Cisco PIX Firewall/VPN コンフィギュレーション ガイド
サポートされる VPN 規格とセキュリ ティ プロポーザル
サポートされる VPN 規格とセキュリティ プロポーザル
発行日;2012/02/04 | 英語版ドキュメント(2009/05/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

サポートされる VPN 規格とセキュリティ プロポーザル

IPSec

Internet Key Exchange(IKE)

認証局(CA)

サポートされる Easy VPN プロポーザル

サポートされる VPN 規格とセキュリティ プロポーザル

この付録では、PIX Firewall でサポートされる VPN 規格を一覧にします。次の項目について説明します。

「IPSec」

「Internet Key Exchange(IKE)」

「認証局(CA)」

「サポートされる Easy VPN プロポーザル」

IPSec

IPSec:IP Security Protocol。IPSec は、これに関わるピア間のデータ機密性、データ整合性、およびデータ認証を提供する、公開規格のフレームワークです。IPSec はセキュリティ サービスを IP 層で提供します。IKE を使用することで、ローカル ポリシーに基づいてプロトコルとアルゴリズムのネゴシエーションを処理し、IPSec が使用する暗号キーと認証キーを生成します。IPSec を使用して、一対のホスト間、一対のセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホストの間で 1 つ以上のデータ フローを保護できます。

IPSec は文書化されて一連のインターネット RFC にまとめられています。これは、次の Web サイトにアクセスして閲覧できます。

http://www.ietf.org/html.charters/ipsec-charter.html

IPSec 実装の詳細については、RFC 2401 「Security Architecture for the Internet Protocol」で解説されています。

Internet Key Exchange (IKE):Internet Security Association and Key Management Protocol (ISAKMP)フレームワークの内部に Oakley および SKEME キー交換を実装した、ハイブリッド プロトコル。IKE はほかのプロトコルでも使用できますが、最初に実装されたのは IPSec プロトコルです。IKE は IPSec ピアの認証を提供し、IPSec セキュリティ結合をネゴシエートし、IPSec キーを確立します。

PIX Firewall に実装された IPSec は、さらに次の規格をサポートします。

AH:Authentication Header(認証ヘッダー)。データ認証とオプションでリプレイ攻撃防止サービスを提供する、セキュリティ プロトコルです。AH は、保護対象のデータに埋め込まれます(完全 IP データグラム)。

AH プロトコル(RFC 2402)では、さまざまな認証アルゴリズムを使用できます。PIX Firewall では、認証アルゴリズムとして必須の MD5-HMAC (RFC 2403)と SHA-HMAC (RFC 2404)を実装しています。

ESP:Encapsulating Security Payload。データ プライバシー サービス、およびオプションでデータ認証とリプレイ攻撃防止サービスを提供する、セキュリティ プロトコルです。ESP では保護対象のデータをカプセル化します。

ESP プロトコル(RFC 2406)では、さまざまな暗号化アルゴリズムと、オプションで各種認証アルゴリズムを使用できます。PIX Firewall では、暗号化アルゴリズムとして必須の 56 ビット DES-CBC with Explicit IV(RFC 2405)、および認証として MD5-HMAC(RFC 2403)または SHA-HMAC(RFC 2404)を実装しています。

Internet Key Exchange(IKE)

IKE は「The Internet Key Exchange」(RFC 2409)によって実装されます。

ISAKMP:Internet Security Association and Key Management Protocol。ペイロード形式、キー交換プロトコル実装の方法、およびセキュリティ結合のネゴシエーションを定義する、プロトコル フレームワークです。

ISAKMP は、「Internet Security Association and Key Management Protocol (ISAKMP)」(RFC 2408)を通じて実装されます。

Oakley:認証済みキーイング マテリアルの導出方法を定義する、キー交換プロトコル。

Skeme:マテリアルの導出方法を定義する、キー リフレッシュが迅速なキー交換プロトコル。

IKE で使用するために実装されるコンポーネント テクノロジーには次のものがあります。

DES:Data Encryption Standard (DES; データ暗号規格)は、パケット データの暗号化に使用されます。IKE では、56 ビット DES-CBC with Explicit IV 規格を実装しています。「CBC」を参照してください。

