IPsec-VPNって設定項目多すぎて、どこまで設定していいのかわからないよ
知らない単語もいっぱいでてくるし、わけがわからない…
IPsec-VPNといってもベンダーによって設定名称が様々だから混乱するよね
ただ動作は同じなので、今回は共通する動作に注目して解説するね
IPsec-VPNとは
IPsecとはネットワーク層で動作する、セキュリティプロトコルの1種で、複数のプロトコルから構成されるものです。それをVPN上で動作させるのでIPsec-VPNといいます。
(以降は省略してIPsecといいます)
IPsecの仕組み
IPsecはざっくり解説すると、対向のNW機器とパラメータ(暗号化・ハッシュアルゴリズム・認証方式・グループ etc)を合わせ、相互に同じセキュリティ方式をとる接続方式になります。
それらのセキュリティ方式が合致したタイミングで、対向機器とIPsecが構成でき、その通信経路を通るデータを暗号化しながら送ることができます。
当然ですが、パラメータの値が相互のNW機器で違うと、それだけでIPsecは構成できません。切り分けの際は、パラメータ1つ1つを見直す必要がありますが、設定項目が多岐にわたりますので、注意してください。
IPsec 押さえるべき用語
IPsecを構成するために必要な設定項目は大きくわけて2つ
・IKE Phase1(ISAKMP SAの作成)
・IKE Phase2(IPsec SAの作成)
IKE:鍵交換を行うプロトコル。Phase1,2で設定した項目を相手に伝える役割
SA:IKEによって確立されるコネクションの名称。Phase1,2にてSAが確立される。
ISAKMP:IKE Phase1にて使用される鍵交換プロトコル(IKEを構成するプロトコルの1種)
Phase1にてISAKMP SAという下準備のコネクションを形成し、Phase2にて実際にIPsecコネクションを形成するという流れです。
さらにIKE Phase1,2の中で設定項目がいくつかあります。
()内はCiscoでの例になりますが、他の機器も細かい名称の違いのみになります。
・暗号化アルゴリズム(DES/3DES/AES)
・ハッシュアルゴリズム(MD5/SHA-1/SHA-256)
・認証方式(Pre-shared Key/デジタル署名/公開鍵暗号)
・DH-group(1/2/5)
・ISAKMP SA lifetime
・Pre-shared Key(認証方式がPre-shared Keyの時に設定。任意の文字列)
・peer-address(対向機器の実アドレス)
・DPD(IKEキープアライブ時間)
・IKE Phase1 Mode(Main/Aggressive)
・セキュリティプロトコル(AH/ESP)
・暗号化アルゴリズム(DES/3DES/AES)
・認証アルゴリズム(MD5-HMAC/SHA-HMAC)
・PFS
・IPsec SA lifetime
・IPsec通信モード(トンネル/トランスポート)
・IPsec peer address(対向機器の実アドレス)
・IPsec通過対象アドレス(アドレス範囲指定)
・IKE Phase2 Mode(クイックモード)
多いですが、IPsecの設定でトラブルシューティングする際は、これらすべてを見直す必要があります。覚えるまではしなくていいので、このページに書いてあったなくらいで覚えておけばOKです。
用語説明
パケットの暗号化に使用する方式の選択。
DES:共通鍵暗号方式。鍵を使って暗号化を行う。
3DES:DES処理を3回繰り返す方式。各処理での鍵は異なる。
AES:DESより長い鍵長で暗号を行う。現在の主流。
任意のデータを一定の長さのハッシュ値に変換する関数。
isakmpメッセージの検証・鍵計算に使用する。
ビット長が長い方がセキュリティが高い。
MD5:ビット長128。セキュリティとしては脆弱。
SHA-1:ビット長:160。こちらも脆弱。
SHA-256:ビット長256。今の主流はこれ。
認証方式
対向機器との認証を実施するための方式設定。
この設定によって鍵の生成のされ方が変わる。
Pre-shared Key:事前共有鍵。両機器で同じ鍵を設定する。
