FAQ - IPsec/IKE

Q

IPsecとは何ですか?

A

インターネットにおいて標準とされている認証と暗号化の方式です。

Q

SEILがサポートしているIPsecのモードは?

A

SEILで設定可能なIPsec VPNの設定手法は、次のように分類されます。

ルーティングベース
暗号化トンネルを仮想インタフェースとして扱い、暗号化対象の通信を経路制御(ルーティング)の設定で定義します。
ポリシーベース

暗号化対象の通信を、セキュリティポリシーの設定で定義します。

トンネルモード
SEILを経由する拠点間の通信を暗号化します。
トランスポートモード

SEIL自身が他の装置と送受信する通信を暗号化します。

  • L2TPv3やIP-IPトンネル、あるいはログの転送といった、通信内容の保護機能を持たない機能と組み合わせて使用します。

Q

動的グローバルIPアドレスを利用して、拠点間VPNを構築できますか?

A

ポリシーベースIPsecを用いるスター型VPNにおいて、子拠点では動的IPアドレスを用いることができます。ただし、親拠点は固定グローバルIPアドレスである必要があります。

また、IKE phase1におけるExchange Mode は Aggressive Mode である必要があります。

参考:Aggressive Modeを使用する設定例

ルーティングベースIPsecを用いる場合は動的グローバルIPアドレスを利用できません。

なお、SACMサービスアダプタとして(SMFv2モードで)動作する場合は、フロートリンク機能を使用することで両拠点のIPアドレスが動的である場合にもルーティングベースIPsecを利用できます。

Q

IPsec VPNを構築した拠点間で traceroute の応答が得られないことがあります。

A

tracerouteのパケットが暗号化される場合、パケットの到達点がSEILであり、かつ、そのSEILが復号する到達点の応答を得ることはできません。

tracerouteはICMPエラー(TTL exceeded または Port unreachable)が返されることによって通信経路の情報を得ますが、SEILはIPsecの受信処理で復号化したパケットに対するICMPエラーが生成された場合に、平文のパケット(元パケットの先頭部分)を含むことになる当該ICMPエラーの送信を抑制するためでです。これはtracerouteパケットに限りません。

Q

Cisco機器とのIPsec SAが設定よりも短い時間でexpireされます。

A

4.30より古いバーションのファームウェアでは特定の機器との相互接続においてSEIL側のIPsec SAの有効時間が一致しなくなる問題があります。

http://www.seil.jp/doc/index.html#rn/record/A01360.html

4.30以上のファームウェアをご利用いただくことをお勧め致します。

Q

認証アルゴリズムには何を指定したらいいですか?

A

暗号アルゴリズムと同様、認証の正確さとパフォーマンスは反比例の関係にあるため、目的に合わせて使い分けます。

改竄や詐称の防止を重視する場合にはHMAC SHA1を、パフォーマンス重視の場合はHMAC MD5の使用をお勧めします。

Q

暗号アルゴリズムには何を指定したらいいですか?

A

暗号の強さとパフォーマンスは反比例の関係にあり、目的に合わせて使い分けます。

一般に、秘匿性を重視する場合には、3DESなど鍵長が長く強い暗号アルゴリズムを、 パフォーマンスを重視する場合にはDESなどの暗号化や複号化処理が速い暗号アルゴリズムを使用します。

SEILは基本的にAESの使用を推奨しています。だし SEIL/Turbo、SEIL/Plusでは、搭載した暗号化チップによるハードウェア処理が可能な3DESが推奨です。これら以外の暗号アルゴリズムは、相互接続性が求められる場合のみ利用されることをお勧めします。

Q

実際にIKEで通信ができているかは、どのように確認するのですか?

