocklist1 rule rule1 then reject user@host# set security ike blocklists blocklist1 rule rule1 then backoff 60 user@host# set security ike blocklists blocklist1 rule rule2 then discard user@host# set security ike blocklists blocklist1 rule rule2 then backoff 100
-
-
ブロックリストを IKE ピアに関連付けるには:
-
IKEポリシーでブロックリストを設定します。blocklist1ike_policy1
[edit] user@host# set security ike policy ike_policy1 blocklist blocklist1
-
例:ピア証明書チェーン検証のためのデバイスの設定
この例では、IKE ネゴシエーション中にピア デバイスの検証に使用される証明書チェーンのデバイスを設定する方法を示します。
要件
開始する前に、ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ パスワードなど) を取得します。
概要
この例では、証明書チェーン用にローカルデバイスを設定する方法、CA およびローカル証明書を登録する方法、登録された証明書の有効性を確認する方法、およびピアデバイスの失効ステータスを確認する方法を示しています。
トポロジー
に示すとおり、この例では、 図 9Host-A の設定コマンドと操作コマンドを示しています。動的 CA プロファイルがホスト A に自動的に作成され、ホスト A が Sales-CA から CRL をダウンロードして、ホスト B の証明書の失効ステータスを確認できるようになります。
この例では、フェーズ1およびフェーズ2ネゴシエーションのIPsec VPN構成をHost-Aに対して示しています。ピアデバイス(Host-B)は、フェーズ1とフェーズ2のオプションが正常にネゴシエートされ、セキュリティアソシエーション(SA)が確立されるように適切に設定する必要があります。VPN用にピアデバイスを設定する例については、 サイト間VPN用のリモートIKE IDの設定 を参照してください。
設定
証明書チェーン用にデバイスを設定するには:
CA プロファイルの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security pki ca-profile Root-CA ca-identity CA-Root set security pki ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ set security pki ca-profile Root-CA revocation-check crl set security pki ca-profile Eng-CA ca-identity Eng-CA set security pki ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ set security pki ca-profile Eng-CA revocation-check crl set security pki ca-profile Dev-CA ca-identity Dev-CA set security pki ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ set security pki ca-profile Dev-CA revocation-check crl
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
CA プロファイルを設定するには、次の手順に従います。
ルート CA の CA プロファイルを作成します。
[edit security pki] user@host# set ca-profile Root-CA ca-identity CA-Root user@host# set ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ user@host# set ca-profile Root-CA revocation-check crl
英語-CA の CA プロファイルを作成します。
[edit security pki] user@host# set ca-profile Eng-CA ca-identity Eng-CA user@host# set ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ user@host# set ca-profile Eng-CA revocation-check crl
開発 CA の CA プロファイルを作成します。
[edit security pki] user@host# set ca-profile Dev-CA ca-identity Dev-CA user@host# set ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ user@host# set ca-profile Dev-CA revocation-check crl
結果
設定モードから、show security pkiコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security pki
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Root/";
}
revocation-check {
crl ;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Eng/";
}
revocation-check {
crl ;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Dev/";
}
revocation-check {
crl ;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
証明書の登録
ステップバイステップでの手順
証明書を登録するには:
CA 証明書を登録します。
user@host> request security pki ca-certificate enroll ca-profile Root-CA
user@host> request security pki ca-certificate enroll ca-profile Eng-CA
user@host> request security pki ca-certificate enroll ca-profile Dev-CA
プロンプトで を入力して 、CA 証明書を読み込みます。yes
CA 証明書がデバイスに登録されていることを確認します。
