IPsec の概要
Junos VPN Site Secure について
Junos VPN Site Secure は、マルチサービス ライン カード(MS-DPC、MS-MPC、MS-MIC)でサポートされる IPsec 機能の一種で、13.2 より前の Junos リリースでは IPsec サービスと呼ばれていました。Junos OSリリース13.2以降では、IPsec機能という用語は、アダプティブサービスおよび暗号化サービスPICでのIPsec実装を指すためにのみ使用されます。このトピックでは、以下のセクションで構成されています。Junos VPN Site Secure の概要を説明します。
Ipsec
IPsecアーキテクチャは、IPv4(IPバージョン4)およびIPv6(IPバージョン6)ネットワーク レイヤーにセキュリティ スイートを提供します。このスイートは、送信元認証、データ整合性、機密性、リプレイ防御、送信元否認防止などの機能を提供します。Junos OS は、IPsec に加えて、鍵の生成と交換のメカニズムを定義し、SA(セキュリティ アソシエーション)を管理する IKE(インターネット鍵交換)もサポートしています。
また、IPsec は、任意のネットワーク層プロトコルで使用できるセキュリティ アソシエーションと鍵管理フレームワークも定義します。SA は、2 つの IP 層エンティティ間のトラフィックに適用する保護ポリシーを指定します。IPsec は、2 つのピア間にセキュア トンネルを提供します。
セキュリティ アソシエーション
IPsec セキュリティ サービスを使用するには、ホスト間で SA を作成します。SA は、2 つのホストが IPsec によって互いに安全に通信できるようにするシンプレックス接続です。SA には次の 2 種類があります。
手動 SA にはネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメータ インデックス)の値、アルゴリズム、および鍵を静的に定義し、トンネルの両端で一致する設定が必要です。各ピアには、通信が実行されるために同じ設定されたオプションがある必要があります。
ダイナミック SA には追加の設定が必要です。ダイナミックSAでは、最初にIKEを設定してから、SAを設定します。IKE は動的なセキュリティ アソシエーションを作成します。IPsec のために SA をネゴシエートします。IKE 設定は、ピアセキュリティゲートウェイとのセキュア IKE 接続を確立するのに使用するアルゴリズムと鍵を定義します。この接続は、動的IPsec SAで使用されるキーやその他のデータを動的に同意するために使用されます。IKE SA は、最初にネゴシエートされ、次に動的 IPsec SA を決定するネゴシエーションを保護するために使用されます。
Ike
IKE は、動的 SA を作成する鍵管理プロトコルです。IPsec のために SA をネゴシエートします。IKE 設定は、ピア セキュリティ ゲートウェイとのセキュアな接続を確立するのに使用されるアルゴリズムと鍵を定義します。
IKE は以下のタスクを実行します。
IKE および IPsec パラメータのネゴシエートおよび管理を行います。
セキュアな鍵交換を認証します。
パスワードではなく、共有された秘密鍵と公開鍵による相互ピア認証を提供します。
ID 保護を (メイン モードで) 提供します。
現在、2 つのバージョンの IKE プロトコル(IKEv1 と IKEv2)がサポートされています。IKE はセキュリティ属性をネゴシエートし、共有シークレットを確立して双方向 IKE SA を形成します。IKE では、インバウンドおよびアウトバウンドの IPsec SA が確立され、IKE SA が交換を保護します。Junos OSリリース11.4以降、IKEv1とIKEv2の両方が、すべてのM Series、MXシリーズ、T Seriesルーターでデフォルトでサポートされています。IKE は、キー情報の生成、完全転送機密保持の提供、ID の交換も行います。
Junos OS リリース 18.2R1 以降、MS-MPC または MS-MIC を含む MX シリーズ ルーターを、IKE レスポンダーとしてのみ動作するように設定できるようになりました。このレスポンダ専用モードでは、MX シリーズルーターは IKE ネゴシエーションを開始せず、ピアゲートウェイによって開始された IKE ネゴシエーションにのみ応答します。これは、シスコ デバイスなどの他のベンダーの機器と相互運用する場合に必要になることがあります。MXシリーズはトラフィックセレクターのプロトコル値とポート値をサポートしていないため、これらの値を必要とする別のベンダーのピアゲートウェイへのIPsecトンネルを開始することはできません。MX シリーズで応答専用モードを設定することで、MX はピア ゲートウェイから開始される IKE ネゴシエーションでトラフィック セレクターを受け入れることができます。
