Cisco Security Manager 4.2 ユーザ ガイド
IKE および IPsec ポリシーの設定
IKE および IPsec ポリシーの設定
発行日;2012/05/08 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

IKE および IPsec ポリシーの設定

IKE および IPsec 設定の概要

IKE バージョン 1 と 2 の比較

IKE について

使用する暗号化アルゴリズムの決定

使用するハッシュ アルゴリズムの決定

使用するデフィーヘルマン係数グループの決定

使用する認証方式の決定

IKE プロポーザルの設定

[IKEv1 Proposal] ポリシー オブジェクトの設定

[IKEv2 Proposal] ポリシー オブジェクトの設定

IPsec プロポーザルについて

サイト間 VPN の IPsec プロポーザルについて

クリプト マップについて

トランスフォーム セットの概要

逆ルート注入について

サイト間 VPN での IPsec プロポーザルの設定

サイト間 VPN におけるデバイスの IKE バージョンの選択

IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定

VPN グローバル設定

VPN グローバル ISAKMP/IPsec 設定

VPN グローバル IKEv2 設定

VPN での NAT について

VPN グローバル NAT 設定

VPN グローバル一般設定

サイト間 VPN での IKEv1 事前共有キー ポリシーについて

IKEv1 事前共有キー ポリシーの設定

Public Key Infrastructure ポリシーについて

PKI 登録を正常に行うための前提条件

サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定

サイト間 VPN での複数の IKEv1 CA サーバの定義

リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定

[PKI Enrollment] ダイアログボックス

[PKI Enrollment] ダイアログボックス - [CA Information] タブ

[PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ

[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ

[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ

サイト間 VPN での IKEv2 認証の設定

[IKEv2 Authentication] ポリシー

[IKEv2 Authentication (Override)] ダイアログボックス

IKE および IPsec ポリシーの設定

この章では、Internet Protocol Security(IPsec; インターネット プロトコル セキュリティ)および Internet Security Association and Key Management Protocol(ISAKMP または IKE)標準を設定して、サイト間およびリモート アクセス IPsec Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を構築する方法について説明します。これらのポリシーは、VPN トンネルを構築するために通常の IPsec および他のタイプの IPsec ベースの VPN テクノロジーで使用されます。

トンネリングは、インターネットなどのパブリック TCP/IP ネットワークを使用して、リモート ユーザとプライベートな企業ネットワークとの間でセキュアな接続を構築することを可能にします。それぞれのセキュアな接続は、トンネルと呼ばれます。

IPsec ベースの VPN テクノロジーは、ISAKMP および IPsec トンネリング標準を使用して、トンネルの構築と管理を行います。ISAKMP と IPsec は、次の処理を実行できます。

トンネル パラメータのネゴシエーション。

トンネルの確立。

ユーザとデータの認証。

セキュリティ キーの管理。

データの暗号化と復号化。

トンネル経由のデータ転送の管理。

トンネル エンドポイントまたはルータとしての着信と発信のデータ転送の管理。

VPN 内のデバイスは、双方向のトンネル エンドポイントとして機能します。プライベート ネットワークからプレーン パケットを受信してカプセル化し、トンネルを作成して、カプセル化したパケットをトンネルのもう一方の終端に送信します。トンネルの終端では、パケットのカプセル化が解除されて最終的な宛先に送信されます。また、カプセル化されたパケットをパブリック ネットワークから受信してカプセル化を解除し、プライベート ネットワーク上の最終的な宛先に送信します。

ここでは、基本的な IKE および IPsec ポリシーと、その設定方法について説明します。

「IKE および IPsec 設定の概要」

「IKE について」

「IPsec プロポーザルについて」

「VPN グローバル設定」

「サイト間 VPN での IKEv1 事前共有キー ポリシーについて」

「Public Key Infrastructure ポリシーについて」

「サイト間 VPN での IKEv2 認証の設定」

IKE および IPsec 設定の概要

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA; セキュリティ アソシエーション)の自動的な確立に使用されるキー管理プロトコルです。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。

IKE プロポーザルは、2 つのピア間の IKE ネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。IKE Version 1(IKEv1; IKE バージョン 1)では、IKE プロポーザルには、単一のアルゴリズム セットと係数グループが含まれています。各ピアにおいて、複数のポリシーをプライオリティ付きで作成して、少なくとも 1 つのポリシーがリモート ピアのポリシーに一致するようにできます。IKEv1 と異なり、IKEv2 プロポーザルでは、フェーズ 1 ネゴシエーション中にピアが選択できる複数のアルゴリズムと係数グループを選択できます。これによって、単一の IKE プロポーザルの作成が可能になります(ただし、最も望ましいオプションにより高いプライオリティを設定するために、異なるプロポーザルが必要になる可能性があります)。1 つの VPN あたり複数の IKE プロポーザルを定義できます。

サイト間またはリモート アクセス VPN で通常の IPsec 接続を正常に確立するために必要な設定を定義するよう、いくつかのポリシーを設定する必要があります。次の手順には、設定を行うために必要な手順の概要が示されており、各手順の詳細情報が記載された他のトピックのリンクがあります。

関連項目

「IKE について」

「IPsec プロポーザルについて」

「サイト間 VPN での IKEv1 事前共有キー ポリシーについて」

「Public Key Infrastructure ポリシーについて」


ステップ 1 [IKE Proposal] ポリシーを設定します。

[IKE Proposal] ポリシーでは、VPN 接続の確立に使用する IKE プロポーザル ポリシー オブジェクトを定義します。IKE プロポーザル オブジェクトの定義時に、IKE ネゴシエーションの暗号化と完全性チェックに使用するアルゴリズムと、暗号化アルゴリズムの実行に使用するデフィーヘルマン グループを選択します。IKEv1 では、事前共有キーまたは公開キー インフラストラクチャのいずれを使用するかも判別しますが、IKEv2 では、IKE プロポーザルには、認証モードの指定は含まれていません。

ここでは、[IKE Proposal] ポリシーの設定方法について説明します。

「IKE プロポーザルの設定」

「[IKEv1 Proposal] ポリシー オブジェクトの設定」

「[IKEv2 Proposal] ポリシー オブジェクトの設定」

「GET VPN の IKE プロポーザルの設定」

ステップ 2 認証モード設定を行います。

IKEv1 プロポーザルで認証モードに選択した項目、および IKEv2 に使用するよう決定したモードによって、認証モード設定を行うために必要な他のポリシーが制御されます。

事前共有キー:リモート アクセス IKEv1 IPsec VPN の場合は、[Connection Profiles] ポリシーで事前共有キーを定義します。事前共有キーは、リモート アクセス VPN の IKEv2 ではサポートされません。サイト間 VPN の場合は、使用している IKE バージョンに基づいて [IKEv1 Preshared Keys] または [IKEv2 Authentication] ポリシーでキーを定義します。

ここでは、事前共有キー設定について説明します。

「[IPSec] タブ([Connection Profiles])」

「IKEv1 事前共有キー ポリシーの設定」

「サイト間 VPN での IKEv2 認証の設定」

公開キー インフラストラクチャ認証局サーバ:Certificate Authority(CA; 認証局)サーバを使用するよう IKE を設定する場合は、[Public Key Infrastructure] ポリシーを設定する必要があります。また、このポリシーを使用して、SSL VPN の公開キー インフラストラクチャを定義します。サイト間 VPN の場合は、使用している IKE バージョンに基づいて、ポリシーは [IKEv1 Public Key Infrastructure] または [IKEv2 Authentication] です。

[Public Key Infrastructure] ポリシーは、認証局サーバを識別する PKI 登録オブジェクトを特定します。サイト間 VPN の場合は、単一の PKI 登録オブジェクトを選択できます。リモート アクセス VPN の場合は、リモート アクセス接続に必要なすべてのオブジェクトを選択できます。これらのトラストポイントは、([IPsec] タブにある)リモート アクセスの [Connection Profiles] ポリシーで識別されます。

ここでは、公開キー インフラストラクチャ設定について説明します。

「Public Key Infrastructure ポリシーについて」

「サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定」

「サイト間 VPN での複数の IKEv1 CA サーバの定義」

「リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定」

「[IPSec] タブ([Connection Profiles])」

「サイト間 VPN での IKEv2 認証の設定」

ステップ 3 [IPsec Proposal] ポリシーを設定します。[IPsec Proposal] ポリシーは、VPN のセキュアな IPsec トンネルを作成するために使用される IPsec トランスフォーム セット ポリシー オブジェクトを定義します。

ここでは、[IPsec Proposal] ポリシーの設定方法について説明します。

「サイト間 VPN での IPsec プロポーザルの設定」

「サイト間 VPN におけるデバイスの IKE バージョンの選択」

「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」

「Easy VPN での IPsec プロポーザルの設定」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(IOS、PIX 6.3 デバイス)」

ステップ 4 [Global Settings] ポリシーを設定します。

[Global Settings](リモート アクセス)および [VPN Global Settings](サイト間)ポリシーは、さまざまな ISAKMP、IKEv1、IKEv2、IPsec、NAT、フラグメンテーション、およびその他の設定を定義します。これらの設定には、多くの場合適切であるデフォルト値があるため、通常はデフォルト以外の動作が必要なときにかぎり [Global Settings] ポリシーを設定する必要があります。ただし、リモート アクセス IKEv2 IPsec VPN ではポリシーを設定する必要があります。これは、[IKEv2 Settings] タブでリモート アクセス グローバル トラストポイントを指定する必要があるためです。

ここでは、[Global Settings] ポリシーの設定方法について説明します。

「VPN グローバル設定」

「VPN グローバル ISAKMP/IPsec 設定」

「VPN グローバル IKEv2 設定」

「VPN グローバル NAT 設定」

「VPN グローバル一般設定」

「GET VPN のグローバル設定」

ステップ 5 リモート アクセス IKEv2 IPsec VPN を設定する場合は、SSL VPN のいくつかのポリシーも設定する必要があります。IKEv2 は、SSL VPN といくつかの設定を共有します。設定する必要があるその他のポリシーについては、「Remote Access VPN Configuration ウィザードを使用した IPSec VPN の作成(ASA および PIX 7.0 以降のデバイス)」を参照してください。


 

IKE バージョン 1 と 2 の比較

IKE には、バージョン 1(IKEv1)とバージョン 2(IKEv2)の 2 つのバージョンがあります。IKEv2 をサポートするデバイスで IKE を設定する場合は、いずれかのバージョンを単独で設定するか、両方のバージョンを一緒に設定するかを選択できます。デバイスが別のピアとの接続のネゴシエーションを試行する場合は、ユーザが許可したバージョンか、他のピアが受け入れるバージョンのどちらでも使用されます。両方のバージョンを許可すると、最初に選択したバージョン(IKEv2 は、設定されている場合は常に最初に試行されます)とのネゴシエーションが正常に行われなかった場合に、デバイスは他のバージョンに自動的にフォールバックします。ネゴシエーションで使用するには、両方のピアが IKEv2 をサポートする必要があります。


ヒント Security Manager は、ASA 8.4(1)+ だけで IKEv2 をサポートします。リモート アクセス IPsec VPN では、ユーザは AnyConnect 3.0+ クライアントを使用して、IKEv2 接続を実行する必要があり、IKEv2 接続は、SSL VPN 接続に使用される同じライセンス プールを使用します。ASA での IKEv1 リモート アクセス接続には従来の VPN クライアントが使用されます。VPN でのデバイス サポートの詳細については、「各 IPsec テクノロジーでサポートされるデバイスについて」を参照してください。

IKEv2 は、次の方法で IKEv1 とは異なります。

IKEv2 は、Photuris スタイルのクッキー メカニズムを修正します。

IKEv2 では、IKEv1 よりも少ないラウンドトリップが行われます(基本的な交換では、IKEv1 の場合の 5 回に対して 2 回のラウンドトリップ)。

トランスフォーム オプションは論理和演算されます。これは、許可される組み合わせごとに別個の固有のプロポーザルを作成するのではなく、単一のプロポーザルで複数のオプションを指定できることを意味します。

組み込みの Dead Peer Detection(DPD; デッドピア検知)。

組み込みの設定ペイロードとユーザ認証モード。

組み込みの NAT Traversal(NAT-T; NAT 通過)。IKEv2 は、NAT-T にポート 500 と 4500 を使用します。

向上したキーの再生成とコリジョン処理。

単一の Security Association(SA; セキュリティ アソシエーション)は複数のサブネットを保護でき、これによってスケーラビリティが向上します。

サイト間 VPN での非対称認証。トンネルのそれぞれの側に、異なる事前共有キーと異なる証明書を設定するか、片側にキー、もう片側に証明書を設定できます。

リモート アクセス IPsec VPN では、リモート アクセス SSL VPN に対して設定する場合と同じ方法で IKEv2 接続に二重認証を設定できます。IKEv1 は二重認証をサポートしません。

関連項目

「IKE および IPsec 設定の概要」

「IKE プロポーザルの設定」

IKE について

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)は、Internet Security Association and Key Management Protocol(ISAKMP)とも呼ばれ、2 つのホストが IPsec Security Association(SA; セキュリティ アソシエーション)の構築方法に合意するためのネゴシエーション プロトコルです。これは、SA 属性のフォーマットに合意するための共通のフレームワークを提供します。これには、SA に関するピアとのネゴシエーション、および SA の変更または削除が含まれます。IKE は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーションの自動確立に使用される暗号キーを作成します。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートして、ピアがフェーズ 2 で安全に通信できるようにする最初のトンネルを作成し、その後の ISAKMP ネゴシエーション メッセージを保護します。フェーズ 2 のネゴシエーション中に、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。これによって、ピア間で送信されるデータが保護されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。

IKE プロポーザルは、2 つのピア間の IKE ネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。リモート アクセス IPsec VPN では、VPN ごとにいくつかの IKE プロポーザルを定義して、各ピアにおいて、複数のポリシーをプライオリティ付きで作成して、少なくとも 1 つのポリシーがリモート ピアのポリシーと一致するようにできます。サイト間 VPN では、単一の IKE プロポーザルを作成できます。

IKE プロポーザルを定義するには、次の内容を指定する必要があります。

一意のプライオリティ(1 ~ 65,543、1 が最高のプライオリティ)。

データを保護して、プライバシーを確保するための IKE ネゴシエーション用の暗号化方式。「使用する暗号化アルゴリズムの決定」を参照してください。

送信者を特定し、搬送中にメッセージが変更されていないことを保証する Hashed Message Authentication Code(HMAC)方式(IKEv2 では 整合性アルゴリズム と呼ばれます)。「使用するハッシュ アルゴリズムの決定」を参照してください。

IKEv2 では、別個の Pseudo-Random Function(PRF; 疑似乱数関数)をアルゴリズムとして使用して、IKEv2 トンネルの暗号化に必要なキー関連情報とハッシュ操作を取得していました。オプションは、ハッシュ アルゴリズムに使用されるものと同じです。「使用するハッシュ アルゴリズムの決定」を参照してください。

暗号キー決定アルゴリズムの強度を決定するデフィーヘルマン グループ。デバイスは、このアルゴリズムを使用して、暗号キーとハッシュ キーを導出します。「使用するデフィーヘルマン係数グループの決定」を参照してください。

ピアの ID を確認する認証方式。「使用する認証方式の決定」を参照してください。

デバイスがこの暗号キーを使用する時間の制限。この時間が経過すると暗号キーを置き換えます。


ヒント (ASA デバイスだけ)IKEv1 ポリシーを使用して、パラメータごとに 1 つの値を設定します。IKEv2 では、複数の暗号化、整合性、PRF、およびデフィーヘルマン オプションを設定できます。ASA は、設定をセキュア度が最も高いものから最も低いものに並べ替え、その順序を使用してピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを送信することなく、許可されるすべてのトランスフォームを伝送するために単一のプロポーザルを送信できます。

IKE ネゴシエーションが開始されると、ネゴシエーションを開始するピアがそのポリシーすべてをリモート ピアに送信します。リモート ピアは、一致するポリシーがないかどうか、所有するポリシーをプライオリティ順に検索します。

暗号化、ハッシュ(IKEv2 の整合性と PRF)、認証、およびデフィーヘルマンの値が同じで、SA ライフタイムが送信されたポリシーのライフタイム以下の場合には、IKE ポリシー間に一致が存在します。ライフタイムが等しくない場合は、(リモート ピア ポリシーからの)短い方のライフタイムが適用されます。一致するポリシーがない場合、IKE はネゴシエーションを拒否し、IKE SA は確立されません。

