IPsec VPN向けIKE
IPsec VPN用のIKEv2とJunos OSでのその設定について説明します。
Internet Key Exchange version 2(IKEv2)は、IPsecベースのトンネリングプロトコルです。IKEv2は、ピアVPNデバイス間のセキュアなVPN通信チャネルを提供し、IPsecセキュリティアソシエーション(SA)のネゴシエーションと認証を保護された方法で定義します。
機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。
プラットフォームに関連する注意事項については、「 プラットフォーム固有のIKEv2レスポンダーのみの動作 」のセクションを参照してください。
IKEおよびIPsecパケット処理
IKEはIPsecのトンネル管理を提供し、エンドエンティティを認証します。IKEは、Diffie-Hellman(DH)鍵交換を実行して、ネットワークデバイス間にIPsecトンネルを生成します。IKEによって生成されるIPsecトンネルは、IPレイヤーのネットワークデバイス間のユーザートラフィックの暗号化、復号化、認証に使用されます。
IKEパケット処理
トンネリングを必要とするジュニパーネットワークスデバイスにクリアテキスト パケットが到着し、そのトンネルにアクティブなフェーズ 2 SA が存在しない場合、Junos OS は IKE ネゴシエーションを開始し、パケットを破棄します。IP パケットヘッダー内の送信元アドレスと宛先アドレスは、それぞれローカルおよびリモートの IKE ゲートウェイです。IP パケット ペイロードには、ISAKMP(IKE)パケットをカプセル化した UDP セグメントがあります。IKEパケットの形式は、フェーズ 1とフェーズ 2で同じです。 図1をご覧ください。
その間に、送信元ホストは破棄されたパケットを再送しました。通常、2番目のパケットが到着する頃にはIKEネゴシエーションは完了し、Junos OSはパケットとセッション内の後続のすべてのパケットをIPsecで保護してから転送します。
[次のペイロード] フィールドには、次のいずれかのペイロード タイプを示す数字が含まれています。
-
0002—SA ネゴシエーション ペイロードには、フェーズ 1 またはフェーズ 2 SA の定義が含まれています。
-
0004—プロポーザルペイロードは、フェーズ 1またはフェーズ 2のプロポーザルにすることができます。
-
0008—変換ペイロードは、SAペイロードにカプセル化されるプロポーザルペイロードにカプセル化されます。
-
0010—KE(鍵交換)ペイロードには、DHパブリック値など、鍵交換の実行に必要な情報が含まれています。
-
0020—識別(IDx)ペイロード。
-
フェーズ 1では、IDiiはイニシエーターIDを示し、IDirはレスポンダIDを示します。
-
フェーズ 2 では、IDui はユーザー イニシエーターを示し、IDur はユーザー レスポンダーを示します。
ID は、FQDN、U-FQDN、IP アドレス、ASN.1_DN などのIKE ID タイプです。
-
-
0040—証明書(CERT)ペイロード。
-
0080—証明書要求(CERT_REQ)ペイロード。
-
0100—ハッシュ(HASH)ペイロードには、特定のハッシュ関数のダイジェスト出力が含まれます。
-
0200—署名(SIG)ペイロードにはデジタル署名が含まれています。
-
0400—ノンス(Nx)ペイロードには、交換に必要な擬似乱数情報が含まれています)。
-
0800—ペイロードに通知します。
-
1000—ISAKMP 削除ペイロード。
-
2000—ベンダーID(VID)ペイロードは、フェーズ 1の交渉のどこにでも含めることができます。Junos OSはこれを使用して、NAT-Tのサポートをマークします。
各 ISAKMP ペイロードは、 図 2 に示すように、同じ汎用ヘッダーから開始します。
複数の ISAKMP ペイロードをチェーン化し、後続の各ペイロード タイプを [次のヘッダー] フィールドの値で示すことができます。値 0000 は、最後の ISAKMP ペイロードを示します。例については 、図3 を参照してください。
を使用したISAKMPヘッダー
IPsecパケット処理
IKEネゴシエーションが完了し、2つのIKEゲートウェイがフェーズ 1とフェーズ 2のSAを確立した後、後続のすべてのパケットがトンネルを使用して転送されます。フェーズ 2 SA がトンネル モードで ESP(カプセル化セキュリティ プロトコル)を指定すると、 パケットは図 4 のようになります。デバイスによって、開始側ホストが送信する元のパケットに 2 つのヘッダーが追加されます。
図4に示すように、開始側ホストが構築するパケットには、ペイロード、TCPヘッダー、および内部IPヘッダー(IP1)が含まれています。
Junos OS が追加するルーター IP ヘッダー(IP2)には、宛先 IP アドレスとしてリモート ゲートウェイの IP アドレスが、送信元 IP アドレスとしてローカル ルーターの IP アドレスが含まれています。また、Junos OSは、外部と内部のIPヘッダー間にESPヘッダーを追加します。ESP ヘッダーには、リモート ピアがパケットを受信したときに適切に処理できるようにする情報が含まれています。 図5をご覧ください。
[次のヘッダー] フィールドは、[ペイロード] フィールド内のデータのタイプを示します。トンネル モードでは、この値は 4 で、ペイロード内に IP パケットが含まれていることを示します。 図6をご覧ください。
Junos OS の IKE の概要
IKEは、インターネットなどの安全でないメディアを介して、暗号化と認証のために安全に鍵を交換する方法を提供します。IKE、1組のセキュリティゲートウェイで以下が可能になります。 セキュリティゲートウェイがトンネルや重要な情報を交換できるセキュアなトンネルを動的に確立します。トンネル属性ネゴシエーションや鍵管理など、ユーザーレベルのトンネルまたはSAを設定します。これらのトンネルは、同じセキュアチャネル上で更新して終了することもできます。IKEはDiffie-Hellman方式を採用しており、IPsecではオプションです(共有鍵はエンドポイントで手動で入力できます)。
IKEv2は以下をサポートします。
-
ルートベースVPN
-
サイトツーサイトVPN。
-
デッドピアの検出
-
シャーシクラスター。
-
事前共有キー認証。
-
証明書ベースの認証。
-
子SA。IKEv2の子SAは、IKEv1のフェーズ2SAとして知られています。IKEv2では、基盤となるIKESAなしでは子SAは存在できませんIKE。
-
AutoVPN
-
動的エンドポイント VPN
-
EAPは、IKEv2を使用したリモートアクセスでサポートされています。
-
トラフィックセレクター。
IKEv2は、以下の機能をサポートしていません。
-
ポリシーベースのVPN。
-
VPN監視。
-
IPComp(IP ペイロード圧縮プロトコル)。
Junos OS での IKEv2 の設定
VPNピアは、IKEv1またはIKEv2のいずれかとして設定されます。ピアがIKEv2として構成されている場合、リモートピアがIKEv1ネゴシエーションを開始しても、IKEv1にフォールバックすることはできません。デフォルトでは、ジュニパーネットワークスのセキュリティデバイスはIKEv1ピアです。
version v2-only 構成ステートメントを [edit security ike gateway gw-name ] 階層レベルで使用して、IKEv2 を構成します。
IKEバージョンは、 show security ike security-associations および show security ipsec security-associations CLI操作コマンドの出力に表示されます。
ジュニパーネットワークスデバイスは、フェーズ 2ネゴシエーションで最大4つのプロポーザルをサポートします。これにより、受け入れるトンネルパラメーターの範囲をどのくらい制限するかを定義できます。Junos OS は、定義済みの標準、互換、基本フェーズ 2 のプロポーザル セットを提供します。カスタムフェーズ 2プロポーザルを定義することもできます。
IKEv2構成ペイロードについて
構成ペイロードは、応答側から開始側にプロビジョニング情報を伝送するために提供される Internet Key Exchange バージョン 2(IKEv2)オプションです。IKEv2構成ペイロードは、ルートベースVPNでのみサポートされます。
RFC 5996、 Internet Key Exchange Protocol Version 2(IKEv2)では、応答側が開始側に返すことのできる15種類の構成属性が定義されています。 表1は 、ファイアウォールでサポートされているIKEv2構成属性を示しています。
| 属性タイプ |
値 |
説明 |
長さ |
|---|---|---|---|
| INTERNAL_IP4_ADDRESS |
1 |
内部ネットワーク上のアドレスを指定します。複数の内部アドレスを要求できます。レスポンダは、要求されたアドレス数まで送信できます。 |
0または4オクテット |
| INTERNAL_IP4_NETMASK |
2 |
内部ネットワークのネットマスク値を指定します。リクエストメッセージとレスポンスメッセージで使用できるネットマスク値は1つだけ(例:255.255.255.0)で、INTERNAL_IP4_ADDRESS属性でのみ使用する必要があります。 |
0または4オクテット |
| INTERNAL_IP4_DNS |
3 |
ネットワーク内のDNSサーバーのアドレスを指定します。複数のDNSサーバーを要求できます。レスポンダは、0個以上のDNSサーバー属性で応答できます。 |
0または4オクテット |
| INTERNAL_IP4_NBNS |
4 |
ネットワーク内のNetBIOSネームサーバー(NBNS)(WINSサーバーなど)のアドレスを指定します。複数のNBNSサーバーをリクエストできます。レスポンダは、0個以上のNBNSサーバー属性で応答できます。 |
0または4オクテット |
| INTERNAL_IP6_ADDRESS |
8 |
内部ネットワーク上のアドレスを指定します。複数の内部アドレスを要求できます。レスポンダは、要求されたアドレス数まで送信できます。 |
0または17オクテット |
| INTERNAL_IP6_DNS |
10 |
ネットワーク内のDNSサーバーのアドレスを指定します。複数のDNSサーバーを要求できます。レスポンダは、0個以上のDNSサーバー属性で応答できます。 |
0または16オクテット |
IKEレスポンダーがイニシエーターにプロビジョニング情報を提供するには、RADIUSサーバーなどの指定されたソースから情報を取得する必要があります。プロビジョニング情報は、DHCP サーバーから RADIUS サーバーを介して返すこともできます。RADIUSサーバーでは、ユーザー情報に認証パスワードを含めることはできません。RADIUSサーバープロファイルは、[edit security ike gateway gateway-name ]階層レベルのaaa access-profile profile-name 設定を使用してIKEゲートウェイにバインドされます。
Junos OSでは、IKEv2設定ペイロードが改善され、以下の機能がサポートされるようになりました。
-
IPv4およびIPv6ローカルアドレスプールのサポート。また、固定IPアドレスをピアに割り当てることもできます。
IKE確立中に、イニシエーターはレスポンダーにIPv4アドレス、IPv6アドレス、DNSアドレス、またはWINSアドレスを要求します。レスポンダはイニシエーターの認証に成功した後、ローカルアドレスプールまたはRADIUSサーバー経由でIPアドレスを割り当てます。設定に応じて、このIPアドレスはピアが接続するたびに動的に割り当てられるか、固定IPアドレスとして割り当てられます。RADIUSサーバーがフレームプールで応答した場合、Junos OSは対応するローカルプールから設定に基づいてIPアドレスまたは情報を割り当てます。ローカルアドレスプールとRADIUSサーバーの両方を設定した場合、RADIUSサーバーから割り当てられたIPアドレスがローカルプールよりも優先されます。ローカルIPアドレスプールを設定し、RADIUSサーバーがIPアドレスを返さなかった場合、ローカルプールはそのIPアドレスをリクエストに割り当てます。
-
追加オプション
none、authentication-order向けに導入されました。 認証順序(アクセスプロファイル)を参照してください。 -
RADIUSアカウンティングの開始および停止メッセージは、トンネルまたはピアの状態をRADIUSサーバーに通知します。これらのメッセージは、追跡目的やDHCPサーバーなどのサブシステムへの通知に使用できます。
RADIUSサーバーがアカウンティング開始メッセージまたはストップメッセージをサポートしていることを確認します。また、ファイアウォールと RADIUS サーバーの両方に、これらのメッセージを追跡するための適切な設定があることを確認します。
-
IPv6サポートの導入により、設定ペイロードを使用したデュアルスタックトンネルが可能になります。ログインプロセス中に、IKEはIPv4アドレスとIPv6アドレスの両方を要求します。AAAは、要求されたすべてのアドレスが正常に割り当てられた場合にのみログインを許可します。要求されたIPが割り当てられていない場合、IKEはネゴシエーションを終了します。
ルートベースVPNでは、セキュアトンネル(st0)インターフェイスは、ポイントツーマルチポイントモードまたはポイントツーポイントモードで動作します。IKEv2構成ペイロードを介したアドレス割り当てが、ポイントツーマルチポイントモードまたはポイントツーポイントモードでサポートされるようになりました。ポイントツーマルチポイントインターフェイスの場合、インターフェイスに番号を付け、設定ペイロードINTERNAL_IP4_ADDRESS属性タイプのアドレスが、関連するポイントツーマルチポイントインターフェイスのサブネットワーク範囲内である必要があります。
IKEゲートウェイ構成のIKEv2構成ペイロード要求に共通のパスワードを構成できます。1文字から128文字の範囲の共通パスワードで、管理者は共通パスワードを定義できます。このパスワードは、ファイアウォールがIKEv2設定ペイロードを使用してリモートIPsecピアに代わってIPアドレスを要求する場合に、ファイアウォールとRADIUSサーバーの間で使用されます。RADIUSサーバーは、設定ペイロード要求に対してファイアウォールにIP情報を提供する前に、資格情報を照合します。[edit security ike gateway gateway-name aaa access-profile access-profile-name]階層レベルでconfig-payload-password configured-password 設定ステートメントを使用して共通パスワードを設定できます。
ファイアウォールとRADIUSサーバーの両方に同じパスワードを設定し、認証プロトコルとしてパスワード認証プロトコル(PAP)を使用するようにRADIUSサーバーを認証する必要があります。これがないと、トンネル確立は成功しません。
図7は、IKEv2構成ペイロードの典型的なワークフローを示しています。
IKEv2設定ペイロード機能は、ポイントツーマルチポイントのセキュアトンネル(st0)インターフェイスとポイントツーポイントインターフェイスの両方でサポートされます。ポイントツーマルチポイントインターフェイスには番号が付けられる必要があり、設定ペイロードで指定されたアドレスは、関連するポイントツーマルチポイントインターフェイスのサブネットワーク範囲内にある必要があります。
Picoセルプロビジョニングについて
IKEv2構成ペイロードを使用して、ファイアウォールなどのIKEレスポンダーから、セルラーネットワーク内のLTEピコセル基地局などの複数のイニシエーターにプロビジョニング情報を伝送できます。ピコセルは、ファイアウォールに接続できる標準設定で出荷されますが、ピコセルのプロビジョニング情報は、保護されたネットワーク内の1台以上のプロビジョニングサーバーに保存されます。ピコセルは、プロビジョニングサーバーとの安全な接続を確立した後、完全なプロビジョニング情報を受け取ります。
ピコセルをブートストラップしてプロビジョニングし、サービスに導入するために必要なワークフローには、4つの異なる段階があります。
-
初期アドレスの取得—ピコセルは工場から以下の情報とともに出荷されます。
-
ファイアウォールへのセキュア ゲートウェイ トンネルの設定
-
メーカー発行のデジタル証明書
-
保護されたネットワーク内にあるプロビジョニングサーバーの完全修飾ドメイン名(FQDN)
ピコセルが起動し、DHCPサーバーからIKEネゴシエーションに使用するアドレスを取得します。次に、このアドレスを使用して、ファイアウォール上のセキュアゲートウェイへのトンネルが構築されます。OAM(運用、管理、および管理)トラフィックのアドレスも、保護されたネットワークで使用するためにDHCPサーバーによって割り当てられます。
-
-
ピコセルのプロビジョニング—割り当てられたOAMトラフィックアドレスを使用して、ピコセルはプロビジョニング情報(通常は運用担当者証明書、ライセンス、ソフトウェア、設定情報)を、保護されたネットワーク内のサーバーに要求します。
-
再起動—ピコセルが再起動し、取得したプロビジョニング情報を使用して、サービスプロバイダのネットワークおよび運用モデルに固有の情報を作成します。
-
サービスプロビジョニング—ピコセルがサービスを開始すると、識別名(DN)とサブジェクトの代替名値を含む単一の証明書とFQDNを使用して、ファイアウォール上のセキュアゲートウェイへの2つのトンネルを構築します。1つはOAMトラフィック用、もう1つは3GPP(Third-Generation Partnership Project)データトラフィック用です。
関連項目
IKEの提案
