Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

リモートアクセスVPNの作成と管理—Juniper Secure Connect

リモートアクセスVPNの作成—Juniper Secure Connect

Juniper Secure Connectは、ジュニパーネットワークスが提供するクライアントベースのSSL-VPNソリューションで、リモートユーザーがネットワーク上の保護リソースに安全に接続してアクセスできるようにします。このアプリケーションをファイアウォールと組み合わせることで、企業は世界中のあらゆる場所にあるデバイスから動的で柔軟かつ適応性の高い接続を迅速に実現できます。Juniper Secure Connectは、安全なVPN接続を使用して、クライアントからクラウドへの可視性と適用を拡張します。

Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、最も効果的なトランスポートプロトコルを選択してVPN接続を確立します。

始める前に

リモートアクセスVPNを作成するには:

  1. IPsec VPN管理>IPsec VPN>セキュリティを選択します。

    IPsec VPNページが表示されます。

  2. Create > Remote Access Juniper Secure Connectをクリックします。

    リモートアクセスVPNの作成ページが表示されます。

  3. 以下のガイドラインに従ってIPsec VPNの設定を完了します。

    • 表1 - 一般設定

    • 表2 - クライアント設定

    • 表3 - ローカルゲートウェイ設定

    • 表4 - VPNプロファイル設定

    トポロジーのVPN接続がグレーからブルーラインに変化し、設定が完了していることを示します。表示されるトポロジーは、表現用のみです。

  4. 「保存」をクリックします。

    IPsec VPNページが表示されます。

  5. VPNポリシーを選択し、展開をクリックします
    VPNの展開ページが表示されます。
  6. 以下のいずれかを選択します。

    • 後で スケジュールし、設定を後で公開します。

    • 今すぐ実行して、 設定をすぐに適用します。

  7. 更新をクリックします
    影響を受けるデバイスページには、ポリシーが公開されるデバイスが表示されます。

一般設定

表1:一般設定

フィールド

アクション

名前

スペースを含まない最大63文字の英数字からなる一意の文字列を入力します。

文字列には、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。

説明

最大255文字を含むVPNの説明を入力します。

ルーティングトポロジー

トラフィックセレクター(自動ルート挿入)を選択します。

トラフィックセレクターは、トラフィックが指定されたローカルアドレスとリモートアドレスのペアに一致する場合に、トンネルを介したトラフィックを許可するためのIKEピア間の合意です。

VPNプロファイル

導入シナリオに基づいてVPNプロファイルを選択します。

  • インラインプロファイル—特定のIPsec VPNにのみ適用可能。IPsec VPNの作成ページでVPN プロファイル設定を表示 をクリックすると、詳細を表示および編集できます。

  • 共有プロファイル—1つ以上のIPsec VPNで使用されます。共有プロファイルの詳細を表示するには、IPsec VPNの作成ページでVPN プロファイル設定を表示 をクリックする必要があります。

認証方法

デバイスがInternet Key Exchange(IKE)メッセージのソースを認証するために使用する認証方法を選択します。

  • 事前共有ベース—2つのピア間で共有された秘密キーである事前共有キーが、認証中にピアを相互に識別するために使用されることを指定します。各ピアに対して同じキーを設定する必要があります。

  • RSA Signatures—暗号化とデジタル署名をサポートする公開キーアルゴリズムが使用されていることを指定します。

事前共有キー

事前共有キーを使用してVPN接続を確立します。これは本質的に両方の当事者にとって同じパスワードです。

事前共有鍵は、認証方法が事前共有ベースの場合にのみ適用されます。

使用する事前共有キーのタイプを選択します。

  • 自動生成—トンネルごとに一意のキーを自動的に生成する場合に選択します。選択すると、トンネルごとに固有のキーを生成オプションが自動的に有効になります。トンネルごとに固有のキーを生成オプションを無効にすると、 Juniper Security Director Cloud はすべてのトンネルに対して単一のキーを生成します。

  • 手動—選択すると、キーを手動で入力します。デフォルトでは、手動キーはマスクされています。手動キーのマスクを解除するには、マスク解除アイコンを選択します。

最大伝送ユニット

最大送信単位(MTU)をバイト単位で選択します。

MTUは、IPsecオーバーヘッドを含むIPパケットの最大サイズを定義します。トンネルエンドポイントのMTU値を指定できます。有効範囲は68〜9192バイトで、デフォルト値は1500バイトです。

