セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

適切な VPN ソリューションの選択

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 12 月 23 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次

NAT

概要

Virtual Private Networks (VPNs; 仮想プライベート ネットワーク)は、そのコストの低下と広範囲に及ぶネットワーク展開への適応性の高まりとともに一般的なものになってきています。 これらの技術の進歩とともに、VPN ソリューションを実現するための選択肢の数も増加しています。 この Tech Note ではこれらの選択肢について、また、それらのオプションが最も機能を発揮する場面を説明します。

はじめに

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

シスコは、Cisco Secure PIX Firewall、Cisco VPN 3000 Concentrator、Cisco VPN 5000 Concentrator などの非 IOS プラットフォームの暗号化をサポートしています。

NAT

インターネットは短期間で、当初の設計者が予想していたよりも非常に大きな発展を遂げています。 IP バージョン 4.0 で使用可能なアドレスの数に限りがでてきていることからも、このことが伺えます。また、それによって使用可能なアドレス スペースも少なくなってきています。 この問題への 1 つの解決法が、Network Address Translation(NAT; ネットワーク アドレス変換)です。

NAT を使用することによって、ルータを内部と外部の境界で分けて設定することができます。つまり、外部(通常はインターネット)には 1 つまたは少数の登録済みのアドレスがあり、内部にはプライベート アドレッシング方式を使用することでいくつでもホストを持つことができます。 アドレス変換方式の完全性を維持するために、NAT は、内部(プライベート)ネットワークと外部(パブリック)ネットワーク間の各境界ルータで設定する必要があります。 セキュリティの観点から見た NAT の長所の 1 つは、プライベート ネットワーク上のシステムでは外部のネットワークから着信 IP 接続を受信しても、NAT ゲートウェイにその接続を許可する設定がされていないと受信することができないということです。 さらに、NAT は発信元 および 宛先デバイスに対して完全に透過的です。 適切なプライベートネットワークアドレス方式の輪郭を描く NAT の推奨されたleavingcisco.com オペレーションは RFC 1918 を含みます。 NAT のための規格は RFC1631 に説明がありますleavingcisco.com

次の図は内部変換ネットワーク アドレスプールと NAT ルータ の 境界 定義を示します。

which_vpn_01.gif

NAT が一般に高く、総計で制限されるインターネットでルーティング可能 な IP アドレスを節約するのに使用されています。 NAT はまたインターネットから内部ネットワークを隠すことによってセキュリティを提供します。

NAT のはたらくことの情報に関しては、NAT がどのようにはたらくか参照して下さい。

GRE カプセル化トンネリング

Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネルは共有されている WAN の全域に及ぶ特定のパスウェイを提供し、新しいパケット ヘッダーを持つトラフィックをカプセル化して指定された宛先に確実に配信します。 ネットワークはトラフィックがエンドポイントでだけトンネルを入力し、他のエンドポイントでだけ去ることができるので私用です。 トンネルは本当機密保持を(暗号化のように)提供しませんでしたり暗号化 トラフィックを運ぶことができます。 トンネルはトラフィックが運ばれる物理インターフェイスで設定される論理的なエンドポイントです。

/image/gif/paws/14147/vpn_gre.gif

ダイアグラムに示すように、GREトンネリングも非IPトラフィックを IP にカプセル化し、インターネットか IPネットワークにそれを送信 するのに使用することができます。 Internet Packet Exchange (IPX)および AppleTalkプロトコルは非IPトラフィックの例です。 GRE の設定の情報に関しては、「GRE の設定の GREトンネル インターフェイス」の設定を参照して下さい。

GRE は IPX または AppleTalk のようなマルチプロトコルネットワークがあり、インターネットまたは IPネットワーク上のトラフィックを送信 しなければならなければあなたのための右の VPN ソリューションです。 また、GRE カプセル化は IPSec のようなトラフィックの、保護の他 の 手段と共に一般に使用されます。

