Cisco PIX Firewall/VPN コンフィギュレーション ガイド
IPSec と認証局の設定
IPSec と認証局の設定
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

IPSec と認証局の設定

IPSec の動作

Internet Key Exchange (IKE)

IKE の概要

IKE の設定

IKE のディセーブル化

事前共有キー付きの IKE の使用

認証局の使用

CA の概要

公開キー暗号化

認証によるスケーラビリティ

サポート対象の CA サーバ

証明書を使用するための PIXFirewall の設定

証明書の認定者名の確認

IPSec の設定

IPSec の概要

トランスフォーム セット

暗号マップ

暗号マップのインターフェイスへの適用

アクセス リスト

IPSec SA のライフタイム

基本 IPSec コンフィギュレーション

Diffie-Hellman グループ 5

ダイナミック暗号マップの使用

サイトツーサイト冗長性

NAT Traversal の使用方法

SA の手動設定

IPSec コンフィギュレーションの表示

SA のクリア

IPSec と認証局の設定

この章では、PIX Firewall と併用する IP Security Protocol(IPSec)、Internet Key Exchange(IKE)、および認証局(CA)の各テクノロジーについて説明します。

次の事項について説明します。

「IPSec の動作」

「Internet Key Exchange (IKE)」

「認証局の使用」

「IPSec の設定」

「ダイナミック暗号マップの使用」

「SA の手動設定」

「IPSec コンフィギュレーションの表示」

「SA のクリア」

IPSec の動作

IPSec は、ネットワーク内のデータを権限のないビューや修正から保護するため、およびデータがパブリック インターネットなどの保護されていないネットワークを通して転送されたときのために、認証サービスおよび暗号化サービスを提供します。IPSec は一般に、2 種類の構成で実装されます。

サイトツーサイト:2 つのセキュリティ ゲートウェイ(PIX Firewall 装置など)の間で使用されます。サイトツーサイト VPN は、地理的に異なる場所にあるネットワークを相互接続します。この構成で IPSec を設定するための情報については、「サイトツーサイト VPN の設定例」を参照してください。

リモート アクセス:VPN クライアント(モバイル ユーザなど)がリモート アクセスを安全に行うために使用されます。リモート アクセス VPN によって、リモート ユーザは中央集中型ネットワーク リソースに安全にアクセスできます。この構成で IPSec を設定するための情報については、「VPN リモート アクセスの管理」を参照してください。

IPSec 規格には、2 つの異なるセキュリティ プロトコルが含まれています。

Encapsulating Security Payload (ESP):認証、暗号化、およびリプレイ攻撃防止サービスを提供します。

Authentication Header(AH):認証およびリプレイ攻撃防止サービスを提供します。

IPSec は、2 つの異なるモードで動作するように設定できます。

トンネル モード:通常の方法であって、IPSec はパブリックインターネットのような信頼できないネットワークを通して接続された 2 つの PIX Firewall 装置(またはその他のセキュリティ ゲートウェイ)の間に実装されます。

転送モード:この方式では、IPSec は多くの場合 L2TP と併せて実装され、ネイティブ Windows 2000 VPN クライアントの認証を可能にします。L2TP の設定については、「VPN リモート アクセスの管理」の「 PPTP を使用したリモート アクセスの方法」を参照してください。

IPSec の主なタスクは、アンセキュアな接続を介する秘密情報の交換を可能にすることです。IPSec は暗号化によって、情報を傍受や盗聴から保護します。しかし、暗号化を効率よく利用するには、情報の暗号化と解読に使用される秘密情報を両者が共有する必要があります。

IPSec は 2 つのフェーズで動作して、共有秘密情報を他者に知られないように交換できるようにします。

フェーズ 1 では、2 つの IPSec ピア間にセキュアなチャネルを確立するために必要なセキュリティ パラメータのネゴシエーションを処理します。一般にフェーズ 1 では、Internet Key Exchange (IKE)プロトコルが使用されます。リモート IPSec ピアが IKE を実行できない場合は、事前共有キーを使用して手作業で設定することによってフェーズ 1 を完了できます。

フェーズ 2 では、フェーズ 1 で確立されたセキュアなトンネルを使用して、ユーザ データを実際に伝送するのに必要なセキュリティ パラメータを交換します。

IPSec の両フェーズで使用されるセキュアなトンネルは、各 IPSec エンドポイントで使用されるセキュリティ結合(SA)に基づいています。SA は、両方のエンドポイントが使用に同意した認証や暗号化の方式などのセキュリティ パラメータを記述したものです。

Internet Key Exchange (IKE)

この項では、Internet Key Exchange (IKE)プロトコルの概要と、IPSec と連携して VPN のスケーラビリティを向上させる方法について説明します。ここでは、次の項目について説明します。

「IKE の概要」

「IKE の設定」

「IKE のディセーブル化」

「事前共有キー付きの IKE の使用」

IKE の概要

IKE は、IPSec がフェーズ 1 を完了するために使用するプロトコルです。 IKE は各 IPSec ピアとネゴシエートして SA を割り当て、IPSec ピアはフェーズ 2 で行われる IPSec SA のネゴシエーションのためにセキュア チャネルを提供します。 IKE には次の利点があります。

両方のピアですべての IPSec セキュリティ パラメータを手作業で指定する必要がなくなる

IKE SA のライフタイムを指定できる

IPSec セッション中に暗号キーが変更できるようにする

IPSec がリプレイ攻撃防止サービスを提供できるようになる

管理可能でスケーラブルな IPSec 実装に対する CA サポートを可能にする

ピアのダイナミック認証を可能にする

IKE ネゴシエーションは保護される必要があるため、IKE ネゴシエーションは常に各ピアが共通の IKE ポリシー(共有 IKE ポリシー)に同意することから始まります。このポリシーには、以降の IKE ネゴシエーションの保護に使用されるセキュリティ パラメータが記述されています。2 つのピアがポリシーに合意した後、ポリシーのセキュリティ パラメータが、各ピアで確立された SA によって識別され、ネゴシエーション中、これらの SA が以降の IKE トラフィックすべてに適用されます。

各 IKE ポリシーに定義するパラメータは 5 つです。 IKE SA が確立されたとき、これらのパラメータが IKE ネゴシエーションに適用されます。 表 6-1 に、5 つの IKE ポリシー キーワードとその許容値を示します。

 

表 6-1 IKE ポリシー キーワード

キーワード
意味
説明

des
3des

aes
aes-192
ase-256

56 ビット DES-CBC
168 ビット Triple DES

2 つの IPSec ピア間で伝送されるユーザ データの保護に使用する対称暗号化アルゴリズムを指定します。デフォルトは 56 ビット DES-CBC で、168 ビット Triple DES よりも保護の程度は低いですが高速です。

Advanced Encryption Standard(AES)は PIX Firewall
Version 6.3 で導入され、128、192、256 バイトの 3 種類の異なるキー長をサポートします。

sha

md5

SHA-1 (HMAC バリアント)

MD5 (HMAC バリアント)

データ整合性の確保のために使用するハッシュ アルゴリズムを指定します。デフォルト値は SHA-1 ですMD5 は SHA-1 よりもダイジェストが小さく、わずかに高速です。 MD5 に対する攻撃が成功した実例はあります(ただし、非常に困難)が、IKE で使用する HMAC バリアントはこの攻撃を防ぎます。

rsa-sig

pre-share

RSA シグニチャ

事前共有キー

各 IPSec ピアの ID の確立に使用される認証方式を指定します。デフォルトは RSA シグニチャで、IKE ネゴシエーション用の否認防止を提供します(第三者に対して、IKE ネゴシエーションを特定のピアと行ったという事実を証明できます)。事前共有キーは拡大するネットワークに対応して拡張が困難ですが、小規模ネットワークではセットアップが容易です。

2 つの認証方式の詳細については、次の項を参照してください。

事前共有キー付きの IKE の使用

認証局の使用

1


2


5

グループ 1 (768 ビット Diffie-Hellman)

グループ 2 (1024 ビット Diffie-Hellman)

グループ 5 (1536 ビット Diffie-Hellman)

Diffie-Hellman グループ ID を指定します。この ID は、2 つの IPSec ピアが、相互に共有秘密情報を転送するのではなく、共有秘密情報を取り出すために使用します。デフォルトはグループ 1 (768 ビット Diffie-Hellman)で、グループ 2 (1024 ビット Diffie-Hellman)よりも実行にかかる CPU 時間は短いが、保護の程度は低くなります。

Diffie-Hellman グループ 5 は PIX Firewall Version 6.3 でサポートされました。

整数値

120 ~ 86,400 秒

SA ライフタイムを指定します。デフォルトは 86,400 秒、つまり 24 時間です。原則として、ライフタイムが短いほど(ある程度まで)、IKE ネゴシエーションの安全性は高くなります。しかし、ライフタイムが長いほど、その後の IPSec セキュリティ結合をすばやくセットアップできるようになります。

各パラメータに対して特定の値を選択するときは、セキュリティとパフォーマンスの間に暗黙のトレードオフが発生します。デフォルト値で得られるセキュリティ レベルは、ほとんどの組織のセキュリティ要件に十分です。パラメータの 1 つの値だけをサポートしているピアと相互運用する場合は、相手のピアがサポートしている値に選択が制限されます。

