IKE および IPsec 設定の概要
インターネット キー エクスチェンジ(IKE)は、IPsec ピアを認証し、IPsec 暗号化キーをネゴシエートして配信し、IPsec セキュリティ アソシエーション(SA)を自動的に確立するために使用されるキー管理プロトコルです。
IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。
IKE プロポーザルは、2 つのピア間の IKE ネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。IKE Version 1(IKEv1; IKE バージョン 1)では、IKE プロポーザルには、単一のアルゴリズム セットと係数グループが含まれています。各ピアにおいて、複数のポリシーをプライオリティ付きで作成して、少なくとも 1 つのポリシーがリモートピアのポリシーに一致するようにできます。IKEv1 と異なり、IKEv2 プロポーザルでは、フェーズ 1 ネゴシエーション中にピアが選択できる複数のアルゴリズムと係数グループを選択できます。これによって、単一の IKE プロポーザルの作成が可能になります(ただし、最も望ましいオプションにより高いプライオリティを設定するために、異なるプロポーザルが必要になる可能性があります)。1 つの VPN あたり複数の IKE プロポーザルを定義できます。
サイト間またはリモート アクセス VPN で通常の IPsec 接続を正常に確立するために必要な設定を定義するよう、いくつかのポリシーを設定する必要があります。次の手順には、設定を行うために必要な手順の概要が示されており、各手順の詳細情報が記載された他のトピックのリンクがあります。
関連項目
手順
ステップ 1 |
[IKEプロポーザル(IKE Proposal)] ポリシーを設定します。 [IKE Proposal] ポリシーでは、VPN 接続の確立に使用する IKE プロポーザル ポリシー オブジェクトを定義します。IKE プロポーザル オブジェクトの定義時に、IKE ネゴシエーションの暗号化と完全性チェックに使用するアルゴリズムと、暗号化アルゴリズムの実行に使用するデフィーヘルマン グループを選択します。IKEv1 では、事前共有キーまたは公開キー インフラストラクチャのいずれを使用するかも判別しますが、IKEv2 では、IKE プロポーザルには、認証モードの指定は含まれていません。 ここでは、[IKE Proposal] ポリシーの設定方法について説明します。 |
ステップ 2 |
認証モード設定を行います。 IKEv1 プロポーザルで認証モードに選択した項目、および IKEv2 に使用するよう決定したモードによって、認証モード設定を行うために必要な他のポリシーが制御されます。
ここでは、事前共有キー設定について説明します。
[Public Key Infrastructure] ポリシーは、認証局サーバを識別する PKI 登録オブジェクトを特定します。サイト間 VPN の場合は、単一の PKI 登録オブジェクトを選択できます。リモート アクセス VPN の場合は、リモート アクセス接続に必要なすべてのオブジェクトを選択できます。これらのトラストポイントは、([IPsec] タブにある)リモートアクセスの [接続プロファイル(Connection Profiles)] ポリシーで識別されます。 ここでは、公開キー インフラストラクチャ設定について説明します。 |
ステップ 3 |
[IPsecプロポーザル(IPsec Proposal)] ポリシーを設定します。[IPsec Proposal] ポリシーは、VPN のセキュアな IPsec トンネルを作成するために使用される IPsec トランスフォーム セット ポリシー オブジェクトを定義します。 ここでは、[IPsec Proposal] ポリシーの設定方法について説明します。 |
ステップ 4 |
[グローバル設定(Global Settings)] ポリシーを設定します。 [グローバル設定(Global Settings)](リモートアクセス)ポリシーおよび [VPNグローバル設定(VPN Global Settings)](サイト間)ポリシーは、さまざまな ISAKMP、IKEv1、IKEv2、IPsec、NAT、フラグメンテーション、およびその他の設定を定義します。これらの設定には、多くの場合適切であるデフォルト値があるため、通常はデフォルト以外の動作が必要なときにかぎり [Global Settings] ポリシーを設定する必要があります。ただし、リモートアクセス IKEv2 IPsec VPN ではポリシーを設定する必要があります。これは、[IKEv2設定(IKEv2 Settings)] タブでリモート アクセス グローバル トラストポイントを指定する必要があるためです。 ここでは、[Global Settings] ポリシーの設定方法について説明します。 |
ステップ 5 |
リモート アクセス IKEv2 IPsec VPN を設定する場合は、SSL VPN のいくつかのポリシーも設定する必要があります。IKEv2 は、SSL VPN といくつかの設定を共有します。設定する必要があるその他のポリシーについては、Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA および PIX 7.0 以降のデバイス)を参照してください。 |
IKE バージョン 1 と 2 の比較
IKE には、バージョン 1(IKEv1)とバージョン 2(IKEv2)の 2 つのバージョンがあります。IKEv2 をサポートするデバイスで IKE を設定する場合は、いずれかのバージョンを単独で設定するか、両方のバージョンを一緒に設定するかを選択できます。デバイスが別のピアとの接続のネゴシエーションを試行する場合は、ユーザが許可したバージョンか、他のピアが受け入れるバージョンのどちらでも使用されます。両方のバージョンを許可すると、最初に選択したバージョン(IKEv2 は、設定されている場合は常に最初に試行されます)とのネゴシエーションが正常に行われなかった場合に、デバイスは他のバージョンに自動的にフォールバックします。ネゴシエーションで使用するには、両方のピアが IKEv2 をサポートする必要があります。
ヒント |
Security Manager は、ASA 8.4(1)+ だけで IKEv2 をサポートします。リモート アクセス IPsec VPN では、ユーザは AnyConnect 3.0+ クライアントを使用して、IKEv2 接続を実行する必要があり、IKEv2 接続は、SSL VPN 接続に使用される同じライセンス プールを使用します。ASA での IKEv1 リモート アクセス接続には従来の VPN クライアントが使用されます。VPN でのデバイス サポートの詳細については、各 IPsec テクノロジーでサポートされるデバイスについてを参照してください。 |
IKEv2 は、次の方法で IKEv1 とは異なります。
-
IKEv2 は、Photuris スタイルのクッキー メカニズムを修正します。
-
IKEv2 では、IKEv1 よりも少ないラウンドトリップが行われます(基本的な交換では、IKEv1 の場合の 5 回に対して 2 回のラウンドトリップ)。
-
トランスフォームオプションは論理和演算されます。これは、許可される組み合わせごとに別個の固有のプロポーザルを作成するのではなく、単一のプロポーザルで複数のオプションを指定できることを意味します。
-
組み込みの Dead Peer Detection(DPD; デッドピア検知)。
-
組み込みの設定ペイロードとユーザ認証モード。
-
組み込みの NAT Traversal(NAT-T; NAT 通過)。IKEv2 は、NAT-T にポート 500 と 4500 を使用します。
-
向上したキーの再生成とコリジョン処理。
-
単一の Security Association(SA; セキュリティ アソシエーション)は複数のサブネットを保護でき、これによってスケーラビリティが向上します。
-
サイト間 VPN での非対称認証。トンネルのそれぞれの側に、異なる事前共有キーと異なる証明書を設定するか、片側にキー、もう片側に証明書を設定できます。
-
リモート アクセス IPsec VPN では、リモート アクセス SSL VPN に対して設定する場合と同じ方法で IKEv2 接続に二重認証を設定できます。IKEv1 は二重認証をサポートしません。