Junos OS リリース 18.2R1 以降、MX シリーズ ルーターを MS-MPC または MS-MIC で構成して、完全な証明書チェーンではなく、証明書ベースの IKE 認証のエンドエンティティ証明書のみを送信できるようになりました。これにより、IKE のフラグメンテーションが回避されます。
Junos OS Release 19.1R1 以降では、IKE ネゴシエーション中に VPN ピアデバイスの検証に使用される IKE ID(IKE ID)に識別名のサポートが追加されました。MXシリーズルーターがリモートピアから受信したIKE IDは、IPv4またはIPv6アドレス、ホスト名、完全修飾ドメイン名(FQDN)、または識別名(DN)にすることができます。リモートピアから送信されたIKE IDは、MXシリーズルーターが期待するものと一致する必要があります。そうでない場合、IKE ID検証は失敗し、VPNは確立されません。
NAT-Tの非サポート
Junos OS リリース 17.4R1 以前では、MX シリーズ ルーターの IPsec 機能の Junos VPN Site Secure スイートでは、ネットワーク アドレス変換トラバーサル(NAT-T)はサポートされません。サポートされていない NAT-T を実行しないようにするには、MX シリーズ ルーターで NAT-T を無効にする必要があります( IPsec で保護されたパケットを使用した NAT の処理については、 MX シリーズ ルーターでの NAT-T の無効化を参照してください)。).NAT-T は、IPsec で保護されたデータがアドレス変換のために NAT デバイスを通過する際に発生する IP アドレス変換の問題を回避するための手法です。
ES PICでのIPsecとマルチサービスラインカードでのJunos VPNサイトセキュアの比較
表 1 は、ES PIC インターフェイスの IPsec 機能と、マルチサービス ラインカード上のアダプティブ サービス PIC および Junos VPN Site Secure のトップレベル設定を比較したものです。
ES PIC設定 |
ASとマルチサービスラインカードの設定 |
---|---|
[edit security ipsec] proposal {...} |
[edit services ipsec-vpn ipsec] proposal {...} |
[edit security ipsec] policy {...} |
[edit services ipsec-vpn ipsec] policy {...} |
[edit security ipsec] security-association sa-dynamic {...} |
[edit services ipsec-vpn rule rule-name] term term-name match-conditions {...} then dynamic {...}] |
[edit security ipsec] security-association sa-manual {...} |
[edit services ipsec-vpn rule rule-name] term term-name match-conditions {...} then manual {...}] |
[edit security ike] proposal {...} |
[edit services ipsec-vpn ike] proposal {...} |
[edit security ike] policy {...} |
[edit services ipsec-vpn ike] policy {...} |
該当なし |
[edit services ipsec-vpn] rule-set {...} |
該当なし |
[edit services ipsec-vpn] service-set {...} |
[edit interfaces es-fpc/pic/port] tunnel source address |
[edit services ipsec-vpn service-set set-name ipsec-vpn local-gateway address] |
[edit interfaces es-fpc/pic/port] tunnel destination address |
[edit services ipsec-vpn rule rule-name] remote-gateway address |
同じステートメントとプロパティの多くは、両方のプラットフォーム(マルチサービスと ES)で有効ですが、構成は互換性がありません。ルーターにインストールされているPICタイプの完全な設定をコミットする必要があります。
認証アルゴリズム
認証は、送信者の身元を確認するプロセスです。認証アルゴリズムは、共有キーを使用して IPsec デバイスの信頼性を検証します。Junos OSは、以下の認証アルゴリズムを使用します。