IKE構成は、ピアセキュリティゲートウェイとのセキュアなIKE接続を確立するために使用されるアルゴリズムとキーを定義します。1つ以上のIKEプロポーザルを設定できます。各プロポーザルは、IKEホストとそのピア間のIKE接続を保護するためのIKE属性のリストです。
IKEプロポーザルを設定するには、 proposal ステートメントを含め、[edit security ike ]階層レベルで名前を指定します。
IKEポリシー
IKEポリシーは、IKEネゴシエーション中に使用するセキュリティパラメーター(IKEプロポーザル)の組み合わせを定義します。ピアアドレスとその接続に必要なプロポーザルを定義します。使用される認証方法に応じて、特定のピアまたはローカル証明書の事前共有キー(PSK)が定義されます。IKEネゴシエーション中に、IKEは両方のピアで同じIKEポリシーを探します。ネゴシエーションを開始するピアは、すべてのポリシーをリモートピアに送信し、リモートピアは一致するものを見つけようとします。2つのピアの両方のポリシーに、同じ設定された属性を含むプロポーザルがある場合に一致が行われます。ライフタイムが同一でない場合は、(ホストとピアから)2つのポリシー間の短い方のライフタイムが使用されます。設定されたPSKもピアと一致する必要があります。
まず、1つ以上のIKEプロポーザルを設定します。次に、これらのプロポーザルを IKE ポリシーに関連付けます。
IKEポリシーを設定するには、 policy ステートメントを含め、[edit security ike]階層レベルでポリシー名を指定します。
鍵更新と再認証
概要
IKEv2では、鍵更新と再認証は別個のプロセスです。鍵更新により、IKEセキュリティアソシエーション(SA)用の新しい鍵が確立され、メッセージIDカウンターがリセットされますが、ピアの再認証は行われません。再認証は、VPNピアが認証資格情報へのアクセスを保持していることを確認します。再認証により、IKE SA と子 SA 用の新しい鍵が確立されます。保留中の IKE SA または子 SA の鍵更新は不要になりました。新しい IKE と子 SA が作成された後、古い IKE と子 SA が削除されます。
IKEv2の再認証は、デフォルトでは無効になっています。再認証を有効にするには、再認証の頻度値を1から100の間で設定します。再認証の頻度とは、再認証が行われるまでに発生する IKE 鍵更新の回数のことです。例えば、再認証の頻度を1として構成した場合、IKE鍵更新のたびに再認証が行われます。再認証の頻度を2として構成した場合、IKE鍵更新2回につき再認証が行われます。再認証の頻度を3として構成すると、IKE鍵更新3回ごとに再認証が行われる、という具合です。
再認証の頻度は、[edit security ike policy policy-name]階層レベルのreauth-frequencyステートメントで設定します。再認証は、再認証の頻度を0(デフォルト)に設定することで無効になります。再認証の頻度はピアによってネゴシエートされず、各ピアは独自の再認証頻度値を持つことができます。
サポートされている機能
IKEv2の再認証は、以下の機能でサポートされています。
IKEv2開始側または応答側
デッドピア検出(DPD)
仮想ルーターの仮想ルーターとセキュアトンネル(st0)インターフェイス
ネットワークアドレス変換トラバーサル(NAT-T)
アクティブ/アクティブおよびアクティブ/パッシブモードのシャーシクラスター
ISSU(インサービスソフトウェアアップグレード)
ISHU(インサービスハードウェアアップグレード)手順を使用した新しいSPU(サービス処理ユニット)のアップグレードまたは挿入
制限事項
IKEv2 再認証を使用する場合は、以下の点に注意してください。
NAT-T を使用すると、以前の IKE SA とは異なるポートを使用して新しい IKE SA を作成できます。このシナリオでは、古い IKE SA は削除されない可能性があります。
NAT-Tシナリオでは、NATデバイスの背後にあるイニシエーターが、再認証後にレスポンダーになることができます。NATセッションが期限切れになると、NATデバイスは、別のポートに到着する可能性のある新しいIKEパケットを破棄することがあります。NATセッションを有効に維持するには、NAT-TキープアライブまたはNATDPDを有効にする必要があります。AutoVPNの場合、スポークに設定された再認証の頻度は、ハブに設定された再認証の頻度よりも小さくすることが推奨されます。
再認証の頻度に基づいて、元のIKE SAの開始側または応答側のいずれかが新しいIKE SAを開始できます。EAP(Extensible Authentication Protocol)の認証と設定ペイロードでは、元のIKE SAと同じパーティがIKE SAを開始する必要があるため、EAP認証または設定ペイロードでは再認証はサポートされていません。
IKE認証(証明書ベースの認証)
証明書認証のためのマルチレベル階層
証明書ベースの認証は、IKEネゴシエーション中にファイアウォールでサポートされている認証方法です。大規模なネットワークでは、複数の認証局(CA)がそれぞれのエンドデバイスにエンドエンティティ(EE)証明書を発行できます。個々の場所、部門、または組織ごとに個別のCAを持つのが一般的です。
証明書ベースの認証に単一レベルの階層が採用されている場合、ネットワーク内のすべてのEE証明書は、同じCAによって署名される必要があります。すべてのファイアウォールデバイスには、ピア証明書の検証用に同じCA証明書が登録されている必要があります。IKEネゴシエーション中に送信される証明書ペイロードには、EE証明書のみが含まれています。
または、IKEネゴシエーション中に送信される証明書ペイロードには、EEおよびCA証明書のチェーンを含めることができます。 証明書チェーン は、ピアのEE証明書を検証するために必要な証明書のリストです。証明書チェーンには、EE証明書と、ローカルピアに存在しないCA証明書が含まれます。
ネットワーク管理者は、IKE ネゴシエーションに参加しているすべてのピアが、それぞれの証明書チェーンに少なくとも 1 つの共通の信頼できる CA を持っていることを確認する必要があります。共通の信頼できる CA がルート CA である必要はありません。EEの証明書とチェーンの最上位CAの証明書を含めたチェーン内の証明書の数は、10を超えることはできません。
設定された IKE ピアの検証は、指定された CA サーバーまたは CA サーバーのグループを使用して実行できます。証明書チェーンでは、ルート CA が IKE ポリシーで設定された信頼できる CA グループまたは CA サーバーと一致する必要があります。
図 8 に示されている CA 階層の例では、ルート CA はネットワーク内のすべてのデバイスに対して共通の信頼できる CA です。Root-CA発行CA、エンジニアリングCAとSales CAに証明書を発行します。これらは、それぞれEng-CAとSales-CAとして識別されます。Eng-CAは、それぞれDev-CAとQa-CAとして識別される開発および品質保証CAに証明書CA発行します。ホスト-AはDev-CAからEE証明書を受け取り、ホスト-BはSales-CAからEE証明書を受け取ります。
のためのマルチレベル階層
各エンド デバイスには、その階層内の CA 証明書を読み込む必要があります。Host-Aには、Root-CA、Eng-CA、Dev-CA証明書が必要です。Sales-CA および Qa-CA 証明書は必要ありません。Host-Bには、Root-CAおよびSales-CA証明書が必要です。証明書は、デバイスに手動で読み込むことも、SCEP(簡易証明書登録プロセス)を使用して登録することもできます。
各エンドデバイスは、証明書チェーン内の各 CA の CA プロファイルを設定する必要があります。以下の出力は、ホストAに設定されたCAプロファイルを示しています。
admin@host-A# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
以下の出力は、ホスト-Bに設定されたCAプロファイルを示しています。
admin@host-B# show security
pki {
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url “www.example.net/scep/Root/”;
}
}
ca-profile Sales-CA {
ca-identity Sales-CA;
enrollment {
url “www.example.net/scep/Sales/”;
}
}
}
関連項目
複数の証明書タイプを設定して IKE および IPsec SA を確立する
複数の認定書タイプを構成および管理する方法について説明します。
この例では、複数の証明書タイプを設定してIKEおよびIPsec SAを確立する方法を示しています。
Junos OSリリース22.4R1以降、set security ike proposal ike_proposal_name authentication-method certificatesコマンドを使用してプロポーザルで認証-methodがcertificatesとして設定されている場合IKE、開始側と応答側で使用される証明書の種類に関係なくトンネルを確立できます。
show security pki local-certificate certificate-id certificate-name detail コマンドを使用して登録された証明書を表示できます。
request security pki local-certificate verify certificate-id certificate-nameコマンドを使用して、登録された証明書を確認できます。
要件
始める前に:
-
デバイスに証明書が登録されていることを確認します。 証明書の登録を参照してください。
request security pki local-certificate certificate-id certificate-name detailコマンドを使用して、デバイスに登録されている証明書を確認できます。 -
パッケージIKEインストールされていることを確認し、インストールされているIKEパッケージを確認するには、
show version | match ike操作コマンドを使用します。デバイスにIKEパッケージがインストールされていない場合は、運用コマンドを使用してIKEパッケージをインストールできます。
request system software add optional://junos-ike.tgz詳細については、「 IPsec VPN機能セットの有効化」を参照してください。
概要
この例では、複数の証明書タイプを設定して、オンSRX_AとオンSRX_Bの間でIKEとIPsec SAを確立します。
この例では、SRX_AにRSA証明書を、SRX_BデバイスにECDSA証明書を登録しました。証明書のインストール方法の詳細については、「 証明書の登録」を参照してください。
| デバイス名 | 使用されるインターフェイス | IKEゲートウェイアドレス | IKEゲートウェイのローカルIPアドレス |
|---|---|---|---|
| SRX_A | ge-0/0/0 | 192.168.1.2 | 192.168.1.1 |
| SRX_B | ge-0/0/0 | 192.168.1.1 | 192.168.1.2 |
トポロジー
図9は、複数の証明書タイプサポート設定のトポロジーを示しています。
設定
SRX_Aの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set interfaces st0 unit 1 family inet set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/0 set security zones security-zone VPN interfaces st0.1 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny-all set security ike proposal IKE_PROP authentication-method certificates set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha-256 set security ike proposal IKE_PROP encryption-algorithm aes-128-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate r0_rsa_crt set security ike gateway IKE_GW ike-policy IKE_POL set security ike gateway IKE_GW address 192.168.1.2 set security ike gateway IKE_GW external-interface ge-0/0/0 set security ike gateway IKE_GW local-address 192.168.1.1 set security ike gateway IKE_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha-256-128 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-192-cbc set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN bind-interface st0.1 set security ipsec vpn IPSEC_VPN ike gateway IKE_GW set security ipsec vpn IPSEC_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN establish-tunnels on-traffic
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「CLI設定モードの概要」を参照してください。
複数の証明書タイプを設定してIKEおよびIPsec SAを確立するには:
-
show security pki local-certificate certificate-id certificate-name detailコマンドを使用して、デバイスに登録されている証明書を表示します。デバイスに証明書が登録されていない場合は、デバイスに証明書をインストールします。詳細については、「 証明書の登録」を参照してください。
-
インターフェイスを設定します。
user@srxa# set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 user@srxa# set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 user@srxa# set interfaces st0 unit 1 family inet
-
セキュリティゾーンとセキュリティポリシーを設定します。
user@srxa# set security zones security-zone trust host-inbound-traffic system-services all user@srxa# set security zones security-zone trust host-inbound-traffic protocols all user@srxa# set security zones security-zone trust interfaces ge-0/0/1 user@srxa# set security zones security-zone untrust host-inbound-traffic system-services ike user@srxa# set security zones security-zone untrust interfaces ge-0/0/0 user@srxa# set security zones security-zone VPN interfaces st0.1 user@srxa# set security policies from-zone VPN to-zone trust policy 1 match source-address any user@srxa# set security policies from-zone VPN to-zone trust policy 1 match destination-address any user@srxa# set security policies from-zone VPN to-zone trust policy 1 match application any user@srxa# set security policies from-zone VPN to-zone trust policy 1 then permit user@srxa# set security policies from-zone trust to-zone VPN policy 1 match source-address any user@srxa# set security policies from-zone trust to-zone VPN policy 1 match destination-address any user@srxa# set security policies from-zone trust to-zone VPN policy 1 match application any user@srxa# set security policies from-zone trust to-zone VPN policy 1 then permit user@srxa# set security policies default-policy deny-all