Triple DES (3DES):3 つの異なるキーを 3 回繰り返して使用し、効果的に DES の強度を 3 倍に高める DESのバリアント。

CBC:Cipher Block Chaining(CBC)では、暗号化の開始に IV(初期化ベクトル)が必要です。IV は、IPSec パケットで明示的に与えられます。

Diffie-Hellman:アンセキュアな通信チャネルを介して二者が共有秘密を確立できるようにする、公開キー暗号化プロトコル。Diffie-Hellman は IKE 内部で使用され、セッション キーを確立します。768 ビット、1024 ビット、および 1536 ビットの Diffie-Hellman グループがサポートされています。

MD5 (HMAC バリアント):Message Digest 5 (MD5)は、パケット データの認証に使用されるハッシュ アルゴリズムです。HMAC は、ハッシュの強化レベルを追加したバリアントです。

SHA (HMAC バリアント):Secure Hash Algorithm (SHA)は、パケット データの認証に使用されるハッシュ アルゴリズムです。HMAC は、ハッシュの強化レベルを追加したバリアントです。

RSA シグニチャ:RSA は、Ron Rivest、Adi Shamir、および Leonard Adleman によって開発された公開キー暗号化システムです。RSA シグニチャは、否認防止を提供します。

IKE 拡張認証(Xauth)は、IETF draft-ietf-ipsec-isakmp-xauth-04.txt (「拡張認証」草案)を通じて実装されます。これは、TACACS+ または RADIUS を使用して IKE 内でユーザを認証する機能を提供します。

IKE Mode Configuration (IKE Mode Config)は、IETF draft-ietf-ipsec-isakmp-mode-cfg-04.txt を通じて実装されます。IKE Mode Configuration は、IKE ネゴシエーションの一部として VPN クライアントに IP アドレス(およびその他のネットワーク レベル コンフィギュレーション)をダウンロードする手段をセキュリティ ゲートウェイに提供します。

認証局(CA)

IKE は、次の規格と相互運用できます。

X.509v3 証明書:認証で公開キーが要求されるときに、IKE プロトコルと併せて使用されます。デジタル ID カードに相当するものを各デバイスに与えることによって、IPSec 保護されたネットワークが拡張できるようにする、証明書サポートです。2 つのピアが通信するとき、デジタル証明を交換して、自身の ID を証明します(したがって、各ピアと手動で公開キーを交換したり、各ピアで手動で共用キーを指定する必要がなくなります)。これらの証明書は、認証局(CA)から取得できます。X.509 は、ITU による X.500 規格の一部です。

CA は、次の規格をサポートします。

X.509v3 証明書。

Public-Key Cryptography Standard #7 (PKCS #7):RSA Data Security, Inc. による規格。証明書登録メッセージの暗号化と署名に使用されます。

Public-Key Cryptography Standard #10 (PKCS #10):RSA Data Security, Inc. による、証明書要求のための標準構文。

RSA キー:RSA は、Ron Rivest、Adi Shamir、および Leonard Adleman によって開発された公開キー暗号化システムです。RSA キーは、1 つの公開キーと 1 つの秘密キーで構成されたペアとして生成されます。

サポートされる Easy VPN プロポーザル

表 E-1 に、Easy VPN クライアントと併用した場合に Cisco PIX Firewall でサポートされる IKE(フェーズ 1)セキュリティ プロポーザルを示します。

 

表 E-1 Easy VPN クライアント IKE(フェーズ 1)プロポーザル

プロポーザル名
認証モード
認証
アルゴリズム
暗号化アルゴリズム
Diffie- Hellman
グループ

CiscoVPNClient-3DES-MD5

事前共有キー(XAUTH)