Message Digest 5(MD5)は、一方向ハッシュ関数を使用して、任意の長さのメッセージを 128 ビットの固定長メッセージ ダイジェストに変換します。変換プロセスのため、元のメッセージを結果のメッセージ ダイジェストから逆算して計算することは数学的に不可能です。同様に、メッセージ内の 1 文字を変更すると、非常に異なるメッセージ ダイジェスト番号が生成されます。
メッセージが改ざんされていないことを確認するために、Junos OS は計算されたメッセージ ダイジェストを、共有鍵で復号化されたメッセージ ダイジェストと比較します。Junos OSは、追加レベルのハッシュを提供するMD5ハッシュメッセージ認証コード(HMAC)バリアントを使用します。MD5 は、AH(認証ヘッダー)、ESP(セキュリティ ペイロードのカプセル化)、IKE(インターネット鍵交換)で使用できます。
セキュア ハッシュ アルゴリズム 1(SHA-1)は、MD5 よりも強力なアルゴリズムを使用します。SHA-1 は、長さが 264 ビット未満のメッセージを受け取り、160 ビットのメッセージ ダイジェストを生成します。ラージ・メッセージ・ダイジェストは、データが変更されていないこと、およびデータが正しいソースから発信されたことを保証します。Junos OS は、追加レベルのハッシュを提供する SHA-1 HMAC バリアントを使用します。SHA-1 は、AH、ESP、IKE で使用できます。
SHA-256、SHA-384、および SHA-512 (SHA-2 という名前でグループ化されることもあります) は SHA-1 のバリアントであり、より長いメッセージ ダイジェストを使用します。Junos OSは、AES(高度暗号化規格)、DES(データ暗号化規格)、3DES(トリプルDES)暗号化のすべてのバージョンを処理できるSHA-2のSHA-256バージョンをサポートしています。
暗号化アルゴリズム
暗号化によってデータが安全な形式にエンコードされるため、権限のないユーザーがデータを解読することはできません。認証アルゴリズムと同様に、共有キーは暗号化アルゴリズムとともに使用され、IPsecデバイスの信頼性を検証します。Junos OSは、以下の暗号化アルゴリズムを使用します。
データ暗号化標準暗号ブロック連鎖 (DES-CBC) は、対称秘密鍵ブロック アルゴリズムです。DES は 64 ビットの鍵サイズを使用し、8 ビットはエラー検出に使用され、残りの 56 ビットは暗号化を提供します。DES は、置換や置換など、共有キーに対して一連の単純な論理操作を実行します。CBC は、DES から出力の 64 ビットの最初のブロックを取得し、このブロックを 2 番目のブロックと結合し、これを DES アルゴリズムにフィードバックし、後続のすべてのブロックに対してこのプロセスを繰り返します。
トリプル DES-CBC (3DES-CBC) は、DES-CBC に似た暗号化アルゴリズムですが、168 ビット (3 x 56 ビット) 暗号化に 3 つのキーを使用するため、はるかに強力な暗号化結果が得られます。3DES は、最初のキーを使用してブロックを暗号化し、2 番目のキーを使用してブロックを復号化し、3 番目のキーを使用してブロックを再暗号化します。
高度暗号化標準(AES)は、ベルギーの暗号学者であるJoan Daemen博士とVincent Rijmen博士によって開発されたRijndaelアルゴリズムに基づく次世代の暗号化方法です。128 ビット ブロックと 3 つの異なるキー サイズ (128、192、および 256 ビット) を使用します。鍵サイズに応じて、アルゴリズムは、バイト置換、列混合、行シフト、およびキー追加を含む一連の計算 (10、12、または 14 ラウンド) を実行します。AES と IPsec の組み合わせは、RFC 3602, The AES-CBC Cipher Algorithm and Its Use with IPsec で定義されています。
Junos OS リリース 17.3R1 以降、MS-MPC および MS-MIC では、ガロア/カウンター モード(AES-GCM)の高度暗号化規格がサポートされます。しかし、Junos FIPSモードでは、AES-GCMはJunos OSリリース17.3R1ではサポートされていません。Junos OS リリース 17.4R1 以降、AES-GCM は Junos FIPS モードでサポートされます。AES-GCM は、認証とプライバシーの両方を提供するように設計された認証済み暗号化アルゴリズムです。AES-GCMは、バイナリガロアフィールド上でユニバーサルハッシュを使用して認証された暗号化を提供し、数十Gbpsのデータレートで認証された暗号化を可能にします。
関連項目
IPsec プロトコル
IPsec プロトコルは、ルーターによって保護されているパケットに適用される認証と暗号化の種類を決定します。Junos OS は、以下の IPsec プロトコルをサポートしています。