ここでは、IKE プロポーザルの設定方法について説明します。

「IKE プロポーザルの設定」

「[IKEv1 Proposal] ポリシー オブジェクトの設定」

「[IKEv2 Proposal] ポリシー オブジェクトの設定」

「GET VPN の IKE プロポーザルの設定」

使用する暗号化アルゴリズムの決定

IKE プロポーザルで使用する暗号化およびハッシュ アルゴリズムを決定する場合、VPN 内のデバイスによってサポートされているアルゴリズムだけを選択できます。

次の暗号化アルゴリズムから選択できます。

Data Encryption Standard(DES; データ暗号規格)は、対称秘密キー ブロック アルゴリズムです。3DES よりも高速であり、使用するシステム リソースも少ないですが、安全性も劣ります。堅牢なデータ機密保持が必要ない場合、およびシステム リソースや速度が重要である場合には、DES を選択します。

3DES(トリプル DES)では、毎回異なるキーを使用して各データ ブロックを 3 回処理するため、より安全です。ただし、使用するシステム リソースが多くなり、DES よりも速度が遅くなります。デバイスでサポートされている場合には、3DES 暗号化アルゴリズムを使用することを推奨します。

Advanced Encryption Standard(AES; 高度暗号化規格)は DES よりも安全であり、3DES よりも効率的に計算できます。AES には、128 ビット、192 ビット、256 ビットの 3 種類のキー強度が用意されています。キーが長いほど安全になりますが、パフォーマンスは低下します。ルータで IKE を設定するには、AES を使用するために Cisco IOS ソフトウェア 12.3T 以降をルータで使用する必要があります。


) AES は、ハードウェア暗号化カードとともに使用することはできません。


関連項目

「IKE について」

「IKE プロポーザルの設定」

使用するハッシュ アルゴリズムの決定

次のハッシュ アルゴリズムから選択できます。IKEv2 では、ハッシュ アルゴリズムは 2 つのオプション(整合性アルゴリズム用に 1 つと Pseudo-Random Function(PRF; 疑似乱数関数)用に 1 つ)に分かれています。

Secure Hash Algorithm(SHA; セキュア ハッシュ アルゴリズム)には、総当たり攻撃に対して、MD5 よりも高い耐性が備えられています。ただし、MD5 よりも多くのリソースを使用します。最高レベルのセキュリティが必要な実装では、SHA ハッシュ アルゴリズムを使用します。

標準の SHA では、160 ビットのダイジェストが生成されます。

よりセキュアな次のオプションは、ASA 8.4(2+) デバイスの IKEv2 設定で使用できます。

SHA512:512 ビット キー

SHA384:384 ビット キー

SHA256:256 ビット キー

MD5(Message Digest 5)では、128 ビットのダイジェストが生成され、SHA よりも処理時間が短く、全体的に高いパフォーマンスを発揮しますが、SHA よりもセキュリティ面で弱くなります。

関連項目

「IKE について」

「IKE プロポーザルの設定」

使用するデフィーヘルマン係数グループの決定

Security Manager では、IPsec Security Association(SA; セキュリティ アソシエーション)キーを生成するための次の Diffie-Hellman キー導出アルゴリズムがサポートされています。各グループでは、異なるサイズの係数が使用されます。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。両方のピアに、一致する係数グループが存在する必要があります。


ヒント AES 暗号化を選択する場合は、AES で必要な大きいキー サイズをサポートするために、ISAKMP ネゴシエーションで Diffie-Hellman(DH; デフィーヘルマン)グループ 5 以降を使用する必要があります。ASA デバイスでは、グループ 1、2、および 5 だけがサポートされます。これらのグループは、IKEv2 だけで使用できるグループです。

Diffie-Hellman グループ 1:768 ビットの係数。768 ビットの素数およびジェネレータ数を使用して IPsec SA キーを生成する場合に使用します。

Diffie-Hellman グループ 2:1024 ビットの係数。1024 ビットの素数およびジェネレータ数を使用して IPsec SA キーを生成する場合に使用します。Cisco VPN クライアント バージョン 3.x 以降では、少なくともグループ 2 が必要です

Diffie-Hellman グループ 5:1536 ビットの係数。2048 ビットの素数およびジェネレータ数を使用して IPsec SA キーを生成する場合に使用します。128 ビットのキーでは十分な保護レベルですが、グループ 14 の方がより安全です。

Diffie-Hellman グループ 7:163 文字の楕円曲線フィールド サイズを使用して IPsec SA キーを生成する場合に使用します。グループ 7 は、VPNSM または VPN SPA が設定された Catalyst 6500/7600 デバイスではサポートされていません。

Diffie-Hellman グループ 14:2048 ビットの係数。128 ビットのキーでは十分な保護レベルです。

Diffie-Hellman グループ 15:3072 ビットの係数。192 ビットのキーでは十分な保護レベルです。

Diffie-Hellman グループ 16:4096 ビットの係数。256 ビットのキーでは十分な保護レベルです。

関連項目

「IKE について」

「IKE プロポーザルの設定」

使用する認証方式の決定

Security Manager では、VPN 通信でのピア デバイス認証において 2 つの方式がサポートされています。

事前共有キー :事前共有キーを使用すると、秘密キーを 2 つのピア間で共有したり、認証フェーズ中に IKE で使用したりできます。各ピアに同じ共有キーを設定する必要があります。同じキーが設定されていない場合は、IKE SA を確立できません。

このデバイス認証方式を使用して IKE を正常に使用するには、さまざまな事前共有キー パラメータを定義する必要があります。詳細については、次の適切なトピックを参照してください。

サイト間 VPN、IKEv1 設定:「IKEv1 事前共有キー ポリシーの設定」を参照してください。

サイト間 VPN、IKEv2 設定:「サイト間 VPN での IKEv2 認証の設定」を参照してください。

リモート アクセス IPsec VPN、IKEv1:接続プロファイルの [IPsec] タブで設定されています。「[IPSec] タブ([Connection Profiles])」を参照してください。

リモート アクセス IPsec VPN、IKEv2:リモート アクセス IPSec VPN で IKEv2 を使用する場合は、事前共有キーを使用できません。証明書を使用する必要があります。

証明書 :IKE キー管理メッセージを署名および暗号化するために、RSA キー ペアが使用される認証方式。証明書によって、2 つのピア間の通信の否認防止が提供されます。つまり、実際に通信が行われたことを証明できます。この認証方式を使用する場合は、Certification Authority(CA; 認証局)からデジタル証明書を取得するようにピアを設定します。CA は、証明書要求を管理して、参加する IPsec ネットワーク デバイスに証明書を発行します。これらのサービスによって、参加するデバイスに対して集中型のキー管理が提供されます。

事前共有キーを使用した場合のスケーラビリティは高くありませんが、CA を使用することによって、IPsec ネットワークを容易に管理できるようになり、スケーラビリティが高まります。CA を使用する場合は、すべての暗号化デバイス間でキーを設定する必要がありません。代わりに、参加する各デバイスは CA に登録され、CA に対して証明書を要求します。自身の証明書と CA の公開キーを持つ各デバイスは、その CA のドメイン内にある他のすべてのデバイスを認証できます。

証明書認証方式を使用して IKE を正常に使用するには、CA 認証および登録用のパラメータを定義する必要があります。詳細については、次の適切なトピックを参照してください。

サイト間 VPN、IKEv1 設定:「Public Key Infrastructure ポリシーについて」を参照してください。

サイト間 VPN、IKEv2 設定:「サイト間 VPN での IKEv2 認証の設定」

リモート アクセス IPsec VPN、IKEv1:「[IPSec] タブ([Connection Profiles])」で説明されているように、接続プロファイルの [IPsec] タブで設定されています。同じトラストポイントを使用して、公開キー インフラストラクチャ ポリシーも設定する必要があります。「Public Key Infrastructure ポリシーについて」を参照してください。

リモート アクセス IPsec VPN、IKEv2:「VPN グローバル IKEv2 設定」で説明されているように、[Global Settings] ポリシーの [IKEv2 Settings] タブでグローバル トラストポイントを設定します。同じトラストポイントを使用して、公開キー インフラストラクチャ ポリシーも設定する必要があります。「Public Key Infrastructure ポリシーについて」を参照してください。

関連項目

「IKE について」

「IKE プロポーザルの設定」

IKE プロポーザルの設定

Security Manager では、サイト間またはリモート アクセス IPsec VPN を設定する場合は、IKE プロポーザルは必須ポリシーです。設定ウィザードを使用して、新しい IPsec VPN を作成する場合は、[IKE Proposal] ポリシーは VPN に自動的に割り当てられます。ポリシーは出荷時のデフォルトであるか、VPN 専用に選択された共有ポリシーです。Internet Key Exchange(IKE; インターネット キー エクスチェンジ)キー管理プロトコルの詳細については、「IKE について」を参照してください。

[IKE Proposal] ポリシーを使用して、現在の IKE プロポーザルを調べて、GET VPN トポロジを除く新しいプロポーザルを設定します。GET VPN については、「GET VPN の IKE プロポーザルの設定」を参照してください。

ヒント

サイト間 VPN では、IKE バージョンごとに最大 1 つの IKE プロポーザルを選択できます。リモート アクセス IPsec VPN では、IKE バージョンごとに複数のプロポーザルを選択できます。リモート アクセス VPN で許可されるすべての IKE プロポーザルを選択します。

IKEv2(バージョン 2)を設定するには、デバイスは、ASA ソフトウェア リリース 8.4(1) 以降が実行されている ASA でなければなりません。

[IPsec Proposal] ポリシーでは、IKEv1、IKEv2、または両方が、このポリシーで設定する IKE プロポーザルと一致する必要があります。IPsec プロポーザルで IKEv2 を設定できない場合は、Easy VPN トポロジなどでは IKEv2 はサポートされません。詳細については、「IPsec プロポーザルについて」を参照してください。

[IKEv1 Proposal] オブジェクトでは、認証に事前共有キーと証明書のいずれを使用するのかを指定します。事前共有キーまたは公開キー インフラストラクチャ設定を行うには、適切なポリシーを設定する必要があります。IKEv2 では、オブジェクトでは、事前共有キーまたは証明書のいずれを使用するのかは指定しませんが、他のポリシーでは認証要件を定義する必要があります。詳細については、「使用する認証方式の決定」を参照してください。

関連項目

「使用するハッシュ アルゴリズムの決定」

「使用するデフィーヘルマン係数グループの決定」

「使用する認証方式の決定」


ステップ 1 設定する VPN のタイプに基づいて [IKE Proposal] ポリシーを開くには、次のいずれかを実行します。

リモート アクセス VPN の場合は、次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから、[Remote Access VPN] > [IPSec VPN] > [IKE Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Remote Access VPN] > [IPSec VPN] > [IKE Proposal] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

サイト間 VPN の場合は、次のいずれかを実行します。

「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタでトポロジ(GET VPN 以外)を選択して、ポリシー セレクタで [IKE Proposal] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [IKE Proposal] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

ステップ 2 [IKEv1 Proposals] と [IKEv2 Proposals] の各フィールドで、[Select] をクリックして、IKE バージョン 1 またはバージョン 2 プロポーザルの設定を定義するポリシー オブジェクトを選択します。VPN でサポートされる IKE バージョンのプロポーザルだけを設定します。

サイト間 VPN の IKE プロポーザルを選択するには、使用可能なプロポーザル リストで単に強調表示します。リモート アクセス IPsec VPN では、使用可能なプロポーザル リストで必要なオブジェクトを強調表示して、[>>] をクリックして選択したプロポーザル リストに移動します。

リモート アクセス IPsec VPN の IKE プロポーザルを削除するには、選択したプロポーザル リストで強調表示して、[<<] をクリックして使用可能なプロポーザル リストに移動します。

新しい IKE プロポーザルを作成するには、使用可能なプロポーザル リストの下にある [Create](+)ボタンをクリックします。[Add IKEv1 or IKEv2 Proposal] ダイアログボックスが開きます。オブジェクトの作成手順については、次のトピックを参照してください。

「[IKEv1 Proposal] ポリシー オブジェクトの設定」

「[IKEv2 Proposal] ポリシー オブジェクトの設定」

オブジェクトを編集するか、その設定を表示するには、そのオブジェクトを選択して、リストの下にある [Edit](鉛筆)ボタンをクリックします。


 

[IKEv1 Proposal] ポリシー オブジェクトの設定

[IKEv1 Proposal] ダイアログボックスを使用して、IKEv1 プロポーザル オブジェクトを作成、コピー、および編集します。

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)バージョン 1 プロポーザル オブジェクトには、リモート アクセス VPN ポリシーおよびサイト間 VPN ポリシーを定義する場合に IKE1 プロポーザルに必要となるパラメータが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA; セキュリティ アソシエーション)の自動確立に使用されます。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーション中に、IKE は、他のアプリケーション(IPsec など)用の Security Association(SA; セキュリティ アソシエーション)を確立します。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKE プロポーザルの詳細については、次の項を参照してください。

「IKE および IPsec 設定の概要」

「IKE バージョン 1 と 2 の比較」

「IKE について」

「使用する暗号化アルゴリズムの決定」

「使用するハッシュ アルゴリズムの決定」

「使用するデフィーヘルマン係数グループの決定」

「使用する認証方式の決定」

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [IKE Proposals] > [IKEv1 Proposals] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。


ヒント 「IKE プロポーザルの設定」の説明に従って [IKE Proposal] ポリシーを設定する際に、このダイアログボックスにアクセスすることもできます。

関連項目

「[IKEv2 Proposal] ポリシー オブジェクトの設定」

「ポリシー オブジェクトの作成」

「[Policy Object Manager] ウィンドウ」

「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」

フィールド リファレンス

 

表 24-1 [IKEv1 Proposal] ダイアログボックス

要素
説明

Name

ポリシー オブジェクトの名前。最大 128 文字を使用できます。

Description

ポリシー オブジェクトの説明。最大 1024 文字を使用できます。

Priority

IKE プロポーザルのプライオリティ値。このプライオリティ値によって、共通の Security Association(SA; セキュリティ アソシエーション)の検出試行時に、ネゴシエートする 2 つのピアを比較することで、IKE プロポーザルの順序が決定します。リモート IPsec ピアが、最初のプライオリティ ポリシーで選択されているパラメータをサポートしていない場合、デバイスは、次に低いプライオリティ番号を持つポリシーで定義されているパラメータの使用を試行します。

有効値の範囲は 1 ~ 10000 です。値が小さいほど、プライオリティが高くなります。このフィールドをブランクのままにすると、Security Manager によって、まだ割り当てられていない最も小さい値が割り当てられます。値は 1 から始まり、次は 5 となり、その後は 5 ずつ増加します。

Encryption Algorithm

フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 SA の確立に使用される暗号化アルゴリズム:

[AES-128]:128 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[AES-192]:192 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[AES-256]:256 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[DES]:56 ビット キーを使用するデータ暗号規格に従って暗号化を実行します。

[3DES]:56 ビット キーを使用して暗号化を 3 回実行します。3DES は DES よりも強力なセキュリティを確保しますが、暗号化と復号化に多くの処理を必要とします。AES に比べるとセキュリティは低くなります。このオプションを使用するには 3DES のライセンスが必要です。

Hash Algorithm

IKE プロポーザルで使用されるハッシュ アルゴリズム。このハッシュ アルゴリズムによって、メッセージの整合性の確保に使用されるメッセージ ダイジェストが作成されます。次のオプションがあります。

[SHA (Secure Hash Algorithm)]:160 ビットのダイジェストを生成します。SHA には、総当たり攻撃に対して、MD5 よりも高い耐性が備えられています。

[MD5 (Message Digest 5)]:128 ビットのダイジェストを生成します。MD5 では、処理時間が SHA よりも少なくなります。

Modulus Group

2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほど、セキュリティが高くなりますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。次のオプションがあります。

[1]:Diffie-Hellman グループ 1(768 ビット係数)。

[2]:Diffie-Hellman グループ 2(1024 ビット係数)。

[5]:Diffie-Hellman グループ 5(1536 ビット係数。128 ビット キーの保護に推奨されるが、グループ 14 の方がより強力)。AES 暗号化を使用する場合は、このグループ(またはそれ以上)を使用します。ASA では、最上のグループとしてこのグループがサポートされます。

[7]:Diffie-Hellman グループ 7(163 ビットの楕円曲線フィールド サイズ)。

[14]:Diffie-Hellman グループ 14(2048 ビット係数。128 ビット キーの保護に推奨される)。

[15]:Diffie-Hellman グループ 15(3072 ビット係数。192 ビット キーの保護に推奨される)。

[16]:Diffie-Hellman グループ 16(4096 ビット係数。256 ビット キーの保護に推奨される)。

Lifetime

Security Association(SA; セキュリティ アソシエーション)のライフタイム(秒数)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエートを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。

60 ~ 2147483647 秒の値を指定できます。デフォルトは 86400 です。

Authentication Method

2 つのピア間で使用する認証方式。設定する必要があるその他のポリシーをこの選択で判別する方法については、「使用する認証方式の決定」を参照してください。次のいずれかを選択します。

事前共有キー:事前共有キーを使用すると、秘密キーを 2 つのピア間で共有したり、認証フェーズ中に IKE で使用したりできます。参加ピアの 1 つに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。