-
IKEプロポーザルを設定します。
[edit] user@srxa# set security ike proposal IKE_PROP authentication-method certificates user@srxa# set security ike proposal IKE_PROP dh-group group5 user@srxa# set security ike proposal IKE_PROP authentication-algorithm sha-256 user@srxa# set security ike proposal IKE_PROP encryption-algorithm aes-128-cbc
-
IKEポリシーを設定します。
[edit] user@srxa# set security ike policy IKE_POL proposals IKE_PROP user@srxa# set security ike policy IKE_POL certificate local-certificate r0_rsa_crt
-
IKEゲートウェイを設定します。
[edit] user@srxa# set security ike gateway IKE_GW ike-policy IKE_POL user@srxa# set security ike gateway IKE_GW address 192.168.1.2 user@srxa# set security ike gateway IKE_GW external-interface ge-0/0/0 user@srxa# set security ike gateway IKE_GW local-address 192.168.1.1 user@srxa# set security ike gateway IKE_GW version v2-only
-
IPsecプロポーザルを設定します。
[edit] user@srxa# set security ipsec proposal IPSEC_PROP protocol esp user@srxa# set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha-256-128 user@srxa# set security ipsec proposal IPSEC_PROP encryption-algorithm aes-192-cbc
-
IPsecポリシーを設定します。
[edit] user@srxa# set security ipsec policy IPSEC_POL proposals IPSEC_PROP
-
IPsec VPNを設定します。
[edit] user@srxa# set security ipsec vpn IPSEC_VPN bind-interface st0.1 user@srxa# set security ipsec vpn IPSEC_VPN ike gateway IKE_GW user@srxa# set security ipsec vpn IPSEC_VPN ike ipsec-policy IPSEC_POL user@srxa# set security ipsec vpn IPSEC_VPN establish-tunnels on-traffic
結果
設定モードから、 show interfaces、 show security ike 、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@srxa# show interfaces
ge-0/0/0 {
description untrust;
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
ge-0/0/1 {
description trust;
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@srxa# show security ike
proposal IKE_PROP {
authentication-method certificates;
dh-group group5;
authentication-algorithm sha-256;
encryption-algorithm aes-128-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate r0_crt_rsa;
}
}
gateway IKE_GW {
ike-policy IKE_POL;
address 192.168.1.2;
external-interface ge-0/0/0;
local-address 192.168.1.1;
version v2-only;
}
[edit]
user@srxa# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-192-cbc;
}
policy IPSEC_POL {
proposals IPSEC_PROP;
}
vpn IPSEC_VPN {
bind-interface st0.1;
ike {
gateway IKE_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels on-traffic;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
SRX_Bの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.2/24 set interfaces ge-0/0/1 unit 0 family inet address 172.18.1.2/24 set interfaces st0 unit 1 family inet set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/0 set security zones security-zone VPN interfaces st0.1 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny-all set security ike proposal IKE_PROP authentication-method certificates set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha-256 set security ike proposal IKE_PROP encryption-algorithm aes-128-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate r1_crt_ecdsa384 set security ike gateway IKE_GW ike-policy IKE_POL set security ike gateway IKE_GW address 192.168.1.1 set security ike gateway IKE_GW external-interface ge-0/0/0 set security ike gateway IKE_GW local-address 192.168.1.2 set security ike gateway IKE_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha-256-128 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-192-cbc set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN bind-interface st0.1 set security ipsec vpn IPSEC_VPN ike gateway IKE_GW set security ipsec vpn IPSEC_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN establish-tunnels on-traffic
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「CLI設定モードの概要」を参照してください。
複数の証明書タイプを設定してIKEおよびIPsec SAを確立するには:
-
request security pki local-certificate certificate-id certificate-name detailコマンドを使用して、デバイスに登録されている証明書を表示します。デバイスに証明書が登録されていない場合は、デバイスに証明書をインストールします。詳細については、「 証明書の登録」を参照してください。
-
インターフェイスを設定します。
user@srxb# set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.2/24 user@srxb# set interfaces ge-0/0/1 unit 0 family inet address 172.18.1.2/24 user@srxb# set interfaces st0 unit 1 family inet
-
セキュリティゾーンとセキュリティポリシーを設定します。
user@srxb# set security zones security-zone trust host-inbound-traffic system-services all user@srxb# set security zones security-zone trust host-inbound-traffic protocols all user@srxb# set security zones security-zone trust interfaces ge-0/0/1 user@srxb# set security zones security-zone untrust host-inbound-traffic system-services ike user@srxb# set security zones security-zone untrust interfaces ge-0/0/0 user@srxb# set security zones security-zone VPN interfaces st0.1 user@srxb# set security policies from-zone VPN to-zone trust policy 1 match source-address any user@srxb# set security policies from-zone VPN to-zone trust policy 1 match destination-address any user@srxb# set security policies from-zone VPN to-zone trust policy 1 match application any user@srxb# set security policies from-zone VPN to-zone trust policy 1 then permit user@srxb# set security policies from-zone trust to-zone VPN policy 1 match source-address any user@srxb# set security policies from-zone trust to-zone VPN policy 1 match destination-address any user@srxb# set security policies from-zone trust to-zone VPN policy 1 match application any user@srxb# set security policies from-zone trust to-zone VPN policy 1 then permit user@srxb# set security policies default-policy deny-all
-
IKEプロポーザルを設定します。
[edit] user@srxb# set security ike proposal IKE_PROP authentication-method certificates user@srxb# set security ike proposal IKE_PROP dh-group group5 user@srxb# set security ike proposal IKE_PROP authentication-algorithm sha-256 user@srxb# set security ike proposal IKE_PROP encryption-algorithm aes-128-cbc
-
IKEポリシーを設定します。
[edit] user@srxb# set security ike policy IKE_POL proposals IKE_PROP user@srxb# set security ike policy IKE_POL certificate local-certificate r1_crt_ecdsa384
-
IKEゲートウェイを設定します。
[edit] user@srxb# set security ike gateway IKE_GW ike-policy IKE_POL user@srxb# set security ike gateway IKE_GW address 192.168.1.1 user@srxb# set security ike gateway IKE_GW external-interface ge-0/0/0 user@srxb# set security ike gateway IKE_GW local-address 192.168.1.2 user@srxb# set security ike gateway IKE_GW version v2-only
-
IPsecプロポーザルを設定します。
[edit] user@srxb# set security ipsec proposal IPSEC_PROP protocol esp user@srxb# set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha-256-128 user@srxb# set security ipsec proposal IPSEC_PROP encryption-algorithm aes-192-cbc
-
IPsecポリシーを設定します。
[edit] user@srxb# set security ipsec policy IPSEC_POL proposals IPSEC_PROP
-
IPsec VPNを設定します。
[edit] user@srxb# set security ipsec vpn IPSEC_VPN bind-interface st0.1 user@srxb# set security ipsec vpn IPSEC_VPN ike gateway IKE_GW user@srxb# set security ipsec vpn IPSEC_VPN ike ipsec-policy IPSEC_POL user@srxb# set security ipsec vpn IPSEC_VPN establish-tunnels immediately
結果
設定モードから、 show interfaces、 show security ike 、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@srxb# show interfaces
ge-0/0/0 {
description untrust;
unit 0 {
family inet {
address 192.168.1.2/24;
}
}
}
ge-0/0/1 {
description trust;
unit 0 {
family inet {
address 172.18.1.2/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@srxb# show security ike
proposal IKE_PROP {
authentication-method certificates;
dh-group group5;
authentication-algorithm sha-256;
encryption-algorithm aes-128-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate r1_crt_ecdsa384;
}
}
gateway IKE_GW {
ike-policy IKE_POL;
address 192.168.1.1;
external-interface ge-0/0/0;
local-address 192.168.1.2;
version v2-only;
}
[edit]
user@srxb# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-192-cbc;
}
policy IPSEC_POL {
proposals IPSEC_PROP;
}
vpn IPSEC_VPN {
bind-interface st0.1;
ike {
gateway IKE_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
SRX_Aを確認する
ここに示されている出力例はSRX-Aです。
目的
IPsecフェーズ2のステータスを確認します。
アクション
動作モードから、 show security ike security-associations コマンドを入力します。