GRE のより多くの技術的詳細に関しては、RFC 1701 およびleavingcisco.com RFC 2784 を参照して下さいleavingcisco.com

IPSec 暗号化

共用回線網を渡って送信 される データの暗号化は VPN と準 VPN テクノロジー最も頻繁にです。 シスコは UP Security(IPSec; インターネット プロトコル セキュリティ)データ暗号化方式に対応しています。 IPSec はネットワーク層で参加 ピア間のデータの機密保持、データ統合およびデータ認証を提供するオープン スタンダードのフレームワークです。

IPSec暗号化は IPSecクライアント ソフトウェアのデータ暗号規格 (DES) 56 ビットおよびトリプルDES (トリプル DES) 168-bit 対称鍵 暗号化アルゴリズムをサポートするインターネット技術特別調査委員会 (IETF)規格です。 GRE 設定は IPSec のオプションです。 IPSec は認証権限と Internet Key Exchange(IKE; インターネット キー交換)ネゴシエーションに対応しています。 IPSec の暗号化は、クライアント、ルータ、ファオアウォール間のスタンドアロン環境で展開されるか、または VPN にアクセスする L2TP トンネリングとともに使用されます。 IPSec は各種のオペレーティング システムのプラットフォームでサポートされています。

IPSec暗号化はネットワークのための本当データの機密保持がほしいと思う場合あなたのための右の VPN ソリューションです。 IPSec はまたオープン スタンダードです、従ってさまざまなデバイス間のインターオペラビリティは設定し易いです。

/image/gif/paws/14147/which_vpn_03.gif

PPTP と MPPE

ポイントツーポイント トンネリング プロトコル(PPTP)は Microsoft によって開発されました; それは RFC2637 に説明がありますleavingcisco.comPPTP は Windows 9x/ME、Windows NT、Windows 2000 および WindowsXP のクライアント ソフトウェアで広く採用され、VPN を使用可能にしています。

Microsoft Point-to-Point Encryption (MPPE) は、RC4 ベースの 40-bit または 128-bit 暗号化を使用します。Microsoft からの IETF ドラフトに関する情報です。 MPPE は Microsoft の PPTP クライアント ソフトウェア ソリューションの 1 つで、任意モード アクセスの VPN アーキテクチャで使用されます。 PPTP および MPPE は、ほとんどのシスコのプラットフォームに対応しています。

PPTP は Cisco 7100 および 7200 プラットフォームの Cisco IOS ソフトウェア リリース 12.0.5.XE5 から対応しています。 その他のプラットフォームでは Cisco IOS 12.1.5.T から対応しています。 Cisco Secure PIX Firewall と Cisco VPN 3000 Concentrator も PPTP クラインアント接続に対応しています。

PPTP は非 IP ネットワークをサポートするので、異質社内ネットワークにアクセスするためにリモートユーザが社内ネットワークにダイヤルインしなければならないところに役立ちます。

PPTP の設定の情報に関しては、PPTP の設定を参照して下さい。

VPDN と L2TP

VPDN

シスコ標準の Virtual Private Dialup Network(VPDN; 仮想プライベート ダイヤルアップ ネットワーク)では、プライベート ネットワーク ダイヤルイン サービスでリモート アクセス サーバ全域をカバーできます。 VPDN では、ダイヤルされるアクセス サーバ(AS5300 など)のことを、通常 Network Access Server(NAS; ネットワーク アクセス サーバ)と言います。 ダイヤルインユーザの宛先はホームゲートウェイ (HGW)と言われます。

基本シナリオでは、 Point-to-Point Protocol (PPP; ポイントツーポイント プロトコル)のクライアントがローカル NAS に接続します。 NAS は PPP セッションが、そのクライアントのホーム ゲートウェイ ルータに送信されると判断します。 次に HGW はユーザを認証し、PPP ネゴシエーションを開始します。 PPP 設定が完了すると、すべてのフレームが NAS を経由してクライアントとホーム ゲートウェイに送信されます。 この方法は複数のプロトコルとコンセプトを一体化したものです。