証明書:IKE キー管理メッセージを署名および暗号化するために、RSA キー ペアが使用される認証方式。この方式によって、2 つのピア間の通信の否認防止が提供されます。つまり、実際に通信が行われたことが証明されます。この認証方式を使用すると、ピアは、Certification Authority(CA; 証明局)からデジタル証明書を取得するように設定されます。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[IKEv2 Proposal] ポリシー オブジェクトの設定

[IKEv2 Proposal] ダイアログボックスを使用して、IKEv2 プロポーザル オブジェクトを作成、コピー、および編集します。IKEv2 プロポーザルは、ASA ソフトウェア リリース 8.4(1)+ だけで使用できます。

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)バージョン 2 プロポーザル オブジェクトには、リモート アクセス VPN ポリシーおよびサイト間 VPN ポリシーを定義する場合に IKEv2 プロポーザルに必要となるパラメータが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA; セキュリティ アソシエーション)の自動確立に使用されます。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーション中に、IKE は、他のアプリケーション(IPsec など)用の Security Association(SA; セキュリティ アソシエーション)を確立します。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKEv1 とは異なり、IKEv2 プロポーザルでは、ピアがフェーズ 1 ネゴシエーション中に選択できる複数のアルゴリズムと係数グループを選択できます。IKE プロポーザルの詳細については、次の項を参照してください。

「IKE および IPsec 設定の概要」

「IKE バージョン 1 と 2 の比較」

「IKE について」

「使用する暗号化アルゴリズムの決定」

「使用するハッシュ アルゴリズムの決定」

「使用するデフィーヘルマン係数グループの決定」


ヒント IKEv1 とは異なり、IKE プロポーザルで認証方式を指定しません。IKEv2 での認証方式の設定方法に関する詳細については、「使用する認証方式の決定」を参照してください。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [IKE Proposals] > [IKEv2 Proposals] を選択します。作業領域内を右クリックしてから [New Object] を選択するか、行を右クリックしてから [Edit Object] を選択します。


ヒント 「IKE プロポーザルの設定」の説明に従って [IKE Proposal] ポリシーを設定する際に、このダイアログボックスにアクセスすることもできます。

関連項目

「[IKEv1 Proposal] ポリシー オブジェクトの設定」

「ポリシー オブジェクトの作成」

「[Policy Object Manager] ウィンドウ」

「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」

フィールド リファレンス

 

表 24-2 [IKEv2 Proposal] ダイアログボックス

要素
説明

Name

ポリシー オブジェクトの名前。最大 128 文字を使用できます。

Description

ポリシー オブジェクトの説明。最大 1024 文字を使用できます。

Priority

IKE プロポーザルのプライオリティ値。このプライオリティ値によって、共通の Security Association(SA; セキュリティ アソシエーション)の検出試行時に、ネゴシエートする 2 つのピアを比較することで、IKE プロポーザルの順序が決定します。リモート IPsec ピアが、最初のプライオリティ ポリシーで選択されているパラメータをサポートしていない場合、デバイスは、次に低いプライオリティ番号を持つポリシーで定義されているパラメータの使用を試行します。

有効な値の範囲は 1 ~ 65535 です。値が小さいほど、プライオリティが高くなります。このフィールドをブランクのままにすると、Security Manager によって、まだ割り当てられていない最も小さい値が割り当てられます。値は 1 から始まり、次は 5 となり、その後は 5 ずつ増加します。

Encryption Algorithm

フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 SA の確立に使用される暗号化アルゴリズム。[Select] をクリックして、VPN で許可するすべてのアルゴリズムを選択します。

[AES]:128 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[AES-192]:192 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[AES-256]:256 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[DES]:56 ビット キーを使用するデータ暗号規格に従って暗号化を実行します。

[3DES]:56 ビット キーを使用して暗号化を 3 回実行します。3DES は DES よりも強力なセキュリティを確保しますが、暗号化と復号化に多くの処理を必要とします。AES に比べるとセキュリティは低くなります。このオプションを使用するには 3DES のライセンスが必要です。

[Null]:暗号化アルゴリズムなし。

Integrity (Hash) Algorithm

IKE プロポーザルで使用するハッシュ アルゴリズムの整合性部分。このハッシュ アルゴリズムによって、メッセージの整合性の確保に使用されるメッセージ ダイジェストが作成されます。[Select] をクリックして、VPN で許可するすべてのアルゴリズムを選択します。

Secure Hash Algorithm(SHA; セキュア ハッシュ アルゴリズム):SHA には、総当たり攻撃に対して、MD5 よりも高い耐性が備えられています。

標準の SHA では、160 ビットのダイジェストが生成されます。

よりセキュアな次のオプションは、ASA 8.4(2+) デバイスの IKEv2 設定で使用できます。

SHA512:512 ビット キー

SHA384:384 ビット キー

SHA256:256 ビット キー

[MD5 (Message Digest 5)]:128 ビットのダイジェストを生成します。MD5 では、処理時間が SHA よりも少なくなります。

Prf Algorithm

IKE プロポーザルで使用するハッシュ アルゴリズムの Pseudo-Random Function(PRF; 疑似乱数関数)部分。IKEv1 では、整合性と PRF アルゴリズムは別ですが、IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。[Select] をクリックして、VPN で許可するすべてのアルゴリズムを選択します。オプションについては、上記の整合性アルゴリズムを参照してください。

Modulus Group

2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほど、セキュリティが高くなりますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。[Select] をクリックして、VPN で許可するすべてのグループを選択します。

[1]:Diffie-Hellman グループ 1(768 ビット係数)。

[2]:Diffie-Hellman グループ 2(1024 ビット係数)。これは、推奨される最小設定です。

[5]:Diffie-Hellman グループ 5(1536 ビット係数。128 ビット キーの保護に推奨される)。AES 暗号化を使用する場合は、このオプションを選択します。

Lifetime

Security Association(SA; セキュリティ アソシエーション)のライフタイム(秒数)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエートを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。

120 ~ 2147483647 秒の値を指定できます。デフォルトは 86400 です。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

IPsec プロポーザルについて

IPsec は、VPN を設定する場合の最も安全な方法の 1 つです。IPsec では、IP パケット レベルでのデータ暗号化が提供され、標準規格に準拠した堅牢なセキュリティ ソリューションが提供されます。IPsec では、データはトンネルを介してパブリック ネットワーク経由で送信されます。トンネルは、2 つのピア間のセキュアな論理通信パスです。ピアは、サイト間 VPN 内のデバイスまたはリモート アクセス IPsec VPN 内のデバイスとユーザが考えられます。IPsec トンネルを通過するトラフィックは、トランスフォーム セットと呼ばれるセキュリティ プロトコルとアルゴリズムの組み合わせによって保護されます。

IPsec プロポーザルは、「IKE について」で説明されているように、IKE ネゴシエーションのフェーズ 2 で使用されます。プロポーザルの特定のコンテンツは、トポロジ タイプ(サイト間またはリモート アクセス)とデバイス タイプによって異なりますが、プロポーザルは大まかには似ていて、IPsec トランスフォーム セットなど、同じ要素を多数含んでいます。

次の項では、IPsec プロポーザルの概念と手順についてより詳細に説明します。

「サイト間 VPN の IPsec プロポーザルについて」

「クリプト マップについて」

「トランスフォーム セットの概要」

「逆ルート注入について」

「サイト間 VPN での IPsec プロポーザルの設定」

「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」

「Easy VPN での IPsec プロポーザルの設定」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(IOS、PIX 6.3 デバイス)」

サイト間 VPN の IPsec プロポーザルについて

IPsec は、VPN を設定する場合の最も安全な方法の 1 つです。IPsec では、IP パケット レベルでのデータ暗号化が提供され、標準規格に準拠した堅牢なセキュリティ ソリューションが提供されます。基本 IPsec 設定では、ルーティング プロトコルを使用できません。作成されるポリシーは、基本 IPsec のプロビジョニングに使用されます。基本 IPsec は、Cisco IOS ルータ、PIX ファイアウォール、Catalyst VPN サービス モジュール、および Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)デバイスに設定できます。

IPsec では、データはトンネルを介してパブリック ネットワーク経由で送信されます。トンネルとは、2 つのピア間のセキュアで論理的な通信パスです。IPsec トンネルを通過するトラフィックは、トランスフォーム セットと呼ばれるセキュリティ プロトコルとアルゴリズムの組み合わせによって保護されます。

Security Manager では、[IPsec Proposal] ポリシーを使用して、IPsec トンネルに必要な設定を定義します。IPsec プロポーザルとは、デバイスの VPN インターフェイスに適用される 1 つ以上のクリプト マップの集合です。クリプト マップには、トランスフォーム セットを含む、IPsec セキュリティ アソシエーションを設定するために必要なすべてのコンポーネントが含まれています。クリプト マップでは、Reverse Route Injection(RRI; 逆ルート注入)を設定することもできます。

詳細については、次の項を参照してください。

「クリプト マップについて」

「トランスフォーム セットの概要」

「逆ルート注入について」

関連項目

「サイト間 VPN での IPsec プロポーザルの設定」

クリプト マップについて

クリプト マップには、IPsec ルール、トランスフォーム セット、リモート ピア、および IPsec SA を定義するために必要なその他のパラメータを含む、IPsec Security Associations(SA; セキュリティ アソシエーション)を設定するために必要なすべてのコンポーネントが組み合わされています。クリプト マップ エントリは、一連の CLI コマンドに名前が付けられた形式になっています。同じクリプト マップ名および異なるマップ シーケンス番号を持つ複数のクリプト マップ エントリは、1 つのクリプト マップ セットにグループ化されて、関連するデバイスの VPN インターフェイスに適用されます。インターフェイスを通過するすべての IP トラフィックは、適用されたクリプト マップ セットに対して評価されます。

2 つのピアが SA を確立しようとする場合は、それぞれに少なくとも 1 つの互換クリプト マップ エントリが必要です。クリプト マップ エントリに定義されたトランスフォーム セットは、そのクリプト マップの IPsec ルールによって指定されたデータ フローを保護するための IPsec セキュリティ ネゴシエーションで使用されます。

不明なリモート ピアがローカル ハブとの間の IPsec セキュリティ アソシエーションの開始を試みた場合、ダイナミック クリプト マップ ポリシーがサイト間 VPN で使用されます。ハブは、セキュリティ アソシエーション ネゴシエーションを開始できません。ダイナミック クリプト ポリシーを使用することによって、ハブがリモート ピアのアイデンティティを把握していない場合でも、リモート ピアはローカル ハブとの間で IPsec トラフィックを交換できます。ダイナミック クリプト ポリシーは、個別のハブ、またはハブを含むデバイス グループに作成できます。このポリシーは、ハブに対してだけ書き込まれ、グループにスポークが含まれていてもスポークには書き込まれません。実質的には、ダイナミック クリプト マップ ポリシーによって、すべてのパラメータが設定されていないクリプト マップ エントリが作成されます。設定されていないパラメータは、IPsec ネゴシエーションの結果として、リモート ピアの要件に合うようにあとで動的に設定されます。ダイナミック クリプト マップまたはスタティック クリプト マップのピア アドレスは、VPN トポロジから推定されます。

ダイナミック クリプト マップ ポリシーは、ハブアンドスポーク VPN 設定にだけ適用されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、スタティック クリプト マップ ポリシーだけを適用できます。


) (サイト間 VPN)エクストラネット VPN を除き、Security Manager は、トンネルのピアが Security Manager によって管理されている場合だけ、既存の VPN トンネルを管理できます。このような場合、Security Manager では、ピアにおいてトンネルに同じクリプト マップ名が使用されます。以降の展開においては、Security Manager トンネルだけが管理されます(Security Manager では、設定されたすべてのトンネルのログが保持されます)。


関連項目

「IPsec プロポーザルについて」

「トランスフォーム セットの概要」

「サイト間 VPN での IPsec プロポーザルの設定」

トランスフォーム セットの概要

トランスフォーム セットとは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルおよびアルゴリズムの組み合わせです。IPsec Security Association(SA; セキュリティ アソシエーション)ネゴシエーション中に、ピアでは、両方のピアに共通するトランスフォーム セットが検索されます。そのようなトランスフォーム セットは、検出されると適用され、そのクリプト マップのアクセス リストでデータ フローを保護する SA が作成され、VPN でトラフィックが保護されます。

IKEv1 と IKEv2 には別個の IPsec トランスフォーム セットがあります。IKEv1 トランスフォーム セットを使用して、パラメータごとに 1 つの値を設定します。IKEv2 トランスフォーム セットでは、単一のプロポーザルに複数の暗号化アルゴリズムと統合アルゴリズムを設定できます。ASA デバイスは、設定をセキュア度が最も高いものから最も低いものに並べ替え、その順序を使用してピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

1 つの IPsec プロポーザル ポリシーごとに複数のトランスフォーム セットを指定できます。スポークまたはスポークのグループに対してポリシーを定義する場合は、通常、複数のトランスフォーム セットを指定する必要はありません。これは、スポークに割り当てられたハブが、通常は、スポークがサポートするすべてのトランスフォーム セットをサポートできる、よりパフォーマンスの高いルータであるためです。ただし、ハブでダイナミック クリプトに関してポリシーを定義している場合は、ハブと不明なスポークとの間でトランスフォーム セットが一致するように、複数のトランスフォーム セットを指定する必要があります。選択したトランスフォーム セットの 2 つ以上が両方のピアでサポートされている場合は、最も高いセキュリティを提供するトランスフォーム セットが使用されます。

Security Manager には、トンネル ポリシーで使用できる定義済みのトランスフォーム セットが用意されています。独自のトランスフォーム セットを作成することもできます。詳細については、「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」を参照してください。

IKEv1 トランスフォーム セットのトンネル モードの選択

IKEv1 トランスフォーム セットを定義する場合は、使用する IPsec の動作モード(トンネル モードまたはトランスポート モード)を指定する必要があります。AH プロトコルおよび ESP プロトコルを使用して、IP ペイロード全体を保護するか(トンネル モード)、IP ペイロードの上位層プロトコルだけを保護(トランスポート モード)できます。

トンネル モード(デフォルト)では、元の IP データグラム全体が暗号化され、その暗号化されたデータが新しい IP パケットのペイロードとなります。このモードでは、ルータは IPsec プロキシとして動作できます。つまり、ルータがホストに代わって暗号化を行います。送信元のルータは、パケットを暗号化して、IPsec トンネル経由でそのパケットを転送します。宛先側のルータは、元の IP データグラムを復号化して、それを宛先システムに転送します。トンネル モードの主な利点は、終端システムを変更しなくても IPsec を利用できる点です。また、トンネル モードを使用すると、トラフィック分析に対しても保護されます。トンネル モードを使用した場合、攻撃者は、トンネルのエンドポイントだけを特定できます。トンネルを通過するパケットの送信元と宛先がトンネルのエンドポイントと同じである場合でも、攻撃者はそのパケットの実際の送信元と宛先を特定できません。

トランスポート モードでは、IP ペイロードだけが暗号化され、元の IP ヘッダーはそのまま使用されます。このモードの利点は、各パケットに追加されるのが数バイトだけである点です。また、パブリック ネットワーク上のデバイスは、パケットの実際の送信元と宛先を確認できます。ただし、IP ヘッダーがクリア テキストで渡されるため、トランスポート モードでは、攻撃者が一定のトラフィック分析を実行できます。たとえば、攻撃者は、会社の CEO がいつ他の上級役員に多くのパケットを送信したかを把握できます。ただし、攻撃者が把握できるのは、IP パケットが送信されたという事実だけです。パケットの内容は解読できません。トランスポート モードでは、フローの宛先は IPsec 終端デバイスである必要があります。


) 通常の IPsec または Easy VPN を使用して、VPN トポロジにトランスポート モードを使用することはできません。


関連項目

「IPsec プロポーザルについて」

「クリプト マップについて」

「サイト間 VPN での IPsec プロポーザルの設定」

逆ルート注入について

Reverse Route Injection(RRI; 逆ルート注入)により、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。保護されているこれらのホストおよびネットワークは、リモート プロキシ アイデンティティと呼ばれます。各ルートは、リモート プロキシ ネットワークとマスクを基にして作成され、リモート トンネル エンドポイントがこのネットワークへのネクストホップとなります。リモート VPN ルータをネクストホップとして使用することによって、トラフィックは強制的に暗号プロセスを通して暗号化されます。

VPN ルータでスタティック ルートが作成されたあと、この情報がアップストリーム デバイスに伝播されます。これにより、アップストリーム デバイスでは、IPsec 状態フローを維持するためのリターン トラフィックの送信先として適切な VPN ルータを特定できるようになります。この機能は、サイトで複数の VPN ルータを使用してロード バランシングやフェールオーバーを提供している場合や、デフォルト ルート経由でリモート VPN デバイスにアクセスできない場合に特に便利です。ルートは、グローバル ルーティング テーブルまたは適切な Virtual Routing and Forwarding(VRF)テーブルに作成されます。