複数の IKE ポリシーを作成して、それぞれに異なるパラメータ値の組み合せを指定できます。作成するポリシーそれぞれに、一意のプライオリティを割り当てます(1 ~ 65,534 で、1 が最高のプライオリティ)。ポリシーをまったく設定しないと、PIX Firewall はデフォルト ポリシーを使用します。このデフォルト ポリシーは常にプライオリティは最低に設定され、各パラメータはデフォルト値となっています。特定のパラメータに値を指定しないと、デフォルト値が割り当てられます。

IKE ネゴシエーションが始まると、ネゴシエーションを開始したピアはそのすべてのポリシーをリモート ピアに送信し、リモート ピアは一致するポリシーを探します。リモート ピアでは、ポリシーをプライオリティ順(プライオリティが最高のポリシーが最初)にチェックし、一致するポリシーが見つかるまで続行します。

2 つのピアのポリシーの両方に、同一の暗号化、ハッシュ、認証、および Diffie-Hellman パラメータ値が含まれ、さらにリモート ピアのポリシーで指定されているライフタイムが比較の対象のポリシーのライフタイム以下である場合、一致しているとされます。ライフタイムが等しくない場合、短い方のライフタイム、つまりリモート ピアのポリシーのライフタイムが使用されます。一致するポリシーが見つからなかった場合、IKE はネゴシエーションを拒否し、IKE SA は確立されません。

IKE の設定

IKE をイネーブルにし設定するには、次の手順を実行します。


) 所定のポリシー パラメータに値を指定しない場合、デフォルト値が割り当てられます。



ステップ 1 作成するポリシーを識別します。各ポリシーは、ここで割り当てるプライオリティ番号で一意に識別されます。

isakmp policy priority
 

次に例を示します。

isakmp policy 20
 

ステップ 2 暗号化アルゴリズムを指定します。

isakmp policy priority encryption aes | aes-192 | aes-256 | des | 3des
 

次に例を示します。

isakmp policy 20 encryption des
 

ステップ 3 ハッシュ アルゴリズムを指定します。

isakmp policy priority hash md5 | sha
 

次に例を示します。

isakmp policy 20 hash md5
 

ステップ 4 認証方式を指定します。

isakmp policy priority authentication pre-share | rsa-sig
 

次に例を示します。

isakmp policy 20 authentication rsa-sig
 

2 つの認証方式の詳細については、次の項を参照してください。

事前共有キー付きの IKE の使用

認証局の使用

ステップ 5 Diffie-Hellman グループ識別番号を指定します。

isakmp policy priority group 1 | 2 | 5
 

) Diffie-Hellman グループ 5 は PIX Firewall Version 6.3 でサポートされました。


次に例を示します。

isakmp policy 20 group 2
 
 

ステップ 6 セキュリティ結合のライフタイムを指定します。

isakmp policy priority lifetime seconds
 

次に例を示します。

isakmp policy 20 lifetime 5000
 

次の 2 つの例では、最高プライオリティのポリシー policy 20、次のプライオリティのポリシー policy 30、および最低プライオリティの既存のデフォルト ポリシーを示します。

isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 authentication rsa-sig
isakmp policy 20 group 2
isakmp policy 20 lifetime 5000
 
isakmp policy 30 authentication pre-share
isakmp policy 30 lifetime 10000
 

この例では、policy 20 の暗号化 des は記述されたコンフィギュレーションには表示されません。暗号化アルゴリズム パラメータのデフォルトであるためです。

ステップ 7 既存の IKE ポリシーをすべて表示します(オプション)。

show isakmp policy
 

次は、前の例の policy 20 および policy 30 が設定された後の出力例です。

Protection suite priority 20
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #2 (1024 bit)
lifetime: 5000 seconds, no volume limit
Protection suite priority 30
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 10000 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

) 出力ではライフタイムについて「no volume limit」となっていますが、現在 IKE で設定できるのは時間ライフタイムだけです(86,400 秒など)。現時点では、ボリュームを制限するライフタイムは設定できません。



 

IKE のディセーブル化

IKE をディセーブルにするには、ピアで次のことを認める必要があります。

すべての IPSec セキュリティ結合を、すべてのピアの暗号マップに手作業で指定する。

IPSec セキュリティ結合は、所定の IPSec セッションの間タイムアウトしない。

ピア間の IPSec セッション中、暗号キーを変更できない。

ピア間でリプレイ攻撃防止サービスを利用できない。

CA サポートを使用できない。

IKE をディセーブルにするには、次のコマンドを使用します。

no crypto isakmp enable interface-name
 

次に例を示します。

no crypto isakmp enable outside

事前共有キー付きの IKE の使用

事前共有キーの IKE 認証方式を使用する場合は、PIX Firewall とそのピアでこれらのキーを手作業で設定します。複数のピアで同一のキーを共有できますが、ピアの異なるペアは異なるキーを共有するように指定する方が安全性が高くなります。PIX Firewall で事前共有キーを設定するには、次の手順を実行します。


ステップ 1 PIX Firewall ホスト名を設定します。

hostname newname
 

次に例を示します。

hostname mypixfirewall
 

この例で、「mypixfirewall」はドメイン内の一意のホスト名です。

2 つのピアが IKE を使用して IPSec セキュリティ結合を確立する場合、各ピアはその ID を相手のピアに送信します。各ピアの ID には、そのホスト名または IP アドレスが使用されます。デフォルトでは、PIX Firewall の ID にはその IP アドレスが設定されます。必要に応じて、ID にホスト名を使用するように変更できます。原則として、すべてのピアの ID は同じ方法で設定します。つまり、すべてのピアがその IP アドレスを使用するか、すべてのピアがそのホスト名を使用するようにします。自分自身を相互に識別するために一部のピアがホスト名を、また一部のピアが IP アドレスを使用した場合、ピアの ID が認識されずに DNS ルックアップが ID を解決できないと、IKE ネゴシエーションは失敗します。

ステップ 2 PIX Firewall ドメイン名を設定します。

domain-name name
 

次に例を示します。

domain-name example.com
 

ステップ 3 PIX Firewall で事前共有キーを指定します。

isakmp key keystring address peer-address [netmask mask]
 

keystring には、PIX Firewall とそのピアが認証に使用するパスワード文字列を指定します。 peer-address には、リモート ピアの IP アドレスを指定します。

次に例を示します。

isakmp key 1234567890 address 192.168.1.100
 

事前共有キーは 1234567890、ピアのアドレスは 192.168.1.100 です。


) ネットマスクを使用すると、1 つのキーを複数のピアで共有するように設定できます。ネットマスク 0.0.0.0 を使用できますが、各ピア用に一意のキーを使用することを強く推奨します。


ステップ 4 リモート IPSec ピアで事前共有キーを指定します。

リモート ピアが PIX Firewall の場合、ステップ 3 と同じコマンドを使用します。


) 事前共有キーは、PIX Firewall とそのピアの両方で設定する必要があります。設定しないと、ポリシーは使用できません。所定のセキュリティ ゲートウェイに関連付けられる事前共有キーは、リモート VPN クライアントの識別と認証に使用されるワイルドカードの事前共有キー(事前共有キーおよびネットマスクの 0.0.0.0)と区別できるように、設定します。



 

認証局の使用

この項では、認証局(CA)に関する背景情報と、CA で動作するように PIX Firewall を設定する方法について説明します。次の項目について説明します。

「CA の概要」

「公開キー暗号化」

「認証によるスケーラビリティ」

「サポート対象の CA サーバ」

「証明書を使用するための PIX Firewall の設定」

CA の概要

CAは、証明書要求の管理とデジタル証明書の発行を行います。デジタル証明書には、名前、シリアル番号、会社、部門、IP アドレスなど、ユーザまたはデバイスを識別する情報が含まれます。デジタル証明書には、エンティティの公開キーのコピーも含まれます。CA は、信頼できる第三者(VeriSign など)の場合もあれば、組織内に設置したプライベート CA (インハウス CA)の場合もあります。

公開キー暗号化

デジタル シグニチャは、公開キー暗号化によってイネーブルになり、デバイスおよび個々のユーザをデジタルに認証する手段です。RSA 暗号化システムをはじめとする公開キー暗号化では、各ユーザが公開キーと秘密キーの両方を含むキー ペアを持ちます。両キーは補完的に動作し、片方のキーで暗号化されたものはすべて他方のキーで解読できます。簡単に言えば、データがユーザの秘密キーで暗号化されたとき、シグニチャが形成されます。受信側は、送信側の公開キーでメッセージを解読することによって、シグニチャを検証します。

送信側の公開キーを使用してメッセージを解読できるということは、秘密キーの所有者がメッセージを作成したことを意味します。このプロセスは、受信者が送信者の公開キーのコピーを持っていること、およびそのコピーが送信者になりすましている第三者のものではなく送信者のものであることを受信者が知っていることが確かであることに依存しています。

CA のシグニチャを検証するには、受信側が CA の公開キーを知っている必要があります。これは通常、アウトオブバンドで、またはインストール時に行われる操作を通じて処理されます。たとえば、ほとんどの Web ブラウザでは、いくつかの CA の元証明書がデフォルトで設定されています。IKE は、IPSec の主要コンポーネントであり、デジタル シグニチャを使用してピア デバイスを認証した後で、セキュリティ結合をセットアップできます。