AH—RFC 2402で定義されているAHは、IPv4およびIPv6パケットのコネクションレスの整合性とデータ送信元の認証を提供します。また、リプレイに対する保護も提供します。AH は、IP ヘッダーに加え上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドがトランジットで変更される場合があります。これらのフィールドの値は送信者から予測可能ではないため、AH によって保護できません。IP ヘッダーでは、AH は IPv4 パケットのフィールドと
Next Header
IPv6 パケットのフィールドの の値51
Protocol
で識別できます。AHが提供するIPsec保護の例を図1に示します。メモ:AH は、T シリーズ、M120、および M320 ルーターではサポートされていません。
![AH Protocol](/documentation/us/en/software/junos/interfaces-adaptive-services/security-services/images/g015522.gif)
ESP—RFC 2406で定義されているESPは、暗号化と制限されたトラフィックフローの機密性、またはコネクションレスの整合性、データ送信元の認証、およびアンチリプレイサービスを提供できます。IPヘッダーでは、ESPはIPv4パケットのフィールドと
Next Header
IPv6パケットのフィールドでの値50
Protocol
で識別できます。ESP が提供する IPsec 保護の例を図 2 に示します。
![ESP Protocol](/documentation/us/en/software/junos/interfaces-adaptive-services/security-services/images/g015521.png)
バンドル:AH と ESP を比較する場合、両方のプロトコルにいくつかの利点と欠点があります。ESPは適切なレベルの認証と暗号化を提供しますが、IPパケットの一部に対してのみ提供します。逆に、AH は暗号化を提供しませんが、IP パケット全体の認証を提供します。このため、Junos OSでは、プロトコルバンドルと呼ばれる第3の形式のIPsecプロトコルを提供しています。バンドル オプションは、AH 認証と ESP 暗号化のハイブリッドな組み合わせを提供します。
関連項目
UDPカプセル化によるIPsecマルチパスフォワーディング
IPsec は 2 つのピア間にセキュア トンネルを提供し、IPsec カプセル化パケットには変更されないトンネル エンドポイント IP を含む IP ヘッダーが含まれます。これにより、 図 3 に示すように、ピア間で単一の転送パスが選択されます。IPsecトラフィックが数千のホストを持つデータセンター間を流れる場合、この単一のパス選択がスループットを制限します。
![IPsec with One Forwarding Path](/documentation/us/en/software/junos/interfaces-adaptive-services/images/g043402.png)
この問題は、図 4 に示すように、ESP ヘッダーの後に UDP ヘッダーを追加する IPsec パケットの UDP カプセル化を有効にすることで解決できます。これにより、レイヤー 3 とレイヤー 4 の情報が中間ルーターに提供され、IPsec パケットが複数のパスで転送されます (図 5 参照)。サービス セットの UDP カプセル化を有効にするとします。
![Appended UDP Header](/documentation/us/en/software/junos/interfaces-adaptive-services/images/g043405.png)
![IPsec with Multiple Forwarding Paths](/documentation/us/en/software/junos/interfaces-adaptive-services/images/g043401.png)
UDP 宛先ポートを構成するか、既定値の 4565 を使用できます。4500はNATトラバーサルの既知のポートであるため、宛先ポートとして設定することはできません。
Junos OSは、以下のデータを操作するハッシュ関数によって送信元UDPポートを生成します。
送信元 IP アドレス
宛先 IP アドレス
トランスポートプロトコル
トランスポート送信元ポート
トランスポート宛先ポート
乱数
結果のハッシュの最後の 2 バイトのみが使用されるため、内部 IP ヘッダーの詳細は非表示になります。
NAT-T が検出されると、NAT-T UDP カプセル化のみが行われ、IPsec パケットの UDP カプセル化は行われません。
関連項目
サポートされている IPsec および IKE の標準
1 つ以上の MS-MPC、MS-MIC、または DPC を装備したルーターでは、カナダおよび米国バージョンの Junos OS は、実質的に以下の RFC をサポートしています。これらの RFC は、IPsec(IP セキュリティ)および IKE(インターネット鍵交換)の標準を定義しています。
-
RFC 2085、HMAC-MD5 IP 認証(リプレイ防御機能付き)
-