) VRF 対応 IPsec が設定されている場合、Security Manager によって、High Availability(HA; ハイ アベイラビリティ)が設定されているデバイスや IPsec Aggregator に自動的に RRI が設定されます。リモート アクセス VPN 内のデバイスのクリプト マップに RRI を設定することもできます。「リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)」および「リモート アクセス VPN サーバの IPsec プロポーザルの設定(IOS、PIX 6.3 デバイス)」を参照してください。


Security Manager では、逆ルート注入を設定する場合に次のオプションを使用できます。

ダイナミック クリプト マップでは、ルートは、リモート プロキシの IPsec Security Association(SA; セキュリティ アソシエーション)が正常に確立されたときに作成されます。リモート プロキシへのネクストホップは、リモート VPN ルータ経由となります。リモート VPN ルータのアドレスは、ダイナミック クリプト マップ テンプレートの作成中に学習および適用されます。ルートは、SA が削除されたあとに削除されます。

[Remote Peer] オプション(IOS デバイスでだけ使用可能)を使用すると、リモート VPN デバイスへの明示的なネクストホップとして、インターフェイスまたはアドレスを指定できます。2 つのルートが作成されます。1 つめのルートは標準的なリモート プロキシ アイデンティティであり、ネクストホップはリモート VPN クライアントのトンネル アドレスとなります。2 つめのルートは、再帰検索において「ネクストホップ」経由でリモート エンドポイントに到達できることが強制される場合のリモート トンネル エンドポイントへの実際のルートです。実際のネクストホップ用の 2 つめのルートを作成することは、デフォルト ルートをより明示的なルートで上書きする必要がある場合に VRF 対応 IPsec で非常に重要となります。


) VPN Services Module(VPNSM; VPN サービス モジュール)を使用するデバイスでは、ネクストホップはクリプト マップが適用されるインターフェイス、サブインターフェイス、または VLAN となります。


[Remote Peer IP](IOS デバイスでだけ使用可能)の場合、ユーザ定義のネクストホップを経由したリモート プロキシへのルートが 1 つ作成されます。暗号化された発信パケットを適切に送信するために、ネクストホップを使用してデフォルト ルートを上書きできます。このオプションを使用すると、作成されるルートの数を減らすことができます。また、このオプションでは、ルート再帰を容易に使用できないプラットフォームがサポートされます。

関連項目

「IPsec プロポーザルについて」

「クリプト マップについて」

「サイト間 VPN での IPsec プロポーザルの設定」

サイト間 VPN での IPsec プロポーザルの設定

[IPsec Proposal] ページを使用して、Easy VPN トポロジを除いて、サイト間 VPN トポロジの IKE フェーズ 2 ネゴシエーション中に使用される IPsec プロポーザルを設定します。

Easy VPN トポロジで使用される IPsec プロポーザルと、リモート アクセス VPN で使用される IPsec プロポーザルは、ここで説明する基本的なサイト間プロポーザルとは大幅に異なります。これらの他のトポロジで使用される IPsec プロポーザルについては、次の項を参照してください。

「Easy VPN での IPsec プロポーザルの設定」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(IOS、PIX 6.3 デバイス)」

ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタで Easy VPN 以外のトポロジを選択して、ポリシー セレクタで [IPsec Proposal] を選択します。必要に応じて、[IPsec Proposal] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [IPsec Proposal] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

関連項目

「IKE について」

「サイト間 VPN の IPsec プロポーザルについて」

フィールド リファレンス

 

表 24-3 [IPsec Proposal] ページ、サイト間 VPN(Easy VPN を除く)

要素
説明

Crypto Map Type

(ハブアンドスポーク トポロジと完全メッシュ トポロジだけ)

クリプト マップには、IPsec Security Association(SA; セキュリティ アソシエーション)を設定するために必要なすべてのコンポーネントが組み合わされています。2 つのピアが SA を確立しようとする場合は、それぞれに少なくとも 1 つの互換クリプト マップ エントリが必要です。詳細については、「クリプト マップについて」を参照してください。

生成するクリプト マップのタイプを選択します。

[Static]:スタティック クリプト マップは、ポイントツーポイントまたは完全メッシュ VPN トポロジで使用します。

[Dynamic]:ダイナミック クリプト マップは、ハブアンドスポーク VPN トポロジでだけ使用できます。ダイナミック クリプト マップ ポリシーを使用することによって、ハブがリモート ピアのアイデンティティを把握していない場合でも、リモート ピアはローカル ハブとの間で IPsec トラフィックを交換できます。

Enable IKEv1

Enable IKEv2

IKE ネゴシエーション中に使用する IKE バージョン。IKEv2 は、ASA ソフトウェア リリース 8.4(x) だけでサポートされます。必要に応じて、いずれかまたは両方のオプションを選択します。トポロジ内のデバイスが IKEv2 をサポートしない場合は、IKEv1 を選択する必要があります。

ハブアンドスポーク トポロジまたは完全メッシュ トポロジで両方のオプションを選択すると、Security Manager は、デバイスで使用される OS のタイプとバージョンに基づいて IKE バージョンをデバイスに自動的に割り当てます。これらの割り当てを変更するには、[IKE Version] タブをクリックして、[IKEv1 Enabled Peers] または [IKEv2 Enabled Peers] の下にある [Select] ボタンをクリックして、デバイスに割り当てられているバージョンを変更します。各バージョンをサポートするデバイスだけについて割り当てを変更できます。他のデバイスは選択できません。詳細については、「サイト間 VPN におけるデバイスの IKE バージョンの選択」を参照してください。

Transform Sets

IKEv2 Transform Sets

トンネル ポリシーで使用するトランスフォーム セット。トランスフォーム セットは、トンネル内のトラフィックを保護するために使用される認証および暗号化アルゴリズムを指定します。トランスフォーム セットは、各 IKE バージョンで異なるため、サポートされているバージョンごとにオブジェクトを選択します。それぞれ最大 11 個のトランスフォーム セットを選択できます。詳細については、「トランスフォーム セットの概要」を参照してください。

選択したトランスフォーム セットの 2 つ以上が両方のピアでサポートされている場合は、最も高いセキュリティを提供するトランスフォーム セットが使用されます。

[Select] をクリックして、トポロジで使用する IPsec トランスフォーム セット ポリシー オブジェクトを選択します。必要なオブジェクトがまだ定義されていない場合、選択ダイアログボックスの使用可能なオブジェクト リストの下にある [Create](+)ボタンをクリックして、新しいオブジェクトを作成できます。詳細については、「IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定」を参照してください。

(注) IKEv1 トランスフォーム セットでは、トンネル モードまたはトランスポート モードの IPsec 動作を使用できます。ただし、IPsec または Easy VPN トポロジではトランスポート モードを使用できません。

Enable Perfect Forward Secrecy

Modulus Group

暗号化された交換ごとに一意のセッション キーを生成および使用するために、Perfect Forward Secrecy(PFS; 完全転送秘密)を使用するかどうかを指定します。一意のセッション キーを使用することによって、以降の復号化から交換が保護されます。このことは、交換全体が記録され、攻撃者がエンドポイント デバイスで使用される事前共有キーまたは秘密キーを入手している場合であっても該当します。

このオプションを選択する場合は、[Modulus Group] リストで、PFS セッション キーの生成時に使用するデフィーヘルマン キー導出アルゴリズムも選択します。オプションの説明については、「使用するデフィーヘルマン係数グループの決定」を参照してください。

Lifetime (sec)

Lifetime (kbytes)

暗号化 IPsec Security Association(SA; セキュリティ アソシエーション)のグローバルなライフタイム設定。IPsec ライフタイムは、秒、KB、またはその両方で指定できます。

[Seconds (sec)]:SA が期限切れになるまでに存続できる秒数。デフォルトは 3600 秒(1 時間)です。

[Kilobytes (kbytes)]:特定の SA が期限切れになる前にその SA を使用して IPsec ピア間を通過できるトラフィック量(KB 単位)。有効な値は、デバイス タイプに応じて異なります。入力できる値の範囲は、IOS ルータでは 10 ~ 2147483647、ASA/PIX7.0+ デバイスでは 2560 ~ 536870912 です。

デフォルト値は 4,608,000 KB です。

QoS Preclassify

7600 デバイスを除く Cisco IOS ルータでサポートされます。

選択されている場合、トンネリングおよび暗号化実行前にパケットを分類できます。

VPN の Quality of Service(QoS)機能を使用すると、インターフェイスで Cisco IOS QoS サービスとトンネリングおよび暗号化を同時に実行できます。出力インターフェイスの QoS 機能によって、データが暗号化およびトンネリングされる前にパケットが分類されて、適切な QoS サービスが適用されます。これにより、輻輳した環境でのトラフィック フローの調整が可能となり、より効率的なパケットのトンネリングを実現できます。

Reverse Route

ASA デバイス、PIX 7.0+ デバイス、および 7600 デバイス以外の Cisco IOS ルータでサポートされます。

Reverse Route Injection(RRI; 逆ルート注入)により、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。詳細については、「逆ルート注入について」を参照してください。

次のいずれかのオプションを選択して、クリプト マップで RRI を設定します。

[None]:クリプト マップで RRI の設定をディセーブルにします。

[Standard](ASA、PIX 7.0+、IOS デバイス):クリプト マップ Access Control List(ACL; アクセス コントロール リスト)に定義された宛先情報に基づいてルートを作成します。これはデフォルトのオプションです。

[Remote Peer](IOS デバイスだけ):リモート エンドポイント用に 1 つ、クリプト マップが適用されるインターフェイス経由でのリモート エンドポイントへのルート再帰用に 1 つ、合計 2 つのルートを作成します。

[Remote Peer IP](IOS デバイスだけ):アドレスをリモート VPN デバイスへの明示的なネクストホップとして指定します。IP アドレス、またはアドレスを指定するネットワーク/ホスト オブジェクトを入力します。あるいは、[Select] をクリックして、リストからネットワーク/ホスト オブジェクトを選択するか、または新しいオブジェクトを作成します。

オプションを選択して、必要に応じて、このオブジェクトを使用する特定のデバイスの IP アドレスを上書きできます。

サイト間 VPN におけるデバイスの IKE バージョンの選択

[IPsec Proposal] ページで [IKE Version] タブを使用して、ハブアンドスポークまたは完全メッシュ サイト間 VPN でデバイスごとに使用する IKE のバージョンを選択します。このタブは、Site-to-Site VPN Manager だけで表示されます。ポリシー ビューではオプションを設定できません。これらのオプションは、VPN トポロジ内の実際のデバイスに固有であるためです。

[IKE Version] タブには、[IKEv1 Enabled Peers] と [IKEv2 Enabled Peers] の 2 つのリストが含まれています。「サイト間 VPN での IPsec プロポーザルの設定」の説明に従って IPsec プロポーザルを設定する際に、VPN で許可する IKE バージョン(バージョン 1、バージョン 2、または両方)を選択します。Security Manager は、デバイスによって使用される OS バージョンに基づいてデバイスに使用する IKE バージョンを自動的に選択します。たとえば、IOS ルータは、[IKEv1 Enabled Peers] リストに常に表示されます。デバイスで IKEv1 と IKEv2 の両方がサポートされる場合は、両方のリストに表示されます。

選択を変更する必要があるのは、VPN で両方の IKE バージョンを許可していて、一部の IKEv2 対応デバイスがいずれかの IKE バージョンを使用するのを明示的に防止する場合だけです。

デバイスで許可する IKE バージョンを変更するには、デバイスを削除する(または以前に削除したデバイスを追加する)リストの下にある [Select] ボタンをクリックします。次の作業を行うことができる選択ダイアログボックスが開きます(選択を確認するには、[OK] をクリックします)。

デバイスを削除して、IKE バージョンを使用できなくするには、[Selected Peers] リストでそのデバイスを強調表示して、[<<] をクリックして [Available Peers] リストに移動します。

デバイスを追加して、IKE バージョンの使用を許可するには、[Available Peers] リストでそのデバイスを強調表示して、[>>] をクリックして [Selected Peers] リストに移動します。


ヒント 単一のバージョンをサポートするデバイスのバージョン選択は変更できないため、選択リストには、両方の IKE バージョンをサポートするデバイスだけが含まれています。IKEv2 は、ASA ソフトウェア 8.4(1)+ でサポートされます。

ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタで Easy VPN 以外のトポロジを選択して、ポリシー セレクタで [IPsec Proposal] を選択します。[IKE Version] タブをクリックします。

関連項目

「IKE について」

「サイト間 VPN の IPsec プロポーザルについて」

IPSec IKEv1 または IKEv2 トランスフォーム セット ポリシー オブジェクトの設定

[Add IPSec Transform Set]/[Edit IPSec Transform Set] ダイアログボックスを使用して、IKE ネゴシエーションで使用する IPSec トランスフォーム セットを設定します。

サイト間 VPN およびリモート アクセス VPN における IPSec 保護トラフィックを定義するときに、IPSec プロポーザルに使用する IPSec トランスフォーム セット オブジェクトを作成できます。IPSec セキュリティ アソシエーションのネゴシエーション中、ピアは、特定のデータ フローを保護する場合に特定のトランスフォーム セットを使用することを合意します。

2 つの異なるセキュリティ プロトコルが、IPSec 標準に含まれています。

[Encapsulating Security Protocol (ESP)]:認証、暗号化、およびアンチリプレイの各サービスを提供します。ESP は、IP プロトコル タイプ 50 です。

[Authentication Header (AH)]:認証サービスとアンチリプレイ サービスを提供します。AH では暗号化が提供されず、通常は、ESP の方が優先されます。また、ルータだけでサポートされます。AH は、IP プロトコル タイプ 51 です。


) IPSec トンネルで暗号化と認証の両方を使用することを推奨します。


IKE バージョン(IKEv1 または IKEv2)に基づいて、別個の IPsec トランスフォーム セット オブジェクトがあります。

IPSec IKEv1 トランスフォーム セット オブジェクトを作成する場合、IPSec が動作するモードを選択し、必要な暗号化タイプおよび認証タイプを定義します。また、トランスフォーム セットに圧縮を含めるかどうかを選択できます。アルゴリズムに単一のオプションを選択できるため、VPN で複数の組み合わせをサポートするには、複数の IPsec IKEv1 トランスフォーム セット オブジェクトを作成する必要があります。

IPSec IKEv2 トランスフォーム セット オブジェクトを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュ アルゴリズムを選択できます。IKEv2 ネゴシエーション中に、ピアは、それぞれでサポートされる最適なオプションを選択します。

ナビゲーション パス

[Manage] > [Policy Objects] を選択して、オブジェクト タイプ セレクタから [IPSec Transform Sets] > [IPSec IKEv1 Transform Sets] または [IPSec Transform Sets] > [IPSec IKEv2 Transform Sets] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「トランスフォーム セットの概要」

「IKE および IPsec 設定の概要」

「IKE バージョン 1 と 2 の比較」

「IKE について」

「IPsec プロポーザルについて」

「IPsec Proposal Editor(ASA、PIX 7.0+ デバイス)」

「IPsec Proposal Editor(IOS、PIX 6.3+ デバイス)」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(ASA、PIX 7.0 以降のデバイス)」

「リモート アクセス VPN サーバの IPsec プロポーザルの設定(IOS、PIX 6.3 デバイス)」

「サイト間 VPN での IPsec プロポーザルの設定」

「Easy VPN での IPsec プロポーザルの設定」

「[IKEv1 Proposal] ポリシー オブジェクトの設定」

「ポリシー オブジェクトの作成」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 24-4 [IPSec IKEv1 or IKEv2 Transform Set] ダイアログボックス

要素
説明

Name

ポリシー オブジェクトの名前。最大 128 文字を使用できます。

Description

ポリシー オブジェクトの説明。最大 1024 文字を使用できます。

Mode

(IKEv1 のみ)

IPSec トンネルが動作するモード:

[Tunnel]:トンネルモードによって、IP パケット全体がカプセル化されます。IPSec ヘッダーが、元の IP ヘッダーと新しい IP ヘッダーとの間に追加されます。これがデフォルトです。

トンネル モードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネル モードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール(またはその他のセキュリティ ゲートウェイ)間で通常の IPSec が実装される標準の方法です。

[Transport]:トランスポート モードでは、IP パケットの上位層プロトコルだけがカプセル化されます。IPSec ヘッダーは、IP ヘッダーと上位層プロトコル ヘッダー(TCP など)との間に挿入されます。

トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。一般的に、トランスポート モードは、レイヤ 2 またはレイヤ 3 のトンネリング プロトコル(GRE、L2TP、DLSW など)を保護する場合にだけ使用されます。

ESP Encryption

トランスフォーム セットが使用する Encapsulating Security Protocol(ESP; カプセル化セキュリティ プロトコル)暗号化アルゴリズム。次のオプションの詳細については、「使用する暗号化アルゴリズムの決定」を参照してください。