クライアント設定

デフォルトのクライアントプロファイルを変更するには:

  1. クライアント設定セクションでデフォルトプロファイルを選択します。

  2. 鉛筆アイコンをクリックします。

    リモートユーザーページが表示されます。

  3. 表2の説明に従ってパラメーターを設定します。

  4. OKをクリックします。

表2:クライアント設定

フィールド

アクション

接続モード

以下のオプションの1つを選択して、Juniper Secure Connectクライアント接続を確立します。

  • 手動—ログインするたびにVPNトンネルに手動で接続する必要があります。

  • 常に—ログインするたびにVPNトンネルに自動的に接続されます。

デフォルトの接続モードは手動です。

SSL VPN

このオプションを有効にすると、Juniper Secure ConnectクライアントからSRXシリーズファイアウォールへのSSL VPN接続が確立されます。

これは、IPsecポートに到達できない場合のフォールバックオプションです。デフォルトでは、このオプションが有効になっています。

バイオメトリック認証

このオプションを有効にすると、固有の設定された方法を使用してクライアントシステムを認証できます。

クライアントシステムに接続すると、認証プロンプトが表示されます。VPN接続は、Windows Hello用に設定された方法(指紋認識、顔認識、PIN入力など)を介して認証に成功した後にのみ開始されます。

生体認証認証オプションが有効になっている場合、Windows Helloはクライアントシステム上で事前設定する必要があります。

デッドピアの検出

このオプションを有効にすると、Juniper Secure ConnectクライアントがSRXシリーズファイアウォールに到達可能かどうかを検出できます。

このオプションを無効にすると、SRXシリーズファイアウォール接続の到達可能性が回復するまでJuniper Secure Connectクライアントが検出できるようにします。

このオプションはデフォルトで有効になっています。

DPDモード

DPDモードを選択します。

  • 最適化:R-U-THEREメッセージは、デバイスが発信パケットをピアに送信した後、設定された間隔内にIKEまたはIPsecトラフィックが受信しない場合にトリガーされます。これはデフォルトモードです。

  • プローブアイドルトンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。トラフィックアクティビティが発生するまで、R-U-THEREメッセージが定期的にピアに送信されます。

  • 常時送信:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。

デフォルトの間隔は10秒で、有効範囲は2〜60秒です。

DPDしきい値

失敗DPDしきい値を選択します。

ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回で、有効範囲は1〜5です。

証明書

セキュリティ証明書を設定します。

  • 有効期限警告—有効になっている場合、証明書の有効期限が近づいていると証明書の有効期限警告が表示されます。このオプションはデフォルトで有効になっています。

  • 警告間隔—警告を表示させる間隔を日数で入力します。

  • 接続ごとのピン要求—有効になっている場合、すべての接続に対して証明書PINを入力する必要があります。このオプションはデフォルトで有効になっています。

EAP-TLS

EAP-TLS認証方法を使用して、セキュリティ証明書を検証します。

このオプションはデフォルトで有効になっています。

ウィンドウログオン

このオプションを有効にすると、ユーザーはWindowsシステムにログオンする前にWindowsドメインに安全にログオンできます。

クライアントは、企業ネットワークへのVPN接続を確立した後、資格サービスプロバイダを使用したドメインログインをサポートします。

ローカルゲートウェイ設定

ローカルゲートウェイを定義するには:

  1. ローカルゲートウェイセクションにある+記号をクリックします。

    デバイスの追加ページが開きます。

  2. 表3の説明に従ってデバイスパラメーターを設定します。
  3. OKをクリックします。
表3:ローカルゲートウェイの設定

フィールド

アクション

外部インターフェース

IKEセキュリティアソシエーション(SA)の発信インターフェイスを選択します。

このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォールセキュリティを提供します。

トンネルゾーン

トンネルゾーンを選択します。

トンネルゾーンは、カプセル化前とカプセル化後のIPsecトラフィックに対するNATアプリケーションの動的IP(DIP)アドレスプールをサポートできるアドレス空間の論理エリアです。トンネルゾーンでは、トンネルインターフェイスとVPNトンネルを柔軟に組み合わせることができます。