公開鍵暗号:公開鍵と秘密鍵を使って暗号復号化を行う。
デジタル署名:CA証明書によって認証を行う。それぞれの機器に証明書をインポートする必要あり。
DH-group
秘密対象鍵を作成するための前提条件のこと。
設定によって鍵の強度が変わる。
基本的にグループの数字が大きいほどセキュリティ強化されるが、キー計算の時間は増加する。
ISAKMP SA lifetime
ISAKMP SAを維持する時間。
lifetime内に対向機器から通信がなければSAは解除される。
ここは対向と値が違っても接続は可能。途中セッションは途切れる可能性があるが…
Pre-shared Key
事前共有鍵の設定。対向機器と同一の文字列を設定する。
認証方式がPre-shared Keyの時に設定する項目。
peer-address
対向機器のアドレス。相手の実アドレスを指定する。
IPsecで生成されるinterfaceのアドレスではない。
DPD
IKEキープアライブ時間。
IKEピアの活性状態を検出するプロトコル。
例えば対向機器が再起動してPhase1の再接続を行うとする。
その際に、DPD設定がなければ、本機器は対向機器の再起動を検知せず、ISAKMP SA Lifetimeにしたがって、以前のコネクション状態を維持し続けてしまう。
IKE Phase1 Mode
相手のアドレス体系(動的・静的)に対応するためのモード設定
Main:対向機器の特定を固定IPアドレスにて行う。
相手が固定IPを持っていることが前提のため、回線の種類によっては使用できない。
Aggressive:対向機器の特定を自身と相手のIDによって行う。
Mainより少ない手順でSAが確立できるが、IDの暗号化はされずDH-groupのnegotiationもないので、セキュリティ性が低い。
IPsec SAで使用するセキュリティプロトコル。
以下の2つから選択する。
AH:認証用プロトコル。暗号化は行われないので主流ではないが、暗号化通信が禁じられてるフランスなどで利用。
ESP:暗号化+認証を行うプロトコル。基本はこちらを設定。
上記でESPを設定した時のみ設定。
内容はPhase1と同様
AHの場合は設定が必須。
なりすまし防止に使用するための、ハッシュ計算方法。
HMAC:送信者の認証と、データの改ざん検知が可能な認証コードの1つ。鍵、ハッシュを組み合わせて算出される。HMACを使用することで、データの暗号化と認証の両方が可能になる。HMAC-MD5はハッシュの指定をMD5としている。
鍵の解読が他の鍵の解読につながらないようにする性質のこと。有効化すると、SAに使用する鍵の生成・更新の際に、再度DHアルゴリズムを実施する。
簡単に言うと、秘密鍵生成をよりセキュリティの高い方式で再度実施する設定。
IPsec SA lifetime
IPsec SAを維持する時間。
内容としてはisakmpと同様。
通信データのIPsecの暗号化が適用される範囲を指定する設定。
トンネルモード:IPパケット全体を暗号化し、新しくIPヘッダを付与して通信を行う。ルータ同士でIPsecを張る場合は大抵こちらを使用する。
トランスポートモード:IPの変更は行わず、トランスポート層を暗号化する。PC-Server間など端末間での通信秘匿に使用される。
isakmpと同じく、対向機器の実IPを指定する項目。
IPsecを通過させる(暗号化してセキュリティを担保する)対象のアドレスを指定できる設定。「このIPsecには、この送信先or送信元の通信を通すためだけに設定する」などの場合に利用する。
IKE Phase2 Mode
クイックモードしかないです。
情報がないので正確ではないかもですが、IPsec SAの情報交換をするモードがQuickモードみたい…?
別のモードは使えないので、設定項目あればクイックモードに設定しないといけない、という感じで覚えましょう。
まとめ
今回はIPsecの概要と、設定項目の各種詳細を解説しました。
私の認識で書いてる部分もありますので、ベンダーによって別の用語や設定項目があるかもしれません。あくまで基本的な設定名称・設定値という認識で把握していただけると、利用しやすいかと思います。