認証によるスケーラビリティ

デジタル証明書がなければ、通信相手のピアすべてに対して IPSec ピアを、それぞれ手作業で設定する必要があります。証明書がなければ、ネットワークに新しくピアを追加するたびに、そのピアと安全に通信するためにはほかのすべてのピアでコンフィギュレーションの変更が必要となります。しかし各ピアは、デジタル証明書を使用していれば、CA に登録されます。2 つのピアは、通信を望むときに、証明書とデジタルに署名されたデータを交換して、相互の認証を行います。

新しいピアがネットワークに追加された場合、単にそのピアを CA に登録するだけで、ほかのピアを修正する必要はありません。新しいピアが IPSec 接続を試みると、証明書が自動的に交換され、そのピアの認証ができます。

CA を使用した場合、ピアはリモート ピアに証明書を送り、公開キー暗号化を実行することによって、そのリモート ピアに対して自分自身を認証します。各ピアは、CA によって発行および検証された、自分の固有の証明書を送ります。このプロセスが機能を果たすのは、各ピアの証明書がそのピアの公開キーをカプセル化し、各証明書が CA によって認証され、参加しているピアすべてが CA を認証権限者として認識しているためです。このプロセスは、RSA シグニチャ付きの IKE と呼ばれます。

ピアは、証明書が期限満了になるまで、自分の証明書を複数の IPSec セッションに対して、および複数の IPSec ピア宛てに送り続けることができます。証明書が期限満了になったときは、ピアの管理者は新しい証明書を CA から入手する必要があります。

CA は、IPSec にすでに参加しなくなったピアの証明書を無効にすることもできます。無効にされた証明書は、ほかのピアからは有効な証明書とは認識されなくなります。無効にされた証明書は証明書失効リスト(CRL)に記載され、各ピアはこのリストをチェックしてから、他のピアの証明書を受け入れます。

CA の中には、実装の一部として registration authority (RA; 登録局)を持つものもあります。RA は本質的に、CA のプロキシの役割を果たすサーバであるため、CA がオフラインのときも CA 機能は継続しています。

サポート対象の CA サーバ

現在、PIX Firewall は次の CA サーバをサポートしています。

VeriSign サポートは VeriSign Private Certificate Service (PCS)および OnSite サービスを通して提供され、デジタル証明書を発行するためのインハウス CA システムを確立できます。

Entrust、Entrust VPN Connector バージョン 4.1 (build 4.1.0.337)以降。Entrust CA サーバは、インハウス CA サーバ ソリューションです。

Baltimore Technologies、UniCERT Certificate Management System バージョン 3.1.2 以降。Baltimore CA サーバは、インハウス CA サーバ ソリューションです。

Microsoft Windows 2000、特に Windows 2000 Advanced Server Version 5.00.2195 以降。Windows 2000 CA サーバは、インハウス CA サーバ ソリューションです。

証明書を使用するための PIX Firewall の設定

サイトツーサイト VPN については、この項の手順を各 PIX Firewall に対して実行する必要があります。リモート アクセス VPN の場合は、これらの手順を各 PIX Firewall および各リモート アクセス VPN クライアントに対して実行します。


) ネットワークで利用可能な CA を入手してから、CA を設定する必要があります。CA は、Cisco の
PKI プロトコル、簡易 Certificate Enrollment Protocol (CEP)をサポートしている必要があります。


証明書は無効にされると、証明書失効リスト(CRL)に追加されます。証明書を使用する認証を実装する場合、CRL を使用するかどうかを選択できます。CRL を使用すると、証明書が期限満了になる前に簡単に無効にできますが、一般に CRL は、CA またはその権限を与えられたRAだけが保守します。CRL を使用する場合、認証要求時に CA または RA へのコネクションが使用できないと、認証要求は失敗します。


) CA を設定する前に、PIX Firewall のクロックが GMT、月、日、年に設定されていることを確認してください。この設定がないと、CA が正確でないタイムスタンプに基づいて証明書を拒否したり許可したりすることになります。シスコの PKI プロトコルでは、クロックを使用して、CRL が期限満了にならないようにしています。証明書と CRL のライフタイムは、GMT 時刻でチェックされます。証明書付きの IPSec を使用している場合、PIX Firewall のクロックを GMT に設定し、CRL チェックが正しく動作することを確認します。


PIX Firewall が CA と連携して PIX Firewall 証明書を取得できるようにするには、次の手順を実行します。


ステップ 1 PIX Firewall ホスト名を設定します。

hostname newname
 

次に例を示します。

hostname mypixfirewall
 

この例で、「mypixfirewall」はドメイン内の一意のホスト名です。

ステップ 2 PIX Firewall ドメイン名を設定します。

domain-name name

次に例を示します。

domain-name example.com
 

ステップ 3 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key key_modulus_size
 

次に例を示します。

ca generate rsa key 512
 

この例では、汎用 RSA キー ペアが 1 組生成されます。別のオプションでは、2 つの特殊用途キーが生成されます。選択したキー モジュラスのサイズは、512 です。

ステップ 4 RSA キー ペアを表示します(オプション) 。

show ca mypubkey rsa
 

次に、 show ca mypubkey rsa コマンドの出力例を示します。

show ca mypubkey rsa
 
% Key pair was generated at: 15:34:55 Aug 05 1999
 
Key name: mypixfirewall.example.com
Usage: General Purpose Key
Key Data:
305c300d 06092a86 4886f70d 01010105 00034b00 30480241 00c31f4a ad32f60d
6e7ed9a2 32883ca9 319a4b30 e7470888 87732e83 c909fb17 fb5cae70 3de738cf
6e2fd12c 5b3ffa98 8c5adc59 1ec84d78 90bdb53f 2218cfe7 3f020301 0001

ステップ 5 CA を宣言します。

ca identity ca_nickname ca_ipaddress [:ca_script_location] [ldap_ip address]
 

次に例を示します。

ca identity myca.example.com 209.165.202.130
 

この例では、209.165.202.130 が CA の IP アドレスです。CA 名は、myca.example.com です。


) CA を使用するとき、ドメイン名など、特定の名前が必要になる場合があります。VeriSign を CA として使用する場合、VeriSign は、使用する CA 名を CA コンフィギュレーションに割り当てます。


ステップ 6 PIX Firewall と CA 間の通信パラメータを設定します。

ca configure ca_nickname ca | ra retry_period retry_count [crloptional]
 

次に例を示します。

ca configure myca.example.com ca 1 20 crloptional
 

PIX Firewall が証明書要求を送信してから 1 分(デフォルト)以内に CA からの証明書を受け取らなかった場合は、証明書要求を再送信します。証明書を受け取るまで、または送信した要求が 20 回に達するまで、PIX Firewall は 1 分ごとに証明書要求を送り続けます。コマンド文にキーワード crloptional を入れると、PIX Firewall が CRL をアクセスできない場合であっても、PIX Firewall はほかのピアの証明書を受け入れることができます。

ステップ 7 CA の公開キーと証明書を取得して、CA を認証します。

ca authenticate ca_nickname [fingerprint]
 

次に例を示します。

ca authenticate myca.example.com 0123 4567 89AB CDEF 0123
 

フィンガープリント(この例では 0123 4567 89AB CDEF 0123)はオプションで、CA の証明書内の公開キーを認証するために使用します。コマンド文に入れたフィンガープリントが、CA の証明書のフィンガープリントと同一でない場合、PIX Firewall はその CA 証明書を廃棄します。

コマンド文にフィンガープリントを入力するのではなく、CA の証明書を受け取った後で、単に 2 つのフィンガープリントを比較することによって、手作業で公開キーを認証することもできます。


) 使用する CA によっては、このフィンガープリントをローカル CA 管理者に依頼して入手しなければならない場合があります。


ステップ 8 PIX Firewall の RSA キー ペアのすべてに対して、CA による署名付き証明書を要求します。証明書を交付する前に PIX Firewall を手作業で認証する必要があるため、このコマンドを入力する前に CA 管理者に連絡してください。

ca enroll ca_nickname challenge_password [serial] [ipaddress]
 

次に例を示します。

ca enroll myca.example.com mypassword1234567 serial ipaddress
 

キーワード mypassword1234567 はパスワードで、コンフィギュレーションには保存されません。オプション「serial」および「ipaddress」が含まれていますが、これらは PIX Firewall 装置のシリアル番号と IP アドレスが署名付き証明書に含まれることを示します。


) 証明書を無効にする場合はパスワードが必要になるので、このパスワードを覚えておくことが不可欠です。パスワードは書き留めて安全な場所に保管してください。


ca enroll コマンドは、RSA キー ペアの数だけ証明書を要求します。特殊用途の RSA キー ペアを持っている場合でも、このコマンドは 1 回実行する必要があるだけです。


ca enroll コマンドを発行後、証明書を受け取らないうちに PIX Firewall が再度ブートされた場合は、このコマンドを再発行して、CA 管理者に知らせてください。


ステップ 9 show ca certificate コマンドを使用して、登録プロセスが成功したことを確認します。

show ca certificate
 

次に、PIX Firewall 汎用証明書と RA および CA 公開キー証明書を含む show ca certificate コマンドの出力例を示します。

Subject Name
Name: mypixfirewall.example.com
IP Address: 192.150.50.110
Status: Available
Certificate Serial Number: 36f97573
Key Usage: General Purpose
 
RA Signature Certificate
Status: Available
Certificate Serial Number: 36f972f4
Key Usage: Signature
 
