リモートアクセスVPNの作成と管理—Juniper Secure Connect

名前

スペースを含まない最大63文字の英数字からなる一意の文字列を入力します。

文字列には、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。

形容

VPNの説明を最大255文字で入力します。

ルーティングトポロジー

トラフィックセレクター(自動ルート挿入)を選択します。

トラフィックセレクターは、トラフィックが指定されたローカルアドレスとリモートアドレスのペアに一致する場合に、トンネルを介したトラフィックを許可するためのIKEピア間の合意です。

VPNプロファイル

導入シナリオに基づいて、ドロップダウンリストからVPNプロファイルを選択します。

• インラインプロファイルは、特定のIPsec VPNにのみ適用可能です。IPsec VPNの作成ページで IKE/IPsec設定を表示 をクリックすると、詳細を表示および編集できます。

• 共有プロファイルは、1つ以上のIPsec VPNで使用できます。共有プロファイルの詳細を表示するには、IPsec VPNの作成ページで IKE/IPsec設定を表示 をクリックする必要があります。

認証方法

リストから、デバイスがInternet Key Exchange(IKE)メッセージのソースを認証するために使用する認証方法を選択します。

• 事前共有ベース—2つのピア間で共有された秘密キーである事前共有キーが、認証中にピアを相互に識別するために使用されることを指定します。各ピアに対して同じキーを設定する必要があります。

• RSA Signatures—暗号化とデジタル署名をサポートする公開キーアルゴリズムが使用されていることを指定します。

最大伝送ユニット

最大送信単位(MTU)をバイト単位で選択します。

MTUは、IPsecオーバーヘッドを含むIPパケットの最大サイズを定義します。トンネルエンドポイントのMTU値を指定できます。有効な範囲は68〜9192バイトで、デフォルト値は1500バイトです。

事前共有キー

事前共有キーを使用してVPN接続を確立します。これは本質的に両方の当事者にとって同じパスワードです。

使用する事前共有キーのタイプを選択します。

• 自動生成—トンネルごとに一意のキーを自動的に生成する場合に選択します。選択すると、トンネルごとに固有のキーを生成オプションが自動的に有効になります。トンネルごとに固有のキーを生成オプションを無効にすると、 Juniper Security Director Cloud はすべてのトンネルに対して1つのキーを生成します。

• 手動—選択すると、キーを手動で入力します。デフォルトでは、手動キーはマスクされています。

事前共有鍵は、認証方法が事前共有ベースの場合にのみ適用されます。

クライアント設定

デフォルトのクライアントプロファイルを変更し、ローカルゲートウェイを定義します。

デフォルトのクライアントプロファイルを変更するには:

1. クライアント設定セクションでデフォルトプロファイルを選択します。

2. 鉛筆アイコンをクリックします。

   リモートユーザーページが開きます。

3. 表2の説明に従ってパラメーターを設定します。

ローカルゲートウェイを定義するには:

1. ローカルゲートウェイセクションにある+記号をクリックします。

   デバイスの追加ページが開きます。

2. 表3の説明に従ってデバイスパラメーターを設定します。
3. OKをクリックします。

接続モード

リストから以下のオプションの1つを選択して、Juniper Secure Connectクライアント接続を確立します。

• 手動—ログインするたびにVPNトンネルに手動で接続する必要があります。

• 常に—ログインするたびにVPNトンネルに自動的に接続されます。

デフォルトの接続モードは手動です。

SSL VPN

このオプションを有効にすると、Juniper Secure ConnectクライアントからSRXシリーズファイアウォールへのSSL VPN接続が確立されます。

これは、IPsecポートに到達できない場合のフォールバックオプションです。デフォルトでは、このオプションが有効になっています。

バイオメトリック認証

このオプションを有効にすると、固有の設定された方法を使用してクライアントシステムを認証できます。

クライアントシステムに接続すると、認証プロンプトが表示されます。VPN接続は、Windows Hello用に設定された方法(指紋認識、顔認識、PIN入力など)を介して認証に成功した後にのみ開始されます。

生体認証認証オプションが有効になっている場合、Windows Helloはクライアントシステム上で事前設定する必要があります。

デッドピアの検出

このオプションを有効にすると、Juniper Secure ConnectクライアントがSRXシリーズファイアウォールに到達可能かどうかを検出できます。

このオプションを無効にすると、SRXシリーズファイアウォール接続の到達可能性が回復するまでJuniper Secure Connectクライアントが検出できるようにします。