user@srxa> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 32 UP 6723643250f0f357 f6295f11b0d7c8ab IKEv2 192.168.1.2
動作モードから、 show security ipsec security-associations コマンドを入力します。
user@srxa> show security ipsec security-associations Total active tunnels: 1 Total IPsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <500033 ESP:aes-cbc-192/sha256 0x5f156c1b 2750/ unlim - root 500 192.168.1.2 >500033 ESP:aes-cbc-192/sha256 0x7ea065e7 2750/ unlim - root 500 192.168.1.2
動作モードから、 show security ike security-associations detail コマンドを入力します。
user@srxa> show security ike security-associations detail
IKE peer 192.168.1.2, Index 32, Gateway Name: IKE_GW
Role: Responder, State: UP
Initiator cookie: 6723643250f0f357, Responder cookie: f6295f11b0d7c8ab
Exchange type: IKEv2, Authentication method: RSA-signatures
Local gateway interface: ge-0/0/0.0
Routing instance: default
Local: 192.168.1.1:500, Remote: 192.168.1.2:500
Lifetime: Expires in 28165 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Enabled, Size: 576
Remote Access Client Info: Unknown Client
Peer ike-id: 192.168.1.2
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha256-128
Encryption : aes128-cbc
Pseudo random function: hmac-sha256
Diffie-Hellman group : DH-group-5
Traffic statistics:
Input bytes : 1346
Output bytes : 1887
Input packets: 3
Output packets: 4
Input fragmented packets: 2
Output fragmented packets: 3
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
IPSec Tunnel IDs: 500033
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 192.168.1.1:500, Remote: 192.168.1.2:500
Local identity: 192.168.1.1
Remote identity: 192.168.1.2
Flags: IKE SA is created
IPsec SA Rekey CREATE_CHILD_SA exchange stats:
Initiator stats: Responder stats:
Request Out : 0 Request In : 0
Response In : 0 Response Out : 0
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Invalid KE In : 0 Invalid KE Out : 0
TS Unacceptable In : 0 TS Unacceptable Out : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0
Res Verify SA Fail : 0
Res Verify DH Group Fail: 0
Res Verify TS Fail : 0
動作モードから、 show security ipsec security-associations detail コマンドを入力します。
user@srxa> show security ipsec security-associations detail
ID: 500033 Virtual-system: root, VPN Name: IPSEC_VPN
Local Gateway: 192.168.1.1, Remote Gateway: 192.168.1.2
Local Identity: ipv4(0.0.0.0-255.255.255.255)
Remote Identity: ipv4(0.0.0.0-255.255.255.255)
TS Type: proxy-id
Version: IKEv2
PFS group: N/A
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.1, Tunnel MTU: 0, Policy-name: IPSEC_POL
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
Tunnel events:
Thu Mar 09 2023 22:41:36: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 1
Distribution-Profile: default-profile
Direction: inbound, SPI: 0x5f156c1b, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2895 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2286 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (192 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-on-traffic
IKE SA Index: 32
Direction: outbound, SPI: 0x7ea065e7, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2895 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2286 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (192 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-on-traffic
IKE SA Index: 32
動作モードから、 show security pki local-certificate certificate-id r0_rsa_cr detail コマンドを入力します。
user@srxa> show security pki local-certificate certificate-id r0_rsa_crt detail
LSYS: root-logical-system
Certificate identifier: r0_rsa_crt
Certificate version: 3
Serial number:
hexadecimal: 0x0186a62478ae8f0cdd766eb38dbd53
decimal: 7923302907757301847007106226306387
Issuer:
Organization: juniper, Country: India, Common name: Root-CA
Subject:
Organization: juniper, Organizational unit: marketing, State: california, Locality: sunnyvale, Common name: r0, Domain component: juniper
Subject string:
DC=juniper, CN=r0, OU=marketing, O=juniper, L=sunnyvale, ST=california, C=us
Alternate subject: "r0@juniper.net", r0.juniper.net, 192.168.1.1
Cert-Chain: Root-CA
Validity:
Not before: 03- 3-2023 05:54 UTC
Not after: 06- 6-2027 12:36 UTC
Public key algorithm: rsaEncryption(2048 bits)
30:82:01:0a:02:82:01:01:00:b0:e5:53:8d:7e:20:fa:6b:21:c2:d1
2b:48:8f:af:c3:eb:8b:23:4a:f7:c5:1f:cf:2c:6a:b3:2e:8a:ef:1b
f7:97:aa:fd:1d:ab:1c:76:9b:40:a3:ac:bb:49:f6:93:f9:e1:4e:62
df:3d:ca:e5:d2:95:9c:a0:f4:2b:d7:7e:1d:20:94:69:a8:e4:cf:dc
15:90:4c:be:1d:d8:1c:52:08:3a:d1:05:a3:bb:2f:8f:31:0c:6b:21
ef:76:c3:c7:fb:be:4a:cb:da:cc:8d:04:3a:75:0c:eb:5d:e2:f6:13
50:fe:39:67:c0:77:2f:32:b0:5e:38:6f:9c:79:b3:5d:f3:57:f4:f8
42:f5:22:5b:6c:58:67:90:4e:1e:ec:6a:03:e2:c0:87:65:02:ca:da
6f:95:0a:8c:2a:fd:45:4f:3a:b5:ef:18:05:1c:54:e6:fe:45:bb:73
53:81:b2:c6:b7:36:36:57:6d:9c:d3:d9:80:e7:d6:85:92:74:32:88
16:01:03:27:57:76:8e:5e:d6:73:ac:bf:68:fd:6d:a1:2a:8f:f5:3a
29:b0:c9:44:9b:c8:46:c1:bf:c0:52:2a:f0:51:be:b5:f6:e1:f5:3e
96:1d:3a:42:29:28:d3:cf:60:b9:eb:24:04:47:d3:f1:3f:5e:38:fc
7f:33:f6:94:9d:02:03:01:00:01
Signature algorithm: sha256WithRSAEncryption
Fingerprint:
4d:f6:89:c5:d6:3c:74:73:db:3e:f6:4b:1e:26:6c:c1:1c:1d:a7:4d (sha1)
6b:1c:a8:1f:de:5a:9b:3e:d5:c4:85:29:af:3f:82:f2 (md5)
6b:7a:b5:d1:57:cf:75:9d:1f:63:b9:f6:49:e4:4e:b3:13:2c:83:f1:f7:25:44:6f:45:2f:0d:2f:ae:a8:80:85 (sha256)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
動作モードから、 show security pki ca-certificate ca-profile Root-CA detail コマンドを入力します。
user@srxa> show security pki ca-certificate ca-profile Root-CA detail
LSYS: root-logical-system
CA profile: Root-CA
Certificate identifier: Root-CA
Certificate version: 3
Serial number:
hexadecimal: 0x00000440
decimal: 1088
Issuer:
Organization: juniper, Country: India, Common name: Root-CA
Subject:
Organization: juniper, Country: India, Common name: Root-CA
Subject string:
C=India, O=juniper, CN=Root-CA
Validity:
Not before: 06- 7-2022 12:36 UTC
Not after: 06- 6-2027 12:36 UTC
Public key algorithm: rsaEncryption(2048 bits)
30:82:01:0a:02:82:01:01:00:cd:9c:e6:9f:62:6c:49:15:c2:da:eb
8e:e6:e5:a1:88:40:d8:b5:2e:5b:1a:0e:de:96:d7:0b:19:f9:03:44
98:49:d5:cc:a8:90:2b:7f:1b:58:7b:1f:26:92:18:4c:2d:37:65:5c
9f:0f:6e:10:b5:34:6f:2d:b5:9c:27:3b:a6:b1:b5:a0:e2:a6:92:3d
e4:68:fe:5d:71:06:6f:ce:e6:0f:0f:e3:94:2a:23:57:98:a0:6a:9c
e0:52:a2:47:ff:ce:b0:47:bd:36:95:80:a7:af:d2:49:b1:5d:2a:3d
28:e4:95:06:b8:b3:d9:07:11:3c:13:af:c6:e2:51:08:22:82:2d:ec
4f:26:40:b0:b0:55:2d:6e:c0:c8:19:34:a7:99:5a:bc:58:98:69:ae
04:d6:6d:ec:4a:c9:55:a5:ff:00:cb:3b:02:85:fa:02:a1:5c:c1:9d
6d:44:b8:95:8f:77:c0:53:fc:7f:a4:09:a3:25:1c:4a:e2:9d:0c:81
08:b4:c8:b8:0d:bc:94:75:54:75:57:4f:d3:a4:17:0d:5d:1a:f3:c1
1d:5d:73:2f:fe:8b:cb:fc:1f:93:87:72:d6:be:df:86:d7:e6:d1:c7
0d:00:1a:6e:58:db:6a:1c:2f:1d:17:46:9a:f2:69:b4:21:db:08:5d
8d:ab:30:7d:7f:02:03:01:00:01
Signature algorithm: sha256WithRSAEncryption
Distribution CRL:
http://10.102.40.55:8080/crl-as-der/currentcrl-11.crl?id=11
Use for key: CRL signing, Certificate signing, Key encipherment, Digital signature
Fingerprint:
8b:84:60:2a:58:5b:80:f0:b9:ae:25:9f:67:3d:d6:81:ee:43:6c:d4 (sha1)
ab:ec:4d:fe:d4:04:9c:c9:79:1d:9a:33:4e:6d:78:f6 (md5)
9d:f0:c0:a0:93:74:11:53:d3:4d:2d:75:d3:60:37:5f:fb:b7:a9:67:42:cd:7c:3c:0e:0f:9b:58:36:3c:14:f5 (sha256)
SRX_Bを確認する
ここに示されている出力例はSRX-Bです。
目的
IPsecフェーズ2のステータスを確認します。
アクション
動作モードから、 show security ike security-associations コマンドを入力します。
user@srxb> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 56042 UP 6723643250f0f357 f6295f11b0d7c8ab IKEv2 192.168.1.1
動作モードから、 show security ipsec security-associations コマンドを入力します。
user@srxb> show security ipsec security-associations Total active tunnels: 1 Total IPsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <500230 ESP:aes-cbc-192/sha256 0x7ea065e7 2638/ unlim - root 500 192.168.1.1 >500230 ESP:aes-cbc-192/sha256 0x5f156c1b 2638/ unlim - root 500 192.168.1.1
動作モードから、 show security ike security-associations detail コマンドを入力します。
user@srxb> show security ike security-associations detail
IKE peer 192.168.1.1, Index 56042, Gateway Name: IKE_GW
Role: Responder, State: UP