MD5/HMAC-128

3DES-168

Group 2(1024 ビット)

CiscoVPNClient-3DES-SHA

事前共有キー(XAUTH)

SHA/HMAC-160

3DES-168

Group 2(1024 ビット)

CiscoVPNClient-DES-MD5

事前共有キー(XAUTH)

MD5/HMAC-128

DES-56

Group 2(1024 ビット)

CiscoVPNClient-AES128-MD5

事前共有キー(XAUTH)

MD5/HMAC-128

AES-128

Group 2(1024 ビット)

CiscoVPNClient-AES128-SHA

事前共有キー(XAUTH)

SHA/HMAC-160

AES-128

Group 2(1024 ビット)

CiscoVPNClient-AES192-MD5

事前共有キー(XAUTH)

MD5/HMAC-128

AES-192

Group 2(1024 ビット)

CiscoVPNClient-AES192-SHA

事前共有キー(XAUTH)

SHA/HMAC-160

AES-192

Group 2(1024 ビット)

CiscoVPNClient-AES256-MD5

事前共有キー(XAUTH)

MD5/HMAC-128

AES-256

Group 2(1024 ビット)

CiscoVPNClient-AES256-SHA

事前共有キー(XAUTH)

SHA/HMAC-160

AES-256

Group 2(1024 ビット)

IKE-3DES-MD5

事前共有キー

MD5/HMAC-128

3DES-168

Group 2(1024 ビット)

IKE-3DES-SHA

事前共有キー

SHA/HMAC-160

3DES-168

Group 2(1024 ビット)

IKE-DES-MD5

事前共有キー

MD5/HMAC-128

DES-56

Group 2(1024 ビット)

IKE-AES128-MD5

事前共有キー

MD5/HMAC-128

AES-128

Group 2(1024 ビット)

IKE-AES128-SHA

事前共有キー

SHA/HMAC-160

AES-128

Group 2(1024 ビット)

IKE-AES192-MD5

事前共有キー

MD5/HMAC-128

AES-192

Group 2(1024 ビット)

IKE-AES192-SHA

事前共有キー

SHA/HMAC-160

AES-192

Group 2(1024 ビット)

IKE-AES256-MD5

事前共有キー

MD5/HMAC-128

AES-256

Group 2(1024 ビット)

IKE-AES256-SHA

事前共有キー

SHA/HMAC-160

AES-256

Group 2(1024 ビット)

CiscoVPNClient-3DES-MD5-RSA

RSA デジタル証明書(XAUTH)

MD5/HMAC-128

3DES-168

Group 2(1024 ビット)

CiscoVPNClient-3DES-SHA-RSA

RSA デジタル証明書(XAUTH)

SHA/HMAC-160

3DES-168

Group 2(1024 ビット)

CiscoVPNClient-DES-MD5-RSA-DH1

RSA デジタル証明書(XAUTH)

MD5/HMAC-128

DES-56

Group 1(768 ビット)

CiscoVPNClient-AES128-MD5-RSA

RSA デジタル証明書(XAUTH)

MD5/HMAC-128

AES-128

Group 2(1024 ビット)

CiscoVPNClient-AES128-SHA-RSA

RSA デジタル証明書(XAUTH)

SHA/HMAC-160

AES-128

Group 2(1024 ビット)

CiscoVPNClient-AES256-MD5-RSA

RSA デジタル証明書(XAUTH)

MD5/HMAC-128

AES-256

Group 2(1024 ビット)

CiscoVPNClient-AES256-SHA-RSA

RSA デジタル証明書(XAUTH)

SHA/HMAC-160

AES-256

Group 2(1024 ビット)

CiscoVPNClient-3DES-MD5-RSA-DH5

RSA デジタル証明書(XAUTH)

MD5/HMAC-128

3DES-168

Group 5(1536 ビット)

CiscoVPNClient-3DES-SHA-RSA-DH5

RSA デジタル証明書(XAUTH)

SHA/HMAC-160

3DES-168

Group 5(1536 ビット)