CA Certificate
Status: Available
Certificate Serial Number: 36f972e5
Key Usage: Not Set
 
RA KeyEncipher Certificate
Status: Available
Certificate Serial Number: 36f972f3
Key Usage: Encryption
 

ステップ 10 コンフィギュレーションを保存します。

ca save all
write memory
 


 

証明書の認定者名の確認

PIX Firewall Version 6.3 では、VPN トンネルの確立に使用する証明書の認定者名(DN)を指定できます。 可能性のある「man-in-the-middle」攻撃を阻止するため、この機能はイネーブルにしておくことを推奨します。

PIX Firewall で受信した証明書の DN を確認するには、次のコマンドを入力します。

ca verifycertdn x500 string
 

) 受信した証明書を確認して VPN トンネルを確立するため、どのアトリビュートも完全に一致する必要があります。


たとえば、PIX Firewall には次の証明書があります。

Certificate
Status: Available
Certificate Serial Number: 4ebdbd400000000000a2
Key Usage: General Purpose
Subject Name:
CN = myvpn01.myorg.com
OU = myou
O = myorg
ST = CA
C = US
UNSTRUCTURED NAME = myvpn01.myorg.com
Validity Date:
start date: 23:48:00 UTC Feb 18 2003
end date: 23:58:00 UTC Feb 18 2004
--------------------------------------------------------------------------------

このサーバを使用して VPN トンネルを確立するには、この証明書を受信する PIX Firewall で次のコマンドを入力します。

ca verifycertdn cn*myvpn, ou=myou, o=myorg, st=ca, c=US
 

このコマンドによって、受信側の PIX Firewall では次のアトリビュートを保有する任意の DN を指定した証明書を受け取ります。

文字列 myvpn が含まれる通常名(CN)

myou と同一の組織ユニット(OU)

myorg と同一の組織(O)

CA と同一の州(ST)

US と同一の国(C)

特定の通常名を指定して範囲をさらに限定したり、CN アトリビュートを完全に省略して範囲をさらに広げたりすることもできます。

アスタリスク(*)を使用すると、アスタリスクに続く文字列を含むアトリビュートと一致させることができます。 感嘆符(!)を使用すると、感嘆符に続く文字を含まないアトリビュートと一致させることができます。

IPSec の設定

この項では、IPSec に関する背景情報と、IPSec を使用して VPN を実装するときに PIX Firewall を設定する手順について説明します。次の項目について説明します。

「IPSec の概要」

「トランスフォーム セット」

「暗号マップ」

「暗号マップのインターフェイスへの適用」

「アクセス リスト」

「IPSec SA のライフタイム」

「基本 IPSec コンフィギュレーション」

「Diffie-Hellman グループ 5」

「ダイナミック暗号マップの使用」

「サイトツーサイト冗長性」

IPSec の概要

IPSec トンネルは、2 つの IPSec リモート ピアの間に確立されたセキュリティ結合のセットです。セキュリティ結合は、機密パケットに適用するプロトコルとアルゴリズムを定義し、2 つのピアが使用するキーイング マテリアルも指定します。ユーザ トラフィックの実際の伝送では、IPSec SA が使用されます。SA は単方向で、異なるセキュリティ プロトコル(AH か ESP、またはその両方)に対しては別々に確立されます。IPSec SA は次の 2 つの方法で確立できます。

事前共有キー付きの手動 SA:手動 IPSec SA を使用する場合は、PIX Firewall 管理者と IPSec ピア管理者の間で事前の合意が必要です。SA のネゴシエーションがないので、IPSec が正しくトラフィックを処理するためには、両システムの設定情報が同一である必要があります。

IKE が確立した SA:IKE を使用して IPSec SA を確立する場合、ピアは新しいセキュリティ結合に使用する設定をネゴシエートできます。これは、暗号マップ エントリ内のリスト(受け入れ可能なトランスフォームのリストなど)を指定できることを意味します。

PIX Firewall は、手動セキュリティ結合と IKE が確立したセキュリティ結合の両方を同時にサポートできます。

トランスフォーム セット

トランスフォーム セットは、セキュリティ プロトコルとアルゴリズムの特定の組み合せを表します。IPSec セキュリティ結合ネゴシエーションの間、ピアは特定のデータ フローを保護するために特定のトランスフォーム セットを使用することに合意します。

複数のトランスフォーム セットを指定し、次にこれらのトランスフォーム セットのうち 1 つまたは複数を暗号マップ エントリに指定できます。暗号マップ エントリに定義されたトランスフォーム セットは、その暗号マップ エントリのアクセス リストで指定されたデータ フローを保護するために IPSec セキュリティ結合ネゴシエーションで使用されます。

IKE との IPSec セキュリティ結合ネゴシエーションの間、ピアは、両方のピアで同一のトランスフォーム セットを検索します。同一のトランスフォーム セットが見つかれば、それが選択され、両ピアの IPSec セキュリティ結合の一部として保護対象のトラフィックに適用されます。手作業で確立されるセキュリティ結合の場合は、ピアとのネゴシエーションがないため、両側で同じトランスフォーム セットを指定する必要があります。

トランスフォーム セット定義を変更した場合、既存のセキュリティ結合には適用されませんが、それ以降のネゴシエーションで使用されて新しいセキュリティ結合が確立されます。新しい設定をすぐに有効にする場合は、 clear [ crypto ] ipsec sa コマンドを使用して、セキュリティ結合データベースの全部または一部をクリアします。詳細については「SA のクリア」を参照してください。

暗号マップ

暗号マップは、IPSec ポリシーを指定します。IPSec 用に作成された暗号マップ エントリは、IPSec セキュリティ結合のセットアップに使用される、次のような要素をまとめたものです。

IPSec で保護するトラフィック(暗号アクセス リストあたり)

IPSec で保護されたトラフィックの送信先(ピアは誰か)

IPSec トラフィックに使用するローカル アドレス(詳細は「暗号マップのインターフェイスへの適用」を参照)

このトラフィックに適用する IPSec セキュリティ(少なくとも 1 つのトランスフォーム セットから成るリストから選択)

セキュリティ結合が手作業で確立されるか、IKE を介して確立されるか

IPSec SA の定義に必要となる可能性があるその他のパラメータ

暗号マップ名が同じ暗号マップ エントリ(マップ シーケンス番号は異なる)は、暗号マップ セットにグループ化されます。その後、これらの暗号マップ セットをインターフェイスに適用すると、そのインターフェイスを通過する IP トラフィックはすべて、適用された暗号マップ セットと対照して評価されます。暗号マップ エントリが、保護する必要がある送信 IP トラフィックを発見し、その暗号マップで IKE の使用が指定されている場合、暗号マップ エントリに含まれるパラメータに従ってピアとの間でセキュリティ結合がネゴシエートされます。そうでなくて、暗号マップ エントリで手動セキュリティ結合の使用が指定されている場合は、コンフィギュレーションによってセキュリティ結合がすでに確立されている必要があります (ダイナミック暗号マップ エントリが保護する必要のある送信トラフィックを発見し、セキュリティ結合がまったく存在しない場合、パケットは廃棄されます)。

暗号マップ エントリに記述されたポリシーは、セキュリティ結合のネゴシエーション時に使用されます。ローカル PIX Firewall は、ネゴシエーションを開始する場合は、スタティック暗号マップ エントリで指定されたポリシーを使用して、指定のピアに送信するオファーを作成します。ピアがネゴシエーションを開始すると、PIX Firewall は、スタティック暗号マップ エントリだけでなく参照されるすべてのダイナミック暗号マップ エントリのポリシーもチェックして、そのピアの要求(オファー)を受け入れるか拒否するかを判断します。

2 つのピア間で IPSec が成功するためには、両方のピアの暗号マップ エントリに、互換性のある構成文が含まれている必要があります。

2 つのピアは、セキュリティ結合の確立を試みるとき、それぞれのピアが相手のピアの暗号マップ エントリの 1 つと互換性を持つ暗号マップ エントリを少なくとも 1 つ持っている必要があります。2 つの暗号マップ エントリが互換性を持つためには、両者が次の基準を少なくとも 1 つ満たす必要があります。

暗号マップ エントリに、互換性を持つ暗号アクセス リスト(たとえば、ミラー イメージ アクセス リスト)が含まれている。応答するピアがダイナミック暗号マップを使用している場合、PIX Firewall 暗号アクセス リストのエントリがピアの暗号アクセス リストによって「許可」されている必要があります。

各暗号マップ エントリがほかのピアを識別する(応答するピアがダイナミック暗号マップを使用していない場合)。

暗号マップ エントリに、共通のトランスフォーム セットが少なくとも 1 つある。

1 つのインターフェイスに適用できる暗号マップ セットは 1 つだけです。暗号マップ セットは、IPSec/IKE エントリと IPSec/手動エントリの組み合せを含むことができます。

所定のインターフェイスに対して複数の暗号マップ エントリを作成する場合は、各マップ エントリのシーケンス番号を使用して、マップ エントリにランクを付けます。シーケンス番号が小さいほど、プライオリティが高くなります。暗号マップ セットを持つインターフェイスでは、トラフィックは、最初にプライオリティが最も高いマップ エントリと対照して評価されます。