Initiator cookie: 6723643250f0f357, Responder cookie: f6295f11b0d7c8ab
Exchange type: IKEv2, Authentication method: ECDSA-384-signatures
Local gateway interface: ge-0/0/0.0
Routing instance: default
Local: 192.168.1.2:500, Remote: 192.168.1.1:500
Lifetime: Expires in 18995 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Enabled, Size: 576
Remote Access Client Info: Unknown Client
Peer ike-id: 192.168.1.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha256-128
Encryption : aes128-cbc
Pseudo random function: hmac-sha256
Diffie-Hellman group : DH-group-5
Traffic statistics:
Input bytes : 2934
Output bytes : 2379
Input packets: 10
Output packets: 9
Input fragmented packets: 3
Output fragmented packets: 2
IPSec security associations: 8 created, 3 deleted
Phase 2 negotiations in progress: 1
IPSec Tunnel IDs: 500230
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 192.168.1.2:500, Remote: 192.168.1.1:500
Local identity: 192.168.1.2
Remote identity: 192.168.1.1
Flags: IKE SA is created
IPsec SA Rekey CREATE_CHILD_SA exchange stats:
Initiator stats: Responder stats:
Request Out : 1 Request In : 2
Response In : 1 Response Out : 2
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Invalid KE In : 0 Invalid KE Out : 0
TS Unacceptable In : 0 TS Unacceptable Out : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0
Res Verify SA Fail : 0
Res Verify DH Group Fail: 0
Res Verify TS Fail : 0
動作モードから、 show security ipsec security-associations detail コマンドを入力します。
user@srxb> show security ipsec security-associations detail
ID: 500230 Virtual-system: root, VPN Name: IPSEC_VPN
Local Gateway: 192.168.1.2, Remote Gateway: 192.168.1.1
Local Identity: ipv4(0.0.0.0-255.255.255.255)
Remote Identity: ipv4(0.0.0.0-255.255.255.255)
TS Type: proxy-id
Version: IKEv2
PFS group: N/A
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.1, Tunnel MTU: 0, Policy-name: IPSEC_POL
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
Tunnel events:
Thu Mar 02 2023 22:26:16: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 1
Distribution-Profile: default-profile
Direction: inbound, SPI: 0x7ea065e7, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2633 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2002 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (192 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-on-traffic
IKE SA Index: 56042
Direction: outbound, SPI: 0x5f156c1b, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2633 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2002 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (192 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-on-traffic
IKE SA Index: 56042
動作モードから、 show security pki local-certificate certificate-id r1_crt_ecdsa384 detail コマンドを入力します。
user@srxb> show security pki local-certificate certificate-id r1_crt_ecdsa384 detail
LSYS: root-logical-system
Certificate identifier: r1_crt_ecdsa384
Certificate version: 3
Serial number:
hexadecimal: 0x0186a6254347a38063946d08595a55
decimal: 7923303152683216740296668848151125
Issuer:
Organization: juniper, Country: India, Common name: root-ecdsa-384
Subject:
Organization: juniper, Organizational unit: marketing, State: california, Locality: sunnyvale, Common name: r1_spk1, Domain component: juniper
Subject string:
DC=juniper, CN=r1_spk1, OU=marketing, O=juniper, L=sunnyvale, ST=california, C=us
Alternate subject: "r1_spk1@juniper.net", r1_spk1.juniper.net, 192.168.2
Cert-Chain: root-ecdsa-384
Validity:
Not before: 03- 3-2023 05:55 UTC
Not after: 06- 6-2027 13:21 UTC
Public key algorithm: ecdsaEncryption(384 bits)
04:c2:ba:19:dc:0d:62:a7:94:7b:9b:1d:4d:ff:a1:e1:44:b5:57:a7
cb:7d:33:6b:35:87:b8:e4:ca:44:b1:6c:6d:63:ae:6f:3c:31:7c:7e
65:99:b3:2d:a3:76:30:23:e5:0e:34:e1:28:54:d6:3e:d3:8b:de:b6
b9:45:05:82:6f:1d:20:b7:6f:3c:ce:a2:13:a2:b4:37:0b:db:35:1e
20:54:b5:06:9d:f8:7f:19:7b:c5:d7:7b:57:8b:28:31:d3
Signature algorithm: ecdsa-with-SHA384
Fingerprint:
9b:cb:5a:57:a8:60:a0:ee:5c:be:59:4c:db:35:39:d3:b7:29:ef:b1 (sha1)
ef:b5:e3:be:35:1b:6e:02:0b:61:11:a5:53:07:b4:89 (md5)
8f:86:d0:12:ea:bc:a8:81:a8:17:3a:f9:03:e4:91:57:20:9c:11:bc:a4:dd:d1:7f:d1:48:3f:5b:d9:fb:93:32 (sha256)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
s
動作モードから、 show security pki ca-certificate ca-profile Root-CA detail コマンドを入力します。
user@srxb> show security pki ca-certificate ca-profile Root-CA detail
LSYS: root-logical-system
CA profile: Root-CA
Certificate identifier: Root-CA
Certificate version: 3
Serial number:
hexadecimal: 0x00000440
decimal: 1088
Issuer:
Organization: juniper, Country: India, Common name: Root-CA
Subject:
Organization: juniper, Country: India, Common name: Root-CA
Subject string:
C=India, O=juniper, CN=Root-CA
Validity:
Not before: 06- 7-2022 12:36 UTC
Not after: 06- 6-2027 12:36 UTC
Public key algorithm: rsaEncryption(2048 bits)
30:82:01:0a:02:82:01:01:00:cd:9c:e6:9f:62:6c:49:15:c2:da:eb
8e:e6:e5:a1:88:40:d8:b5:2e:5b:1a:0e:de:96:d7:0b:19:f9:03:44
98:49:d5:cc:a8:90:2b:7f:1b:58:7b:1f:26:92:18:4c:2d:37:65:5c
9f:0f:6e:10:b5:34:6f:2d:b5:9c:27:3b:a6:b1:b5:a0:e2:a6:92:3d
e4:68:fe:5d:71:06:6f:ce:e6:0f:0f:e3:94:2a:23:57:98:a0:6a:9c
e0:52:a2:47:ff:ce:b0:47:bd:36:95:80:a7:af:d2:49:b1:5d:2a:3d
28:e4:95:06:b8:b3:d9:07:11:3c:13:af:c6:e2:51:08:22:82:2d:ec
4f:26:40:b0:b0:55:2d:6e:c0:c8:19:34:a7:99:5a:bc:58:98:69:ae
04:d6:6d:ec:4a:c9:55:a5:ff:00:cb:3b:02:85:fa:02:a1:5c:c1:9d
6d:44:b8:95:8f:77:c0:53:fc:7f:a4:09:a3:25:1c:4a:e2:9d:0c:81
08:b4:c8:b8:0d:bc:94:75:54:75:57:4f:d3:a4:17:0d:5d:1a:f3:c1
1d:5d:73:2f:fe:8b:cb:fc:1f:93:87:72:d6:be:df:86:d7:e6:d1:c7
0d:00:1a:6e:58:db:6a:1c:2f:1d:17:46:9a:f2:69:b4:21:db:08:5d
8d:ab:30:7d:7f:02:03:01:00:01
Signature algorithm: sha256WithRSAEncryption
Distribution CRL:
http://10.102.40.55:8080/crl-as-der/currentcrl-11.crl?id=11
Use for key: CRL signing, Certificate signing, Key encipherment, Digital signature
Fingerprint:
8b:84:60:2a:58:5b:80:f0:b9:ae:25:9f:67:3d:d6:81:ee:43:6c:d4 (sha1)
ab:ec:4d:fe:d4:04:9c:c9:79:1d:9a:33:4e:6d:78:f6 (md5)
9d:f0:c0:a0:93:74:11:53:d3:4d:2d:75:d3:60:37:5f:fb:b7:a9:67:42:cd:7c:3c:0e:0f:9b:58:36:3c:14:f5 (sha256)
IKEv2での署名認証
IKEv2のシグネチャ認証方法とそのJunos OSでの仕組みについては、このトピックをお読みください。
IKEv2(Internet Key Exchange バージョン 2)プロトコルは、公開キー暗号化を使用する署名ベースの認証をサポートします。IKEv2では、署名ベースの認証は、署名アルゴリズムごとに1つの認証方法をサポートします。例えば、IKEピアは、これらのデジタル署名ごとに、RSA、デジタル署名アルゴリズム(DSA)、楕円曲線DSA(ECDSA)という個別の認証方法を使用します。各ハッシュアルゴリズムは、認証用の1つのシグネチャに関連付けられています。IKEv2プロポーザル設定で、認証方法を指定すると、デバイスはその方法を使用してIKEv2メッセージのソースを認証します。IKEピアが、どのハッシュアルゴリズムがシグネチャに関連付けられているかを知ることは困難です。このプロセスは、新しいアルゴリズムが導入されるたびにさらに面倒になります。IKEv2の詳細については 、「Internet Key Exchange 」を参照してください。
RFC 7427に基づくデジタル署名認証方法を使用して、これらの課題に対処できます。この方法は、IKEピアがサポートされている署名アルゴリズムのいずれかを使用し、署名ハッシュアルゴリズムをネゴシエートできるため、シグネチャベースの認証方法と比較してより汎用的です。IKEv2の署名認証について理解するには、以下をお読みください。
IKEv2における署名認証の実装
Junos OS は、アルゴリズムごとに署名ベースの認証をサポートすることに加えて、RFC 7427 で説明されているデジタル署名認証方法もサポートします。この方法では、IKEv2認証ペイロードは、公開キーのタイプだけでなく、デバイスが署名を生成するために使用するハッシュアルゴリズムも示します。デバイスは、SIGNATURE_HASH_ALGORITHM通知を使用して、RFC 7427のサポートについてピアに通知し、サポートされているハッシュアルゴリズムのリストを提供します。
この機能を使用するには、デバイスでデジタル署名認証方法を設定する必要があります。 デジタル署名 認証方法の詳細については 、提案(セキュリティIKE)を参照してください 。設定オプション signature-hash-algorithm を使用して、受信した各シグネチャハッシュアルゴリズムと階層順に一致させる必要がある特定のシグネチャハッシュアルゴリズムを定義できます。シグネチャハッシュアルゴリズムを指定しない場合、デバイスは、サポートされているすべてのハッシュアルゴリズムのデフォルトリストから受信したシグネチャハッシュアルゴリズムと一致します。シグネチャハッシュアルゴリズム(セキュリティIKE)を参照してください 。
Junos OSでは、認証方法には、IKEv2メッセージフローで定義された以下の手順が含まれます。詳細については、RFC 7296、 Internet Key Exchange Protocol Version 2(IKEv2) を参照してください。
-
両方の IKE ピアは、最初にサポートされているハッシュ アルゴリズムのリストを互いに通知します。デバイスは、IKE_SA_INITメッセージ内のSIGNATURE_HASH_ALGORITHMペイロードをピアデバイスに送信し、応答を受信します。その後、ピアはシグネチャハッシュアルゴリズムをネゴシエートします。
-
IKE_AUTHメッセージでは、ピアはデジタル署名認証方法を交換します。
デバイスは、次のいずれかのシナリオでデフォルトの証明書認証方法を使用します。
-
レスポンダは RFC 7427 をサポートしていません。
-
イニシエーターは、受信したハッシュ アルゴリズムをサポートしていません。
利点
-
柔軟性 - 従来のデジタル署名と新しいデジタル署名が含まれます。
-
使いやすさ—既存のPKI(公開鍵基盤)に統合します。
-
堅牢なソリューション—署名ベースの認証方法と比較して優れた本人確認を実行し、IKEピアの全体的なセキュリティと信頼性を向上させます。
関連項目
DDoS攻撃からのIKE保護
サービス拒否(DoS)は、安全でないIPsec VPNネットワークで最も一般的ですが深刻な攻撃の1つです。DoS攻撃は、ネットワークインフラストラクチャに多くの足場を必要としないため、迅速かつ容易にネットワークをつかむ方法となります。サイバー攻撃者は、ネットワークを制御するためにこの方法を選択します。
DoS攻撃では何が起こるか?