user@host> show security pki ca-certificate ca-profile Root-CA Certificate identifier: Root-CA Issued to: Root-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-14-2012 22:19 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)user@host> show security pki ca-certificate ca-profile Eng-CA Certificate identifier: Eng-CA Issued to: Eng-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-15-2012 01:02 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)user@host> show security pki ca-certificate ca-profile Dev-CA Certificate identifier: Dev-CA Issued to: Dev-CA, Issued by: C = us, O = example, CN = Eng-CA Validity: Not before: 08-15-2012 17:41 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)登録された CA 証明書の有効性を確認します。
user@host> request security pki ca-certificate verify ca-profile Root-CA CA certificate Root-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Eng-CA CA certificate Eng-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Dev-CA CA certificate Dev-CA verified successfully
キーペアを生成します。
user@host> request security pki generate-key-pair certificate-id Host-A type rsa size 1024
ローカル証明書を登録します。
user@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA challenge-password example domain-name host-a.example.net email host-a@example.net subject DC=example,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
ローカル証明書がデバイスに登録されていることを確認します。
user@host> show security pki local-certificate Issued to: Host-A, Issued by: C = us, O = example, CN = Dev-CA Validity: Not before: 09-17-2012 22:22 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(1024 bits)登録済みのローカル証明書の有効性を確認します。
user@host> request security pki local-certificate verify certificate-id Host-A Local certificate Host-A verification success
設定済みの CA プロファイルの CRL ダウンロードを確認します。
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02
IPsec VPNオプションを設定する
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ike proposal ike_cert_prop_01 authentication-method rsa-signatures set security ike proposal ike_cert_prop_01 dh-group group5 set security ike proposal ike_cert_prop_01 authentication-algorithm sha1 set security ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc set security ike policy ike_cert_pol_01 mode main set security ike policy ike_cert_pol_01 proposals ike_cert_prop_01 set security ike policy ike_cert_pol_01 certificate local-certificate Host-A set security ike gateway ike_cert_gw_01 ike-policy ike_cert_pol_01 set security ike gateway ike_cert_gw_01 address 192.0.2.51 set security ike gateway ike_cert_gw_01 external-interface ge-0/0/1.0 set security ike gateway ike_cert_gw_01 local-identity 192.0.2.31 set security ipsec proposal ipsec_prop_01 protocol esp set security ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc set security ipsec proposal ipsec_prop_01 lifetime-seconds 300 set security ipsec policy ipsec_pol_01 proposals ipsec_prop_01 set security ipsec vpn ipsec_cert_vpn_01 bind-interface st0.1 set security ipsec vpn ipsec_cert_vpn_01 ike gateway ike_cert_gw_01 set security ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IPsec VPNオプションを設定するには、次の手順に従います。
フェーズ1のオプションを設定します。