次の条件のいずれかが当てはまる場合、所定の PIX Firewall インターフェイスに対して複数の暗号マップ エントリを作成します。

異なるデータ フローが、別々のピアで処理される場合。

異なるタイプのトラフィック(同一または別々のピアへの)に異なる IPSec セキュリティを適用する場合。たとえば、あるサブネット セット間のトラフィックは認証し、別のサブネット セットのトラフィックは認証および暗号化する場合。この場合、異なるタイプのトラフィックは、2 つの別々のアクセス リストで定義されている必要があり、各暗号アクセス リストに対して別々の暗号マップ エントリを作成します。

特定の IPSec セキュリティ結合のセットを確立するように手動 SA を設定中であり、複数のアクセス リスト エントリを指定し、個別のアクセス リスト(許可エントリあたり 1 つ)を作成し、各アクセス リストに別々の暗号マップ エントリを指定する場合。

暗号マップのインターフェイスへの適用

暗号マップは、IPSec トラフィックが通過する各インターフェイスに適用します。PIX Firewall は、そのすべてのインターフェイス上の IPSec をサポートします。暗号マップ セットをインターフェイスに適用すると、PIX Firewall は、トラフィックを暗号 IPSec で保護するために、そのインターフェイスのトラフィックすべてを暗号マップ セットと対照して評価し、指定されているポリシーを接続中またはセキュリティ結合ネゴシエーション中に使用します。


) 暗号マップをインターフェイスにバインドすると、セキュリティ結合データベースやセキュリティ ポリシー データベースなどのランタイム データ構造も初期設定されます。暗号マップが何らかの方法で修正された場合、インターフェイスに暗号マップを再適用すると、さまざまなランタイム データ構造が暗号マップ コンフィギュレーションと再同期化されます。さらに、既存の接続はすべて解消され、新しく暗号マップがトリガーされた後に再確立されます。


アクセス リスト

デフォルトでは、IPSec および PIX Firewall を通過するパケットすべてが、受信コンジット、送信リスト、またはインターフェイス アクセス リストで指定されたとおりに阻止するかどうかチェックされます。IPSec パケットが PIX Firewall を通過できるようにするには、必ずそのパケットを許可する文をコンジット、送信リスト、またはインターフェイス アクセス リストに入れます。オプションで sysopt connection permit-ipsec コマンドを設定して、IPSec パケットがコンジット、送信リスト、およびインターフェイス アクセス リストの阻止をバイパスするようにできます。


sysopt connection permit-ipsec コマンドは、IPSec によって処理されたパケットがコンジット、送信リスト、およびインターフェイス アクセス リストのチェックをバイパスできるようにします。


IPSec トンネル向けの IPSec パケットは、発信インターフェイスにバインドされている暗号マップ アクセス リストによって選択されます。IPSec トンネルから着信した IPSec パケットは、IPSec によって認証および解読され、トンネルのプロキシ ID 照合の対象となります。

暗号アクセス リストは、暗号によって保護する IP トラフィックと保護しないトラフィックを定義するために使用します。 たとえば、アクセス リストを作成して、サブネット A とサブネット Y の間、またはホスト A とホスト B の間の IP トラフィックをすべて保護できます (これらのアクセス リストは、 access-group コマンドで使用されるアクセス リストに似ています。 access-group コマンドでは、アクセス リストがインターフェイスで転送するトラフィックと阻止するトラフィックを決めます)。

アクセス リストそのものは、IPSec に固有のものではありません。IPSec の処理を、アクセス リストに指定された許可と一致するトラフィックに適用するかどうかを定義するのは、特定のアクセス リストを参照する暗号マップ エントリです。

IPSec 暗号マップ エントリに関連付けられている暗号アクセス リストには、4 つの主要機能があります。

IPSec で保護する(許可 = 保護)発信トラフィックを選択します。

IPSec セキュリティ結合のネゴシエーションを開始するときに、新しいセキュリティ結合で保護するデータ フローを指示します(単一許可エントリで指定)。

着信トラフィックを処理して、IPSec で保護すべきであったトラフィックをフィルタリングして廃棄します。

ピアからの IKE ネゴシエーションを処理するときに、要求されたデータ フローに代わって、IPSec セキュリティ結合の要求を受け入れるかどうかを決定します(ネゴシエーションは ipsec-isakmp crypto map エントリについてだけ行われます)。ネゴシエーション時にピアの要求が受け入れられるためには、そのピアが、 ipsec-isakmp crypto map コマンド エントリに関連付けられている暗号アクセス リストによって「許可」されているデータ フローを指定する必要があります。

特定のトラフィックがある組み合せの IPSec 保護(たとえば、認証だけ)を受け、ほかのトラフィックは別の組み合せの IPSec 保護(たとえば、認証と暗号化の両方)を受けるようにする場合は、2 種類の暗号アクセス リストを作成して、2 種類のトラフィックを定義する必要があります。この定義を行うと、異なる IPSec ポリシーを指定した異なる暗号マップ エントリに、異なるアクセス リストが使用されます。

permit キーワードを使用すると、特定の条件に一致する IP トラフィックすべてが、対応する暗号マップ エントリで指定されたポリシーに基づいて、暗号で保護されます。 deny キーワードを使用すると、その特別な暗号マップ エントリの枠内では、トラフィックは暗号 IPSec によって保護されなくなります(つまり、この暗号マップ エントリで指定されているようなポリシーは、このトラフィックに適用されなくなります)。このトラフィックが、そのインターフェイスの暗号マップ エントリすべてで拒否された場合、このトラフィックは暗号 IPSec で保護されません。

定義した暗号アクセス リストは、対応する暗号マップ エントリを定義し、暗号マップ セットをインターフェイスに適用した後、インターフェイスに適用されます。同じ暗号マップ セットの異なるエントリに、異なるアクセス リストを使用する必要があります。しかし、着信トラフィックと発信トラフィックはどちらも、同じ「発信」 IPSec アクセス リストと対照して評価されます。

したがって、アクセス リストの基準は、PIX Firewall から出て行くトラフィックに対しては順方向に、および PIX Firewall に入ってくるトラフィックに対しては逆方向に適用されます。図 6-1では、データが PIX Firewall A の外部インターフェイスを出てホスト 10.2.2.2 に向かうときに、ホスト 10.0.0.1 とホスト 10.2.2.2 の間のトラフィックに IPSec 保護が適用されます。ホスト 10.0.0.1 からホスト 10.2.2.2 へのトラフィックについては、PIX Firewall A のアクセス リスト エントリは次のように評価されます。

発信元 = ホスト 10.00.00.1

宛先 = ホスト 10.20.20.2

ホスト 10.2.2.2 からホスト 10.0.0.1 へのトラフィックについては、PIX Firewall A の同じアクセス リスト エントリは次のように評価されます。

発信元 = ホスト 10.20.20.2

宛先 = ホスト 10.00.00.1

図 6-1 暗号アクセス リストが IPSec 処理に適用される状況

 

複数の文を IPSec に使用される特定の暗号アクセス リストに設定した場合、通常、最初に一致した permit 文が、IPSec セキュリティ結合のスコープの決定に使用される文になります。言い換えると、IPSec セキュリティ結合は、一致した文の基準を満たすトラフィックを保護するためだけにセットアップされます。後で、暗号アクセス リストの別の permit 文とトラフィックが一致した場合、新しい別個の IPSec セキュリティ結合についてネゴシエーションが行われ、新たに一致したアクセス リスト 文と一致するトラフィックが保護されます。

IPSec というフラグが付いている暗号マップ エントリの暗号アクセス リストにある許可エントリに一致する保護されていない着信トラフィックはすべて、IPSec が保護すると想定されていたトラフィックであるため、廃棄されます。

ipsec-manual というタグが付いている暗号マップ エントリのアクセス リストは、1 つの許可エントリに制限され、それ以降のエントリは無視されます。つまり、その特定の暗号マップ エントリによって確立されたセキュリティ結合は、ただ 1 つのデータ フローに対するものです。手作業で確立した複数のセキュリティ結合を、各種のトラフィックに対してサポートするには、複数の暗号アクセス リストを定義し、その 1 つ 1 つを別個の ipsec-manual crypto map コマンド エントリに適用します。各アクセス リストには、保護するトラフィックを定義する permit 文が 1 つずつ必要です。


) アクセス リストから最後の要素をクリアまたは削除すると、その抹消されたアクセス リストへの暗号マップ参照も削除されます。


1 つまたは複数の暗号マップ エントリによって現在参照されているアクセス リストを修正した場合は、 crypto map interface コマンドを使用して、ランタイム セキュリティ結合データベースを再初期設定する必要があります。詳細については、 crypto map コマンドのページを参照してください。

ローカル ピアで定義するスタティック暗号マップ エントリに対して指定したすべてのアクセス リストに対して、リモート ピアで「ミラー イメージ」暗号アクセス リストを定義することを推奨します。この定義を行うことによって、IPSec 保護がローカルに適用されたトラフィックが、リモート ピアで正しく処理されることが保証されます(暗号マップ エントリ自体も、共通トランスフォームをサポートして、ほかのシステムをピアと呼ぶ必要があります)。

暗号アクセス リストを作成するとき、 any キーワードを使用すると問題が生じる可能性があります。発信元アドレスまたは宛先アドレスの指定に any キーワードの使用は避けてください。

permit any any コマンド文は、使用した場合、すべての発信トラフィック(および、対応する暗号マップ エントリに指定されているピアに送信された保護されているトラフィックすべて)が保護されるようになるとともに、すべての着信トラフィックに対する保護が必要となるので、極力使用を避けてください。さらに、IPSec 保護のないすべての着信パケットは、何もせずに廃棄されます。