攻撃者は、あまりにも多くのトラフィックでネットワークをフラッディングして徐々にクラッシュさせようとし、ネットワークリソースを使い果たし、さらにメモリやCPUなどのデバイスリソースを制御します。攻撃者が複数のオーケストレーションされたシステムを使用して制御し、単一のターゲットを同期的に攻撃しようとする場合、それは分散型 DoS(DDoS)攻撃と呼ばれます。
IKE実装のDDoS脆弱性
リモートピア(イニシエーター)がSA_INITメッセージを送信すると、ローカルピア(レスポンダー)が返信し、メッセージ構造にメモリを割り当てます。このセッションは、IKE_AUTHメッセージによって認証が発生するまで、 ハーフオープンIKEセッション と呼ばれます。ピアが IKE セキュリティ アソシエーション(SA)を確立すると、セッションは フルオープンの IKE セッションになります。
IKEv2 DDoS の脆弱性を理解するために、攻撃者が IKE SA に対して簡単な攻撃ベクトルを作成する方法をいくつか見てみましょう。
-
攻撃者がハーフオープンのIKEセキュリティアソシエーション構造を作成できる大量のSA_INITメッセージ(IKE_AUTHメッセージなし)を送信します。この攻撃により、デバイスがリソースを使用し、メモリが不足します。
-
イニシエーターとレスポンダーにそれぞれ正しいSPI_iとSPI_rを使用して、大量のジャンクIKE_AUTHパケットを送信します。パケットを復号化しようとしているときにデバイスのメモリが不足します。
-
SA_INITパケットを継続的に送信します。暗号化されたパケットの鍵を生成しようとしている間、デバイスのメモリが不足します。
-
フルオープンのIKEセッション中に、毎秒大量のキー更新要求を送信します。
-
個別のメッセージ識別子(ID)を持つ大量のメッセージを送信する。デバイスはすべての受信 IKE メッセージをキューに入れ、メモリが不足します。
IKE実装を保護する方法
IKEv1プロトコルとIKEv2プロトコルの両方について、DDoS攻撃を緩和および監視するための堅牢なインフラストラクチャを提供します。ファイアウォールがIPsec IKEサービスのikedプロセス( junos-ike パッケージ内)を実行すると、IKE実装に対する攻撃から保護できます。
IKEv2 の DDoS 保護の詳細については、RFC 8019、 分散型サービス拒否攻撃からの Internet Key Exchange プロトコル バージョン 2 (IKEv2) 実装の保護」を参照してください。ファイアウォールがikedプロセスを使用してIPsec VPNサービスを実行する場合、IKEv1にも同様の保護が提供されます。RFCが提示するクライアントパズルメカニズムはサポートしていません。
DDoS攻撃からの保護
IKEセキュリティアソシエーションの作成プロセス中に、DDoS攻撃に対する複数の防御メカニズムを有効にできます。これらのメカニズムには、ハーフオープン IKE SA のレート制限と保持期間の設定、さらに鍵更新要求の受信為替レートの管理が含まれます。当社は、IKE SAに対するDDoS攻撃から確実に保護するために、以下の対策を提供しています。
- ハーフオープン IKE SA の保護対策:
-
レスポンダは、一定時間、ハーフオープン IKE SA の設定を許可しません。この制限を設定すると、タイムアウト時間に達するまでレスポンダ側がSAを設定しないようにすることができます。詳細については、オプション
timeoutのセッション(セキュリティIKE)を参照してください。 -
レスポンダーで許容されるハーフオープン IKE SA の最大数に制限を設定できます。ハーフオープン IKE SA の総数が最大数に達すると、レスポンダーは IKEv1 と IKEv2 SA の両方の新規接続を拒否します。詳細については、セッション(セキュリティIKE)の
max-countオプションを参照してください。 -
レスポンダは、ハーフオープン IKE SA のセッション数にしきい値を適用します。ハーフオープン IKE SA の総数がしきい値に達すると、次のようになります。
-
IKEv2 SAの場合、レスポンダーは新しい接続に対してCookieメカニズムを呼び出します。
-
IKEv1 SAの場合、レスポンダは新しい接続を拒否します。
詳細については、セッション(IKEセキュリティ)の
thresholds、send-cookie、reduce-timeoutオプションを参照してください。 -
-
レスポンダは重複するセッションを破棄できます。詳細については、セッション(セキュリティIKE)の
discard-duplicateオプションを参照してください。 -
認証失敗と開始失敗フェーズのバックオフタイムアウトを設定できます。詳細については、セッション(セキュリティ IKE) で オプション
backoff-timeouts、init-phase-failure、auth-phase-failureを参照してください。
-
-
フルオープンの IKE SA の場合:
-
受信キー更新リクエストの最大レートを設定して、拡張されたシナリオでリクエストをスロットルすることができます。詳細については、セッション(セキュリティIKE)の
incoming-exchange-max-ratesオプションを参照してください。
-
-
レスポンダは、ピアIKE IDに基づいて、ピアからの受信IKEセッションをブロックできます。詳細については、「ブロックリスト(セキュリティ IKE)」を参照してください 。
-
動的ゲートウェイの場合、オプション
connections-limitを使用して、IKEゲートウェイ設定レベルで接続数の制限を設定できます。詳細については、「ゲートウェイ(セキュリティ IKE)」を参照してください 。
これらのオプションの構成方法の詳細については、「 IKE DDoS攻撃に対する保護の構成」を参照してください。
以下はサポートされません。
-
kmdプロセスに基づくIPsec VPNサービスによるDDoS保護。
-
ハッシュ攻撃やURL証明書エンコーディング攻撃に対する保護 これらのエンコーディングタイプをサポートしていないため
DDoS攻撃を監視する方法
DDoS攻撃を監視するために、以下のメカニズムを提供しています。
-
show security ike security-associationsコマンドを使用して、成熟したセキュリティアソシエーションと成熟していないIKEセキュリティアソシエーションをすべてリストアップします。詳細については、show security ike security-associationsを参照してください。 -
show security ike statsコマンドを使用して、進行中、確立済み、期限切れの統計情報など、IPsec VPNトンネルのグローバルIKE統計情報を表示します。詳細については、show security ike statsを参照してください。 -
show security ike active-peerコマンドを使用して、リモートピアとの成功したIKEネゴシエーションの詳細を表示します。詳細については、show security ike active-peerを参照してください。 -
show security ike peers in-progressコマンドを使用すると、半開IKE SAを含む進行中のIKE SAの詳細が表示されます。詳細については、show security ike peersを参照してください。このコマンドを使用すると、ブロックされたピア、失敗したピア、バックオフされたピアの詳細も確認できます。 -
clear security ike peersコマンドを使用して、バックオフ、ブロック、障害、または進行中のIKEピアをクリアします。詳細については、「clear security ike peers」を参照してください。 -
それ以降の通信をブロックする必要があるピアとの既存のIKEセキュリティアソシエーションを削除するには、
clear security ike security-associationsコマンドを使用します。詳細については、 clear security ike security-associationsを参照してください。 -
iked システムログ(syslog)メッセージ IKE_GATEWAY_PEER_BLOCKED、 IKE_GATEWAY_PEER_BACKOFF 、および IKE_GATEWAY_PEER_FAILED は、それぞれリモートピアとのブロック、バックオフ、および失敗した IKE ネゴシエーションの詳細を提供します。
-
セキュリティをさらに強化するために、Junos OS は、フィルタリング、セッション カウント、レート制限などのパケットベースのシステム攻撃から保護するサービスをユーザーに提供します。詳細については、[
edit security screen ids-option screen-name]階層レベルのshow firewallコマンドとids-optionステートメントを参照してください。
IKE DDoS攻撃に対する保護を設定する
IKEプロトコルに対するDDoS攻撃に対する保護を設定する方法については、このセクションを参照してください。
前提条件
IKE DDoS攻撃に対する保護を設定する前に、以下の前提条件を満たしていることを確認してください。
-
ikedプロセスを使用してIPsec VPNサービスを実行する
junos-ikeパッケージをサポートするファイアウォール。 -
ローカルエンドポイント(レスポンダー)として機能するファイアウォールは、リモートIKEピア(イニシエーター)に到達可能です。
-
IKEブロックリストを関連付けることができるIKEポリシー。
IKE DDoS攻撃に対する保護の設定には、以下のアクションが含まれます。
-
受信するハーフオープンIKE SAを管理します。
-
受信するフルオープン IKE SA を管理します。
-
複数のブロッキング方法を設定して、さまざまなピアから受信するIKEセッションをブロックし、ブロックリストの1つをIKEピアに関連付けます。
これらのアクションを設定するには、以下のタスクを参照してください。
ハーフオープンIKE SAのIKEセッションを設定する
概要
上記の前提条件をすべて満たしていることを確認します。
このセクションでは、ハーフオープンIKE SAのタイムアウト、最大カウント、およびしきい値を設定する方法について説明します。設定変更は新しいセッションに適用されますが、既存のセッションは、以前に明示的に設定されていない場合、引き続きデフォルト値を使用します。[edit security ike session half-open] 階層レベルでのこれらの設定の範囲は、ピア レベルではなくグローバル レベルで適用されます。
設定
-
オプション
timeout secondsを使用してレスポンダのライフタイムパラメーターを設定するには、次の手順に従います。[edit] user@host# set security ike session half-open timeout 150
この期間中、レスポンダはタイムアウト時間に達するまで、ハーフオープンのIKE SAの設定を許可しません。イニシエーターは、レスポンダーの設定に関係なく、60秒のタイムアウト時間を維持し続けることができます。
-
オプション
max-count valueを使用してレスポンダの最大カウントパラメーターを設定するには:[edit] user@host# set security ike session half-open max-count 1000
このオプションは、レスポンダーのハーフオープンIKEセッションの最大数を設定します。指定しない場合、デフォルト値は300です。
max-count設定では、すべてのしきい値を無効にします。このような場合、それらを適用するためにしきい値を明示的に設定する必要があります。 -
レスポンダーのセッション数が制限に達したときに
thresholdオプションを使用して、さまざまなタイプのアクションを指定します。-
次のオプションを使用して、Cookieアクションを適用するハーフオープンIKEセッションの最小数を設定するには
send-cookie count:[edit] user@host# set security ike session half-open threshold send-cookie 500
これは、応答側がリモート ピアに対し、初期応答でピアに返送された Cookie を使用してセッション開始を再試行するよう要求するしきい値制限を指定します。ここでは、ハーフオープンIKEセッションカウントの制限が500に達すると、ikedプロセスは新しいIKEセッションにCookieメカニズムを採用します。
-
次のオプションを使用して、タイムアウトの短縮アクションを強制するハーフオープンIKEセッションの最小数を設定するには
reduced-timeout count timeout seconds:[edit] user@host# set security ike session half-open threshold reduce-timeout 600 timeout 100
これは、ikedプロセスが新しいハーフオープンIKE SAのライフタイムを短縮する制限を指定します。ハーフオープンレスポンダーIKEセッションカウントがしきい値を下回ると、ハーフオープンレスポンダーIKEセッションはデフォルトのタイムアウト値を再度使用します。
-
-
イニシエーターに応答を送り返さずに、重複するハーフオープンIKEセッションを破棄するためにオプション
discard-duplicateを設定するには:[edit] user@host# set security ike session half-open discard-duplicate
ネゴシエーションの進行中にIKE SAがない、同じピアから別のイニシエーターCookieを使用して来た重複するセッション開始リクエスト(SA_INIT)の場合、レスポンダはパケットを破棄します。
-
backoff-timeoutsオプションを使用して、バックオフタイムアウトを設定できます。これにより、セッション開始に失敗した場合にリモートピアがバックオフする時間が与えられ、その間に同じピアが新しいセッションを開始できなくなります。バックオフタイムアウト後、ピアは新しいセッションを開始できます。セッションの開始は、初期化フェーズと認証フェーズの2つのフェーズで失敗することがあります。
-
オプション
backoff-timeouts auth-phase-failure valueを使用して、IKE_AUTH フェーズ中に障害が発生した場合のバックオフ タイムアウトを設定するには、次の手順に従います。[edit] user@host# set security ike session half-open backoff-timeouts auth-phase-failure 150
auth-phase-failureを設定すると、ターゲットブロックリストルールのアクションとしてバックオフを設定していなくても、ブロックリストに登録されたリモートピアはバックオフします。バックオフのタイムアウトは、auth-phase-failureに設定され たものです。この例では、デバイスは 150 秒後に新しいセッションを開始します。特定のルールのこのバックオフタイムアウトを上書きするにはrulebackoff、[edit security ike blocklists blocklist1 rule rule-name then backoff timeout-value] hierarchy level. -
オプション
backoff-timeouts init-phase-failure valueを使用して、SA_INIT フェーズ中に障害が発生した場合のバックオフ タイムアウトを設定するには、次の手順に従います。[edit] user@host# set security ike session half-open backoff-timeouts init-phase-failure 160
この例では、デバイスは 160 秒後に新しいセッションを開始します。
-
フルオープンの IKE SA 用の IKE セッションの設定
概要
上記の前提条件をすべて満たしていることを確認します。
このセクションでは、[edit security ike session full-open] 階層レベルでオプション incoming-exchange-max-rates を使用して、フル オープン IKE SA に対してさまざまな受信リクエスト レートを設定する方法について説明します。
設定
incoming-exchange-max-ratesオプションを設定して、IKE SAの確立後にリモートピアによって開始されたさまざまな交換の最大レートを設定します。IKE鍵更新、IPsec鍵更新、キープアライブ(デッドピア検出とも呼ばれる)の3種類の為替レートを設定できます。
-
次のオプションを使用して、受信ピアが開始IKEキー更新の最大レートを設定するには、次の
incoming-exchange-max-rates ike-rekey value手順に従います。[edit] user@host# set security ike session full-open incoming-exchange-max-rates ike-rekey 200/60
このオプションは、IKE SAがすでに存在する既存のピアとのピア単位でのIKEvIKE鍵更新に適用できます。
-
次のオプション を使用して、受信ピアが開始したIPsec SAのキー更新の最大レートを設定するには
incoming-exchange-max-rates ipsec-rekey value。[edit] user@host# set security ike session full-open incoming-exchange-max-rates ipsec-rekey 100/60
この制限は、トンネルごとに適用されます。
-