IKEv1 では、次のいずれかのオプションを選択します。IKEv2 では、[Select] をクリックして、サポートするすべてのオプションを選択できるダイアログボックスを開きます。

(空白):ESP 暗号化を使用しません。

[DES]:56 ビット キーを使用するデータ暗号規格に従って暗号化を実行します。

[3DES]:56 ビット キーを使用して暗号化を 3 回実行します。3DES は DES よりも強力なセキュリティを確保しますが、暗号化と復号化に多くの処理を必要とします。このオプションを使用するには 3DES のライセンスが必要です。

[AES-128]:128 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[AES-192]:192 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[AES-256]:256 ビット キーを使用する高度暗号化規格に従って暗号化を実行します。

[ESP-Null (NULL)]:ヌル暗号化アルゴリズム。[ESP-Null] を使用して定義されたトランスフォーム セットでは、暗号化なしの認証を提供します。一般的に、テスト目的にだけ使用されます。

ESP Hash Algorithm (IKEv1)

ESP Integration Algorithm (IKEv2)

AH Hash Algorithm(IKEv1 のみ)

認証のためにトランスフォーム セットで使用するハッシュ アルゴリズムまたは整合性アルゴリズム。IKEv1 の場合、デフォルトでは、ESP 認証用の SHA を使用し、AH 認証は使用しません。IKEv2 には、デフォルトはありません。AH ハッシュ アルゴリズムは、ルータだけで使用されます。

IKEv1 では、次のいずれかのオプションを選択します。IKEv2 では、[Select] をクリックして、サポートするすべてのオプションを選択できるダイアログボックスを開きます。

[None]:ESP または AH 認証を実行しません。

[SHA, SHA-1 (Secure Hash Algorithm version 1)]:160 ビットのダイジェストを生成します。SHA は、総当たり攻撃に対して、MD5 よりも高い耐性がありますが、より長い処理時間を必要とします。

[MD5 (Message Digest 5)]:128 ビットのダイジェストを生成します。MD5 では、SHA よりも処理時間が短くなりますが、セキュリティは低くなります。

Compression

(IKEv1 のみ、IOS デバイスのみ)

Lempel-Ziv-Stac(LZS)アルゴリズムを使用して IPSec トンネル内のデータを圧縮するかどうかを指定します。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

VPN グローバル設定

リモート アクセスまたはサイト間 VPN トポロジ内のすべてのデバイスに適用されるグローバル設定を定義できます。グローバル設定には、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)、IKEv2、IPsec、NAT、フラグメンテーションの定義などがあります。グローバル設定には、通常、ほとんどの状況に適用できるデフォルトが設定されています。そのため、ほとんどの場合、グローバル設定ポリシーの設定はオプションです。デフォルト以外の動作が必要な場合や、リモート アクセス IPsec VPN で IKEv2 ネゴシエーションをサポートする場合だけ設定します


) サイト間 VPN の [VPN Global Settings] ポリシーは、GET VPN を除くすべてのテクノロジーに適用されます。GET VPN のグローバル設定の説明については、「GET VPN のグローバル設定」を参照してください。



ステップ 1 設定する VPN のタイプに基づいてグローバル設定ポリシーを開くには、次のいずれかを実行します。

リモート アクセス VPN の場合は、次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Global Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Global Settings] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

サイト間 VPN の場合は、次のいずれかを実行します。

「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタでトポロジを選択して、ポリシー セレクタで [VPN Global Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [VPN Global Settings] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

ステップ 2 必要なタブを選択して、必要に応じて設定を行います。

[ISAKMP/IPsec Settings]:IKE と IPsec のグローバル設定を行います。オプションの詳細については、「VPN グローバル ISAKMP/IPsec 設定」を参照してください。

[IKEv2 Settings]:IKE バージョン 2 ネゴシエーションのグローバル設定を行います。オプションの詳細については、「VPN グローバル IKEv2 設定」を参照してください。

[NAT Settings]:NAT の動作を設定します。オプションの詳細については、「VPN グローバル NAT 設定」を参照してください。「VPN での NAT について」も参照してください。

[General Settings]:フラグメンテーションの動作とその他の一部の各種オプションを設定します。オプションの詳細については、「VPN グローバル一般設定」を参照してください。


 

VPN グローバル ISAKMP/IPsec 設定

[VPN Global Settings] ページの [ISAKMP/IPsec Settings] タブを使用して、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)および IPsec のグローバル設定を指定します。

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)プロトコルは、Internet Security Association and Key Management Protocol(ISAKMP)とも呼ばれ、2 つのホスト間で IPsec セキュリティ アソシエーションの構築方法について合意するためのネゴシエーション プロトコルです。各 ISAKMP ネゴシエーションは、フェーズ 1 とフェーズ 2 の 2 段階に分けられます。フェーズ 1 では、ISAKMP ネゴシエーション メッセージを保護する最初のトンネルが作成されます。フェーズ 2 では、データを保護するトンネルが作成されます。

ISAKMP ネゴシエーションの条件を設定するために、IKE プロポーザルを作成します。詳細については、「IKE プロポーザルの設定」を参照してください。

IKE キープアライブについて

IKE キープアライブでは、トンネル ピア間で、トンネル経由でデータを送受信できることを示すメッセージが交換されます。キープアライブ メッセージは、設定された間隔で送信されます。この時間内にメッセージが送信されない場合は、バックアップ デバイスを使用して新しいトンネルが作成されます。

耐障害性を確保するために IKE キープアライブを使用しているデバイスでは、他の情報を交換しているかどうかにかかわらず、キープアライブ メッセージが送信されます。そのため、これらのキープアライブ メッセージによって、若干ではあるものの追加の負荷がネットワークにかかります。

キープアライブ(DPD)と呼ばれる IKE キープアライブのバリエーションでは、着信トラフィックを受信しておらず、発信トラフィックを送信する必要がある場合にだけ、ピア デバイス間でキープアライブ メッセージが送信されます。発信トラフィックがあるかどうかにかかわらず、着信トラフィックを受信していない場合に DPD キープアライブ メッセージを送信する場合は、[Periodic] オプションを使用してこのことを指定します。

ナビゲーション パス

リモート アクセス VPN の場合は、次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Global Settings] を選択します。[ISAKMP/IPsec Settings] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Global Settings] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[ISAKMP/IPsec Settings] タブをクリックします。

サイト間 VPN の場合は、次のいずれかを実行します。

「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタでトポロジを選択して、ポリシー セレクタで [VPN Global Settings] を選択します。[ISAKMP/IPsec Settings] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [VPN Global Settings] を選択します。既存の共有ポリシーを選択するか新しいポリシーを作成し、[ISAKMP/IPsec Settings] タブをクリックします。

関連項目

「VPN グローバル設定」

「IKE について」

「IPsec プロポーザルについて」

フィールド リファレンス

 

表 24-5 [VPN Global Settings] ページ、[ISAKMP/IPsec Settings] タブ

要素
説明
ISAKMP Settings

Enable Keepalive

Dead-Peer Detection(DPD; デッドピア検知)設定を行うかどうかを指定します。ピアが応答に失敗する場合は、ピアが使用できなくなっていることを前提に新しいトンネルが構築されます。IKE キープアライブは、ハブアンドスポーク VPN トポロジ内のスポーク、ポイントツーポイント VPN トポロジ内の両方のデバイス、またはリモート アクセス VPN 設定に定義します。

次のオプションを設定します。

[Interval]:キープアライブのモニタリングを開始するまでピアがアイドル状態を維持できる秒数。範囲は 10 ~ 3600 秒です。デフォルトは 10 ですが、リモート アクセス グループの ASA デバイスのデフォルトは 300 です。

[Retry]:キープアライブ応答が受信されなくなった後のリトライ間の間隔(秒単位)。範囲は、ASA では 2 ~ 10 秒で、IOS デバイスでは 2 ~ 60 です。デフォルトは 2 秒です。

[Periodic]:(7600 デバイスを除き、IOS ソフトウェア バージョン 12.3(7)T 以降が実行されているルータ)IPsec トラフィックに関係なく、DPD キープアライブ メッセージを定期的に送信するかどうかを指定します。これによって、間隔値が使用される方法が変更されます。

[Infinite]:(ASA だけ)間隔と再試行設定を無視するかどうか、およびピアを無制限にアイドル状態にできるかどうかを指定します。

Identity

フェーズ I の IKE ネゴシエーション中に、ピアは相互に識別する必要があります。次のいずれかを選択します。

[Address]:ISAKMP アイデンティティ情報を交換するホストの IP アドレスを使用します。これがデフォルトです。

[Hostname]:ISAKMP アイデンティティ情報を交換するホストの完全修飾ドメイン名を使用します。

[Auto/DN]:デバイス タイプに基づいて自動選択または識別名を使用します。

[Distinguished Name](IOS デバイスだけ):Distinguished Name(DN; 識別名)を使用して、ユーザ グループ名を識別します。

[Auto](ASA デバイスだけ):接続タイプによって ISAKMP ネゴシエーションを決定します。事前共有キーに対しては IP アドレスを、証明書認証に対しては識別名を使用します。

SA Requests System Limit

Cisco IOS ソフトウェア リリース 12.3(8)T 以降を実行しているルータ(7600 ルータを除く)でサポートされます。

IKE が SA 要求の拒否を開始する前に許可される SA 要求の最大数。0 ~ 99999 です。ピアの数以上の値を指定する必要があります。ピアの数未満の値を指定した場合は、VPN トンネルが切断される可能性があります。

SA Requests System Threshold

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

IKE が新規 SA 要求の拒否を開始する前に使用できるシステム リソースのパーセンテージ。デフォルトは 75% です。

Enable Aggressive Mode

(サイト間 VPN だけ)

ASA デバイスおよび PIX 7.0+ デバイスでサポートされます。

選択されている場合、ISAKMP ネゴシエーションでアグレッシブ モードを使用できます。アグレッシブ モードは、デフォルトでイネーブルになっています。

IPsec Settings

Enable Lifetime

サイト間またはリモート アクセス VPN のデバイスでクリプト IPsec Security Association(SA; セキュリティ アソシエーション)のグローバル ライフタイム設定を行えるようにする場合は、これを選択します。次を設定します。

[Lifetime (secs)]:セキュリティ アソシエーションが期限切れになるまでに存続できる秒数。デフォルトは 3,600 秒(1 時間)です。

[Lifetime (kbytes)]:特定のセキュリティ アソシエーションが期限切れになるまでにそのセキュリティ アソシエーションを使用して IPsec ピア間を通過できるトラフィック量(KB 単位)。デフォルトは 4,608,000 KB です。

Xauth Timeout

リモート アクセス VPN トポロジと Easy VPN トポロジの Cisco IOS ルータおよび Catalyst 6500/7600 デバイスだけでサポートされます。

システムが Xauth チャレンジに応答するまでにデバイスが待機する秒数。

リモート アクセスまたは Easy VPN 設定内に IPsec トンネルを確立するためにトンネル パラメータをネゴシエートする場合、Xauth によって、IPsec 接続を要求するユーザを識別する別の認証レベルが追加されます。Xauth 機能を使用すると、クライアントは IKE SA の確立後、「ユーザ名/パスワード」(Xauth)チャレンジを待機します。エンド ユーザがチャレンジに応答すると、その応答は IPsec ピアに転送され、さらに上のレベルの認証が行われます。

Max Sessions

ASA デバイスおよび PIX 7.0+ デバイスでサポートされます。

デバイスで同時にイネーブルにできる Security Association(SA; セキュリティ アソシエーション)の最大数。最大数は、デバイス モデルによって異なります。ASA デバイスでは制限は次のとおりです。

5505:10 セッション。

5510:250 セッション。

5520:750 セッション。

5540、5550、5585-X(SSP):10 ~ 5000 セッション。

5580、5585-X(その他のモデル):10000 セッション。

Enable IPsec via Sysopt

ASA デバイスおよび PIX ファイアウォール バージョン 6.3 または 7.0+ でサポートされます。

VPN インターフェイスで VPN トラフィックに対して定義されているアクセス ルールをバイパスするかどうか。

デフォルトでは、デバイスによって VPN トラフィックをインターフェイスで終端させることが許可されています。IKE または ESP(またはその他のタイプの VPN パケット)をインターフェイス アクセス リストで許可する必要はありません。デフォルトでは、復号化された VPN パケットのローカル IP アドレスのインターフェイス アクセス リストも必要ありません。VPN トンネルは VPN セキュリティ メカニズムを使用して正常に終端されたため、この機能によって、設定が簡略化され、デバイスのパフォーマンスはセキュリティ リスクを負うことなく最大化されます。(グループ ポリシーおよびユーザ単位の認可アクセス リストは、引き続きトラフィックに適用されます)。

このオプションの選択を解除すると、インターフェイス アクセス ルールが VPN トラフィックにも適用されます。アクセス リストは、ローカル IP アドレスに適用され、VPN パケットが復号化される前に使用された元のクライアント IP アドレスには適用されません。適用されるコマンドは no sysopt connection permit-vpn です。

Enable SPI Recovery

(サイト間 VPN だけ)

IOS バージョン 12.3(2)T 以降を実行するルータ、およびバージョン 12.2(18)SXE 以降を実行する Catalyst 6500/7600 デバイスでサポートされます。

選択されている場合、SPI リカバリ機能で、Security Parameter Index(SPI; セキュリティ パラメータ インデックス)が無効であっても IKE SA が開始されるようにデバイスを設定できるようになります。

SPI は、宛先 IP アドレスおよびセキュリティ プロトコルを組み合わせて、特定のセキュリティ アソシエーションを一意に識別する番号です。IKE を使用してセキュリティ アソシエーションを確立する場合、各セキュリティ アソシエーションの SPI は、疑似乱数によって導出された番号となります。IKE を使用しない場合、SPI は、手動で各セキュリティ アソシエーションに指定されます。IPsec パケット処理中に無効な SPI が検出された場合は、SPI リカバリ機能によって、IKE SA が確立されます。

VPN グローバル IKEv2 設定

[VPN Global Settings] ページの [IKEv2 Settings] タブを使用して、Internet Key Exchange(IKE; インターネット キー エクスチェンジ)バージョン 2 のグローバル設定を指定します。これらの設定は、ASA 8.4(x) デバイスだけに適用されます。

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)は、Internet Security Association and Key Management Protocol(ISAKMP)とも呼ばれ、2 つのホストが IPsec Security Association(SA; セキュリティ アソシエーション)の構築方法に合意するためのネゴシエーション プロトコルです。

IKEv2 オープン SA を制限することで DoS 攻撃を防止

着信 Security Association(SA; セキュリティ アソシエーション)のクッキー チャレンジを常に行うか、オープンな SA の数を制限して追加の接続のクッキー チャレンジを行うことによって、IPsec IKEv2 接続の Denial of Service(DoS; サービス拒否)攻撃を防止できます。デフォルトでは、ASA は、オープンな SA の数を制限せず、SA のクッキー チャレンジを行うことはありません。

許可される SA の数を制限することもできます。これによって、接続がさらにネゴシエーションされないようにして、クッキー チャレンジ機能が阻止できない可能性があるメモリまたは CPU 攻撃から保護します。SA の最大数を制限すると、現在の接続を保護できます。

DoS 攻撃では、攻撃者は、ピア デバイスが SA 初期パケットを送信し、ASA がその応答を送信すると攻撃を開始しますが、ピア デバイスはこれ以上応答しません。ピア デバイスがこれを継続的に行うと、応答を停止するまで ASA で許可されるすべての SA 要求を使用できます。

クッキー チャレンジのしきい値パーセンテージをイネーブルにすると、オープンな SA ネゴシエーションの数が制限されます。たとえば、デフォルト設定の 50 % では、許可される SA の 50 % がネゴシエーション中(オープン)のときに、ASA は、到着した追加の SA 初期パケットのクッキー チャレンジを行います。10,000 個の IKEv2 SA が許可される Cisco ASA 5580 では、5000 個の SA がオープンになると、その後すべての着信 SA のクッキー チャレンジが行われます。

[Maximum SAs in Negotiation] オプションとともに使用する場合は、低いクッキー チャレンジしきい値を設定します。

ナビゲーション パス

リモート アクセス VPN の場合は、次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Global Settings] を選択します。[IKEv2 Settings] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Global Settings] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[IKEv2 Settings] タブをクリックします。

サイト間 VPN の場合は、次のいずれかを実行します。

「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタでトポロジを選択して、ポリシー セレクタで [VPN Global Settings] を選択します。[IKEv2 Settings] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [VPN Global Settings] を選択します。既存の共有ポリシーを選択するか新しいポリシーを作成し、[IKEv2 Settings] タブをクリックします。

関連項目

「VPN グローバル設定」

「IKE について」

「IPsec プロポーザルについて」

「Cluster Load Balance ポリシー(ASA)の設定」

フィールド リファレンス

 