CiscoVPNClient-AES128-MD5-RSA-DH5

RSA デジタル証明書(XAUTH)

MD5/HMAC-128

AES-128

Group 5(1536 ビット)

CiscoVPNClient-AES128-SHA-RSA-DH5

RSA デジタル証明書(XAUTH)

SHA/HMAC-160

AES-128

Group 5(1536 ビット)

CiscoVPNClient-AES192-MD5-RSA-DH5

RSA デジタル証明書(XAUTH)

MD5/HMAC-128

AES-192

Group 5(1536 ビット)

CiscoVPNClient-AES192-SHA-RSA-DH5

RSA デジタル証明書(XAUTH)

SHA/HMAC-160

AES-192

Group 5(1536 ビット)

CiscoVPNClient-AES256-MD5-RSA-DH5

RSA デジタル証明書(XAUTH)

MD5/HMAC-128

AES-256

Group 5(1536 ビット)

CiscoVPNClient-AES256-SHA-RSA-DH5

RSA デジタル証明書(XAUTH)

SHA/HMAC-160

AES-256

Group 5(1536 ビット)

IKE-3DES-MD5-RSA

RSA デジタル証明書

MD5/HMAC-128

3DES-168

Group 2(1024 ビット)

IKE-3DES-SHA-RSA

RSA デジタル証明書

SHA/HMAC-160

3DES-168

Group 2(1024 ビット)

IKE-AES128-MD5-RSA

RSA デジタル証明書

MD5/HMAC-128

AES-128

Group 2(1024 ビット)

IKE-AES128-SHA-RSA

RSA デジタル証明書

SHA/HMAC-160

AES-128

Group 2(1024 ビット)

IKE-AES256-MD5-RSA

RSA デジタル証明書

MD5/HMAC-128

AES-256

Group 2(1024 ビット)

IKE-AES256-SHA-RSA

RSA デジタル証明書

SHA/HMAC-160

AES-256

Group 2(1024 ビット)

IKE-DES-MD5-RSA-DH1

RSA デジタル証明書

MD5/HMAC-128

DES-56

Group 1(768 ビット)

IKE-3DES-MD5-RSA-DH5

RSA デジタル証明書

MD5/HMAC-128

DES-168

Group 5(1536 ビット)

IKE-3DES-SHA-RSA-DH5

RSA デジタル証明書

SHA/HMAC-160

3DES-168

Group 5(1536 ビット)

IKE-AES128-MD5-RSA-DH5

RSA デジタル証明書

MD5/HMAC-128

AES-128

Group 5(1536 ビット)

IKE-AES128-SHA-RSA-DH5

RSA デジタル証明書

SHA/HMAC-160

AES-128

Group 5(1536 ビット)

IKE-AES192-MD5-RSA-DH5

RSA デジタル証明書

MD5/HMAC-128

AES-192

Group 5(1536 ビット)

IKE-AES192-SHA-RSA-DH5

RSA デジタル証明書

SHA/HMAC-160

AES-192

Group 5(1536 ビット)

IKE-AES256-MD5-RSA-DH5

RSA デジタル証明書

MD5/HMAC-128

AES-256

Group 5(1536 ビット)

IKE-AES256-SHA-RSA-DH5

RSA デジタル証明書

SHA/HMAC-160

AES-256

Group 5(1536 ビット)

 

表 E-2 に、Easy VPN クライアントでサポートされるフェーズ 2 セキュリティ プロポーザルを示します。

 

表 E-2 Easy VPN クライアント フェーズ 2 プロポーザル

AES256
MD51

AES256

SHA

AES128

MD5

AES128

SHA

AES256

MD5

AES256

SHA

AES128

MD5

AES128

SHA

3DES

MD5

3DES

SHA

3DES

MD5

3DES

SHA

DES

MD5

DES

MD5

NULL

MD5

NULL

SHA

1.PIX Firewall は IP 圧縮をサポートしていません。