A

"show status ike"コマンドおよび"show status ipsec"コマンドで通信状況を参照できます。Webインタフェースからは「運用」>「各種動作情報」で、「IPsec情報」と「IKE情報」を参照してください。(*)Webからの設定・管理操作は、SEIL/X1,X2、SEIL/PlusおよびSEIL/neu 2FE,128,T1用ファームウェアVer.1系のみ可能

Q

VPN、IPsec、IKEに関する良い参考書があればおしえてください。

A

  • 「VPN 第2版」 (Charlie Scott、Paul Wolfe、Mike Erwin 著/歌代 和正 監訳/ 須田 隆久 訳/ オライリー・ジャパン)

  • 「ポイント図解式 VPN/VLAN教科書」 (是友 春樹 著/アスキー)
  • 「マスタリングIPsec」 (馬場 達也 著/ オライリー・ジャパン)

などがあります。IPsec、IKEについて更に詳しく知りたい場合は、RFCの参照をお勧めします

Q

SEILは、何対向までIPsecトンネルを設定できますか?

A

IPsecトンネルの最大対向数は下表の通りです。

機種 最大設定数
SEIL/neu 16
SEIL/Turbo 256
SEIL/Plus 64
SEIL/X1 256
SEIL/X2 512
SEIL/B1 64
SEIL/x86 Fuji 512
SEIL/BPV4 512

Q

SEILは、IPsecセキュリティポリシーをいくつ設定できますか?

A

IPsecセキュリティポリシーの最大設定数は下表の通りです。

機種 最大設定数
SEIL/neu 32
SEIL/Turbo 512
SEIL/Plus 128
SEIL/X1 512
SEIL/X2 1024
SEIL/B1 512
SEIL/x86 Fuji 1024
SEIL/BPV4 1024

Q

SEILの手動鍵設定で利用可能な認証アルゴリズムをおしえてください。

A

SEILの手動鍵設定では、HMAC MD5、HMAC SHA1、KEYED MD5、KEYED SHA1を認証アルゴリズムとして利用できます。

Q

SEILの手動鍵設定で利用可能な暗号アルゴリズムを教えてください。

A

SEILの手動鍵設定では、DES、3DES、Blowfish、CAST-128、AES(Rijndael)を暗号アルゴリズムとして利用できます。

Q

SEILのIPsecセキュリティアソシエーション設定で、使用するトンネルインタフェースの制限がありますか?

A

IPsec SAで使用するトンネルにはインタフェースの制限はありません。よって、WAN側(numbered設定時)だけでなくLAN側でも使用可能です。

Q

SEILでは、IKE事前共有鍵をどのように設定しますか?

A

SEILでは、IKE事前共有鍵[Preshared Key]として、IKE Peer識別子と同じ文字列を用います。FQDN(完全なドメイン名)、ユーザFQDN(メールアドレスなど)、IPアドレスが設定できます。

Q

IPsecの鍵管理には、どのようなものがありますか?

A

IPsecの鍵交換の管理方法には、手動鍵管理とIKE [Internet Key Exchange:自動鍵管理プロトコル]があります。 SEILは、両者に対応しています。

Q

IPsecの暗号化処理と復号処理において、処理性能に差はありますか?

A

復号処理に比べて暗号化処理の方が若干高速に処理されます。

Q

IPsecのセキュリティアソシエーションはどのように設定すればいいですか?

A

IPsec通信を設定する上で決めた鍵管理(自動の時はIKE、手動の時はマニュアル)を選択して、 セキュリティアソシエーションを追加します。VPNで利用するにはトンネルモードを、端末間でIPsecを利用する場合はトランスポートモードを設定してください。また、SEILでトンネルモードを用いる場合、AHは使用できません。必ずESPを使用してください。

Q

IPsecのセキュリティアソシエーション (SA)とはどのようなものですか?

A

IPsecのセキュリティアソシエーション[Security Association:セキュリティ通信のための接続]とは、 ノード間の認証・暗号化アルゴリズムの整合性を取るために作る相互通信の関係のことです。 SAは片方向の通信について独立して設定されるので、双方向の通信を行うためには2つのSAが必要となります。

Q

IPsecにおけるESPとはどのようなものですか?

A

プロトコル番号50で定義(RFC1700)されており、パケットの認証および暗号を行います。 パケットの改竄、盗聴の防止に威力を発揮します。ESPではデータ部分のみチェックを行います。

Q

IPsecにおけるAHとはどのようなものですか?