[edit security ike proposal ike_cert_prop_01] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ike_cert_pol_01] user@host# set mode main user@host# set proposals ike_cert_prop_01 user@host# set certificate local-certificate Host-A [edit security ike gateway ike_cert_gw_01] user@host# set ike-policy ike_cert_pol_01 user@host# set address 192.0.2.51 user@host# set external-interface ge-0/0/1.0 user@host# set local-identity 192.0.2.31
フェーズ2のオプションを設定します。
[edit security ipsec proposal ipsec_prop_01] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy ipsec_pol_01] user@host# set proposals ipsec_prop_01 [edit security ipsec vpn ipsec_cert_vpn_01] user@host# set bind-interface st0.1 user@host# set ike gateway ike_cert_gw_01 user@host# set ike ipsec-policy ipsec_pol_01
結果
設定モードから、show security ike および show security ipsec コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security ike
proposal ike_cert_prop_01 {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ike_cert_pol_01 {
mode main;
proposals ike_cert_prop_01;
certificate {
local-certificate Host-A;
}
}
gateway ike_cert_gw_01 {
ike-policy ike_cert_pol_01;
address 192.0.2.51;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_prop_01 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 300;
}
policy ipsec_pol_01 {
proposals ipsec_prop_01;
}
vpn ipsec_cert_vpn_01 {
bind-interface st0.1;
ike {
gateway ike_cert_gw_01;
ipsec-policy ipsec_pol_01;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
ピアデバイス間のIKEネゴシエーション中に証明書の検証が成功すると、IKEとIPsecの両方のSA(セキュリティアソシエーション)が確立されます。
証明書が有効であれば、IKE SAはUP です。ピアデバイスで失効チェックが設定されている場合にのみ、証明書が失効するとIKE SAがDOWNし、IPSEC SAが形成されます
IKEフェーズ1ステータスの確認
目的
IKEフェーズ1ステータスを確認します。
アクション
動作モードから コマンドを入力します。show security ike security-associations
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
2090205 DOWN 285feacb50824495 59fca3f72b64da10 Main 192.0.2.51
IPsecフェーズ2ステータスの確認
目的
IPsec フェーズ 2 のステータスを確認します。
アクション
動作モードから コマンドを入力します。show security ipsec security-associations
user@host> show security ipsec security-associations
Total active tunnels: 1
ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway
<131073 ESP:3des/sha1 a4756de9 207/ unlim - root 500 192.0.2.51
>131073 ESP:3des/sha1 353bacd3 207/ unlim - root 500 192.0.2.51
失効した証明書に対する IKE および IPsec SA 障害
失効した証明書のチェック
問題点
ピア デバイス間の IKE ネゴシエーション中に証明書の検証に失敗した場合は、ピアの証明書が失効していないことを確認します。動的 CA プロファイルを使用すると、ローカル デバイスはピアの CA から CRL をダウンロードし、ピアの証明書の失効ステータスを確認できます。動的 CA プロファイルを有効にするには、 親 CA プロファイルでこのオプションを設定する必要があります。revocation-check crl
ソリューション
ピアの証明書の失効ステータスを確認するには:
動作モードから コマンドを入力して 、ピアデバイスの CRL を表示する動的 CA プロファイルを特定します。show security pki crl
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02 CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sales-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02CA プロファイル がホスト A に自動的に作成されるため、ホスト A はホスト B の CA(Sales-CA)から CRL をダウンロードし、ピアの証明書の失効ステータスを確認できます。
dynamic-001運用モードから コマンドを入力して 、動的 CA プロファイルの CRL 情報を表示します。show security pki crl ca-profile dynamic-001 detail
始める
user@host> show security pki crl ca-profile dynamic-001 detail CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sub11 Effective date: 09-19-2012 17:29 Next update: 09-20-2012 01:49 Revocation List: Serial number Revocation date 10647C84 09-19-2012 17:29 UTCホスト B の証明書 (シリアル番号 10647084) が失効しています。