表 24-6 [VPN Global Settings] ページ、[IKEv2 Settings] タブ

要素
説明

Maximum SAs

デバイスで許可される IKEv2 接続(セキュリティ アソシエーション)の数。デフォルトの制限は、デバイス ライセンスによって指定された接続の最大数で、これはデバイス モデルによって異なります。

デバイス ライセンスよりも低い制限を作成する場合にかぎり、数を指定します。範囲は 1 ~ 10000 です。

Maximum SAs in Negotiation

許可される最大の Security Association(SA; セキュリティ アソシエーション)のパーセンテージとして指定する、いつでもネゴシエーション中にできる IKEv2 SA の最大数。デフォルトでは、ネゴシエーション中の SA に関する制限はないため、すべての使用可能な SA をネゴシエーション中にできます。範囲は 1 ~ 100 % です。

このオプションを設定する場合に、カスタムのクッキー チャレンジもイネーブルにするときは、この制限よりも低いクッキー チャレンジしきい値を設定します。

Enable Cookie Challenge

SA 初期パケットの応答としてピア デバイスにクッキー チャレンジを送信するかどうかを指定します。これは、Denial of Service(DoS; サービス拒絶)攻撃を阻止するのに役立つことがあります。デフォルトでは、使用可能な SA の 50 % がネゴシエーション中である場合にクッキー チャレンジを使用します。次のいずれかのオプションを選択します。

[Custom]:ネゴシエーション中の SA の数が、デバイスで許可される SA の総数に対してパーセンテージ ベース(許可される SA の総数に対するネゴシエーション中の SA のパーセンテージ)で指定を超えると、クッキー チャレンジを行います。[Custom Cookie Challenge] に、将来の SA ネゴシエーションでクッキー チャレンジをトリガするパーセンテージを入力します。範囲は 1 ~ 100 % です。デフォルト値は 50 % です。

[Never]:デバイスではクッキー チャレンジを使用しません。

[Always]:デバイスでは、ネゴシエーション中の SA のパーセンテージに関係なく、常にクッキー チャレンジを使用します。

Remote Access Authentication

RA Trustpoint

(リモート アクセス VPN だけ)

(IKEv2 ネゴシエーションをサポートする場合は必須)デバイスがリモート ユーザに対して自身を認証するために使用できる Certificate Authority(CA; 認証局)サーバを識別する PKI 登録オブジェクト。この認可は、ユーザが接続プロファイルを選択して、VPN にログインする前に必要です。この CA サーバは、リモート アクセス IKEv2 IPsec VPN だけで使用されます。[Select] をクリックしてオブジェクトを選択するか、新しいオブジェクトを作成します。

ヒント この PKI 登録オブジェクトは、[Remote Access VPN] > [Public Key Infrastructure] ポリシーでも選択する必要があります。

Load Balancing Settings

Redirect Connections During

(リモート アクセス VPN だけ)

ロード バランシングを設定する場合は、[ASA Cluster Load Balance] ポリシーを使用して、ユーザをクラスタ内の別のデバイスにリダイレクトできる IKEv2 ネゴシエーション フェーズを指定できます。次のいずれかのオプションを選択します。

[INIT]:グループまたはユーザ認証の前に、未認証の開始要求(最初の IKEv2 メッセージ IKE_SA_INIT)をリダイレクトします。

[Pros]:このオプションを使用すると、マスター サーバは、接続をリダイレクトする前に、最小の処理を行って、(CPU とメモリを使用して)状態を維持できます。

[Cons]:このオプションは、(セキュリティ リスクは最小ですが)[AUTH] ほどセキュアではありません。これは、誰でも、完全に認証なしでリダイレクトされる IP アドレスを取得できるためです。

[AUTH](デフォルト):認証中(IKE_AUTH 中)にリダイレクトします。デバイスは、この時点ではまだユーザを識別または認証していませんが、クライアントは、サーバを認証して、受信するリダイレクトを信頼できることを確認できます。

[Pros]:応答は IKEv2 トンネルで暗号化され、クライアント側はサーバを認証してから、リダイレクトされる IP アドレスで試行できるため、このオプションはよりセキュアです。これによって、INIT オプションよりもさらに DoS から保護されます。

[Cons]:このオプションでは、リダイレクト前に IKEv2 トンネルをほとんど起動する必要があるため、さらに処理が必要です。ただし、子 SA とデータ トンネルを起動する必要はありません。クライアントは、まったく認証されません。トンネルの両方の側のグループ認証後に、IKEv1 リダイレクトが行われることに注意してください。

VPN での NAT について

Network Address Translation(NAT; ネットワーク アドレス変換)によって、内部 IP アドレスを使用するデバイスがインターネット経由でデータを送受信できるようになります。NAT では、デバイスがインターネット上のデータへのアクセスを試みたときに、プライベートな内部 LAN アドレスが、グローバルにルーティング可能な IP アドレスに変換されます。このように、NAT を使用すると、少ない数のパブリック IP アドレスで多数のホストにグローバル接続を提供できます。

NAT では、ハブアンドスポーク VPN トンネルまたはリモート アクセス接続における安定性が向上します。これは、VPN 接続に必要なリソースが他の目的に使用されず、VPN トンネルが完全なセキュリティを必要とするトラフィックに対して継続して使用可能になるためです。VPN 内部のサイトでは、スプリット トンネル経由で NAT を使用して外部デバイスとセキュアでないトラフィックを交換できます。重要でないトラフィックを VPN トンネル経由で送信することによって、VPN 帯域幅を浪費したり、トンネル ヘッドエンドのハブに過負荷をかけたりすることがありません。

Security Manager では、ダイナミック IP アドレッシングによる NAT だけがサポートされており、ポート レベルの NAT または Port Address Translation(PAT; ポート アドレス変換)と呼ばれる方式を可能にするオーバーロード機能に適用されます。PAT では、ポート アドレッシングを使用して、何千ものプライベート NAT アドレスが少数のパブリック IP アドレスのグループに関連付けられます。PAT は、ネットワークのアドレッシング要件がダイナミック NAT プールで使用可能なアドレスを超える場合に使用されます。


) Cisco IOS ルータで PAT をイネーブルにすると、展開時に、スプリット トンネリングされるトラフィック用に追加の NAT ルールが暗黙的に作成されます。(外部インターフェイスを IP アドレス プールとして使用して)VPN トンネリングされるトラフィックを拒否し、他のすべてのトラフィックを許可するこの NAT ルールは、ルータ プラットフォーム ポリシーとしては反映されません。この機能をディセーブルにすることによって、NAT ルールを削除できます。詳細については、「[NAT] ページ - [Dynamic Rules]」を参照してください。


サイト間 VPN トラフィックで NAT 設定を無視するようにトラフィックを設定できます。Cisco IOS ルータで NAT 設定を無視するには、[NAT Dynamic Rule] プラットフォーム ポリシーで [Do Not Translate VPN Traffic] オプションが選択されていることを確認します(「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照)。PIX ファイアウォールまたは ASA デバイスで NAT を除外するには、[NAT Translation Options] プラットフォーム ポリシーでこのオプションが選択されていることを確認します(「[Translation Options] ページ」を参照)。

NAT 通過について

NAT 通過は、VPN 接続ハブアンドスポークの間にデバイス(中間デバイス)があり、そのデバイスが IPsec フローで NAT を実行する場合に、キープアライブ メッセージの送信に使用されます。

スポークの VPN インターフェイスの IP アドレスがグローバルにルーティング可能でない場合、中間デバイスにおける NAT でこのアドレスが新しいグローバルにルーティング可能な IP アドレスに置換されます。この変更は、IPsec ヘッダーで行われるため、スポークのチェックサムが無効となり、ハブにおけるチェックサムの計算が一致しなくなります。これにより、ハブとスポークとの間の接続が失われます。

NAT 通過を使用すると、スポークでペイロードに UDP ヘッダーが追加されます。中間デバイスにおける NAT では、この UDP ヘッダーの IP アドレスが変更され、IPsec ヘッダーおよびチェックサムは変更されないままとなります。スタティック NAT を使用する中間デバイスでは、(グローバルにルーティング可能な)スタティック NAT IP アドレスを内部インターフェイスに指定する必要があります。スタティック NAT IP アドレスは、そのインターフェイスを通過し NAT を必要とするすべてのトラフィックに提供されます。ただし、NAT IP アドレスが不明なダイナミック NAT を中間デバイスで使用する場合は、スポークからのすべての接続要求に対応できるように、ハブにダイナミック クリプトを定義する必要があります。Security Manager によって、スポークに必要なトンネル設定が生成されます。


) NAT 通過は、IOS バージョン 12.3T 以降を実行するルータではデフォルトでイネーブルになっています。NAT 通過機能をディセーブルにする場合は、デバイスで手動でディセーブルにするか、FlexConfig を使用してディセーブルにする必要があります(「FlexConfig の管理」を参照)。


「VPN グローバル NAT 設定」の説明に従って、[Global VPN Settings] ページの [NAT Settings] タブで、グローバルな NAT 設定を定義できます。

VPN グローバル NAT 設定

[Global Settings] ページの [NAT Settings] タブを使用して、グローバル Network Address Translation(NAT; ネットワーク アドレス変換)設定を定義します。これにより、内部 IP アドレスを使用するデバイスがインターネット経由でデータを送受信できるようになります。


) サイト間 VPN では、IOS ルータで NAT 設定を無視する場合は、[NAT Dynamic Rule] プラットフォーム ポリシーで [Do Not Translate VPN Traffic] オプションが選択されていることを確認します(「[Add NAT Dynamic Rule]/[Edit NAT Dynamic Rule] ダイアログボックス」を参照)。PIX ファイアウォールまたは ASA デバイスで NAT を除外するには、[NAT Translation Options] プラットフォーム ポリシーでこのオプションが選択されていることを確認します(「[Translation Options] ページ」を参照)。


ナビゲーション パス

リモート アクセス VPN の場合は、次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Global Settings] を選択します。[NAT Settings] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Global Settings] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[NAT Settings] タブをクリックします。

サイト間 VPN の場合は、次のいずれかを実行します。

「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタでトポロジを選択して、ポリシー セレクタで [VPN Global Settings] を選択します。[NAT Settings] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [VPN Global Settings] を選択します。既存の共有ポリシーを選択するか新しいポリシーを作成し、[NAT Settings] タブをクリックします。

関連項目

「VPN での NAT について」

「VPN グローバル設定」

フィールド リファレンス

 

表 24-7 [VPN Global Settings] ページ、[NAT Settings] タブ

要素
説明

Enable Traversal Keepalive

Interval

NAT 通過キープアライブをイネーブルにするかどうかを指定します。NAT 通過キープアライブは、VPN 接続ハブアンドスポークの間にデバイス(中間デバイス)があり、そのデバイスが IPsec フローで NAT を実行する場合に、キープアライブ メッセージの送信に使用されます。

このオプションを選択する場合は、セッションがアクティブであることを示すためにスポークと中間デバイス間でキープアライブ信号が送信される間隔(秒単位)を設定します。値は、5 ~ 3600 秒の範囲で指定します。デフォルトは 10 秒です。

(注) Cisco IOS ルータでは、NAT 通過がデフォルトでイネーブルになります。NAT 通過機能をディセーブルにする場合は、デバイスで手動でディセーブルにするか、FlexConfig を使用してディセーブルにする必要があります(「FlexConfig の管理」を参照)。

Enable Traversal over TCP

TCP Ports

(リモート アクセス VPN だけ)

ASA および PIX 7.0+ デバイスでサポートされます。

選択すると、IKE プロトコルと IPsec プロトコルの両方が TCP パケット内にカプセル化され、NAT デバイスと PAT デバイスおよびファイアウォールの両方を経由するセキュアなトンネリングがイネーブルになります。

このオプションを選択する場合は、NAT Traversal(NAT-T; NAT 通過)をイネーブルにする TCP ポートを指定します。リモート クライアントおよび VPN デバイスで TCP ポートを設定する必要があります。クライアント設定には、セキュリティ アプライアンスに対して設定したポートを少なくとも 1 つ含める必要があります。最大 10 個のポートを入力できます。

ヒント これらのポートは、IKEv1 接続だけに使用されます。IKEv2 は、NAT-T にポート 500 と 4500 を使用します。指定するすべてのポートが、適切なインターフェイスのアクセス ルールで開いていることを確認します。

Enable PAT (Port Address Translation) on Split Tunneling for Spokes

(サイト間 VPN だけ)

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

選択されている場合、VPN トポロジのスポークで、スプリット トンネリングされるトラフィックでの Port Address Translation(PAT; ポート アドレス変換)の使用がイネーブルになります。

PAT では、ポート アドレッシングを使用して、何千ものプライベート NAT アドレスを少数のパブリック IP アドレスのグループに関連付けることができます。PAT は、ネットワークのアドレッシング要件がダイナミック NAT プールで使用可能なアドレスを超える場合に使用されます。

(注) このオプションを選択する場合、Security Manager では、展開時に、スプリット トンネリングされるトラフィック用に追加の NAT ルールが暗黙的に作成されます。(外部インターフェイスを IP アドレス プールとして使用して)VPN トンネリングされるトラフィックを拒否し、他のすべてのトラフィックを許可するこの NAT ルールは、ルータ プラットフォーム ポリシーとしては反映されません。

ダイナミック NAT ルールをルータ プラットフォーム ポリシーとして作成または編集する詳細については、「[NAT] ページ - [Dynamic Rules]」を参照してください。

VPN グローバル一般設定

[VPN Global Settings] ページの [General Settings] タブを使用して、サイト間およびリモート アクセス VPN の Maximum Transmission Unit(MTU; 最大伝送ユニット)処理パラメータを含む、フラグメンテーション設定を定義します。

フラグメンテーションでは、パケットの元のサイズをサポートできない物理インターフェイス経由でパケットが送信されるときに、パケットがより小さな単位に分割されます。フラグメンテーションを使用することによって、分割しないと大きすぎて送信できない保護対象パケットを送信できるようになるため、VPN トンネルにおけるパケット損失を最小限に抑えることができます。このことは、特に GRE を使用する場合に当てはまります。IPsec と GRE を組み合わせて使用するとパケットのペイロードに 80 バイトが追加されますが、1420 バイトを超えるパケットにはこのための余裕がヘッダーにないためです。

Maximum Transmission Unit(MTU; 最大伝送ユニット)によって、インターフェイスが処理できる最大パケット サイズがバイト単位で指定されます。通常、パケットが MTU を超える場合は、暗号化のあとにパケットがフラグメント化されます。Do Not Fragment(DF)ビットが設定されている場合、パケットはドロップされます。DF ビットは、デバイスでパケットをフラグメント化できるかどうかを示す、IP ヘッダー内にあるビットです。カプセル化されたヘッダーの DF ビットをデバイスでクリア、設定、またはコピーできるかどうかを指定する必要があります。

暗号化されたパケットを再構築することは困難であるため、フラグメンテーションによってネットワークのパフォーマンスが低下する可能性があります。ネットワーク パフォーマンスの問題を防止するには、[Enable Fragmentation Before Encryption] を選択して、暗号化前にフラグメンテーションが行われるようにできます。

ナビゲーション パス

リモート アクセス VPN の場合は、次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Global Settings] を選択します。[General Settings] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Global Settings] を選択します。既存のポリシーを選択するか新しいポリシーを作成し、[General Settings] タブをクリックします。

サイト間 VPN の場合は、次のいずれかを実行します。

「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタでトポロジを選択して、ポリシー セレクタで [VPN Global Settings] を選択します。[General Settings] タブをクリックします。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [VPN Global Settings] を選択します。既存の共有ポリシーを選択するか新しいポリシーを作成し、[General Settings] タブをクリックします。

関連項目

「VPN グローバル設定」

フィールド リファレンス

 

表 24-8 [VPN Global Settings] ページ、[General Settings] タブ

要素
説明
Fragmentation Settings

Fragmentation Mode

Local MTU Size

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

フラグメンテーションを行うと、パケットの元のサイズをサポートできない物理インターフェイスを介してパケットが送信されるときの、VPN トンネル内のパケット損失が最小限に抑えられます。フラグメンテーション モードを選択します。

[No Fragmentation]:IPsec 暗号化の前にフラグメント化しません。カプセル化のあと、デバイスで、MTU 設定を超えるパケットがフラグメント化されたあと、パブリック インターフェイスを介して送信されます。

[End to End MTU Discovery]:ICMP メッセージを使用して、最大 MTU を判別します。このオプションは、IPsec VPN で使用します。

エンドツーエンド MTU ディスカバリでは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)メッセージを使用して、フラグメンテーションを発生させずにホストが VPN トンネルを介してパケットを送信するために使用できる最大 MTU を決定します。送信パス内の各リンクの MTU 設定がチェックされて、送信されるいずれのパケットもそのパス内の最小 MTU を超えていないことが確認されます。検出された MTU を使用して、フラグメンテーションが必要であるかどうかが決定されます。ICMP がブロックされている場合は、MTU ディスカバリに失敗し、パケットが失われるか(DF ビットが設定されている場合)、または暗号化のあとにパケットがフラグメント化されます(DF ビットが設定されていない場合)。