次のオプション を使用して、受信ピア開始キープアライブの最大レートを設定するには
incoming-exchange-max-rates keepalive value。[edit] user@host# set security ike session full-open incoming-exchange-max-rates keepalive 60/60
この制限は、ピアごとに適用されます。
IKEセッションブロックリストを設定する
概要
上記の前提条件をすべて満たしていることを確認します。
ピアIKE IDに基づいてピアから受信IKEセッションをブロックするには、1つ以上のブロックリストを設定する必要があります。各ブロックリストには、1つ以上のルールが含まれています。各ルールには一致条件とアクションがあります。
ブロックリストを設定するときは、以下の基準を考慮してください。
-
ブロックリストルールは、ネゴシエート中の新しいIKE SAに適用され、既存のIKE SAには影響しません。ピア認証段階で、デバイスはブロックリストルールを適用します。
-
ルールの適用順序は、これらのルールがリストされる順序によって異なります。
-
ロール(イニシエーターまたはレスポンダー)、IDタイプ(IPv4またはIPv6アドレス、ホスト名、識別名、メールID、またはキーID)、およびIKE IDと一致する正規表現であるIDパターンに基づいて一致基準を設定します。
-
各ルールをIDタイプで設定できます。これにより、同じブロックリスト内の異なるルールに異なるIKE IDを設定できます。
-
ピア接続を破棄または拒否するアクションを設定します。一致に基づいて、デバイスはアクションを適用します。オプションで、これらのアクションでバックオフタイマーを設定することもできます。
-
IKEゲートウェイに関連付けられたIKEポリシー内のブロックリストを参照してください。
-
各 IKE ゲートウェイは、1 種類のリモート IKE ID タイプのみをサポートします。ブロックリストをゲートウェイにアタッチし、異なるIKE IDを含むルールで設定した場合、ゲートウェイは、IKE IDタイプがIKEゲートウェイ用に設定されたものと同じIKE IDタイプを持つIKEルールのみを適用して照合します。
-
IKEゲートウェイに接続されたブロックリストを使用したトンネル設定レートのメトリックは、ブロックリストで設定されたルールの数に基づいています。
このセクションでは、ブロックリストを設定し、ブロックリストをIKEポリシーに関連付ける方法について説明します。
設定
-
複数のルールを含むブロックリストを作成するには:
-
ブロックリストを作成します。
[edit] user@host# set security ike blocklists blocklist1 description block_from_remote
-
1つ以上のルールを作成します。
[edit] user@host# set security ike blocklists blocklist1 rule rule1 description rule_1 user@host# set security ike blocklists blocklist1 rule rule2 description rule_2
このようなブロックリストとそのルールを複数作成できます。
-
-
一致基準を設定し、アクションを指定するには:
-
ブロックリストblocklist1内のrule1の一致基準を設定します。
[edit] user@host# set security ike blocklists blocklist1 rule rule1 match role initiator user@host# set security ike blocklists blocklist1 rule rule1 match id-type hostname user@host# set security ike blocklists blocklist1 rule rule1 match id-pattern "peer.*\.example\.net" user@host# set security ike blocklists blocklist1 rule rule2 match role initiator user@host# set security ike blocklists blocklist1 rule rule2 match id-type user-at-hostname user@host# set security ike blocklists blocklist1 rule rule2 match id-pattern "hr.example.com"
IKE ID または部分的な IKE ID のグループを使用してブロックリストを設定するには、サフィックスまたはプレフィックスを付けた
id-pattern valueを使用します 。例えば、hr.example.com、finance.example.com、admin.example.com を一致させる必要がある場合に、値 *.example.com を使用できます。ルール rule1で、デバイスはパターン peer.*\.example\.netに一致するホスト名を探します。ここでは、peer.example.net、peer.1.example.net、peer.uplink.example.net が一致する可能性のあるものをいくつか紹介します。ルール rule2で、デバイスはパターン hr.example.comに一致するメールアドレスを探します。同様に、異なるid-typeやid-patternに基づいて、他のルールに別の一致基準を設定することもできます。これらのパターンは、標準の正規表現を使用します。 -
一致するアクションを指定します。
[edit] user@host# set security ike blocklists blocklist1 rule rule1 then reject user@host# set security ike blocklists blocklist1 rule rule1 then backoff 60 user@host# set security ike blocklists blocklist1 rule rule2 then discard user@host# set security ike blocklists blocklist1 rule rule2 then backoff 100
-
-
ブロックリストをIKEピアに関連付けるには:
-
IKEポリシーike_policy1でブロックリストblocklist1を設定します。
[edit] user@host# set security ike policy ike_policy1 blocklist blocklist1
-
例:ピア証明書チェーン検証用のデバイスの設定
この例では、IKEネゴシエーション中にピアデバイスを検証するために使用される証明書チェーンにデバイスを設定する方法を示しています。
要件
開始する前に、ローカル証明書のリクエストを送信する際に認証機関(CA)のアドレスと必要な情報(チャレンジパスワードなど)を取得します。
概要
この例では、証明書チェーン用にローカルデバイスを設定し、CA証明書とローカル証明書を登録し、登録された証明書の有効性を確認し、ピアデバイスの失効ステータスを確認する方法を示しています。
トポロジー
この例では、 図10に示すように、Host-Aの設定と運用コマンドを示しています。ホストAには動的CAプロファイルが自動的に作成され、ホストAはSales-CAからCRLをダウンロードして、ホストBの証明書の失効ステータスを確認できます。
この例では、ホスト A のフェーズ 1 およびフェーズ 2 ネゴシエーションの IPsec VPN 設定を示しています。フェーズ1とフェーズ2のオプションが正常にネゴシエートされ、セキュリティアソシエーション(SA)が確立されるように、ピアデバイス(Host-B)を適切に設定する必要があります。VPN 用のピアデバイスの構成例については、 サイト間 VPN 用のリモート IKE ID の設定 を参照してください。
設定
証明書チェーン用にデバイスを設定するには:
CAプロファイルの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security pki ca-profile Root-CA ca-identity CA-Root set security pki ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ set security pki ca-profile Root-CA revocation-check crl set security pki ca-profile Eng-CA ca-identity Eng-CA set security pki ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ set security pki ca-profile Eng-CA revocation-check crl set security pki ca-profile Dev-CA ca-identity Dev-CA set security pki ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ set security pki ca-profile Dev-CA revocation-check crl
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
CAプロファイルを設定するには:
Root-CA の CA プロファイルを作成します。
[edit security pki] user@host# set ca-profile Root-CA ca-identity CA-Root user@host# set ca-profile Root-CA enrollment url http://198.51.100.230:8080/scep/Root/ user@host# set ca-profile Root-CA revocation-check crl
Eng-CAのCAプロファイルを作成します。
[edit security pki] user@host# set ca-profile Eng-CA ca-identity Eng-CA user@host# set ca-profile Eng-CA enrollment url http://198.51.100.230:8080/scep/Eng/ user@host# set ca-profile Eng-CA revocation-check crl
Dev-CAのCAプロファイルを作成します。
[edit security pki] user@host# set ca-profile Dev-CA ca-identity Dev-CA user@host# set ca-profile Dev-CA enrollment url http://198.51.100.230:8080/scep/Dev/ user@host# set ca-profile Dev-CA revocation-check crl
結果
設定モードから、 show security pki コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security pki
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Root/";
}
revocation-check {
crl ;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Eng/";
}
revocation-check {
crl ;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Dev/";
}
revocation-check {
crl ;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
証明書の登録
ステップバイステップの手順
証明書を登録するには:
CA証明書を登録します。
user@host> request security pki ca-certificate enroll ca-profile Root-CA
user@host> request security pki ca-certificate enroll ca-profile Eng-CA
user@host> request security pki ca-certificate enroll ca-profile Dev-CA
プロンプトで yes と入力して、CA証明書を読み込みます。
CA証明書がデバイスに登録されていることを確認します。
user@host> show security pki ca-certificate ca-profile Root-CA Certificate identifier: Root-CA Issued to: Root-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-14-2012 22:19 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)user@host> show security pki ca-certificate ca-profile Eng-CA Certificate identifier: Eng-CA Issued to: Eng-CA, Issued by: C = us, O = example, CN = Root-CA Validity: Not before: 08-15-2012 01:02 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)user@host> show security pki ca-certificate ca-profile Dev-CA Certificate identifier: Dev-CA Issued to: Dev-CA, Issued by: C = us, O = example, CN = Eng-CA Validity: Not before: 08-15-2012 17:41 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(2048 bits)登録されたCA証明書の有効性を確認します。
user@host> request security pki ca-certificate verify ca-profile Root-CA CA certificate Root-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Eng-CA CA certificate Eng-CA verified successfully
user@host> request security pki ca-certificate verify ca-profile Dev-CA CA certificate Dev-CA verified successfully
キーペアを生成します。
user@host> request security pki generate-key-pair certificate-id Host-A type rsa size 1024
ローカル証明書を登録します。
user@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA challenge-password example domain-name host-a.example.net email host-a@example.net subject DC=example,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
ローカル証明書がデバイスに登録されていることを確認します。
user@host> show security pki local-certificate Issued to: Host-A, Issued by: C = us, O = example, CN = Dev-CA Validity: Not before: 09-17-2012 22:22 Not after: 08-13-2017 22:19 Public key algorithm: rsaEncryption(1024 bits)登録されたローカル証明書の有効性を確認します。
user@host> request security pki local-certificate verify certificate-id Host-A Local certificate Host-A verification success
設定済みのCAプロファイルのCRLダウンロードを確認します。
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02
