セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

Cisco Secure PIX Firewall と Checkpoint NG Firewall 間のIPSec トンネル設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、2 つのプライベート ネットワーク間で通信するために事前共有キーを使用して IPSec トンネルを設定する方法について説明します。 この例では、通信ネットワークは Cisco Secure PIX Firewall の中の 192.168.10.x プライベート ネットワークおよび CheckpointTM Next Generation (NG) ファイアウォールの中の 10.32.x.x プライベート ネットワークです。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • PIX および内部の中からのトラフィックはインターネットへの Checkpoint TM NG (172.18.124.x ネットワークによってここに表される)この設定を開始する前にフローする必要があります。

  • ユーザが IPsec のネゴシエーションに精通している必要があります。 このプロセスは 5 つのステップ 2 インターネット キー エクスチェンジ(IKE)フェーズを含む、分割することができます。

    1. IPSecトンネルは関連 トラフィックによって開始します。 IPsec ピアの間を転送されるトラフィックは、対象トラフィックとみなされます。

    2. IKE フェーズ 1 では、IPSec ピアは確立された IKE Security Association (SA) ポリシーをネゴシエートします。 ピアが認証されると、Internet Security Association and Key Management Protocol(ISAKMP)を使用して安全なトンネルが作成されます。

    3. IKE フェーズ 2 では、IPSec ピアは IPsec SA 変換をネゴシエートするのに認証済み の 安全なトンネルを使用します。 共有ポリシーのネゴシエーションによって、IPsec トンネルの確立方法が決まります。

    4. IPSecトンネルは作成され、データは IPsec トランスフォーム セットで設定される IPSecパラメータに基づいて IPSec ピアの間で転送されます。

    5. IPsec SA が削除されるか、そのライフタイムの有効期限が切れると、IPsec トンネルは終了します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIXソフトウェアバージョン 6.2.1

  • Checkpoint TM NG ファイアウォール

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/23785/pix-checkpt-01.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PIX の設定

このセクションは設定するための情報とこの資料に説明がある機能を示します。

PIX の設定
PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIXRTPVPN
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Interesting traffic to be encrypted to the Checkpoint™ NG.

access-list 101 permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0

!--- Do not perform Network Address Translation (NAT) on traffic to the Checkpoint™ NG.

access-list nonat permit ip 192.168.10.0 255.255.255.0 10.32.0.0 255.255.128.0
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 172.18.124.158 255.255.255.0
ip address inside 192.168.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Do not perform NAT on traffic to the Checkpoint™ NG.

nat (inside) 0 access-list nonat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
   h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Permit all inbound IPsec authenticated cipher sessions.

sysopt connection permit-ipsec
no sysopt route dnat

!--- Defines IPsec encryption and authentication algorithms.

crypto ipsec transform-set rtptac esp-3des esp-md5-hmac

!--- Defines crypto map.

crypto map rtprules 10 ipsec-isakmp
crypto map rtprules 10 match address 101
crypto map rtprules 10 set peer 172.18.124.157
crypto map rtprules 10 set transform-set rtptac

!--- Apply crypto map on the outside interface.

crypto map rtprules interface outside
isakmp enable outside

!--- Defines pre-shared secret used for IKE authentication.

isakmp key ******** address 172.18.124.157 netmask 255.255.255.255

!--- Defines ISAKMP policy.

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:089b038c8e0dbc38d8ce5ca72cf920a5
: end

Checkpoint NG の設定

ポリシーを構成するネットワーク オブジェクトおよびルールは Checkpoint TM NG で定義されます設定されるべき VPN 設定に関係する。 このポリシーは Checkpoint TM NG ポリシーエディタを使用してそれから設定の Checkpoint TM NG 側を完了するためにインストールされています。

  1. 関連 トラフィックを暗号化するチェックポイント ネットワークおよび PIX ファイアーウォール ネットワークのための 2 つのネットワーク オブジェクトを作成して下さい。

    これをするために、Manage > Network objects の順に選択 し、そして New > Network の順に選択 して下さい。 適切なネットワーク情報を入力して、OK をクリックします。

    これらの例は CP_Inside (Checkpoint TM NG の内部ネットワーク)および PIXINSIDE (PIX の内部ネットワーク)と呼ばれるネットワーク オブジェクトのセットアップを表示します。

    pix-checkpt-02.gif

    pix-checkpt-03.gif

  2. Checkpoint TM NG および PIX のためのワークステーション オブジェクトを作成して下さい。 これをするために、Manage > Network objects > New > Workstation の順に選択 して下さい。