RFC 2401、 インターネットプロトコルのセキュリティアーキテクチャ (RFC 4301 に置き換え)
-
RFC 2402、 IP認証ヘッダー (RFC 4302に置き換え)
-
RFC 2403 、 ESPおよびAH内でのHMAC-MD5-96の使用
-
RFC 2404 、 ESPおよびAH内でのHMAC-SHA-1-96の使用 (RFC 4305に置き換え)
-
RFC 2405、 明示的IVを使用したESP DES-CBC Cipher Algorithm
-
RFC 2406、 IPカプセル化セキュリティペイロード(ESP)( RFC 4303およびRFC 4305に置き換え)
-
RFC 2407 、 ISAKMP の解釈のインターネット IP セキュリティ ドメイン (RFC 4306 に置き換え)
-
RFC 2408、 Internet Security Association and Key Management Protocol (ISAKMP) ( RFC 4306 に置き換え)
-
RFC 2409、 インターネット鍵交換(IKE)( RFC 4306 に置き換え)
-
RFC 2410、 IPsecでのNULL暗号化アルゴリズムとその使用
-
RFC 2451、 ESP CBCモード暗号アルゴリズム
-
RFC 2560、 X.509インターネット公開キーインフラストラクチャオンライン証明書ステータスプロトコル - OCSP
-
RFC 3193、 IPsecを使用したL2TPの保護
-
RFC 3280、 インターネット X.509 公開キー インフラストラクチャ証明書および証明書失効リスト (CRL) プロファイル
-
RFC 3602、 AES-CBC暗号アルゴリズムとそのIPsecでの使用
-
RFC 3948、 IPsec ESPパケットのUDPカプセル化
-
RFC 4106 、 IPsec ESP(カプセル化セキュリティペイロード)でのガロア/カウンターモード(GCM)の使用
-
RFC 4210、 インターネット X.509 公開キー インフラストラクチャ証明書管理プロトコル(CMP)
-
RFC 4211、 インターネット X.509 公開キー基盤証明書要求メッセージ形式 (CRMF)
-
RFC 4301、 インターネットプロトコルのセキュリティアーキテクチャ
-
RFC 4302、 IP認証ヘッダー
-
RFC 4303、 IPカプセル化セキュリティペイロード(ESP)
-
RFC 4305、 セキュリティペイロード(ESP)と認証ヘッダー(AH)をカプセル化するための暗号化アルゴリズム実装要件
-
RFC 4306、 インターネット鍵交換(IKEv2)プロトコル
-
RFC 4307、 インターネット鍵交換バージョン2(IKEv2)で使用するための暗号化アルゴリズム
-
RFC 4308、 IPsecの暗号スイート
Junos OS では、Suite VPN-A のみがサポートされています。
-
RFC 4754、 楕円曲線デジタル署名アルゴリズム(ECDSA)を使用したIKEおよびIKEv2認証
-
RFC 4835、 セキュリティペイロード(ESP)と認証ヘッダー(AH)をカプセル化するための暗号化アルゴリズム実装要件
-
RFC 5996、 インターネット鍵交換プロトコルバージョン2(IKEv2)( RFC 7296に置き換え)
-
RFC 7296、 インターネット鍵交換プロトコル バージョン 2(IKEv2)
-
RFC 8200、 インターネットプロトコル、バージョン6(IPv6)仕様
Junos OS は、IPsec と IKE に関する以下の RFC を部分的にサポートしています。
RFC 3526、 インターネット鍵交換(IKE)のためのより多くのモジュラー指数(MODP)Diffie-Hellman グループ
RFC 5114、 IETF標準で使用するための追加のDiffie-Hellmanグループ
RFC 5903、 IKEおよびIKEv2の素数(ECPグループ)をモジュロとする楕円曲線グループ
以下の RFC およびインターネット ドラフトでは、標準は定義されていませんが、IPsec、IKE、および関連テクノロジに関する情報が提供されています。IETF は、これらを「情報提供」として分類しています。
RFC 2104、 HMAC: メッセージ認証のキー付きハッシュ
RFC 2412 、 OAKLEY Key Decision Protocol
RFC 3706、 死んだ インターネット鍵交換(IKE)ピアを検出するトラフィックベースの方法
インターネットドラフトdraft-eastlake-sha2-02.txt、 米国のセキュアハッシュアルゴリズム(SHAおよびHMAC-SHA) (2006年7月終了)
関連項目
IPSec の用語と頭字語
トリプル データ暗号化標準(3DES)
3 つの異なる鍵でデータを 3 回処理することにより、168 ビット暗号化を提供する拡張 DES アルゴリズム。
アダプティブサービスPIC
