Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

NFX デバイスの IP セキュリティ

概要

IPsec は、ネットワークレベルのデータ整合性、データの機密性、データ送信元の認証、リプレイからの保護を提供します。IPsec は、メディアの複雑な組み合わせで実行されるあらゆるメディアまたはアプリケーション プロトコルの混合で、IP 上で実行されるあらゆるプロトコルを保護できます。IPsec は、システムが必要なセキュリティ プロトコルを選択し、セキュリティ サービスに使用するアルゴリズムを決定し、要求されたサービスを提供するために必要な暗号化キーを実装できるようにすることで、OSI(Open Systems Interconnection)モデルのネットワーク レイヤーでセキュリティ サービスを提供します。IPsecは、国際技術タスクフォース(IETF)によって標準化されています。

IPsecは、1組のホストまたはセキュリティゲートウェイ間、またはセキュリティゲートウェイとホスト間の1つ以上のパスを保護します。ネットワークデバイス間で送信者/受信者を認証し、IPバージョン4(IPv4)およびバージョン6(IPv6)トラフィックを暗号化する安全な方法を提供することで、これを実現します。

IPsec の主な概念は次のとおりです。

  • SA(セキュリティアソシエーション)—SAは、IPsec関係を確立しているデバイス間でネゴシエートされたIPsec仕様のセットです。これらの仕様には、認証と暗号化のタイプの設定、および IPsec 接続の確立に使用される IPsec プロトコルが含まれています。セキュリティ アソシエーションは、SPI(セキュリティ パラメーター インデックス)、IPv4 または IPv6 の宛先アドレス、AH または ESP(セキュリティ プロトコル)によって一意に識別されます。IPsecセキュリティアソシエーションは、設定ステートメントを介して手動で、またはIKEネゴシエーションによって動的に確立されます。SA の詳細については、「 セキュリティ アソシエーション」を参照してください。

  • IPsec鍵管理—VPNトンネルはIPsec技術を使用して構築されます。仮想プライベートネットワーク(VPN)トンネルは、手動鍵、AutoKey インターネット鍵交換(IKE)、Diffie-Hellman(DH)交換など、3 種類の鍵作成メカニズムで動作します。NFX150 デバイスは IKEv1 および IKEv2 をサポートします。IPsec鍵管理の詳細については、 IPsec鍵管理を参照してください。

  • IPsec セキュリティ プロトコル— IPsec は 2 つのプロトコルを使用して IP レイヤーでの通信を保護します。

    • 認証ヘッダー(AH)—IPパケットの送信元を認証し、そのコンテンツの整合性を検証するためのセキュリティプロトコル。

    • ESP(セキュリティ ペイロードのカプセル化)—IP パケット全体を暗号化し、その内容を認証するためのセキュリティ プロトコル。

    IPsecセキュリティプロトコルの詳細については、 IPsecセキュリティプロトコルを参照してください。

  • IPsecトンネルネゴシエーション-IKE IPsecトンネルを確立するには、ネゴシエーションの2つのフェーズが必要です。

    • フェーズ 1 では、参加者は IPsec SA をネゴシエートするためのセキュアな接続を確立します。

    • フェーズ2では、参加者は暗号化のためにIPsec SAをネゴシエートし、その後のユーザーデータの交換を認証します。

    IPsecトンネルネゴシエーションの詳細については、 IPsecトンネルネゴシエーションを参照してください。

表 1 は、NFX シリーズ デバイスでサポートされている IPsec 機能を示しています。

表 1:NFX シリーズ デバイスでサポートされる IPsec 機能

機能

参照

AutoVPNスポーク

AutoVPN 導入におけるスポーク認証について

自動検出 VPN(ADVPN)パートナー

メモ:

NFX150デバイスでは、ADVPN Suggesterを設定することはできません。

自動検出 VPN について

サイトツーサイト VPN と動的エンドポイント

動的エンドポイントを使用したIPsec VPNについて

ルートベース VPN

メモ:

NFX150デバイスは、ポリシーベースVPNをサポートしていません。

ルートベース IPsec VPN について

NAT-T

NAT-T について

デッドピア検出

VPN 監視について

セキュリティの設定

NFX150 デバイスでは、IP セキュリティ(IPsec)を使用してセキュリティを実装します。IP セキュリティ(IPsec)の設定プロセスには、以下のタスクが含まれます。

インターフェイスの設定

LANまたはWANでIPsecを有効にするには、ネットワーク接続とデータフローを提供するためにインターフェイスを設定する必要があります。

メモ:

IPsecを設定するには、FPC1インターフェイスを使用します。

インターフェイスを設定するには、次の手順を実行します。

  1. JCP CLI にログインし、設定モードにします。
  2. 論理インターフェイスでVLANタグのサポートを有効にします。
  3. 論理インターフェイスにVLAN IDを割り当てます。
  4. 論理インターフェイスに IPv4 アドレスを割り当てます。
  5. 論理インターフェイスに IPv6 アドレスを割り当てます。

ルーティング オプションの設定

特定のルーティング プロトコルに固有ではないルーティング機能と機能を、総称してプロトコル非依存型ルーティング プロパティと呼びます。これらの機能は、多くの場合、ルーティングプロトコルと相互作用します。多くの場合、プロトコルに依存しないプロパティとルーティング ポリシーを組み合わせて、目標を達成します。例えば、プロトコル非依存のプロパティを使用して静的ルートを定義し、ルーティングポリシーを使用して、BGP、OSPF、IS-ISなどのルーティングプロトコルに静的ルートを再配布します。

プロトコル非依存型ルーティングプロパティには以下が含まれます。

  • スタティック ルート、アグリゲート ルート、生成ルート

  • グローバルプリファレンス

  • Martian ルート数

  • ルーティングテーブルとRIB(ルーティング情報ベース)グループ

インターフェイス ルートがインポートされるルーティング テーブル グループを設定するには、次の手順を実行します。

  1. RIBとスタティックルートを設定します。
  2. 静的ルートを設定します。

セキュリティIKEの設定

IPsec は、インターネット鍵交換(IKE)プロトコルを使用して、IPsec ピアの認証、SA(セキュリティ アソシエーション)設定のネゴシエート、IPsec 鍵の交換を行います。IKE構成は、ピアセキュリティゲートウェイとのセキュアなIKE接続の確立に使用するアルゴリズムとキーを定義します。

IPsec IKE のデバッグと管理のために IKE トレースオプションを構成できます。

IKE トレースオプションを構成するには、以下の手順を実行します。

  1. トレース・ファイルの最大サイズを指定します。
  2. IKEの情報をトレースするパラメーターを指定します。
  3. IKE のトレース情報のレベルを指定します

1つ以上のIKEプロポーザルを設定できます。各プロポーザルは、IKEホストとそのピア間のIKE接続を保護するためのIKE属性のリストです。

IKEプロポーザルを設定するには、以下の手順を実行します。

  1. IPsec IKEプロポーザルの認証方法として、事前共有キーを設定します。

    メモ:

    ネットワーク内のセキュアな通信に IPsec を設定する場合、ネットワーク内のピア デバイスには、少なくとも 1 つの共通認証方法が必要です。設定された認証方法の数に関係なく、1組のデバイス間で使用できる認証方法は1つだけです。

  2. IKEプロポーザルのDiffie-Hellmanグループ(dh-group)を定義します。

  3. IKEプロポーザルの認証アルゴリズムを設定します。

  4. IKEプロポーザルの暗号化アルゴリズムを定義します。

  5. IKEプロポーザルのライフタイムを秒単位で設定します。

1つ以上のIKEプロポーザルを設定した後、これらのプロポーザルをIKEポリシーに関連付ける必要があります。IKEポリシーは、IKEネゴシエーション中に使用するセキュリティパラメーター(IKEプロポーザル)の組み合わせを定義します。これは、ピアアドレスとその接続に必要なプロポーザルを定義します。どの認証方法を使用するかに応じて、指定されたピアの事前共有鍵を定義します。IKE ネゴシエーション中に、IKE は両方のピアで同じ IKE ポリシーを探します。ネゴシエーションを開始するピアは、すべてのポリシーをリモートピアに送信し、リモートピアが一致を見つけようとします。

IKEポリシーを設定するには、以下の手順を実行します。

  1. 第1フェーズモードでIKEポリシーを定義します。

  2. IKEプロポーザルのセットを定義します。

  3. IKEの事前共有キーを定義します。

ファイアウォールとセキュリティ デバイス間のネットワーク接続を開始および終了するように IKE ゲートウェイを構成します。

IKEゲートウェイを設定するには、以下の手順を実行します。

  1. IKEポリシーでIKEゲートウェイを設定します。

  2. ピアのアドレスまたはホスト名を使用してIKEゲートウェイを設定します。

    メモ:

    デアモンが IKED デーモンの場合、NFX350 デバイスでは複数の IKE ゲートウェイ アドレスの冗長性はサポートされていません。この機能は、KMDデーモンのみがサポートしています。