保護するパケットを定義したことを確認します。 permit コマンド文に any キーワードを使用する場合は、その文の前に一連の deny コマンド文を置き、保護の対象外のトラフィックすべてをフィルタリングでふるい落とします(これを行わない場合は、その permit コマンド文にトラフィックが含まれることになります)。

IPSec SA のライフタイム

新しい IPSec セキュリティ結合のネゴシエーション時に使用されるグローバル ライフタイムの値を変更できます(これらのグローバル ライフタイム値は、特定の暗号マップ エントリに対して無効にされることがあります)。

これらのライフタイムは、IKE を使用して確立されたセキュリティ結合に適用されるだけです。手作業で確立されたセキュリティ結合は期限満了になりません。

ライフタイムには、「時間」ライフタイムと「トラフィック量」ライフタイムの 2 つがあります。それぞれのライフタイムに達すると、セキュリティ結合は期限満了となり、新しいセキュリティ結合に対するネゴシエーションが開始されます。デフォルトのライフタイムは、28,800 秒(8 時間)および 4,608,000 キロバイト(10 メガバイト/秒で 1 時間)です。

グローバル ライフタイムを変更した場合、新しいライフタイム値は既存のセキュリティ結合には適用されませんが、それ以降に確立されるセキュリティ結合のネゴシエーションで使用されます。新しい値をただちに使用する場合は、セキュリティ結合データベースの全部または一部をクリアします。詳細については、『 Cisco PIX Firewall Command Reference 』の crypto ipsec コマンドのページにある clear [ crypto ] ipsec sa コマンドの説明を参照してください。

IPSec セキュリティ結合では、少なくとも 1 つの共有秘密キーが使用されます。これらのキーとそのセキュリティ結合は、同時にタイムアウトします。

特定の暗号マップ エントリにライフタイムが設定されていない場合、PIX Firewall は、新しいセキュリティ結合を要求するとき、グローバル ライフタイム値をピアへの要求に指定します。この値が新しいセキュリティ結合のライフタイムとして使用されます。PIX Firewall は、ピアからネゴシエーション要求を受け取ると、ピアから提案されたライフタイム値とローカルに設定されているライフタイム値のうち小さい方の値を、新しいセキュリティ結合のライフタイム値として使用します。

セキュリティ結合とその対応キーは、設定可能な時間間隔が経過するか、設定可能な量のトラフィックが転送されると期限満了になります。

新しいセキュリティ結合は、既存のセキュリティ結合のライフタイムがしきい値に達する前に、ネゴシエートされ、古いセキュリティ結合が期限満了になったときに、新しいセキュリティ結合を使用する準備ができていることを保証します。新しいセキュリティ結合は、時間ライフタイムが期限満了になる 30 秒前、またはトンネルを通過したトラフィック量がトラフィック量ライフタイムよりも 256 キロバイト少ない値に達したとき(いずれか早く発生したほう)、ネゴシエートされます。

セキュリティ結合の有効期間全体にわたってトンネルを通過したトラフィックがまったくなかった場合は、ライフタイムが期限満了になっても新しいセキュリティ結合はネゴシエートされません。保護すべき別のパケットを IPSec が見つけたときに初めて、新しいセキュリティ結合がネゴシエートされます。

基本 IPSec コンフィギュレーション

次の手順では、IKE で IPSec セキュリティ結合を確立し、スタティック暗号マップを使用する基本 IPSec コンフィギュレーションを処理します。実装に合わせた IPSec の設定については、次の項目を参照してください。

「サイトツーサイト VPN の設定例」

「VPN リモート アクセスの管理」

一般に、IPSec を使用するように PIX Firewall を設定するには、次の手順を実行します。


ステップ 1 アクセス リストを作成して、保護するトラフィックを定義します。

access-list access-list-name {deny | permit} ip source source-netmask destination destination-netmask
 

次に例を示します。

access-list 101 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
 

この例では、 permit キーワードによって、指定の条件に一致するトラフィックすべてが暗号で保護されます。

ステップ 2 トラフィックを保護する方法を定義するトランスフォーム セットを設定します。複数のトランスフォーム セットを設定し、暗号マップ エントリでこれらのトランスフォーム セットの 1 つまたは複数を指定します(ステップ 3d)。

crypto ipsec transform-set transform-set-name transform1 [transform2, transform3]
 

次に例を示します。

crypto ipsec transform-set myset1 esp-des esp-sha-hmac
crypto ipsec transform-set myset2 ah-sha-hmac esp-3des esp-sha-hmac
crypto ipsec transform-set aes_set ah-md5-hmac esp-aes-256
 

) PIX Firewall Version 6.3 では、128、192、および 256 ビットの暗号キーを提供する AES がサポートされました。


この例では、「myset1」と「myset2」がトランスフォーム セットの名前です。「myset1」には 2 つのトランスフォームが、「myset2」には 3 つのトランスフォームが定義されています。

ステップ 3 次の手順を実行して、暗号マップ エントリを作成します。

a. 暗号マップ エントリを IPSec ISAKMP モードで作成します。

crypto map map-name seq-num ipsec-isakmp
 

次に例を示します。

crypto map mymap 10 ipsec-isakmp
 

この例では、「mymap」 が暗号マップ セットの名前です。マップ セットのシーケンス番号は 10 です。シーケンス番号は、1 つの暗号マップ セット内の複数のエントリにランクを付けるために使用します。シーケンス番号が小さいほど、プライオリティが高くなります。

b. アクセス リストを暗号マップ エントリに割り当てます。

crypto map map-name seq-num match address access-list-name
 

次に例を示します。

crypto map mymap 10 match address 101
 

この例では、アクセス リスト 101 が暗号マップ「mymap」に割り当てられます。

c. IPSec で保護されたトラフィックの転送先となるピアを指定します。

crypto map map-name seq-num set peer ip-address
 

次に例を示します。

crypto map mymap 10 set peer 192.168.1.100
 

IP アドレスが 192.168.1.100 のピアと、セキュリティ結合がセットアップされます。このコマンドを繰り返して、複数のピアを指定します。

d. この暗号マップ エントリについて許可するトランスフォーム セットを指定します。複数のトランスフォーム セットをプライオリティ順(最高のプライオリティのものが最初)に列挙します。トランスフォーム セットは最大 6 つ指定できます。

crypto map map-name seq-num set transform-set transform-set-name1 [transform-set-name2, ...transform-set-name6]
 

次に例を示します。

crypto map mymap 10 set transform-set myset1 myset2
 

この例では、トラフィックがアクセス リスト 101 に一致すると、セキュリティ結合は、どのトランスフォーム セットがピアのトランスフォーム セットに一致するかによって、「myset1」(第 1 プライオリティ)と「myset2」(第 2 プライオリティ)のいずれかを使用できます。

e. (オプション)グローバル ライフタイム以外のほかの IPSec セキュリティ結合ライフタイムを使用してこのエントリのセキュリティ結合がネゴシエートされるようにするには、暗号マップ エントリのセキュリティ結合ライフタイムを指定します。

crypto map map-name seq-num set security-association lifetime {seconds seconds | kilobytes kilobytes}
 

次に例を示します。

crypto map mymap 10 set security-association lifetime seconds 2700

この例では、暗号マップ「mymap 10」の時間ライフタイムを 2700 秒(45 分)に短縮します。
トラフィック量ライフタイムは変更されません。

f. (オプション) IPSec がこの暗号マップ エントリに対して新しいセキュリティ結合を要求するときに完全転送秘密(PFS)を要求するか、IPSec がピアから受け取る要求に PFS を要求するかを指定します。

crypto map map-name seq-num set pfs [group1 | group2 | group5]
 

) Diffie-Hellman グループ 5 は PIX Firewall Version 6.3 でサポートされました。


次に例を示します。

crypto map mymap 10 set pfs group2
 

この例は、新しいセキュリティ結合が暗号マップ「mymap 10」に対してネゴシエートされるときに必ず PFS を使用することを指定します。新しいセキュリティ結合が Diffie-Hellman 交換を使用してネゴシエートされるときは、1024 ビット Diffie-Hellman プライム モジュラス グループが使用されます。

ステップ 4 暗号マップ セットを IPSec トラフィックが評価されるインターフェイスに適用します。

crypto map map-name interface interface-name
 

次に例を示します。

crypto map mymap interface outside
 

この例では、PIX Firewall は外部部インターフェイスを通過するトラフィックを暗号 「mymap」 と照合して評価し、保護が必要かどうかを判断します。

ステップ 5 IPSec トラフィックが暗黙的に信頼される(許可される)ことを指定します。

sysopt connection permit-ipsec
 


 

Diffie-Hellman グループ 5

Diffie-Hellman は公開キーの操作で、2 つの IPSec ピアが使用するキーが一致する方法を提供します。 Diffie-Hellman 操作を実行するには、数値計算用の数字またはグループの使用について両方の側で一致する必要があります。 PIX Firewall のバージョンが Version 6.3 以前の場合は、グループ 1 (768 ビット)とグループ 2 (1024 ビット)がサポートされます。 PIX Firewall Version 6.3 ではグループ 5 (1536 ビット)がサポートされて、Diffie-Hellman 操作のセキュリティがさらに高まりました。 また、PIX Firewall Version 6.3 では AES もサポートされて、256 ビットの暗号化キーが提供され、Diffie-Hellman グループ 5 キーの使用が必要になりました。