ユーザー認証

リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルを選択します。

追加をクリックして、新しいアクセスプロファイルを作成します。

注:

リモートVPNでは、LDAP認証はサポートされていません。

SSL VPNプロファイル

リストからSSL VPNプロファイルを選択して、リモートアクセス接続を終了します。

新しいSSL VPNプロファイルを作成するには:

  1. 追加をクリックします

    SSL VPNプロファイルの追加ページが開きます。

  2. SSL VPNプロファイル名を入力します。

  3. ログオプションを有効にして、SSL VPNイベントをログに記録します。

  4. SSL終了プロファイル名を入力します。

  5. サーバー証明書を選択します。

  6. OKをクリックします。

証明書

証明書を選択して、仮想プライベートネットワーク(VPN)の開始者と受信者を認証します。

信頼できるCA/グループ

リストからCAプロファイルを選択して、ローカル証明書に関連付けます。

これは、認証方法がRSA-Signaturesの場合に適用されます。

保護されたネットワーク

選択したデバイスのアドレスタイプを設定して、ネットワークのある領域を他の領域から保護します。

[ 新しいアドレスを追加]をクリックしてアドレスを作成することもできます。

VPNプロファイル設定

VPNプロファイルを表示または編集するには、 VPNプロファイル設定を表示 をクリックします。VPNプロファイルがデフォルトである場合、設定を編集できます。プロファイルが共有されている場合、設定のみを表示できます。

表4:VPNプロファイル設定

フィールド

アクション
IKE設定

IKEバージョン

IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用する、必要なIKEバージョン(V1またはV2)を選択します。

デフォルトでは、IKE V2が使用されます。

モード

IKEポリシーモードを選択します。

  • メイン—3つのピアツーピア交換で6つのメッセージを使用して、IKE SAを確立します。これらの3つのステップには、IKE SAネゴシエーション、Diffie-Hellman交換、ピアの認証が含まれます。このモードはID保護も提供します。

  • アグレッシブ—メインモードのメッセージ数が半分になり、ネゴシエーション力が低下し、ID保護を提供しません。

モードは、IKEバージョンがV1の場合に適用されます。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

パケットの真正性と整合性を検証するためにデバイスが使用する必要があるアルゴリズムを選択します。

Deffie Hellmanグループ

Diffie-Hellman(DH)グループを選択して、鍵交換プロセスで使用される鍵の強度を判断します。

ライフタイム秒

IKEセキュリティアソシエーション(SA)の有効期間を秒単位で選択します。

有効な範囲は180〜86400秒です。

デッドピアの検出

このオプションを有効にすると、2つのゲートウェイがピアゲートウェイが稼働しているかどうかを判断し、IPsec確立中にネゴシエートされたDPD(デッドピア検出)メッセージに応答できます。

DPDモード

DPDモードを選択します。

  • 最適化: R-U-THERE メッセージは、デバイスが発信パケットをピアに送信した後、設定された間隔内にIKEまたはIPsecトラフィックが受信しない場合にトリガーされます。これはデフォルトモードです。

  • プローブアイドルトンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。トラフィックアクティビティが発生するまで、R-U-THEREメッセージが定期的にピアに送信されます。

  • 常時送信:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。

デフォルトの間隔は10秒で、有効範囲は2〜60秒です。

DPDしきい値

失敗DPDしきい値を選択します。

ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回で、有効範囲は1〜5です。
詳細な設定

一般的な IKE ID

ピア IKE ID を受け入れるには、このオプションを有効にします。

このオプションはデフォルトでは無効になっています。一般 IKE ID が有効になっている場合、IKE ID オプションは自動的に無効になります。

IKEv2再認証

再認証の頻度を選択します。再認証は、再認証の頻度を0に設定することで無効にできます。

有効な範囲は 0 から 100 です。

IKEv2再フラグメント化のサポート

このオプションを有効にすると、大きなIKEv2メッセージが小さなメッセージに分割され、IPレベルでフラグメント化が発生しません。

IKEv2再フラグメントサイズ

メッセージをフラグメント化するパケットのサイズを選択します。IPv4のデフォルトのサイズは576バイトです。

有効な範囲は 570 から 1320 です。

IKE ID

以下のオプションのいずれかを選択します。

  • なし

  • 識別名

  • ホスト名

  • IPv4アドレス

  • メールアドレス

IKE ID は、一般 IKE ID が無効になっている場合にのみ適用されます。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合、NAT-T(ネットワークアドレス変換トラバーサル)を有効にします。