M SeriesおよびT Seriesプラットフォーム上で、IPsecサービスおよびNAT(ネットワークアドレス変換)やステートフルファイアウォールなどのその他のサービスを提供する次世代PIC(物理インターフェイスカード)。
AES(次世代暗号化標準)
Rijndael アルゴリズムに基づいており、128 ビットのブロック、3 つの異なるキー サイズ (128、192、および 256 ビット)、および複数の処理ラウンドを使用してデータを暗号化する次世代の暗号化方式。
AH(認証ヘッダー)
パケットの内容が変更されていないことの確認(データ整合性)および送信者の身元の検証(データ ソース認証)に使用されるIPsecプロトコルのコンポーネント。AH の詳細については、RFC 2402 を参照してください。
認証機関(CA)
デジタル証明書を生成、登録、検証、および失効させる信頼できる第三者組織。CA は、ユーザーの ID を保証し、メッセージの暗号化と復号化のために公開キーと秘密キーを発行します。
証明書失効リスト (CRL)
有効期限が切れる前に無効化されたデジタル証明書のリスト (失効の理由および発行したエンティティーの名前を含む)。CRL は、侵害されたデジタル証明書と署名の使用を防止します。
暗号ブロックチェーン(CBC)
1 つのブロックの暗号化結果を使用して次のブロックを暗号化することにより、暗号文のブロックを暗号化する暗号化方式。復号化時に、暗号文の各ブロックの有効性は、先行するすべての暗号文ブロックの有効性に依存します。DES および ESP で CBC を使用して機密性を提供する方法の詳細については、RFC 2405 を参照してください。
DES(データ暗号化標準)
単一の共有鍵でデータを処理することにより、パケット・データの暗号化と暗号化解除を行う暗号化アルゴリズム。DES は 64 ビット ブロック単位で動作し、56 ビット暗号化を提供します。
デジタル証明書
秘密キーと公開キーのテクノロジを使用して、証明書の作成者の ID を確認し、ピアにキーを配布する電子ファイル。
ES PIC
M SeriesおよびT Seriesプラットフォーム上でIPsec向けの第1世代の暗号化サービスとソフトウェアサポートを提供するPICです。
カプセル化セキュリティペイロード(ESP)
IPv4 または IPv6 パケット内のデータの暗号化、データの整合性の提供、およびデータ ソース認証の確保に使用される IPsec プロトコルのコンポーネント。ESP の詳細については、RFC 2406 を参照してください。
ハッシュ メッセージ認証コード (HMAC)
暗号ハッシュ関数を使用したメッセージ認証のメカニズム。HMAC は、MD5 や SHA-1 などの反復的な暗号化ハッシュ関数と共に、秘密の共有キーと組み合わせて使用できます。HMAC の詳細については、RFC 2104 を参照してください。
インターネット鍵交換(IKE)
IPsec を使用して、すべてのホストまたはルーターの共有セキュリティ パラメーターを確立します。IKE は、IPsec の SA を確立します。IKE の詳細については、RFC 2407 を参照してください。
Message Digest 5(MD5)
任意の長さのデータ メッセージを受け取り、128 ビットのメッセージ ダイジェストを生成する認証アルゴリズム。詳細については、RFC 1321 を参照してください。
完全転送機密保持(PFS)
Diffie-Hellman 共有シークレット値によってセキュリティを強化します。PFS では、1 つのキーが侵害されても、前後のキーは以前のキーから派生していないため、安全です。
公開カギ基盤(PKI)
パブリックネットワークのユーザーが、信頼できる機関を通じて取得され、ピアと共有される公開鍵と秘密鍵のペアを使用して、セキュアかつプライベートにデータを交換できるようにする信頼階層。
登録機関(RA)
CA の代理としてユーザーの身元を保証する、信頼されたサード パーティ組織。
ルーティングエンジン
Junos OS ベースのルーターの PCI ベースのアーキテクチャ部分で、ルーティング プロトコル プロセス、インターフェイス プロセス、一部のシャーシ コンポーネント、システム管理、ユーザー アクセスを処理します。
セキュリティ アソシエーション(SA)
仕様は、IKEまたはIPsecが機能する前に、2つのネットワークデバイス間で合意する必要があります。SA は、主にプロトコル、認証、および暗号化オプションを指定します。
セキュリティアソシエーションデータベース(SADB)
すべての SA が IPsec によって格納、監視、処理されるデータベース。
セキュア ハッシュ アルゴリズム 1(SHA-1)
長さが 264 ビット未満のデータ メッセージを受け取り、160 ビットのメッセージ ダイジェストを生成する認証アルゴリズム。SHA-1 の詳細については、RFC 3174 を参照してください。
セキュア ハッシュ アルゴリズム 2(SHA-2)
SHA-1 認証アルゴリズムの後継で、SHA-1 バリアント(SHA-224、SHA-256、SHA-384、SHA-512)のグループが含まれています。SHA-2 アルゴリズムは、より大きなハッシュ サイズを使用し、AES などの拡張暗号化アルゴリズムで動作するように設計されています。