ダイナミック暗号マップの使用

ダイナミック暗号マップは、IKE で使用すると、IPSec コンフィギュレーションが簡単になるので、ピアが必ずしも事前設定されていないネットワークで使用するのに適しています。ダイナミック暗号マップは、ダイナミックに割り当てられた IP アドレスを取得する VPN クライアント(たとえば、モバイル ユーザ)およびルータに使用します。ダイナミック暗号マップをリモート アクセス VPN コンフィギュレーションに使用する例については、「VPN リモート アクセスの管理」を参照してください。


) ダイナミック暗号マップの permit コマンド エントリで any キーワードを使用する場合は、注意が必要です。permit などのコマンド エントリの対象となるトラフィックに、マルチキャスト トラフィック、またはブロードキャスト トラフィックが含まれる場合は、アクセスリストに適切なアドレス範囲の deny コマンド エントリを指定する必要があります。アクセス リストには、ネットワークとサブネット ブロードキャスト トラフィック、さらに IPSec では保護されないその他のトラフィックに対する deny コマンド エントリも必要です。


ダイナミック暗号マップは、接続を開始するリモート ピアと SA をネゴシエーションするためにだけ使用できます。リモート ピアへの接続開始には使用できません。ダイナミック暗号マップ エントリでは、発信トラフィックがアクセス リストの permit 文に一致し、対応するセキュリティ結合がまだ確立されていない場合は、PIX Firewall はそのトラフィックを廃棄します。

ダイナミック暗号マップ エントリは、本質的にパラメータがまったく設定されていない暗号マップ エントリです。ダイナミック暗号マップ エントリは、不足しているパラメータが、ピアの要件に合うように後でダイナミックに設定される(IPSec ネゴシエーションの結果として)ポリシー テンプレートの役割を果たします。このダイナミック設定によって、ピアは、PIX Firewall と IPSec トラフィックを交換することが、たとえその PIX Firewall にピアの要件すべてを満たすように特別に設定された暗号マップ エントリがない場合であっても、可能になります。


) 各ダイナミック暗号マップ エントリには、transform-set パラメータだけを設定する必要があります。


ダイナミック暗号マップ セットは、暗号マップ セットの一部としてリファレンスに含まれます。ダイナミック暗号マップ セットを参照する暗号マップ エントリはすべて、暗号マップ セットの中でプライオリティが最低(シーケンス番号が最大)であって、ほかの暗号マップ エントリが最初に評価されるようにする必要があります。つまり、ほかの(スタティック)マップ エントリが一致しなかった場合に初めて、ダイナミック暗号マップ セットが調べられます。

PIX Firewall が新しい IPSec セキュリティ結合をインストールした時点でピアの要求を受け入れると、一時暗号マップ エントリもインストールされます。このエントリには、ネゴシエーションの結果が入れられます。この時点で、PIX Firewall は、この一時暗号マップ エントリを通常のエントリとして使用して通常の処理を実行し、さらに、現在のセキュリティ結合が期限満了になれば新しいセキュリティ結合を要求します(一時暗号マップ エントリで指定されたポリシーに基づいて)。フローが期限満了になると(つまり、対応するセキュリティ結合がすべて期限満了になると)、一時暗号マップ エントリは削除されます。

ダイナミック暗号マップ エントリは、通常のスタティック暗号マップ エントリと同様に、セットにグループ化されます。セットは、ダイナミック マップ名が同じでダイナミック シーケンス番号がそれぞれ異なるダイナミック暗号マップ エントリのグループです。ダイナミック暗号マップ セットを設定する場合は、IPSec ピアから提案されるデータ フロー ID が、この暗号アクセス リストに対する permit 文に含まれている必要があります。このように設定されていないと、PIX Firewall はピアから提案されたデータ フロー ID をすべて受け入れます。

少なくとも1 つのダイナミック暗号マップ セットを、そのダイナミック暗号マップ セットを参照する暗号マップ エントリを介して、暗号マップ セットに追加できます。ダイナミック マップを参照する暗号マップ エントリは、暗号マップ セットの中でプライオリティを最低(つまり、シーケンス番号を最大)に設定する必要があります。


) ダイナミック暗号マップの permit エントリで any キーワードを使用する場合は、注意が必要です。そのような permit エントリでカバーされるトラフィックがマルチキャスト トラフィックまたはブロードキャスト トラフィックを含む可能性がある場合は、該当するアドレス範囲に対する deny エントリをアクセス リストに含める必要があります。アクセス リストには、deny エントリを、ネットワークとサブネット ブロードキャスト トラフィックに対して、および IPSec で保護しないそのほかのトラフィックに対して、含めることも必要です。


暗号ダイナミック マップ エントリを使用するための手順は、スタティック暗号マップ エントリを作成する代わりに暗号ダイナミック マップを作成するという点を除いて、「基本 IPSec コンフィギュレーション」で説明した基本コンフィギュレーションと同じです。1 つの暗号マップ セットの中でスタティック マップ エントリとダイナミック マップ エントリを組み合せることもできます。

暗号ダイナミック マップ エントリを作成するには、次の手順を実行します。


ステップ 1 アクセス リストをダイナミック暗号マップ エントリに割り当てます。

crypto dynamic-map dynamic-map-name dynamic-seq-num match address access-list-name
 

これによって、保護するトラフィックと保護しないトラフィックが決まります。

次に例を示します。

crypto dynamic-map dyn1 10 match address 101
 

この例では、アクセス リスト 101 がダイナミック暗号マップ「dyn1」に割り当てられます。マップのシーケンス番号は 10 です。

ステップ 2 このダイナミック暗号マップ エントリに対して許可するトランスフォーム セットを指定します。複数のトランスフォーム セットをプライオリティ順(最高のプライオリティのものが最初)に列挙します。

crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1, [transform-set-name2, ...transform-set-name9]
 

次に例を示します。

crypto dynamic-map dyn 10 set transform-set myset1 myset2
 

この例では、トラフィックがアクセス リスト 101 に一致すると、セキュリティ結合は、どのトランスフォーム セットがピアのトランスフォーム セットに一致するかによって、「myset1」(第 1 プライオリティ)と「myset2」(第 2 プライオリティ)のいずれかを使用できます。

ステップ 3 グローバル ライフタイム以外の IPSec セキュリティ結合ライフタイムを使用して、このエントリのセキュリティ結合がネゴシエートされるようにするには、ダイナミック暗号マップ エントリのセキュリティ結合ライフタイムを指定します。

crypto dynamic-map dynamic-map-name dynamic-seq-num set security-association lifetime {seconds seconds | kilobytes kilobytes}
 

次に例を示します。

crypto dynamic-map dyn1 10 set security-association lifetime 2700
 

この例では、ダイナミック暗号マップ「dyn1 10」の時間ライフタイムを 2700 秒(45 分)に短縮します。
トラフィック量ライフタイムは変更されません。

ステップ 4 IPSec がこのダイナミック暗号マップ エントリに対して新しいセキュリティ結合を要求するときに PFS を要求するか、または IPSec ピアから受け取る要求に PFS を要求するかを指定します。

crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2]
 

次に例を示します。

crypto dynamic-map dyn1 10 set pfs group1
 

ステップ 5 ダイナミック暗号マップ セットをスタティック暗号マップ セットに追加します。

ダイナミック マップを参照する暗号マップ エントリは、必ず暗号マップ セットの中でプライオリティを最低(シーケンス番号が最大)に設定してください。

crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name
 

次に例を示します。

crypto map mymap 200 ipsec-isakmp dynamic dyn1
 


 

サイトツーサイト冗長性

暗号マップを使用して、複数のピアに冗長性を定義できます。このコンフィギュレーションはサイトツーサイト VPN に最適です。片方のピアが障害になっても、保護されたパスは残ります。パケットの実際の宛先となるピアは、PIX Firewall が一定のデータ フローについて連絡を受けた(そこからトラフィックまたはネゴシエーション要求を受信した)最後のピアによって決められます。最初のピアで試行が失敗すると、IKE は暗号マップ リストにある次のピアで試みます。

NAT Traversal の使用方法

NAT および PAT は IPSec も使用されている数多くのネットワークに実装されていますが、IPSec パケットが正しく NAT デバイスを通過できなくなる非互換性も存在します。

PIX Firewall Version 6.3 では「NAT Traversal」という機能を提供しています。これは Version 2 および Version 3 の IETF 規格草案「UDP Encapsulation of IPsec Packets」で定義されており、次の URL で入手できます。

http://www.ietf.org/html.charters/ipsec-charter.html

NAT Traversal により ESP パケットは 1 つ以上の NAT デバイスを通過できます。 この機能はデフォルト設定でディセーブルになっています。


) NAT Traversal は、ダイナミックとスタティック両方の暗号マップでサポートされています。


NAT Traversal をイネーブルにするには、次のコマンドを入力します。

isakmp nat-traversal [natkeepalive]
 

natkeepalive の有効な値は 10 ~ 3600 秒で、デフォルトは 20 秒です。

SA の手動設定

PIX Firewall とリモート IPSec ピア間の SA を確立するのに IKE を使用できない場合、手作業で SA を設定できます。この方法は、実際には、IP アドレス(または DNS ホスト名)がわかっている限られた数の IPSec ピアの場合にしか使用できないため、サイトツーサイト VPN に最も適しています。

