IPSec VPNの概要
IPSec VPNは、データを暗号化して認証し、パブリックネットワーク上にプライベートトンネルを作成する安全なネットワークプロトコルスイートです。一般的にサイト間接続やリモートアクセス接続に使用されます。 Juniper Security Director Cloud およびSRXシリーズファイアウォールを使用してリモートネットワークを安全に接続する方法については、次のトピックをお読みください。
IPSec VPN は、インターネットなどのパブリック WAN を介してリモート コンピューターと安全に通信する手段を提供します。VPN 接続は、サイトツーサイト VPN またはリモートのダイヤルアップ ユーザーと LAN を使用して 2 つの LAN をリンクできます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過する VPN 通信を保護するには、IPsec トンネルを作成する必要があります。
Juniper Security Director Cloudは、IPsec VPNの管理と導入を簡素化します。一般に、多数のSRXシリーズファイアウォールにVPNを展開する場合、VPN構成は面倒で繰り返しが多くなります。Juniper Security Director Cloudでは、VPNプロファイルを使用して共通の設定をグループ化し、複数のSRXシリーズファイアウォールにまたがる複数のVPNトンネル構成にプロファイルを適用できます。サイトツーサイトおよびハブアンドスポーク方式のVPNを導入できます。 Juniper Security Director Cloudは、必要な導入シナリオを決定し、すべてのSRXシリーズファイアウォールに必要な設定を公開します。
利点
- データを暗号化して機密性と整合性を確保します。
- 通信ピアの ID を検証します。
- インターネット経由でプライベートネットワークへのセキュアなアクセスを可能にします。
IPSec VPN タイプ
Juniper Security Director Cloudは、SRXシリーズファイアウォール上でポリシーベースおよびルートベースのIPsec VPNをサポートします。
ジュニパーSRXシリーズファイアウォール上のポリシーベースとルートベースのIPsec VPNを比較してみましょう。
| 機能 | ポリシーベース VPN | ルートベース VPN |
|---|---|---|
| サポートされるトポロジー | サイトツーサイトのみ | ハブアンドスポーク、フルメッシュ |
| エンドポイントの数 | 2つのエンドポイント | 2 つ以上のエンドポイント |
| 拡張性 | 狹 | 高い |
| 柔軟性 | 柔軟性に欠ける | 柔軟性の向上 |
| エンタープライズクラスの導入 | 理想的ではありません | 推奨 |
| 基準 | ポリシーベーストンネルモードの使用 | ルートベーストンネルモードの使用 |
|---|---|---|
| リモートゲートウェイタイプ | ジュニパー以外のデバイス | Juniper デバイス |
| 交通規制 | 特定のアプリケーショントラフィック | 一般トラフィック |
| NAT の要件 | 不要 | 送信元または宛先のNATが必要 |
| ルーティングプロトコル | スタティックルーティング | ダイナミックルーティング(OSPF、BGPなど) |
| 冗長性(プライマリ/バックアップVPN) | 未対応 | サポート |
Juniper Security Director CloudでいずれかのタイプのVPNを作成すると、トポロジービューが表示されます。トポロジー内のアイコンをクリックして、リモートゲートウェイを設定できます。
IPSec VPN と論理システム
Juniper Security Director Cloudは、各論理システムを他のセキュリティデバイスと同様に認識し、論理システムのセキュリティ設定の所有権を取得します。Juniper Security Director Cloudでは、各論理システムはスタンドアロンのセキュリティデバイスとして管理されます。
Juniper Security Director Cloud は、トンネル インターフェイスがデバイスの個々の論理システムにのみ割り当てられるようにします。トンネル インターフェイスは、同一デバイスの複数の論理システムに割り当てられません。
Juniper Security Director Cloud は、VPNover Point-to-Point Protocol over Ethernet(PPPoE)をサポートしていません。
IPSec VPNトポロジー
Juniper Security Director Cloud は、以下のIPSec VPNトポロジーをサポートしています。
-
サイト間VPN:企業内の2つのサイトを相互に接続し、サイト間の安全な通信を可能にします。
図 1:サイト間 VPN
-
ハブアンドスポーク(すべてのピアを確立):企業ネットワーク内の支社と本社を接続します。このトポロジーを使用し、ハブ経由でトラフィックを送信することで、スポーク同士を接続することもできます。
図 2:ハブアンドスポーク(すべてのピアを確立)
-
ハブアンドスポーク(スポークによる確立):Autovpn は、ハブと呼ばれる IPSec VPN アグリゲータをサポートしており、スポークと呼ばれるリモート サイトへの複数のトンネルの単一終端ポイントとして機能します。Autovpn を使用すると、ネットワーク管理者は、現在および将来のスポークのハブを設定できます。スポーク デバイスが追加または削除されても、ハブの構成を変更する必要がないため、管理者は大規模なネットワーク展開を柔軟に管理できます。
図 3:ハブアンドスポーク(スポークによる確立)
-
ハブアンドスポーク(自動検出 VPN):自動検出 VPN(ADVPN)は、中央ハブが 2 つのスポーク間のトラフィックのより良いパスをスポークに動的に通知できるようにするテクノロジーです。両方のスポークがハブからの情報を確認すると、スポークはショートカット トンネルを確立し、ハブ経由でトラフィックを送信せずに反対側に到達するようにホストのルーティング トポロジーを変更します。