(注) (サイト間 VPN)Catalyst 6500/7600 デバイスでは、エンドツーエンド パス MTU ディスカバリはイメージ 12.2(33)SRA、12.2(33)SRB、12.2(33)SXH、12.2(33)SXI またはそれ以降だけでサポートされています。

[Local MTU Handling]:デバイスで MTU をローカルに設定します。このオプションは通常、ICMP がブロックされているか、サイト間 IPsec/GRE VPN 内にある場合に使用されます。このオプションを選択する場合は、ローカル MTU サイズを指定します。この値には、VPN インターフェイスに応じて 68 ~ 65535 バイトを指定できます。

DF Bit

Cisco IOS ルータ、Catalyst 6500/7600 デバイス、PIX 7.0+、および ASA デバイスでサポートされます。

IP ヘッダー内の Do Not Fragment(DF)ビットによって、デバイスでパケットのフラグメント化が許可されているかどうかが決定されます。DF ビットの処理方法を選択します。

[Copy]:現在のパケットのカプセル化されたヘッダーの DF ビットを、すべてのデバイスのパケットにコピーします。パケットの DF ビットがフラグメント化を許可するように設定されている場合、以降のすべてのパケットはフラグメント化されます。これはデフォルトのオプションです。

[Set]:送信中のパケットの DF ビットを設定します。MTU を超える大きなパケットはドロップされ、パケットの送信者に ICMP メッセージが送信されます。

[Clear]:元の DF ビット設定にかかわらず、パケットをフラグメント化します。ICMP がブロックされていると、MTU ディスカバリは失敗し、パケットは暗号化されたあとでだけフラグメント化されます。

Enable Fragmentation Before Encryption

Cisco IOS ルータ、Catalyst 6500/7600 デバイス、PIX 7.0+、および ASA デバイスでサポートされます。

選択されている場合、想定されるパケット サイズが MTU を超えるときには暗号化の前にフラグメント化できます。

Look Ahead Fragmentation(LAF)は、IPsec SA に設定されているトランスフォーム セットに応じて、暗号化後のパケット サイズを計算するために暗号化の実行前に使用されます。パケット サイズが指定した MTU を超える場合は、暗号化の前にパケットがフラグメント化されます。

Enable Notification on Disconnection

ASA および PIX 7.0+ デバイスでサポートされます。

選択されている場合、デバイスは、認定されたピアに、切断されようとしているセッションを通知できます。アラートを受け取ったピアは、理由をデコードし、イベント ログまたはポップアップ ウィンドウにそれを表示します。この機能は、デフォルトではディセーブルになっています。

IPsec セッションがドロップされる理由としては、セキュリティ アプライアンスのシャットダウンまたはリブート、セッション アイドル タイムアウト、最大接続時間の超過、管理者による切断などが考えられます。

Enable Split Tunneling

(サイト間 VPN だけ)

選択されている場合(デフォルト)、サイト間 VPN トポロジでスプリット トンネリングを設定できます。

スプリット トンネリングを使用すると、同じインターフェイスで、保護されるトラフィックと保護されないトラフィックの両方を送信できます。スプリット トンネリングを使用する場合は、保護対象のトラフィック、およびそのトラフィックの宛先を正確に指定して、指定したトラフィックだけが IPsec トンネルに入り、その他のトラフィックはパブリック ネットワークに暗号化なしで送信されるようにする必要があります。

Enable Spoke-to-Spoke Connectivity through the Hub

ASA および PIX 7.0+ デバイスでサポートされます。

選択すると、ハブアンドスポーク VPN トポロジ内のスポーク間のダイレクト通信がイネーブルになります。ここでのハブは ASA または PIX 7.0+ デバイスです。

Enable Default Route

Cisco IOS ルータおよび Catalyst 6500/7600 デバイスでサポートされます。

選択されている場合、デバイスは、設定された外部インターフェイスをすべての着信トラフィックのデフォルトの発信ルートとして使用します。

サイト間 VPN での IKEv1 事前共有キー ポリシーについて

IKEv1 ネゴシエーションの認証方式として事前共有キーを使用する場合は、2 つのピア間のトンネルごとに共有キーを定義する必要があります。この共有キーは、接続を認証するための共有秘密となります。キーはピアごとに設定されます。トンネルの両方のピアのキーが同じでない場合は、接続を確立できません。事前共有キーの設定に必要なピア アドレスは、VPN トポロジから推定されます。


ヒント IKEv2 ネゴシエーションに事前共有キーを使用することもできますが、ルールと要件があるため、設定は、IKEv1 に使用する設定とは異なります。IKEv2 ネゴシエーションの事前共有キーの設定については、「サイト間 VPN での IKEv2 認証の設定」を参照してください。

事前共有キーは、スポークに設定されます。ハブアンドスポーク VPN トポロジでは、スポークとハブのキーが同じものになるように、Security Manager によってスポークの事前共有キーがミラーリングされ、割り当てられているハブに設定されます。ポイントツーポイント VPN トポロジでは、両方のピアに同じ事前共有キーを設定する必要があります。完全メッシュ VPN トポロジでは、接続される任意の 2 つのデバイスが同じ事前共有キーを持っている必要があります。

Preshared Key ポリシーでは、特定のキーを使用することも、各通信セッションに参加するピアに対して自動的に生成されたキーを使用することもできます。VPN 内のすべての接続で同じ事前共有キーを使用するとセキュリティが侵害される可能性があるため、自動的にキーを生成する方法(デフォルトの方法)を推奨します。

キー情報のネゴシエーションおよび IKE Security Association(SA; セキュリティ アソシエーション)の設定には、3 種類の方式があります。

メイン モード(アドレス):IP アドレスに基づいてネゴシエーションが行われます。メイン モードは、発信側と受信側の間に 3 つの双方向交換を持つため、最も高いセキュリティを提供します。これはデフォルトのネゴシエーション方式です。

この方式では、キーを作成するための 3 つのオプションがあります。

各ピアの一意の IP アドレスに基づいて各ピアに対してキーを作成できます。このオプションを使用すると、高いセキュリティが確保されます。

ハブアンドスポーク VPN トポロジ内のハブにグループ事前共有キーを作成して、指定したサブネット内の任意のデバイスとの通信で使用できます。各ピアは、デバイスの IP アドレスが不明である場合でも、サブネットによって識別されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、グループ事前共有キーがピアに作成されます。

ハブアンドスポーク VPN トポロジ内のハブ、またはハブを含むグループに対して、ワイルドカード キーを作成できます。ワイルドカード キーは、スポークが固定 IP アドレスを持っていない場合や、特定のサブネットに属していない場合にダイナミック クリプトで使用されます。ハブに接続するすべてのスポークは同じ事前共有キーを持っているため、セキュリティが侵害される可能性があります。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、ワイルドカード キーがピアに作成されます。


) DMVPN にスポーク間での直接接続を設定する場合は、スポークにワイルドカード キーを作成します。


メインモード(Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)):IP アドレスに依存しないで、DNS 解決に基づいてネゴシエーションが行われます。このオプションは、ホストで DNS 解決サービスが利用できる場合にだけ使用できます。このオプションは、ダイナミック IP アドレスを使用する、DNS 解決機能を持つデバイスを管理する場合に役立ちます。

アグレッシブ モード:ホスト名(DNS 解決は行いません)およびドメイン名に基づいてネゴシエーションが行われます。アグレッシブ モードで提供されるセキュリティは、メイン モードよりも低くなります。ただし、ホストの VPN インターフェイスの IP アドレスが不明であり、ダイナミック IP ピアの FQDN が DNS で解決できない場合には、グループ事前共有キーを使用するよりも高いセキュリティが提供されます。このネゴシエーション方式は、GRE ダイナミック IP または DMVPN フェールオーバーおよびルーティング ポリシーでの使用が推奨されます。

関連項目

「使用する認証方式の決定」

「IKEv1 事前共有キー ポリシーの設定」

IKEv1 事前共有キー ポリシーの設定

[IKEv1 Preshared Key] ページを使用して、サイト間 VPN トポロジでの IKEv1 の使用時に事前共有キー設定を定義します。IKEv2 を使用する場合の事前共有キーの設定については、「サイト間 VPN での IKEv2 認証の設定」を参照してください。


) Preshared Key ポリシーは、Easy VPN トポロジには適用されません。


[IKEv1 Preshared Key] ページを開くには、次の手順を実行します。

「[Site-to-Site VPN Manager] ウィンドウ」)VPN セレクタでトポロジを選択して、ポリシー セレクタで [IKEv1 Preshared Key] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [Site-to-Site VPN] > [IKEv1 Preshared Key] を選択します。既存の共有ポリシーを選択するか、新しい共有ポリシーを作成します。

次の表で、このポリシーで定義できる設定について説明します。

 

表 24-9 [IKEv1 Preshared Key] ページ

要素
説明

Key Specification

キーを手動で定義する([User Defined])か、キーを自動的に生成するかを選択します。自動生成キーの使用時に設定できる追加のオプションがあります。

User Defined

選択されている場合、手動で定義した事前共有キーを使用できます。

[Key] フィールドに必要な事前共有キーを入力して、[Confirm] フィールドに再度そのキーを入力します。

Auto Generated

選択されている場合、参加するピアにランダムなキーが割り当てられます。生成されるキーは、ハブとスポークとの間の接続ごとに異なるため、セキュリティが確保されます。[Auto Generated] がデフォルトの選択です。

[Auto generated] は、VPN(たとえば、エクストラネット VPN の場合)内のすべてのノードを管理しないときは有効なオプションではありません。

(注) キーは、デバイスへの最初の展開時に割り当てられ、[Regenerate Key (Only in Next Deployment)] チェックボックスを選択するまでは、同じデバイスに対するそれ以降のすべての展開で常にこのキーが使用されます。

Key Length

自動生成する事前共有キーの必要な長さ(1 ~ 127)です。デフォルトは 24 です。

Same Key for All Tunnels

ポイントツーポイント VPN トポロジでは使用できません。

選択されている場合、すべてのトンネルで自動生成された同じキーを使用できます。

(注) このオプションを選択しない場合は、トンネルで異なるキーが使用されます。ただし、DMVPN 設定など、同じネットワーク内の異なるマルチポイント GRE インターフェイスで同じ事前共有キーを使用する必要がある場合を除きます。

Regenerate Key (Only in Next Deployment)

選択されている場合、デバイスに対する次の展開時に Security Manager によって新しいキーが生成されます。キーの機密性が侵害された可能性がある場合に役立ちます。

ジョブを展開用に送信すると、このチェックボックスはクリアされます。新しいキーは、新しい展開に対してだけ生成され、以降の展開では(再度チェックボックスを選択しないかぎり)生成されないため、このチェックボックスがクリアされます。

Negotiation Method

ネゴシエーション方式のタイプを選択します。方式については、「サイト間 VPN での IKEv1 事前共有キー ポリシーについて」で詳細に説明します。

Main Mode Address

デバイスの IP アドレスが判明している場合は、このネゴシエーション方式を使用してキー情報を交換します。IP アドレスに基づいてネゴシエーションが行われます。メイン モードは、発信側と受信側の間に 3 つの双方向交換を持つため、最も高いセキュリティを提供します。メイン モード(アドレス)がデフォルトのネゴシエーション方式です。

ネゴシエーション アドレス タイプを定義するには、次のいずれかのオプションを選択します。

[Peer Address]:各ピアの一意の IP アドレスに基づいてネゴシエーションが行われます。キーはピアごとに作成されるため、高いセキュリティが確保されます。これがデフォルトです。

[Subnet]:ハブアンドスポーク トポロジ内のハブにグループ事前共有キーを作成して、指定したサブネット内の任意のデバイスとの通信に使用します。デバイスの IP アドレスが不明な場合でも使用できます。各ピアは、それぞれのサブネットによって識別されます。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、グループ事前共有キーがピアに作成されます。表示されるフィールドにサブネットを入力します(たとえば、10.10.10.0/24)。

[Wildcard]:ハブアンドスポーク トポロジ内のハブまたはハブのグループに対してワイルドカード キーを作成して、スポークが固定 IP アドレスを持っていない場合や、特定のサブネットに属していない場合に使用します。この場合、ハブに接続するすべてのスポークは同じ事前共有キーを持っているため、セキュリティが侵害される可能性があります。ハブアンドスポーク VPN トポロジ内のスポークでダイナミック IP アドレスが使用されている場合にこのオプションを使用します。ポイントツーポイントまたは完全メッシュ VPN トポロジでは、ワイルドカード キーがピアに作成されます。

(注) DMVPN にスポーク間での直接接続を設定する場合は、スポークにワイルドカード キーを作成します。

Main Mode FQDN

IP アドレスが不明であり、デバイスで DNS 解決を使用できる場合は、このネゴシエーション方式を選択してキー情報を交換します。IP アドレスに依存しないで、DNS 解決に基づいてネゴシエーションが行われます。

Aggressive Mode

ハブアンドスポーク VPN トポロジでだけ使用できます。

IP アドレスが不明であり、デバイスで DNS 解決を使用できない可能性がある場合は、このネゴシエーション方式を選択してキー情報を交換します。ホスト名およびドメイン名に基づいてネゴシエーションが行われます。

(注) スポーク間での直接のトンネリングがイネーブルになっている場合には、アグレッシブ モードを使用できません。

関連項目

「サイト間 VPN での IKEv1 事前共有キー ポリシーについて」

Public Key Infrastructure ポリシーについて

Security Manager では、証明書要求を管理し、VPN トポロジ内のデバイスに対して証明書を発行する、Certification Authority(CA; 認証局)サーバでの IPsec 設定がサポートされています。Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを作成して、CA 証明書および RSA キーの登録要求を生成し、キーや証明書を管理できます。これにより、参加するデバイスについてキーを中央で管理できます。

CA サーバ(トラストポイントとも呼ばれます)では、公開 CA 証明書要求を管理して、参加する IPsec ネットワーク デバイスに対して証明書を発行します。IKE プロポーザル ポリシーおよび IPsec プロポーザル ポリシーの認証方式として証明書を使用する場合、ピアは CA サーバからデジタル証明書を入手するように設定されます。CA サーバでは、すべての暗号化デバイス間にキーを設定する必要はありません。代わりに、参加する各デバイスを CA サーバに個別に登録します。CA サーバは、アイデンティティを確認し、デバイスのデジタル証明書を作成することを明示的に信任されています。登録が完了すると、参加する各ピアは、もう一方の参加するピアのアイデンティティを確認し、証明書に含まれている公開キーを使用して暗号化されたセッションを確立できます。

また、CA では、IPsec VPN トポロジに参加しなくなったピアの証明書を無効化することもできます。無効化された証明書は、Online Certificate Status Protocol(OCSP; オンライン証明書状態プロトコル)サーバで管理されるか、または LDAP サーバに格納されている Certificate Revocation List(CRL; 証明書失効リスト)に記載されます。各ピアでは、他のピアからの証明書を受け入れる前に、この CRL をチェックできます。

PKI 登録は、複数の CA で構成される階層型フレームワークに設定できます。階層の最上位にはルート CA があり、自己署名証明書を保持しています。階層全体の信頼性は、ルート CA の RSA キー ペアから導出されます。階層内の下位 CA は、ルート CA または他の下位 CA に登録できます。階層型 PKI 内では、ピア間で信頼できるルート CA 証明書または共通の下位 CA が共有されている場合、登録されたすべてのピアが相互の証明書を確認できます。

次の点を考慮してください。

PKI ポリシーは、バージョン 12.3(7)T 以降を実行する Cisco IOS ルータ、PIX ファイアウォール、およびサイト間およびリモート アクセス VPN の Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)デバイスに設定できます。

サイト間 VPN では、[IKEv1 Public Key Infrastructure] ポリシーを使用して、IKEv1 ネゴシエーション専用の CA サーバを特定します。IKEv2 ネゴシエーションでは、「サイト間 VPN での IKEv2 認証の設定」の説明に従って、[IKEv2 Authentication] ポリシーで CA サーバを特定します。

リロード間に RSA キー ペアと CA 証明書を PIX ファイアウォール リリース 6.3 のフラッシュ メモリに永続的に保存するには、 ca save all コマンドを設定する必要があります。この操作は、デバイスで手動で行うか、FlexConfig を使用して行うことができます(「FlexConfig の管理」を参照)。

CA サーバの認証方式

次のいずれかの方式を使用して CA サーバを認証できます。

Simple Certificate Enrollment Protocol(SCEP)を使用して、CA サーバから CA の証明書を取得します。SCEP を使用すると、デバイスと CA サーバとの間に直接接続を確立できます。登録プロセスを開始する前に、デバイスが CA サーバに接続されていることを確認してください。この方式を使用してルータの CA 証明書を取得する場合は、対話形式の操作が必要となるため、PKI ポリシーをライブ デバイスだけに展開できます。ファイルには展開できません。