キープアライブ

接続を継続させる期間を秒単位で選択します。

NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。

有効な範囲は1〜300秒です。
IPsec設定

プロトコル

VPNを確立するために必要なプロトコルを選択します。

  • ESP—カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。

  • AH—認証ヘッダー(AH)プロトコルは、データの完全性とデータ認証を提供します。

暗号化アルゴリズム

暗号化方法を選択します。

これは、プロトコルがESPの場合に適用されます。

認証アルゴリズム

パケットの真正性と整合性を検証するためにデバイスが使用する必要があるアルゴリズムを選択します。

完全転送機密保持

デバイスが暗号化キーを生成するために使用する方法として、Perfect Forward Secrecy(PFS)を選択します。

PFSは、以前の鍵とは独立して新しい暗号化キーを生成します。グループ番号が高いほどセキュリティも高くなりますが、処理時間が長くなります。

トンネルを確立

IKEがアクティブになるタイミングを指定するオプションを選択します。

  • 即時—VPN設定の変更がコミットされた直後にIKEがアクティブ化されます。

  • オントラフィック—IKEは、データトラフィックが流れている場合にのみアクティブ化され、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。
詳細な設定

VPN監視

このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信して、VPNが稼働しているかどうかを確認できます。

最適化済み

このオプションを有効にすると、VPN監視を最適化し、設定済みのピアから発信トラフィックがあり、VPNトンネルを介して受信トラフィックがない場合にのみ、ICMPエコー要求(pingとも呼ばれます)を送信するようにSRXシリーズファイアウォールを構成します。

VPNトンネルを介して受信トラフィックがある場合、SRXシリーズファイアウォールはそのトンネルをアクティブであると見なし、ピアにpingを送信しません。

リプレイ防止

IPsecメカニズムに対してこのオプションを有効にすると、IPsecパケットに組み込まれている一連の番号を使用するVPN攻撃から保護します。

IPsecは、同じシーケンス番号をすでに確認しているパケットは受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを実施します。

IPsecメカニズムにエラーがあり、順序外れのパケットが発生し、適切な機能が妨げられる場合は、このオプションを無効にします。

デフォルトでは、アンチリプレイ検出は有効になっています。

インストール間隔

キー更新されたアウトバウンドセキュリティアソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択し、この時間間隔を過ぎると、トラフィックを受信しない場合、セッションとそれに対応する変換がタイムアウトします。

DFビット

IPメッセージのDon't Fragment(DF)ビットを処理する方法を選択します。

  • クリア—IPメッセージからDFビットを無効にします。これはデフォルトのオプションです。

  • コピー—DFビットをIPメッセージにコピーします。

  • 設定—IPメッセージでDFビットを有効にします。

外部DSCPをコピー

このオプションを有効にすると、復号化中に外側のIPヘッダーで暗号化されたパケットから内側のIPヘッダーのプレーンテキストメッセージにDifferentiated Services Code Point(DSCP)フィールドがコピーされます。

この機能を有効にするメリットは、IPsec暗号化解除後、クリアテキストパケットが内部のサービスクラス(CoS)ルールに従うことです。

ライフタイム秒

IKEセキュリティアソシエーション(SA)の有効期間を秒単位で選択します。

有効な範囲は180〜86400秒です。

ライフタイムキロバイト数

IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。

有効な範囲は64〜4294967294キロバイトです。

リモートアクセスVPNの管理—Juniper Secure Connect

  • 編集—IPsec VPNを選択し、鉛筆アイコン()をクリックします。IPsec VPNを編集した後、展開してデバイス上に設定を適用する必要があります。

    削除のマークが付けられているIPsec VPNは編集できません。

  • 削除—IPsec VPNを選択し、ゴミ箱アイコン()をクリックします。画面の指示に従います。現時点では、IPsec VPNは関連するデバイスから削除されていません。デバイスから削除するには、IPsec VPNを再展開する必要があります。

    削除がマークされたIPsec VPNを元に戻すには、ステータス列のフラグにカーソルを合わせ、 削除の取り消しを選択します。IPsec VPNのステータスは以前のステータスに戻ります。