図 4:ハブアンドスポーク(自動検出 VPN)
-
リモートアクセスVPN(Juniper Secure Connect)—Juniper Secure Connectは、ユーザーがインターネットを使用して企業ネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXシリーズファイアウォールサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択します。
図5:リモートアクセスVPN(Juniper Secure Connect)
IPSec VPN 設定
IPSec VPN モード
Juniper Security Director Cloudは、2つのVPNトラフィック交換モードをサポートしています。
-
トンネルモード—このモードは、VPNトンネル内の別のパケット内に元のIPパケットをカプセル化します。これは、別々のプライベートネットワーク内のホストがパブリックネットワークを介して通信する場合に最も一般的に使用されます。両方の VPN ゲートウェイが相互に VPN トンネルを確立し、2 つのゲートウェイ間のすべてのトラフィックは 2 つのゲートウェイからのものであり、元のパケットは外部 IPsec パケット内に埋め込まれているように見えます。
-
トランスポートモード—このモードでは、トンネルモードのように元のパケットが新しいパケットにカプセル化されません。トランスポート モードでは、IPsec トンネルを確立した 2 つのホスト間でパケットが直接送信されます。
トンネルモードは、ネットワーク全体、特にプライベートアドレス空間を持つネットワークがパブリックIPネットワークを介して簡単に通信できるようにするため、インターネット上で最も一般的なVPNモードです。トランスポート モードは主に、プライベート ネットワーク上のホストとサーバー間など、IP アドレスの重複が問題にならない通信を保護するために 2 つのホスト間のトラフィックを暗号化する場合に使用されます。
IPSec VPNルーティング
SRXシリーズファイアウォールは、宛先ネットワークに到達する方法を知っている必要があります。これは、スタティック ルーティングまたは動的ルーティングを使用して設定できます。
Juniper Security Director Cloudでは、ルートベースVPNが、スタティックルーティングに加えてOSPF、RIP、eBGPルーティングをサポートしています。スタティック ルーティングでは、管理者が VPN の一部として各サイトのホストまたはネットワーク アドレスのリストを指定する必要があります。
たとえば、数千のスポークをVPNの一部にできる小売業のシナリオでは、静的ルーティングアプローチによって、各デバイスで巨大な構成が生成されます。静的ルーティングでは、管理者が各ルートを手動で設定する必要があり、インフラストラクチャが変更された場合や、管理者が保護されたネットワークのアドレスにアクセスできない場合に問題が発生する可能性があります。手動でルートを最新の状態に保つことも、膨大なオーバーヘッドを生み出します。
IKE 認証
インターネット鍵交換ネゴシエーションは、2 つの当事者が通信できるセキュアなチャネルを確立する機能のみを提供します。それでも、互いの認証方法を定義する必要があります。ここで、IKE認証を使用して、相手がVPNを確立する権限を持っていることを確認します。以下のIKE認証を使用できます。
-
事前共有キー認証:VPN 接続を確立する最も一般的な方法は、事前共有キーを使用することです。これは基本的に、両当事者にとって同じパスワードです。このパスワードは、電話や口頭でのやりとりなどの帯域外メカニズムや、電子メールなどのセキュリティの低いメカニズムを使って、事前に交換しておく必要があります。その後、当事者は、Diffie-Hellman 交換で得られたピアの公開鍵で事前共有鍵を暗号化することで、互いを認証します。
事前共有鍵は、単一の組織内、または異なる組織間のサイト間 IPsec VPN に導入されるのが一般的です。事前共有鍵は、少なくとも 8 文字で構成されている必要があり、文字、数字、非英数字の組み合わせで構成される 12 文字以上を推奨します。文字については大文字と小文字が区別されます。事前共有鍵には、辞書にある単語を使用しないでください。
-
証明書認証:認定書ベースの認証は、証明書キーが簡単に侵害されないため、事前共有鍵認証よりも安全であると考えられています。また、認定書は、全員が事前共有鍵を共有するわけではない多数のピア サイトを有する大規模な環境ではより理想的です。認定書は公開鍵と秘密鍵で構成されており、認証局(CA)と呼ばれる一次認定書による署名を受けることができます。このようにして、証明書が信頼できる CA で署名されているかどうかを確認できます。
フィールドの説明 - [IPsec VPN] ページ
| 畑 |
形容 |
|---|---|
| 名前 |
IPSec VPNの名前。 |
| 形容 |
IPSec VPNの説明。 |
| VPN トポロジ |
サイトツーサイト、ハブアンドスポークVPN、リモートアクセスVPNなど、IPSec VPNの導入トポロジーのタイプ。 |
| プロファイル タイプ |
[インライン プロファイル(Inline Profile)] や [共有プロファイル(Shared Profile)] などの VPN プロファイルのタイプ。 |
| プロファイル名 |
VPN プロファイルの名前。 このプロファイルでは、2 つのサイト間の VPN 接続を確立するために、セキュリティ パラメーターが定義されます。 |
| トンネルモード |
ルートベースやポリシーベースなどのトンネルモード。 |
| 構成状態 |
IPSec VPN の構成状態。 |
| 地位 |
デバイスの設定を更新する前に、VPN の設定を確認できます。
|
| 作成者 |
IPSec VPNを作成したユーザーのメールアドレス。 |