  3. デッドピア検出(DPD)機能を有効にして、DPDメッセージを定期的に送信します。

  4. ローカルIKE IDを設定します。

  5. リモートIKE IDを設定します。

  6. IKEネゴシエーション用の外部インターフェイスを設定します。

  7. クライアントのユーザー名を設定します。

  8. クライアントのパスワードを設定します。

セキュリティIPsecの設定

IPsec は、ネットワークレベルのデータ整合性、データ機密性、データ送信元の認証、再生からの保護を提供する関連プロトコル スイートです。IPsec は、メディアの複雑な組み合わせで実行されるあらゆるメディアまたはアプリケーション プロトコルの混合で、IP 上で実行されるあらゆるプロトコルを保護できます。

リモートIPsecピアとネゴシエートされるプロトコルとアルゴリズムまたはセキュリティサービスをリストするIPsecプロポーザルを設定します。

IPsecプロポーザルを設定するには、以下の手順を実行します。

  1. プロポーザルのIPsecプロポーザルとプロトコルを定義します。
  2. IPsecプロポーザルの認証アルゴリズムを定義します
  3. IPsecプロポーザルの暗号化アルゴリズムを定義します
  4. IPsecプロポーザルのライフタイムを秒単位で設定します。

1つ以上のIPsecプロポーザルを設定した後、これらのプロポーザルをIPsecポリシーに関連付ける必要があります。IPsecポリシーは、IPsecネゴシエーション中に使用されるセキュリティパラメーター(IPsecプロポーザル)の組み合わせを定義します。Perfect Forward Secrecy(PFS)と接続に必要なプロポーザルを定義します。IPsecネゴシエーション中に、IPsecは両方のピアで同じプロポーザルを検索します。ネゴシエーションを開始するピアは、すべてのポリシーをリモートピアに送信し、リモートピアが一致を見つけようとします。

IPsecポリシーを設定するには、以下の手順を実行します。

  1. ポリシーには、IPsecポリシー、完全転送機密保持、およびDiffie-Hellmanグループを定義します。

  2. ポリシーのIPsecプロポーザルのセットを定義します。

IPsec仮想プライベートネットワーク(VPN)を設定し、インターネットなどのパブリックWANを介してリモートコンピューター間で安全に通信する手段を提供します。VPN接続は、2つのLAN(サイト間VPN)またはリモートダイヤルアップユーザーとLANをリンクできます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを通過します。WANを通過中のVPN通信を保護するために、2人の参加者はIPsecトンネルを作成します。詳細については、 IPsec VPNの概要を参照してください。

IPsec VPNを設定するには、以下の手順を実行します。

  1. IPsec VPN の IKE ゲートウェイを定義します。

  2. IPsec VPNのIPsecポリシーを定義します。

  3. IPsec VPNのローカルトラフィックセレクターを定義します。

  4. IPsec VPNのリモートトラフィックセレクターを定義します。

  5. IPsec VPN トンネルを確立するための条件を定義します。

セキュリティ ポリシーの設定

セキュリティポリシーは、指定されたIPソースから指定されたIP宛先に対してスケジュールされた時間に許可されるトラフィックの種類を定義することで、あるゾーンから別のゾーンへのトラフィックフローを制御します。ポリシーにより、あるセキュリティ ゾーンから別のセキュリティ ゾーンに通過しようとするトラフィックの拒否、許可、拒否、暗号化、復号化、認証、優先順位付け、スケジュール、フィルタリング、監視が可能です。どのユーザーを、どのデータを出入りできるか、いつ、どこに移動できるかを決めることができます。

セキュリティ ポリシーを設定するには、次の手順を実行します。

  1. 送信元アドレスのセキュリティ ポリシー一致条件を設定します
  2. 宛先アドレスのセキュリティ ポリシー一致条件を設定します
  3. セキュリティポリシーアプリケーションを設定します。
  4. セキュリティ ポリシーの一致条件を設定します。

セキュリティ ゾーンの設定

セキュリティ ゾーンは、ポリシーの構成要素です。これらは、1 つ以上のインターフェイスがバインドされている論理エンティティです。セキュリティ ゾーンは、ホストのグループ(ユーザー システムとサーバーなど、その他のホスト)とそのリソースを相互に区別して、異なるセキュリティ対策を適用する手段を提供します。詳細については、「 セキュリティ ゾーンについて」を参照してください。

セキュリティ ゾーンを設定するには、次の手順を実行します。

  1. システム サービスでセキュリティ ゾーンを設定します。
  2. セキュリティ ゾーンのプロトコルを定義します。
  3. セキュリティ ゾーンのインターフェイスを設定します。