セキュリティ ポリシー データベース(SPD)
SADB と連携してパケットの最大セキュリティーを確保するデータベース。インバウンドパケットの場合、IPsecはSPDをチェックして、着信パケットが特定のポリシーに設定されたセキュリティと一致するかどうかを確認します。送信パケットの場合、IPsec は SPD をチェックして、パケットをセキュリティで保護する必要があるかどうかを確認します。
SPI(セキュリティ パラメーター インデックス)
ネットワーク・ホストまたはルーターで SA を一意的に識別するために使用される ID。
簡易証明書登録プロトコル(SCEP)
CA および登録機関 (RA) 公開キーの配布、証明書の登録、証明書の失効、証明書のクエリ、および証明書失効リスト (CRL) のクエリをサポートするプロトコル。
ACXシリーズのIPsecシリーズの概要
ジュニパーネットワークスのJunosオペレーティングシステム(Junos OS)は、IPsecをサポートしています。このトピックには、ACXシリーズユニバーサルメトロルーターでのIPsecの設定に関する背景情報を提供する以下のセクションが含まれています。
IPsec は、ACX1100 AC 電源ルーターと ACX500 ルーターでのみサポートされています。ACX1100-ACおよびACX500ルーターでのサービスチェイニング(GRE、NAT、IPSec)はサポートされていません。
ACX5048および ACX5096 ルーターは、IPsec 構成をサポートしていません。
Junos OS でサポートされている IPsec および IKE 標準の一覧については、 Junos OS の階層と RFC リファレンスを参照してください。
Ipsec
IPsec アーキテクチャは、IPv4(IP バージョン 4)ネットワーク レイヤー用のセキュリティ スイートを提供します。このスイートは、送信元認証、データ整合性、機密性、リプレイ防御、送信元否認防止などの機能を提供します。Junos OS は、IPsec に加えて、鍵の生成と交換のメカニズムを定義し、セキュリティ アソシエーションを管理する IKE(インターネット鍵交換)もサポートしています。
また、IPsec は、任意のトランスポート層プロトコルで使用できるセキュリティ アソシエーションと鍵管理フレームワークも定義します。セキュリティ アソシエーションは、2 つの IP 層エンティティ間のトラフィックに適用する保護ポリシーを指定します。IPsec は、2 つのピア間にセキュア トンネルを提供します。
セキュリティ アソシエーション
IPsec セキュリティ サービスを使用するには、ホスト間にセキュリティ アソシエーションを作成します。セキュリティ アソシエーションは、2 つのホストが IPsec によって安全に通信できるようにするシンプレックス接続です。セキュリティ アソシエーションには、次の 2 種類があります。
手動セキュリティ アソシエーションにはネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動セキュリティ アソシエーションは、使用するセキュリティ パラメータ インデックス(SPI)の値、アルゴリズム、および鍵を静的に定義し、トンネルの両端で一致する設定が必要です。各ピアには、通信が実行されるために同じ設定されたオプションがある必要があります。
動的セキュリティー・アソシエーションには、追加の構成が必要です。動的セキュリティ アソシエーションでは、最初に IKE を設定し、次にセキュリティ アソシエーションを設定します。IKE は動的なセキュリティ アソシエーションを作成します。IPsec のセキュリティ アソシエーションをネゴシエートします。IKE 設定は、ピアセキュリティゲートウェイとのセキュア IKE 接続を確立するのに使用するアルゴリズムと鍵を定義します。この接続は、動的IPsecセキュリティアソシエーションによって使用されるキーやその他のデータを動的に同意するために使用されます。IKE セキュリティ アソシエーションは、最初にネゴシエートされ、次に動的 IPsec セキュリティ アソシエーションを決定するネゴシエーションを保護するために使用されます。
Ike
IKE は、動的なセキュリティ アソシエーションを作成する鍵管理プロトコルです。IPsec のセキュリティ アソシエーションをネゴシエートします。IKE 設定は、ピア セキュリティ ゲートウェイとのセキュアな接続を確立するのに使用されるアルゴリズムと鍵を定義します。
IKE は以下のタスクを実行します。
IKE および IPsec パラメータのネゴシエートおよび管理を行います。
セキュアな鍵交換を認証します。
パスワードではなく、共有された秘密鍵と公開鍵による相互ピア認証を提供します。
ID 保護を (メイン モードで) 提供します。
関連項目
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。