    最初 の チェックポイントTM NG セットアップの間に作成される Checkpoint TM NG ワークステーション オブジェクトを使用できることに注目して下さい。 ゲートウェイおよび相互運用可能な VPN デバイスとしてワークステーションを設定 する オプションを選択し次に『OK』 をクリック して下さい。

    これらの例は ciscocp (CheckpointTM NG)および PIX (PIXファイアウォール)と呼ばれるオブジェクトのセットアップを表示します。

    /image/gif/paws/23785/pix-checkpt-04.gif

    pix-checkpt-05.gif

  3. Checkpoint TM NG ワークステーション(この例の ciscocp)のための Workstation Properties ウィンドウを開くために Manage > Network objects > Edit の順に選択 して下さい。

    ウィンドウの左側の選択から『Topology』 を選択 し、そしてネットワークを暗号化されるために選択して下さい。 インターフェイス プロパティを設定 するために『Edit』 をクリック して下さい。

    /image/gif/paws/23785/pix-checkpt-06.gif

  4. 内部ようにワークステーションを指定するオプションを選択しそして適切な IP アドレスを規定 して下さい。 [OK] をクリックします。

    この設定では、CP_inside は Checkpoint TM NG の内部ネットワークです。 ここに示されているトポロジー選択は内部 ワークステーションを同様に指定し、CP_inside アドレスを規定 します。

    /image/gif/paws/23785/pix-checkpt-07.gif

  5. Workstation Properties ウィンドウから、それがインターネットに導く Checkpoint TM NG の outside インターフェイスを選択し、そしてインターフェイス特性を設定 するために『Edit』 をクリック して下さい。 外部としてトポロジーを指定するオプションを選択しそして『OK』 をクリック して下さい。

    pix-checkpt-08.gif

  6. Checkpoint TM NG の Workstation Properties ウィンドウから、ウィンドウの左側の選択から『VPN』 を選択 し、そして暗号化および認証アルゴリズムのためのパラメータを『IKE』 を選択 して下さい。 IKEプロパティを設定するために『Edit』 をクリック して下さい。

    pix-checkpt-10.gif

  7. IKEプロパティを設定して下さい:

    • IKEプロパティが isakmp policy - encryption 3des コマンドで互換性があるようにトリプル DES 暗号化にオプションを選択して下さい。

    • IKEプロパティが crypto isakmp policy #ハッシュ md5 コマンドで互換性があるように MD5 にオプションを選択して下さい。

      pix-checkpt-11.gif

  8. 認証オプションを事前共有秘密に選択し、そして PIX コマンド isakmp key key address address netmask netmask と互換性があるように事前共有キーを設定 するために『Edit Secrets』 をクリック して下さい。 キーをここに示されているように入力し、『Set, OK』 をクリック するために『Edit』 をクリック して下さい。

    /image/gif/paws/23785/pix-checkpt-12.gif

  9. IKE Properties ウィンドウから、 『Advanced』 をクリック し、これらの設定を変更して下さい:

    • サポート アグレッシブ モードのためのオプションを選択解除して下さい。

    • サブネットのサポート 鍵交換にオプションを選択して下さい。

    完了したら、[OK] をクリックします。

    /image/gif/paws/23785/pix-checkpt-13.gif

  10. PIX のための Workstation Properties ウィンドウを開くために Manage > Network objects > Edit の順に選択 して下さい。 手動で VPN ドメインを定義するためにウィンドウの左側の選択から『Topology』 を選択 して下さい。

    この設定では、PIXINSIDE (PIX の内部ネットワーク)は VPN ドメインと定義されます。

    pix-checkpt-09.gif

  11. ウィンドウの左側の選択から『VPN』 を選択 し、そして暗号化方式として『IKE』 を選択 して下さい。 IKEプロパティを設定するために『Edit』 をクリック して下さい。

    /image/gif/paws/23785/pix-checkpt-14.gif

  12. ここに示されているように IKEプロパティを設定して下さい:

    • IKEプロパティが isakmp policy - encryption 3des コマンドで互換性があるようにトリプル DES 暗号化にオプションを選択して下さい。