IKEv2 フラグメント化
メッセージのフラグメント化
RFC 7383「 インターネット鍵交換プロトコル バージョン 2(IKEv2)メッセージ フラグメント化」で説明されているように、IKEv2 メッセージ フラグメント化により、IP フラグメントがブロックされ、ピアが IPsec セキュリティ アソシエーション(SA)を確立できないような環境でも IKEv2 を動作させることができます。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われるため、各フラグメントは別個に暗号化および認証されます。受信側でフラグメントの収集、検証、復号化、統合が実行されて元のメッセージになります。
IKEv2 フラグメント化が発生するためには、両方の VPN ピアが、IKEV2_FRAGMENTATION_SUPPORTED通知ペイロードをIKE_SA_INIT交換に含めることによって、フラグメント化のサポートを示す 必要があります 。両方のピアがフラグメント化のサポートを示している場合、IKEv2 フラグメント化を使用するかどうかは、メッセージ交換の開始側が判断します。
SRXシリーズファイアウォールでは、IKEv2メッセージごとに最大32のフラグメントが許可されます。送受信される IKEv2 メッセージ フラグメントの数が 32 を超えると、フラグメントはドロップされ、トンネルは確立されません。個々のメッセージフラグメントの再送信はサポートされていません
設定
SRXシリーズファイアウォールでは、IPv4およびIPv6メッセージに対してIKEv2フラグメント化がデフォルトで有効になっています。IKEv2 フラグメント化を無効にするには、[] 階層レベルで ステートメントを使用します。disableedit security ike gateway gateway-name fragmentation また、 ステートメントを使用して、メッセージをフラグメント化するパケットのサイズを設定することもできます。パケット サイズは 500 から 1300 バイトの範囲です。size が設定されていない場合、デフォルトのパケット サイズは IPv4 トラフィックで 576 バイト、IPv6 トラフィックで 1280 バイトです。size 構成されたパケット サイズよりも大きい IKEv2 パケットはフラグメント化されます。
IKEv2 フラグメント化が無効または有効になった後、またはパケット フラグメント サイズが変更された後、IKE ゲートウェイでホストされている VPN トンネルがダウンし、IKE および IPsec SA が再ネゴシエートされます。
注意 事項
IKEv2 フラグメント化では、以下の機能はサポートされていません。
パス MTU 検出。
SNMP です。
関連項目
信頼できる CA を使用した IKE ポリシー
この例では、信頼できる CA サーバをピアの IKE ポリシーにバインドする方法を示します。
開始する前に、ピアの IKE ポリシーに関連付けたいすべての信頼できる CA のリストを用意しておく必要があります。
IKEポリシーは、単一の信頼できるCAプロファイルまたは信頼できるCAグループに関連付けることができます。セキュアな接続を確立するために、IKE ゲートウェイは IKE ポリシーを使用して、証明書の検証中に自身を構成された CA グループ(CA プロファイル)に制限します。信頼できる CA または信頼できる CA グループ以外のソースによって発行された証明書は検証されません。IKE ポリシーからの証明書検証要求がある場合、IKE ポリシーの関連付けられた CA プロファイルが証明書を検証します。IKE ポリシーがどの CA にも関連付けられていない場合、デフォルトでは、証明書は構成された CA プロファイルのいずれかによって検証されます。
この例では、 という名前の CA プロファイルが作成され、 がプロファイルに関連付けられます。root-caroot-ca-identity
信頼できる CA グループに追加する CA プロファイルは最大 20 個まで設定できます。信頼できる CA グループに 20 を超える CA プロファイルを設定した場合、設定をコミットすることはできません。
デバイスに設定されている CA プロファイルと信頼された CA グループを表示するには、次のコマンドを実行します 。show security pki
user@host# show security ike
proposal ike_prop {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
コマンドは 、 という名前の IKEポリシーの下にあるCAプロファイルグループと、IKEポリシーに関連付けられた証明書を表示します。show security ikeike_policy
関連項目
IKE での確立トンネルレスポンダのみの設定
このトピックでは、インターネット鍵交換(IKE)でレスポンダ専用トンネルを確立する方法を説明します。リモートピアからトンネルを開始し、すべてのトンネルを介してトラフィックを送信します。IKE をいつアクティブにするかを指定します。
Junos OS リリース 19.1R1 以降、SRX5000 行では、トンネルの確立オプションが 階層レベルの と の値をサポートします。responder-onlyresponder-only-no-rekey[edit security ipsec vpn vpn-name]
および オプションは、 がインストールされている場合のみ、SPC3カードによるSRX5000ラインでサポートされます。responder-onlyresponder-only-no-rekeyjunos-ike-package これらのオプションは、サイト間 VPN でのみサポートされます。これらのオプションは、Auto VPN ではサポートされていません。
および オプションはデバイスからVPNトンネルを確立しないため、VPNトンネルはリモートピアから開始されます。responder-onlyresponder-only-no-rekey を設定する と、確立されたトンネルは、設定されたIKEとIPsecのライフタイム値に基づいて、IKEとIPsecの両方のキーを更新します。responder-only を設定する と、確立されたトンネルはデバイスからのキー更新を行わず、リモート ピアに依存してキー更新を開始します。responder-only-no-rekey リモート ピアがキー更新を開始しない場合、ハードライフタイムが経過した後にトンネルの破棄が発生します。
開始する前に、以下を実行します。
AutoKey IKE IPsec トンネルの確立方法を理解します。読む 。IPsec の概要
IKEでトンネルレスポンダのみを確立するを設定するには、次の手順に従います。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。