このオプションはデフォルトで有効になっています。

DPDモード

DPDモードを選択します。

• 最適化:R-U-THEREメッセージは、デバイスが発信パケットをピアに送信した後、設定された間隔内にIKEまたはIPsecトラフィックが受信しない場合にトリガーされます。これはデフォルトモードです。

• プローブアイドルトンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。トラフィックアクティビティが発生するまで、R-U-THEREメッセージが定期的にピアに送信されます。

• 常時送信:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。

デフォルトの間隔は10秒で、有効範囲は2〜60秒です。

DPDしきい値

失敗DPDしきい値を選択します。

ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回で、有効な範囲は1〜5です。

証明 書

セキュリティ証明書を設定するオプション。

• 有効期限警告—有効になっている場合、証明書の有効期限が近づいていると証明書の有効期限警告が表示されます。このオプションはデフォルトで有効になっています。

• 警告間隔—警告を表示させる間隔を日数で入力します。

• 接続ごとのピン要求—有効になっている場合、すべての接続に対して証明書PINを入力する必要があります。このオプションはデフォルトで有効になっています。

EAP-TLS

EAP-TLS認証方法を使用してセキュリティ証明書を検証するオプション。

このオプションはデフォルトで有効になっています。

ウィンドウログオン

このオプションを有効にすると、ユーザーはWindowsシステムにログオンする前にWindowsドメインに安全にログオンできます。

クライアントは、企業ネットワークへのVPN接続を確立した後、資格サービスプロバイダを使用したドメインログインをサポートします。

外部インターフェース

IKEセキュリティアソシエーション(SA)の発信インターフェイスを選択します。

このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォールセキュリティを提供します。

トンネルゾーン

トンネルゾーンを選択します。

トンネルゾーンは、カプセル化前とカプセル化後のIPsecトラフィックに対するNATアプリケーションの動的IP(DIP)アドレスプールをサポートできるアドレス空間の論理エリアです。トンネルゾーンでは、トンネルインターフェイスとVPNトンネルを柔軟に組み合わせることができます。

ユーザー認証

リストから、リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルを選択します。

追加をクリックして、新しいアクセスプロファイルを作成します。

SSL VPNプロファイル

リストからSSL VPNプロファイルを選択して、リモートアクセス接続を終了します。

新しいSSL VPNプロファイルを作成するには:

1. 追加をクリックします。

   SSL VPNプロファイルの追加ページが開きます。

2. SSL VPNプロファイル名を入力します。

3. ログオプションを有効にして、SSL VPNイベントをログに記録します。

4. SSL終了プロファイル名を入力します。

5. サーバー証明書を選択します。

6. OKをクリックします。

証書

証明書を選択して、仮想プライベートネットワーク(VPN)の開始者と受信者を認証します。

信頼できるCA/グループ

リストからCAプロファイルを選択して、ローカル証明書に関連付けます。

これは、認証方法がRSA-Signaturesの場合に適用されます。

保護されたネットワーク

選択したデバイスのアドレスタイプを設定して、ネットワークのある領域を他の領域から保護します。

[ 新しいアドレスを追加]をクリックしてアドレスを作成することもできます。

IKEバージョン

IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用する、必要なIKEバージョン(V1またはV2)を選択します。

デフォルトでは、IKE V2が使用されます。

モード

IKEポリシーモードを選択します。

• メイン—3つのピアツーピア交換で6つのメッセージを使用して、IKE SAを確立します。これらの3つのステップには、IKE SAネゴシエーション、Diffie-Hellman交換、ピアの認証が含まれます。このモードはID保護も提供します。

• アグレッシブ—メインモードのメッセージ数が半分になり、ネゴシエーション力が低下し、ID保護を提供しません。

モードは、IKEバージョンがV1の場合に適用されます。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこのアルゴリズムを使用して、パケットの真正性と完全性を検証します。

Deffie Hellmanグループ

グループを選択します。

Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

ライフタイム秒

IKEセキュリティアソシエーション(SA)のライフタイムを選択します。

有効な範囲は 180 秒から 86400 秒です。

デッドピアの検出

このオプションを有効にすると、2つのゲートウェイがピアゲートウェイが稼働しているかどうかを判断し、IPsec確立中にネゴシエートされたDPD(デッドピア検出)メッセージに応答できます。

DPDモード

DPDモードを選択します。

• 最適化: R-U-THERE メッセージは、デバイスが発信パケットをピアに送信した後、設定された間隔内にIKEまたはIPsecトラフィックが受信しない場合にトリガーされます。これはデフォルトモードです。

• プローブアイドルトンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。トラフィックアクティビティが発生するまで、R-U-THEREメッセージが定期的にピアに送信されます。