A

プロトコル番号51で定義(RFC1700)されており、パケットの認証のみを行います。AHはIPヘッダのチェックが可能なため、パケットの改竄には効力を発揮します。しかし、パケットの盗聴に対しては無防備です。

Q

IPsecでの各暗号アルゴリズムの違いを教えてください。

A

各暗号アルゴリズムの暗号強度は、強い順にAES、3DES、CAST-128、DESとなります。また、BlowfishはCAST-128と同じぐらいの強さになります。ただし、強い暗号ほど暗号化や復号化の処理に時間が要するため、全体的なパフォーマンスが低下する可能性があります。

Q

IKEプロポーザルの設定は、どのようにすればいいですか?

A

対向ホストと認証メソッド、ハッシュアルゴリズム、暗号アルゴリズム、DH groupが合うように設定してください。

Q

IKEはどのようなポート番号を使用していますか?

A

UDP/500 (isakmp)を使用しています。IPフィルタを併用する場合には破棄(block)しないよう注意してください。

Q

IKEの鍵交換のしくみはどのようなものですか?

A

IKEには、フェーズ1とフェーズ2があります。フェーズ1ではIKE通信を行うための各種パラメータを交換し、フェーズ2ではIPsec通信を行うための各種パラメータを交換します。

Q

IKEの整合性が取れなくなった時、IKE SA(フェーズ1)を初期化するにはどのようにすればいいですか?

A

コマンドラインから"clear ipsec security-association", "clear ike"の順に実行してください。IKE SAが初期化され、IKEが再構成されます。

Q

IKEのフェーズ2とはどのようなものですか?

A

IPsecで使用される暗号化や認証のための鍵パラメータを交換します。

Q

IKEのフェーズ1とフェーズ2のライフタイムはどのように設定すればいいですか?

A

IKEフェーズ1のライフタイムの方が必ず長くなるように設定してください。SEILの既定値は、フェーズ1、フェーズ2ともに8時間となっています。

Q

IKEのフェーズ1とはどのようなものですか?

A

IKEで使用される暗号化や認証の為の鍵パラメータを交換します。SEILのexchange modeには、main modeとaggressive modeがあります。

Q

IKEのイニシエータ[Initiator:始動者]とレスポンダ[Responder:応答者]間の相互認証方式にはどのようなものがありますか?

A

SEILではPreshared Key [事前共有鍵方式]をサポートしています。PKIには対応していません。

Q

IKEのexchange-modeとはどのようなものですか?

A

IKEのフェーズ1、IKE SAのパラメータを交換するモードのことです。Webインタフェースでは、リモートID、ローカルIDの種類によって一番セキュリティが高くなるようにexchange-modeが設定されます。

Q

IKEで利用可能なアルゴリズムを教えてください。

A

以下のアルゴリズムを使用できます。

フェーズ1:

  • 暗号アルゴリズム:3des, des, blowfish, cast128, aes, aes128, aes192,aes256
  • ハッシュ:md5, sha1, sha256, sha384, sha512

フェーズ2:

  • 暗号アルゴリズム:3des, des, blowfish, cast128, aes, aes128,aes192, aes256, null
  • 認証アルゴリズム:、hmac-md5, hmac-sha1, hmac-sha256, hmac-sha384,hmac-sha512

Q

IKE Peer設定のリモートIPアドレスが変更できません。

A

IKE Peer設定のリモートIPアドレスは変更できません。一旦Peer設定を削除後、新しく作成してください。ログには"peers IP address duplicated"と出力されます。

Q

IKE PeerのリモートIPアドレスにはどのアドレスを設定しますか?

A

Unnumbered時には、対向機器のLAN側IPアドレスを設定します。Numbered時には対向機器のWAN側IPアドレスを設定します。 このとき、IPsecセキュリティアソシエーションは、終点および始点 IPアドレスをそれぞれのWAN側IPアドレスで設定してください。