VPDN の設定の情報に関しては、セキュリティ機能の設定バーチャル プライベート ダイヤルアップ ネットワークの設定を参照して下さい。

/image/gif/paws/14147/which_vpn_04.gif

L2TP

Layer 2 Tunneling Protocol (L2TP; レイヤ 2 トンネリング プロトコル)は IETF の規格で、PPTP と L2F の最良の特性を取り入れています。 L2TP トンネルは、最初に IP と 非 IP トラフィックの強制モード(NAS から HGW へのダイヤルアップ)アクセス VPN に使用されます。Windows 2000 および Windows XP は VPNクライアント接続の手段としてこのプロトコルのためのネイティブサポートを追加しました。

L2TP が IP を使用してパブリックネットワーク上の PPP を、インターネットのような、トンネル伝送するのに使用されています。 トンネルがレイヤ2 に発生するので、上位レイヤプロトコルはトンネルの知らないです。 GRE のように、L2TP はまたレイヤ3 プロトコルをカプセル化できます。 トンネルの発信側によって UDP ポート 1701 が L2TP トラフィックを送信 するのに使用されています。

発生するように VPDN 接続がする Layer 2 Forwarding (L2f) プロトコル作成される 1996 年の Cisco。 L2F は他の機能への対応もしていますが、L2TP に代わりつつあります。 Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)もまた 1996 年にインターネットのドラフトとして IETF によって作成されました。 PPTP には、GRE のような PPP 接続のトンネリング プロトコル機能があります。

L2TP に関する詳細については、レイヤ2 トンネルプロトコルを参照して下さい。

PPPoE

PPP over Ethernet (PPPoE)は Digital Subscriber Line (dsl)環境で主に展開される情報 RFC です。 PPPoE は既存のイーサネット インフラストラクチャを利用して、ユーザが同一 LAN 内で複数の PPP セッションを開始することを可能にします。 この技術は、レイヤ 3 サービス セレクションを可能にします。これは、ユーザが 1 つのリモート アクセス接続を介して複数の宛先に同時に接続できるという新しいアプリケーションです。 Password Authentication Protocol (PAP)または Challenge Handshake Authentication Protocol (CHAP)の PPPoE はどのリモートルータがそれに接続されるか頻繁に使用されますセントラルサイトを知らせるために。

PPPoE は大抵使用された稼働中 プロバイダ DSL 配備およびブリッジされたイーサネット トポロジーです。

PPPoE の設定に関する詳細については、イーサネットおよび IEEE 802.1Q VLAN 上の PPPoE の設定を参照して下さい。

MPLS VPN

Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)は新しい IETF 規格で Cisco Tag Switching をベースにしています。プロバイダーが費用効率良くアクセスでき、イントラネット、エクストラネット VPN サービスを提供する場合の自動プロビジョニング、迅速なロールアウト、そしてスケーラビリティ機能を可能にします。 シスコはサービス プロバイダーとともに作業し、MPLS 対応の VPN サービスへのスムーズな移行を確実にします。 MPLS は、ラベル ベースのパラダイムで動作し、パケットがプロバイダーのネットワークに入るときにタグ付けすることで、コネクションレス IP コアを介しての転送の効率を上げます。 MPLS はルート区分を使用して VPN メンバーシップを識別し、VPN コミュニティ内にトラフィックを抑えます。

MPLS はまたトポロジー情報幾分トラフィックフローに基づいて作成されるラベル スイッチド パスの確立を通して IP ルーティング パラダイムにコネクション型アプローチの利点を、追加します。 MPLS VPN はサービスプロバイダー環境で広く展開されます。

MPLS VPN の設定の情報に関しては、基本的な MPLS VPN の設定を参照して下さい。


関連情報


Document ID: 14147