• 常時送信:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。

デフォルトの間隔は10秒で、有効範囲は2〜60秒です。

DPDしきい値

失敗DPDしきい値を選択します。

ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回で、有効な範囲は1〜5です。

一般的な IKE ID

ピア IKE ID を受け入れるには、このオプションを有効にします。

このオプションはデフォルトでは無効になっています。一般 IKE ID が有効になっている場合、IKE ID オプションは自動的に無効になります。

IKEv2再認証

再認証の頻度を選択します。再認証は、再認証の頻度を0に設定することで無効にできます。

有効な範囲は 0 から 100 です。

IKEv2再フラグメント化のサポート

このオプションを有効にすると、大きなIKEv2メッセージが小さなメッセージに分割され、IPレベルでフラグメント化が発生しません。

IKEv2再フラグメントサイズ

メッセージをフラグメント化するパケットのサイズを選択します。IPv4のデフォルトのサイズは576バイトです。

有効な範囲は 570 から 1320 です。

IKE ID

以下のオプションのいずれかを選択します。

• 何一つ

• 識別名

• ホスト名

• IPv4アドレス

• メルアド

IKE ID は、一般 IKE ID が無効になっている場合にのみ適用されます。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合、NAT-T(ネットワークアドレス変換トラバーサル)を有効にします。

キープアライブ

接続を継続させる期間を秒単位で選択します。

NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。

有効な範囲は1秒から300秒です。

議定書

VPNを確立するために必要なプロトコルを選択します。

• ESP—カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。

• AH—認証ヘッダー(AH)プロトコルは、データの完全性とデータ認証を提供します。

暗号化アルゴリズム

暗号化方法を選択します。

これは、プロトコルがESPの場合に適用されます。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこれらのアルゴリズムを使用して、パケットの真正性と完全性を検証します。

完全転送機密保持

デバイスが暗号化キーを生成するために使用する方法として、Perfect Forward Secrecy(PFS)を選択します。

PFSは、以前の鍵とは独立して新しい暗号化キーを生成します。グループ番号が高いほどセキュリティも高くなりますが、処理時間が長くなります。

トンネルを確立

IKEがアクティブになるタイミングを指定するオプションを選択します。

• 即時—VPN設定の変更がコミットされた直後にIKEがアクティブ化されます。

• オントラフィック—IKEは、データトラフィックが流れている場合にのみアクティブ化され、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。

VPN監視

このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信して、VPNが稼働しているかどうかを確認できます。

最適化

このオプションを有効にすると、VPN監視を最適化し、設定済みのピアから発信トラフィックがあり、VPNトンネルを介して受信トラフィックがない場合にのみ、ICMPエコー要求(pingとも呼ばれます)を送信するようにSRXシリーズファイアウォールを構成します。

VPNトンネルを介して受信トラフィックがある場合、SRXシリーズファイアウォールはそのトンネルをアクティブであると見なし、ピアにpingを送信しません。

リプレイ防止

IPsecメカニズムに対してこのオプションを有効にすると、IPsecパケットに組み込まれている一連の番号を使用するVPN攻撃から保護します。

IPsecは、同じシーケンス番号をすでに確認しているパケットは受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを実施します。

IPsecメカニズムにエラーがあり、順序外れのパケットが発生し、適切な機能が妨げられる場合は、このオプションを無効にします。

デフォルトでは、アンチリプレイ検出は有効になっています。

インストール間隔

キー更新されたアウトバウンドセキュリティアソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択します。

セッションとそれに対応する変換は、トラフィックを受信しない場合、通常一定期間後にタイムアウトします。

DFビット

IPメッセージ内のDon't Fragment(DF)ビットを処理するオプションを選択します。

• クリア—IPメッセージからDFビットを無効にします。これはデフォルトのオプションです。

• コピー—DFビットをIPメッセージにコピーします。

• 設定—IPメッセージでDFビットを有効にします。

外部DSCPをコピー

このオプションを有効にすると、外部IPヘッダー暗号化パケットから内部IPヘッダープレーンテキストメッセージにDSCP(差別化されたサービスコードポイント)フィールドをコピーできます。

この機能を有効にするメリットは、IPsec暗号化解除後、クリアテキストパケットが内部のサービスクラス(CoS)ルールに従うことができることです。

ライフタイム秒

IKEセキュリティアソシエーション(SA)のライフタイムを選択します。

有効な範囲は 180 秒から 86400 秒です。

ライフタイムキロバイト数

IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。

有効な範囲は64〜4294967294キロバイトです。