IPsec VPNオプションの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security ike proposal ike_cert_prop_01 authentication-method rsa-signatures set security ike proposal ike_cert_prop_01 dh-group group5 set security ike proposal ike_cert_prop_01 authentication-algorithm sha1 set security ike proposal ike_cert_prop_01 encryption-algorithm aes-256-cbc set security ike policy ike_cert_pol_01 mode main set security ike policy ike_cert_pol_01 proposals ike_cert_prop_01 set security ike policy ike_cert_pol_01 certificate local-certificate Host-A set security ike gateway ike_cert_gw_01 ike-policy ike_cert_pol_01 set security ike gateway ike_cert_gw_01 address 192.0.2.51 set security ike gateway ike_cert_gw_01 external-interface ge-0/0/1.0 set security ike gateway ike_cert_gw_01 local-identity 192.0.2.31 set security ipsec proposal ipsec_prop_01 protocol esp set security ipsec proposal ipsec_prop_01 authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop_01 encryption-algorithm 3des-cbc set security ipsec proposal ipsec_prop_01 lifetime-seconds 300 set security ipsec policy ipsec_pol_01 proposals ipsec_prop_01 set security ipsec vpn ipsec_cert_vpn_01 bind-interface st0.1 set security ipsec vpn ipsec_cert_vpn_01 ike gateway ike_cert_gw_01 set security ipsec vpn ipsec_cert_vpn_01 ike ipsec-policy ipsec_pol_01
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
IPsec VPNオプションを設定するには:
フェーズ1のオプションを設定します。
[edit security ike proposal ike_cert_prop_01] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ike_cert_pol_01] user@host# set mode main user@host# set proposals ike_cert_prop_01 user@host# set certificate local-certificate Host-A [edit security ike gateway ike_cert_gw_01] user@host# set ike-policy ike_cert_pol_01 user@host# set address 192.0.2.51 user@host# set external-interface ge-0/0/1.0 user@host# set local-identity 192.0.2.31
フェーズ2のオプションを設定します。
[edit security ipsec proposal ipsec_prop_01] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy ipsec_pol_01] user@host# set proposals ipsec_prop_01 [edit security ipsec vpn ipsec_cert_vpn_01] user@host# set bind-interface st0.1 user@host# set ike gateway ike_cert_gw_01 user@host# set ike ipsec-policy ipsec_pol_01
結果
設定モードから、 show security ike および show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security ike
proposal ike_cert_prop_01 {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ike_cert_pol_01 {
mode main;
proposals ike_cert_prop_01;
certificate {
local-certificate Host-A;
}
}
gateway ike_cert_gw_01 {
ike-policy ike_cert_pol_01;
address 192.0.2.51;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_prop_01 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 300;
}
policy ipsec_pol_01 {
proposals ipsec_prop_01;
}
vpn ipsec_cert_vpn_01 {
bind-interface st0.1;
ike {
gateway ike_cert_gw_01;
ipsec-policy ipsec_pol_01;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
ピアデバイス間のIKEネゴシエーション中に証明書の検証に成功すると、IKEとIPsecセキュリティアソシエーション(SA)の両方が確立されます。
証明書が有効であれば、IKE SAは稼働しています。証明書が失効した場合、ピアデバイスで失効チェックが設定されている場合にのみ、IKE SAがDOWNでIPSEC SAが形成されます
IKEフェーズ1ステータスの確認
目的
IKEフェーズ1ステータスを確認します。
アクション
動作モードから show security ike security-associations コマンドを入力します。
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
2090205 DOWN 285feacb50824495 59fca3f72b64da10 Main 192.0.2.51
IPsecフェーズ2ステータスの確認
目的
IPsecフェーズ2のステータスを確認します。
アクション
動作モードから show security ipsec security-associations コマンドを入力します。
user@host> show security ipsec security-associations
Total active tunnels: 1
ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway
<131073 ESP:3des/sha1 a4756de9 207/ unlim - root 500 192.0.2.51
>131073 ESP:3des/sha1 353bacd3 207/ unlim - root 500 192.0.2.51
失効した証明書の IKE および IPsec SA の障害
失効した証明書の確認
問題点
ピアデバイス間のIKEネゴシエーション中に証明書の検証に失敗した場合は、ピアの証明書が失効していないことを確認してください。動的CAプロファイルにより、ローカルデバイスはピアのCAからCRLをダウンロードし、ピアの証明書の失効ステータスを確認できます。動的CAプロファイルを有効にするには、親CAプロファイルで revocation-check crl オプションを設定する必要があります。
ソリューション
ピアの証明書の失効ステータスを確認するには:
動作モードから show security pki crl コマンドを入力して、ピアデバイスのCRLを表示する動的CAプロファイルを特定します。
user@host> show security pki crl CA profile: Root-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Root-CA Effective date: 09- 9-2012 13:08 Next update: 09-21-2012 02:55 CA profile: Eng-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Eng-CA Effective date: 08-22-2012 17:46 Next update: 10-24-2015 03:33 CA profile: Dev-CA CRL version: V00000001 CRL issuer: C = us, O = example, CN = Dev-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02 CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sales-CA Effective date: 09-14-2012 21:15 Next update: 09-26-2012 11:02CAプロファイル
dynamic-001がホストA上で自動的に作成されるため、ホストAはホストBのCA(Sales-CA)からCRLをダウンロードし、ピアの証明書の失効ステータスを確認できます。動作モードから show security pki crl ca-profile dynamic-001 detail コマンドを入力して、動的CAプロファイルのCRL情報を表示します。
開始
user@host> show security pki crl ca-profile dynamic-001 detail CA profile: dynamic-001 CRL version: V00000001 CRL issuer: C = us, O = example, CN = Sub11 Effective date: 09-19-2012 17:29 Next update: 09-20-2012 01:49 Revocation List: Serial number Revocation date 10647C84 09-19-2012 17:29 UTCホストBの証明書(シリアル番号10647084)が失効しました。
IKEv2フラグメント化
メッセージのフラグメント化
RFC 7383「 プロトコルバージョン2(IKEv2)メッセージフラグメント化Internet Key Exchange」で説明されているように、IKEv2メッセージフラグメント化により、IPフラグメントがブロックされ、ピアがIPsecセキュリティアソシエーション(SA)を確立できないような環境でもIKEv2を動作させることができます。IKEv2フラグメント化は、大きなIKEv2メッセージを小さなメッセージのセットに分割し、IPレベルでフラグメント化が発生しないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われるため、各フラグメントは個別に暗号化および認証されます。受信側でフラグメントが収集、検証、復号化され、元のメッセージにマージされます。
IKEv2フラグメント化が発生するためには、両方のVPNピアが、IKE_SA_INIT交換にIKEV2_FRAGMENTATION_SUPPORTED通知ペイロードを含めることで、フラグメント化サポートを示す 必要があります 。両方のピアがフラグメント化のサポートを示している場合、IKEv2 フラグメント化が使用されるかどうかは、メッセージ交換の開始側が判断します。
ファイアウォールでは、IKEv2メッセージごとに最大32個のフラグメントを使用できます。送受信されるIKEv2メッセージフラグメントの数が32を超えると、フラグメントがドロップされ、トンネルは確立されません。個々のメッセージフラグメントの再送信はサポートされていません
設定
ファイアウォールでは、IPv4 および IPv6 メッセージに対して IKEv2 フラグメント化がデフォルトで有効になっています。IKEv2フラグメント化を無効にするには、[edit security ike gateway gateway-name fragmentation]階層レベルでdisableステートメントを使用します。また、sizeステートメントを使用して、メッセージがフラグメント化されるパケットのサイズを設定することもできます。パケットサイズは500〜1300バイトの範囲です。sizeが設定されていない場合、デフォルトのパケットサイズは、IPv4トラフィックで576バイト、IPv6トラフィックで1280バイトです。設定されたパケットサイズよりも大きいIKEv2パケットはフラグメント化されます。
IKEv2のフラグメント化を無効または有効にするか、パケットのフラグメントサイズを変更すると、IKEゲートウェイでホストされているVPNトンネルがダウンし、IKEおよびIPsec SAが再ネゴシエートされます。
注意事項
IKEv2フラグメント化では、以下の機能はサポートされていません。
パス MTU 検出。
SNMP。
関連項目
信頼できるCAを使用したIKEポリシー
この例では、信頼できる CA サーバーをピアの IKE ポリシーにバインドする方法を示します。
開始する前に、ピアの IKE ポリシーに関連付けるすべての信頼できる CA のリストを用意しておく必要があります。
IKEポリシーは、単一の信頼できるCAプロファイルまたは信頼できるCAグループに関連付けることができます。セキュアな接続を確立するために、IKEゲートウェイは、証明書を検証する間、IKEポリシーを使用して、設定されたCAグループ(caプロファイル)に自身を制限します。信頼できる CA または信頼できる CA グループ以外のソースから発行された証明書は検証されません。IKEポリシーから証明書検証リクエストがある場合、IKEポリシーに関連付けられたCAプロファイルが証明書を検証します。IKEポリシーがどのCAにも関連付けられていない場合、デフォルトでは、設定されたCAプロファイルのいずれかによって証明書が検証されます。
この例では、 root-ca という名前のCAプロファイルが作成され、そのプロファイルに root-ca-identity が関連付けられています。
信頼できるCAグループに追加したいCAプロファイルは最大20個まで設定できます。信頼できるCAグループで20を超えるCAプロファイルを設定した場合、設定をコミットできません。
デバイスに設定されているCAプロファイルと信頼できるCAグループを表示するには、 show security pki コマンドを実行します。
user@host# show security ike
proposal ike_prop {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
show security ikeコマンドは、ike_policyという名前のIKEポリシーの下にCAプロファイルグループと、IKEポリシーに関連付けられた証明書を表示します。
関連項目
IKEでの確立トンネルレスポンダーのみの設定
このトピックでは、Internet Key Exchange(IKE)で establish-tunnels responder-onlyを設定する方法を説明します。リモートピアからトンネルを開始し、すべてのトンネルを介してトラフィックを送信します。IKEがアクティブになるタイミングを指定します。
ファイアウォールでは、establish-tunnelsオプションは、[edit security ipsec vpn vpn-name]階層レベルのresponder-only値とresponder-only-no-rekey値をサポートします。
これらのオプションは、サイト間VPNでのみサポートされます。これらのオプションは、自動VPNではサポートされていません。
responder-onlyオプションとresponder-only-no-rekeyオプションでは、デバイスからのVPNトンネルは確立されないため、VPNトンネルはリモートピアから開始されます。responder-onlyを設定すると、確立されたトンネルは、設定されたIKEとIPsecのライフタイム値に基づいて、IKEとIPsecの両方のキーを再生成します。responder-only-no-rekeyを設定すると、確立されたトンネルデバイスからのキー更新は行われず、リモートピアに依存してキー更新が開始されます。リモートピアがキー更新を開始しない場合、ハードライフタイムの有効期限が切れた後にトンネルの破棄が行われます。
始める前に:
AutoKey IKE IPsec トンネルの確立方法を理解します。 「IPsecの概要」を参照してください。
IKEでestablish-トンネルレスポンダーのみを設定するには:
プラットフォーム固有の IKEv2レスポンダーのみ の動作
機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。
お使いのプラットフォームに固有の動作を確認するには、以下の表を使用して下さい。
| プラットフォーム | 違い |
|---|---|
| SRXシリーズ |
|
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。
[edit security ipsec vpn vpn-name]階層レベルの
establish-tunnelsオプションの
responder-only値と
responder-only-no-rekey値のサポートは、Junos OSリリース19.1R1のSRX5000シリーズで導入されました。