    • IKEプロパティが crypto isakmp policy #ハッシュ md5 コマンドで互換性があるように MD5 にオプションを選択して下さい。

    pix-checkpt-15.gif

  13. 認証オプションを事前共有秘密に選択し、そして PIX コマンド isakmp key key address address netmask netmask と互換性があるように事前共有キーを設定 するために『Edit Secrets』 をクリック して下さい。 キーを入力するために『Edit』 をクリック しそして『Set, OK』 をクリック して下さい。

    /image/gif/paws/23785/pix-checkpt-16.gif

  14. IKE Properties ウィンドウから、 『Advanced』 をクリック し、これらの設定を変更して下さい。

    • 適切な IKEプロパティに Diffie-Hellmanグループを選択して下さい。

    • サポート アグレッシブ モードのためのオプションを選択解除して下さい。

    • サブネットのサポート 鍵交換にオプションを選択して下さい。

    終了後『OK, OK』 をクリック して下さい。

    /image/gif/paws/23785/pix-checkpt-17.gif

  15. ポリシーのための暗号化 の ルールを設定するために Rules > Add Rules > Top の順に選択 して下さい。

    Policy Editor ウィンドウでは、CP_inside (Checkpoint TM NG の内部ネットワーク)および両方の発信元 および 宛先コラムの PIXINSIDE (PIX の内部ネットワーク)のソースのルールを追加して下さい。 サービスの設定値 =処理 = 暗号化、およびトラック = ログ。 ルールの Encrypt Action セクションを追加したら、Action を右クリックし、『Edit properties』 を選択 して下さい。

    pix-checkpt-18.gif

  16. IKE が選択され、強調表示された状態で、Edit をクリックします。

    pix-checkpt-19.gif

  17. IKE Properties ウィンドウで、crypto ipsec transform-set rtptac esp-3des esp-md5-hmac コマンドの PIX IPSec トランスフォームと一致するために特性を変更して下さい。

    Transform オプションを Encryption + Data Integrity (ESP)に設定 し、トリプル DES に暗号化アルゴリズムを設定 し、MD5 にデータ統合を設定 し、外部 PIXゲートウェイを設定 して下さい(PIX とここに呼ばれる)一致するために許可されたピアゲートウェイを。 [OK] をクリックします。

    /image/gif/paws/23785/pix-checkpt-20.gif

  18. Checkpoint TM NG を設定した後、ポリシーを保存し、それを有効に するために Policy > Install の順に選択 して下さい。

    pix-checkpt-21.gif

    ポリシーがコンパイルされるときには、インストレーション ウィンドウに進捗状態が表示されます。

    /image/gif/paws/23785/pix-checkpt-22.gif

    ポリシー インストールは完了したことをインストール ウィンドウが示す時。 完了の近くでプロシージャをクリックして下さい。

    /image/gif/paws/23785/pix-checkpt-23.gif

確認

PIX 設定の検証

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

2 つのプライベート ネットワーク間の通信をテストするためにプライベート ネットワークの 1 つから他のプライベート ネットワークに PING を始めて下さい。 この設定では、PING は PIX 側から送信 されました(192.168.10.2) Checkpoint TM NG 内部ネットワークに(10.32.50.51)。

  • show crypto isakmp sa:現在ピアにあるすべての IKE SA を表示します。

    show crypto isakmp sa
    Total    : 1
    Embryonic : 0
                 dst                      src                     state     pending   created
      172.18.124.157   172.18.124.158   QM_IDLE         0          1
  • show crypto ipsec sa:現在の SA で使用されている設定を表示します。

    PIX501A#show cry ipsec sa
    
    interface: outside
        Crypto map tag: rtprules, local addr. 172.18.124.158
    
       local  ident (addr/mask/prot/port): (192.168.10.0/255.255.255.0/0/0)
       remote ident (addr/mask/prot/port): (10.32.0.0/255.255.128.0/0/0)
       current_peer: 172.18.124.157
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
        #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
        #send errors 1, #recv errors 0
    
         local crypto endpt.: 172.18.124.158, remote crypto endpt.: 172.18.124.157
         path mtu 1500, ipsec overhead 56, media mtu 1500
         current outbound spi: 6b15a355
    
         inbound esp sas:
          spi: 0xced238c7(3469883591)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 3, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
         inbound ah sas:
         inbound pcp sas:
    
         outbound esp sas:
          spi: 0x6b15a355(1796580181)
            transform: esp-3des esp-md5-hmac ,
            in use settings ={Tunnel, }
            slot: 0, conn id: 4, crypto map: rtprules
            sa timing: remaining key lifetime (k/sec): (4607998/27019)
            IV size: 8 bytes
            replay detection support: Y
    
    
         outbound ah sas:
    
         outbound pcp sas:

チェックポイントNG のトンネルステータスを表示して下さい

ポリシーエディタに行き、トンネルステータスを表示するために Window > System Status の順に選択 して下さい。

pix-checkpt-24.gif

トラブルシューティング

PIX 設定をトラブルシューティングして下さい

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

PIXファイアウォールのデバッグを有効に するこれらのコマンドを使用して下さい。

  • debug crypto engine:暗号化と復号化を行う暗号化エンジンに関するデバッグ メッセージを表示します。

  • debug crypto isakmp:IKE イベントに関するメッセージを表示します。

VPN Peer: ISAKMP: Added new peer: ip:172.18.124.157 Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:172.18.124.157 Ref cnt incremented to:1 Total VPN Peers:1
ISAKMP (0): beginning Main Mode exchange
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0
ISAKMP (0): Checking ISAKMP transform 1 against priority 1 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash MD5
ISAKMP: default group 2
ISAKMP: auth pre-share
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0
ISAKMP (0): processing NONCE payload. message ID = 0
ISAKMP (0): ID payload
next-payload : 8
type : 1
protocol : 17
port : 500
length : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): SA has been authenticated
ISAKMP (0): beginning Quick Mode exchange, M-ID of 322868148:133e93b4 IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0xced238c7(3469883591) for SA
from 172.18.124.157 to 172.18.124.158 for prot 3
return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
ISAKMP (0): sending INITIAL_CONTACT notify
crypto_isakmp_process_block: src 172.18.124.157, dest 172.18.124.158
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 322868148
ISAKMP : Checking IPSec proposal 1
ISAKMP: transform 1, ESP_3DES
ISAKMP: attributes in transform:
ISAKMP: encaps is 1
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (basic) of 28800
ISAKMP: SA life type in kilobytes
ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
ISAKMP: authenticator is HMAC-MD5
ISAKMP (0): atts are acceptable. IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 172.18.124.157, src= 172.18.124.158,
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
ISAKMP (0): processing NONCE payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing ID payload. message ID = 322868148
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): processing NOTIFY payload 24576 protocol 3
spi 3469883591, message ID = 322868148
ISAKMP (0): processing responder lifetime
ISAKMP (0): Creating IPSec SAs
inbound SA from 172.18.124.157 to 172.18.124.158 (proxy 10.32.0.0 to 192.168.10.0)
has spi 3469883591 and conn_id 3 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytes
outbound SA from 172.18.124.158 to 172.18.124.157 (proxy 192.168.10.0 to 10.32.0.0)
has spi 1796580181 and conn_id 4 and flags 4
lifetime of 28800 seconds
lifetime of 4608000 kilobytesIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
(key eng. msg.) dest= 172.18.124.158, src= 172.18.124.157,
dest_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
src_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0xced238c7(3469883591), conn_id= 3, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
(key eng. msg.) src= 172.18.124.158, dest= 172.18.124.157,
src_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.32.0.0/255.255.128.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac ,
lifedur= 28800s and 4608000kb,
spi= 0x6b15a355(1796580181), conn_id= 4, keysize= 0, flags= 0x4
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:172.18.124.157 Ref cnt incremented to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR

ネットワーク 集約

倍数隣接した内部ネットワークが Checkpoint の暗号化 ドメインで設定されるとき、デバイスは関連 トラフィックに関して自動的にそれらを要約するかもしれません。 PIX の暗号 Access Control List (ACL)が一致するために設定されない場合トンネルは失敗する可能性が高いです。 たとえば、10.0.0.0 /24 および 10.0.1.0 /24 の内部ネットワークがトンネルに含まれているために設定されれば 10.0.0.0 /23 に要約することができます。

チェックポイントNG ログを調べて下さい

ログを調べるために Window > Log Viewer の順に選択 して下さい。

/image/gif/paws/23785/pix-checkpt-25.gif

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 23785