SA の手動設定は、「IPSec の設定」で説明した基本コンフィギュレーションとよく似ています。 主な相違点は次のとおりです。

暗号マップは、次の例のように、 ipsec-manual キーワードを使用して設定する

crypto map map-name seq-num ipsec-manual
 

SA ライフタイムと完全転送秘密(PFS)は設定できない

セッション キーは、両方の IPSec ピアで手作業で設定する

SA を手作業で設定すると、IKE によるセキュリティ強化とスケーラビリティの利点は失われます。安全に通信する IPSec ピアの各ペアと、手作業で SA を再設定しなければ変更できないセッション キーを、手作業で設定します。

SA を手動設定するには、次の手順を実行します。


ステップ 1 アクセス リストを作成して、保護するトラフィックを定義します。

access-list access-list-name {deny | permit} ip source source-netmask destination destination-netmask
 

次に例を示します。

access-list 101 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
 

この例では、 permit キーワードによって、指定の条件に一致するトラフィックすべてが暗号で保護されます。

ステップ 2 トラフィックを保護する方法を定義するトランスフォーム セットを設定します。複数のトランスフォーム セットを設定し、暗号マップ エントリでこれらのトランスフォーム セットの 1 つまたは複数を指定します(ステップ 4d)。

crypto ipsec transform-set transform-set-name transform1 [transform2, transform3]
 

次に例を示します。

crypto ipsec transform-set myset1 esp-des esp-sha-hmac
crypto ipsec transform-set myset2 ah-sha-hmac esp-3des esp-sha-hmac
 

この例では、「myset1」と「myset2」がトランスフォーム セットの名前です。「myset1」には 2 つのトランスフォームが、「myset2」には 3 つのトランスフォームが定義されています。

ステップ 3 次の手順を実行して、暗号マップ エントリを作成します。

a. 暗号マップ エントリを IPSec 手動コンフィギュレーション モードで作成します。

crypto map map-name seq-num ipsec-manual
 

次に例を示します。

crypto map mymap 10 ipsec-manual
 

この例では、「mymap」 が暗号マップ セットの名前です。マップ セットのシーケンス番号は 10 です。シーケンス番号は、1 つの暗号マップ セット内の複数のエントリにランクを付けるために使用します。シーケンス番号が小さいほど、プライオリティが高くなります。

b. アクセス リストを暗号マップ エントリに割り当てます。

crypto map map-name seq-num match address access-list-name
 

次に例を示します。

crypto map mymap 10 match address 101
 

この例では、アクセス リスト 101 が暗号マップ「mymap」に割り当てられます。

c. IPSec で保護されたトラフィックの転送先となるピアを指定します。

crypto map map-name seq-num set peer ip-address
 

次に例を示します。

crypto map mymap 10 set peer 192.168.1.100
 

IP アドレスが 192.168.1.100 のピアと、セキュリティ結合がセットアップされます。このコマンドを繰り返して、複数のピアを指定します。

d. この暗号マップ エントリについて許可するトランスフォーム セットを指定します。複数のトランスフォーム セットをプライオリティ順(最高のプライオリティのものが最初)に列挙します。トランスフォーム セットは最大 6 つ指定できます。

crypto map map-name seq-num set transform-set transform-set-name1 [transform-set-name2, ...transform-set-name6]
 

次に例を示します。

crypto map mymap 10 set transform-set myset1 myset2
 

この例では、トラフィックがアクセス リスト 101 に一致すると、セキュリティ結合は、どのトランスフォーム セットがピアのトランスフォーム セットに一致するかによって、「myset1」(第 1 プライオリティ)と「myset2」(第 2 プライオリティ)のいずれかを使用できます。

ステップ 4 指定されたトランスフォーム セットに AH プロトコル(MD5-HMAC または SHA-HMAC による認証)が含まれている場合は、AH Security Parameter Index (SPI)およびキーを設定して、保護された着信トラフィックに適用します。指定されたトランスフォーム セットに ESP プロトコルだけが含まれる場合は、ステップ 6にスキップします。

crypto map map-name seq-num set session-key inbound ah spi hex-key-data
 

次に例を示します。

crypto map mymaptwo 30 set session-key inbound ah 300 123456789A123456789A123456789A123456789A
 

この例では、保護された着信トラフィックで使用するために、AH プロトコル用の IPSec セッション キーが暗号マップ「mymaptwo」に指定されています。

ステップ 5 AH SPI およびキーを設定して、保護された発信トラフィックに適用します。

crypto map map-name seq-num set session-key outbound ah spi hex-key-data
 

次に例を示します。

crypto map mymaptwo 30 set session-key outbound ah 400 123456789A123456789A123456789A123456789A
 

ステップ 6 指定されたトランスフォーム セットに ESP プロトコルが含まれている場合は、ESP SPI およびキーを設定して保護された着信トラフィックに適用します。トランスフォーム セットに ESP 暗号化アルゴリズムが含まれている場合は、暗号キーを指定します。トランスフォーム セットに ESP 認証キー アルゴリズムが含まれる場合は、認証キーを指定します。

crypto map map-name seq-num set session-key inbound esp spi cipher hex-key-data [authenticator hex-key-data]
 

次に例を示します。

crypto map mymaptwo 30 set session-key inbound esp 300 cipher 1234567890123456 authenticator 0000111122223333444455556666777788889999
 

ステップ 7 ESP SPI およびキーを設定して、保護された発信トラフィックに適用します。トランスフォーム セットに ESP 暗号化アルゴリズムが含まれている場合は、暗号キーを指定します。トランスフォーム セットに ESP 認証キー アルゴリズムが含まれる場合は、認証キーを指定します。

crypto map map-name seq-num set session-key outbound esp spi cipher hex-key-data [authenticator hex-key-data]

次に例を示します。

crypto map mymaptwo 30 set session-key outbound esp 300 cipher abcdefghijklmnop authenticator 9999888877776666555544443333222211110000
 

ステップ 8 暗号マップ セットを IPSec トラフィックが評価されるインターフェイスに適用します。

crypto map map-name interface interface-name
 

次に例を示します。

crypto map mymap interface outside
 

この例では、PIX Firewall は外部部インターフェイスを通過するトラフィックを暗号 「mymap」 と照合して評価し、保護が必要かどうかを判断します。

ステップ 9 IPSec トラフィックが暗黙的に信頼される(許可される)ことを指定します。

sysopt connection permit-ipsec
 

) このコマンドは、L2TP/IPSec トラフィックも許可します。



 

IPSec コンフィギュレーションの表示

表 6-2 に、IPSec コンフィギュレーションに関する情報の表示に使用できるコマンドのリストを示します。

 

表 6-2 IPSec 構成情報を表示するためのコマンド

コマンド
目的

show crypto ipsec transform-set

トランスフォーム セットのコンフィギュレーションを表示します。

show crypto map [ interface interface-name | tag map-name ]

暗号マップのコンフィギュレーションを表示します。

show crypto ipsec sa [ map map-name | address | identity ] [ detail ]

IPSec セキュリティ結合に関する情報を表示します。

show crypto dynamic-map [ tag map-name ]

ダイナミック暗号マップに関する情報を表示します。

show crypto ipsec security-association lifetime

グローバル セキュリティ結合ライフタイム値を表示します。

SA のクリア

一部のコンフィギュレーション変更は、それ以降セキュリティ結合をネゴシエートするときまで有効になりません。新しい設定をただちに有効にする場合は、既存のセキュリティ結合をクリアすると、セキュリティ結合が変更後のコンフィギュレーションで再確立されます。セキュリティ結合を手作業で確立した場合は、そのセキュリティ結合をクリアして再初期設定します。これを行わない場合、変更は有効になりません。PIX Firewall がアクティブに IPSec トラフィックを処理している場合は、セキュリティ結合データベースのうち、コンフィギュレーション変更の影響を受ける部分だけをクリアするのが望ましい方法です(つまり、一定の暗号マップ セットで確立されたセキュリティ結合だけをクリアします)。セキュリティ結合データベースを完全にクリアするのは、大規模な変更の場合や、PIX Firewall が処理しているほかの IPSec トラフィックがわずかな場合に限定するようにしてください。

表 6-3 に、IPSec セキュリティ結合のクリアと再初期設定に使用できるコマンドのリストを示します。

 

表 6-3 IPSec SA のクリアおよび再初期設定用のコマンド

コマンド
目的

crypto map map-name interface interface-name

IPSec ランタイム セキュリティ結合データベースとセキュリティ ポリシー データベースを再初期設定します。

clear [ crypto ] ipsec sa

または

clear [ crypto ] ipsec sa peer ip-address | peer-name

または

clear [ crypto ] ipsec sa map map-name

または

clear [ crypto ] ipsec sa entry destination-address protocol spi

IPSec セキュリティ結合をクリアします。


) パラメータなしで clearcryptoipsec sa コマンドを使用すると、セキュリティ結合データベースが完全にクリアされ、その結果アクティブなセキュリティ セッションがクリアされます。peermap、または entry キーワードを指定して、セキュリティ結合データベースの一部だけをクリアすることもできます。詳細については、『Cisco PIX Firewall Command Reference』の clearcrypto]ipsec sa コマンドのページを参照してください。