) SCEP を使用する場合は、CA サーバのフィンガープリントを入力する必要があります。入力した値が証明書のフィンガープリントと一致しない場合、証明書は拒否されます。サーバに直接アクセスして、または Web ブラウザにアドレス(http://<URLHostName>/certsrv/mscep/mscep.dll)を入力して、CA のフィンガープリントを取得できます。


CA サーバの証明書を他のデバイスからコピーすることによって、オフラインで CA サーバに送信できる登録要求を手動で作成します。

この方式は、デバイスが CA サーバへの直接接続を確立できない場合、またはいったん登録要求を生成してから、あとで登録要求をサーバに送信する場合に使用します。


) この方式を使用すると、デバイスまたはファイルに PKI ポリシーを展開できます。


詳細については、「[PKI Enrollment] ダイアログボックス」を参照してください。


) Cisco Secure Device Provisioning(SDP; セキュア デバイス プロビジョニング)を使用して、ルータの証明書を登録することもできます。SDP を使用した証明書登録の詳細については、「Cisco IOS ルータにおけるセキュア デバイス プロビジョニング」を参照してください。


ここでは、公開キー インフラストラクチャ設定についてより詳細に説明します。

「PKI 登録を正常に行うための前提条件」

「サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定」

「サイト間 VPN での複数の IKEv1 CA サーバの定義」

「リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定」

「[PKI Enrollment] ダイアログボックス」

PKI 登録を正常に行うための前提条件

ネットワークに PKI ポリシーを設定するためには、次の前提条件が必要です。

IKEv1 では、IKE プロポーザルで、IKE 認証方式の証明書を指定する必要があります。「[IKEv1 Proposal] ポリシー オブジェクトの設定」を参照してください。

PKI 登録を正常に行うには、デバイスにドメイン名が定義されている必要があります(CA サーバのニックネームを指定する場合を除く)。

CA サーバに直接登録するには、サーバの登録 URL を指定する必要があります。

TFTP サーバを使用して CA サーバに登録するには、TFTP サーバに CA 証明書ファイルが保存されている必要があります。PKI ポリシーを展開したあと、TFTP サーバから CA サーバに証明書要求をコピーする必要があります。

登録要求で使用する RSA 公開キーを指定できます。RSA キー ペアを指定しない場合は、Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)キーが使用されます。

RSA キーを使用する場合は、証明書が承認されると、証明書に公開キーが組み込まれます。ピアは、この公開キーを使用して、デバイスに送信するデータを暗号化できます。秘密キーはデバイスに保持されて、ピアから送信されるデータの復号化、およびピアとのネゴシエーション時のトランザクションのデジタル署名に使用されます。既存のキー ペアを使用することも、新しいキー ペアを生成することもできます。ルータ デバイスの証明書で使用する新しいキー ペアを生成する場合は、キーのサイズを特定する係数も指定する必要があります。

詳細については、「[PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ」を参照してください。

Cisco Easy VPN IPsec リモート アクセス システムで PKI 登録要求を行う場合は、各リモート コンポーネント(スポーク)に、接続するユーザ グループの名前を設定する必要があります。この情報は、[PKI Enrollment Editor] ダイアログボックスの [Certificate Subject Name] タブにある [Organization Unit (OU)] フィールドで指定します。


) ハブ(Easy VPN サーバ)にユーザ グループの名前を設定する必要はありません。


詳細については、「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照してください。

PKI ポリシーを(ライブ デバイスではなく)ファイルに展開する場合は、次の前提条件を満たしている必要があります。

ルータは、Cisco IOS ソフトウェア 12.3(7)T 以降を実行している必要があります。

CA 認証が対話形式で行われず、ライブ デバイスとの通信が必要とならないように、CA 認証証明書を Security Manager ユーザ インターフェイスにカット アンド ペーストする必要があります。

ライブ デバイスに展開する場合、PKI サーバがオンラインである必要があります。

Security Manager では、Microsoft、VeriSign、および Entrust の PKI がサポートされています。

Security Manager では、Cisco IOS 証明書サーバがサポートされています。Cisco IOS 証明書サーバ機能では、限定的な CA 機能を持つ簡易証明書サーバが Cisco IOS ソフトウェアに組み込まれます。IOS 証明書サーバは、FlexConfig ポリシーとして設定できます。詳細については、「FlexConfig の管理」を参照してください。

IOS ルータにおいて、PKI に被認証者名全体を使用する AAA 認可を設定するには、IOS_PKI_WITH_AAA という名前の定義済み FlexConfig オブジェクトを使用します。

TFTP を使用した PKI 登録の前提条件

CA サーバに継続的に直接アクセスしていない場合は、デバイスが Cisco IOS ソフトウェア 12.3(7)T 以降を実行するルータであれば、TFTP を使用して登録を行うことができます。

展開時に、Security Manager によって対応する CA トラストポイント コマンドおよび認証コマンドが生成されます。トラストポイント コマンドは、TFTP を使用して CA 証明書を取得するための登録 URL tftp://<certserver> <file_specification> のエントリを使用して設定されます。file_specification が指定されていない場合は、ルータの FQDN が使用されます。

このオプションを使用する前に、TFTP サーバに CA 証明書ファイル(.ca)が保存されている必要があります。このためには、次の手順を実行します。

1. http://servername/certsrv に接続します。servername は、アクセスする CA がある Windows 2000 Web サーバの名前です。

2. [Retrieve the CA certificate or certificate revocation list] を選択して、[Next] をクリックします。

3. [Base64 encoded] を選択して、[Download CA certificate] をクリックします。

4. ブラウザの別名保存機能を使用して、.crt ファイルを .ca ファイルとして TFTP サーバに保存します。

展開後、Security Manager が TFTP サーバに生成した証明書要求を CA に転送し、デバイスの証明書を CA からデバイスに転送する必要があります。

TFTP サーバから CA サーバへの証明書要求の転送

Security Manager によって、TFTP サーバに PKCS#10 フォーマットの登録要求(.req)が作成されます。次の手順を実行して、この登録要求を PKI サーバに転送する必要があります。

1. http://servername/certsrv に接続します。servername は、アクセスする CA がある Windows 2000 Web サーバの名前です。

2. [Request a certificate] を選択して、[Next] をクリックします。

3. [Advanced request] を選択して、[Next] をクリックします。

4. [Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file] を選択して、[Next] をクリックします。

5. ファイルの参照を選択して TFTP サーバを参照し .req ファイルを選択するか、または先ほど TFTP で受信した .req ファイルをワードパッドまたはメモ帳で開いてその内容を最初のウィンドウにコピーアンドペーストします。

6. CA から .crt ファイルをエクスポートして、TFTP サーバに配置します。

7. 「crypto ca import <label> certificate」を設定して、デバイスの証明書を tftp サーバからインポートします。

関連項目

「サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定」

「リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定」

「[PKI Enrollment] ダイアログボックス」

「Easy VPN における User Group ポリシーの設定」

サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定

Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを作成して、CA 証明書および RSA キーの登録要求を生成し、キーや証明書を管理できます。Certification Authority(CA; 認証局)サーバは、これらの証明書要求を管理し、VPN トポロジ内の参加デバイスに対して証明書を発行するために使用されます。

Security Manager では、CA サーバは、PKI ポリシーで使用できる PKI 登録オブジェクトとして事前に定義されています。PKI 登録オブジェクトには、CA 証明書の登録要求を作成するために必要なサーバ情報および登録パラメータが含まれています。

Public Key Infrastructure ポリシーの詳細については、「Public Key Infrastructure ポリシーについて」を参照してください。

この手順では、VPN トポロジで IKEv1 Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーの作成に使用する CA サーバを指定する方法について説明します。


ヒント IKEv2 ネゴシエーションで使用する CA サーバの指定については、「サイト間 VPN での IKEv2 認証の設定」を参照してください。

始める前に

PKI の正常な設定に関する重要な情報については、「PKI 登録を正常に行うための前提条件」を参照してください。

関連項目

「サイト間 VPN での複数の IKEv1 CA サーバの定義」

「使用する認証方式の決定」

「セレクタ内の項目のフィルタリング」


ステップ 1 次のいずれかを実行します。

[Site-to-Site VPN Manager] ウィンドウ)既存のトポロジを選択して、ポリシー セレクタで [IKEv1 Public Key Infrastructure] を選択します。

(ポリシー ビュー)[Site-to-Site VPN] > [IKEv1 Public Key Infrastructure] を選択して、既存のポリシーを選択するか、または新しいポリシーを作成します。

[Public Key Infrastructure] ページが開き、[Selected] フィールドに、現在選択されている CA サーバ(存在する場合)が表示されます。

ステップ 2 [Available CA Servers] リストで必要な CA サーバを定義する PKI 登録ポリシー オブジェクトを選択します。リストされているオブジェクトを変更するには、次の手順を実行できます。

新しい PKI 登録オブジェクトを追加するには、[Create](+)ボタンをクリックします。[Add PKI Enrollment] ダイアログボックスが開きます。PKI 登録オブジェクトの属性に関する詳細については、「[PKI Enrollment] ダイアログボックス」を参照してください。

既存のオブジェクトの設定を変更するには、そのオブジェクトを選択して、[Edit](鉛筆)ボタンをクリックします。


) Easy VPN トポロジで PKI 登録要求を行う場合は、各リモート コンポーネント(スポーク)に、接続するユーザ グループの名前を設定する必要があります。この情報は、[PKI Enrollment] ダイアログボックスの [Certificate Subject Name] タブにある [Organization Unit (OU)] フィールドで指定します。ハブ(Easy VPN サーバ)にユーザ グループの名前を設定する必要はありません。詳細については、「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照してください。



 

サイト間 VPN での複数の IKEv1 CA サーバの定義

サイト間 VPN で IKEv1 Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを定義する場合は、1 つの CA サーバだけを選択できます。このことは、IKEv1 の使用時に VPN 内のデバイスが異なる CA サーバに登録するときに問題となります。たとえば、スポーク デバイスとハブ デバイスとで異なる CA サーバに登録する場合や、VPN のある部分のスポークが VPN の他の部分のスポークとは異なる CA サーバに登録する場合があります。


ヒント IKEv2 の使用時に、PKI 登録ポリシー オブジェクトにデバイス レベルのオーバーライドを作成する代わりに、[IKEv2 Authentication] ポリシー グローバル設定のオーバーライドを作成することによって、さまざまなデバイスに異なる CA サーバを設定できます。ただし、ここでの説明に従って、IKEv2 にデバイス レベルのオーバーライドを使用することもできます。IKEv2 の CA サーバの設定については、「サイト間 VPN での IKEv2 認証の設定」を参照してください。

IKEv1 PKI ポリシーを定義するには、デバイスが登録する CA サーバを指定する PKI 登録オブジェクトを選択します。デフォルトでは、ポリシー オブジェクトは単一の CA サーバをグローバルに参照していますが、デバイスレベルのオーバーライドを使用して、選択したデバイスにおいて異なる CA サーバをオブジェクトが参照するように設定できます。

たとえば、PKI 登録オブジェクト PKI_1 が CA_1 という CA サーバを参照している場合、PKI_1 を持つ選択したデバイスにデバイスレベルのオーバーライドを作成して、CA_2 などの異なる CA サーバを参照できます。理論的には、オーバーライドを使用して、VPN 内の各デバイスに異なる CA サーバを定義することもできます。

この手順では、PKI 登録オブジェクトにオーバーライドを作成するための基本的な手順について説明します。


) 共通の信頼できる CA サーバの下の PKI 階層に CA サーバが配置されている場合でも、デバイスレベルのオーバーライドを使用できます。このためには、[PKI Enrollment] ダイアログボックスの [Trusted CA Hierarchy] タブで、オブジェクトのグローバル定義およびデバイスレベルのオーバーライドの両方によって、信頼できる CA サーバが指定されている必要があります。「[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ」を参照してください。


関連項目

「Public Key Infrastructure ポリシーについて」

「使用する認証方式の決定」


ステップ 1 PKI 登録オブジェクトを作成するには、[PKI Enrollment] ダイアログボックスを開きます。このダイアログボックスには、次の 2 つの方法でアクセスできます。

[Public Key Infrastructure] ポリシーから:[Selected] フィールドの下にある [Create](+)ボタンをクリックします。「サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定」を参照してください。

Policy Object Manager から([Manage] > [Policy Objects] を選択します):オブジェクト タイプ セレクタから [PKI Enrollments] を選択して、[New Object](+)ボタンをクリックします。

ステップ 2 オブジェクトが参照する CA サーバを含む、PKI 登録オブジェクトのグローバル定義を設定します。[Allow Value Override per Device] を必ず選択します。このオプションによって、個別のデバイスでオブジェクトをオーバーライドできるようになります。「[PKI Enrollment] ダイアログボックス」を参照してください。

オブジェクトのグローバル定義では、VPN 内の最も多くのデバイスで使用される CA サーバを使用します。これにより、必要となるデバイスレベルのオーバーライドの数を減らすことができます。

ステップ 3 PKI 登録オブジェクトの定義が終了したら、[OK] をクリックします。この結果、次のように表示されます。

PKI ポリシーからダイアログボックスにアクセスした場合は、ポリシー ページの [Selected] フィールドに新しいオブジェクトが表示されます。

Policy Object Manager を使用してダイアログボックスにアクセスした場合は、[Policy Object Manager] ウィンドウの作業領域に新しいオブジェクトが表示されます。[Overridable] カラムに緑色のチェック マークが表示されている場合、このオブジェクトに対してデバイスレベルのオーバーライドを作成できることを示しています(このチェック マークは、オーバーライドが実際に存在しているかどうかを示すものではありません)。

ステップ 4 PKI 登録オブジェクトに対してデバイスレベルのオーバーライドを作成します。この処理は、次の 2 つの方法のいずれかで実行できます。

[Device Properties](デバイス ビューでデバイスが選択された状態で、[Tools] > [Device Properties] を選択)から:単一のデバイスに対してデバイスレベルのオーバーライドを作成する場合は、このオプションを推奨します。[Device Properties] で、[Policy Object Overrides] > [PKI Enrollments] を選択し、オーバーライドする PKI 登録オブジェクトを選択して、[Create Override] ボタンをクリックします。その後、オブジェクトによって定義された CA サーバを含むオーバーライドの内容を定義できます。

詳細については、「単一デバイスのオブジェクト オーバーライドの作成または編集」を参照してください。

Policy Object Manager から:このオプションは、複数のデバイスに対して同時にデバイスレベルのオーバーライドを作成する場合に推奨します。[Overridable] カラムの緑色のチェック マークをダブルクリックし、オーバーライドを適用する必要があるデバイスを選択して、オブジェクトによって定義された CA サーバを含むオーバーライドの内容を定義します。

詳細については、「複数デバイスのオブジェクト オーバーライドの一括での作成または編集」を参照してください。


 

リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定

Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーを作成して、CA 証明書および RSA キーの登録要求を生成し、キーや証明書を管理できます。Certification Authority(CA; 認証局)サーバは、これらの証明書要求を管理し、IPsec または SSL リモート アクセス VPN に接続するユーザに対して証明書を発行するために使用されます。

Security Manager では、CA サーバは、PKI ポリシーで使用できる PKI 登録オブジェクトとして事前に定義されています。PKI 登録オブジェクトには、CA 証明書の登録要求を作成するために必要なサーバ情報および登録パラメータが含まれています。

Public Key Infrastructure ポリシーの詳細については、「Public Key Infrastructure ポリシーについて」を参照してください。

ここでは、リモート アクセス VPN で Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)ポリシーの作成に使用する CA サーバを指定する方法について説明します。

始める前に

次の点を考慮してください。

PKI の正常な設定に関する重要な情報については、「PKI 登録を正常に行うための前提条件」を参照してください。

IPsec リモート アクセス VPN の [IKE Proposal] ポリシーでは、IKEv1 の設定時に証明書認可を必要とする IKE プロポーザル オブジェクトを使用する必要があります。

ASA または PIX 7.x+ デバイスで定義されるリモート アクセス VPN では、[Public Key Infrastructure] ポリシーは次のポリシーに直接関連していることに注意してください。これらのポリシーで定義されるすべてのトラストポイントも [Public Key Infrastructure] ポリシーで選択する必要があります。これはポリシーに自動的に追加されません。最初に、リモート アクセス VPN で必要な PKI 登録オブジェクトを判別するようこれらのポリシーを設定することもできます。

[Connection Profiles]:CA トラストポイントを使用する必要がある IPsec 接続プロファイルの作成時に、[IPsec] タブでトラストポイントを識別する PKI 登録オブジェクトを選択します。

[SSL VPN Access]:インターフェイスごとにトラストポイントを設定して、フォールバック トラストポイントも設定できます。

[Global Settings, IKEv2 Settings] タブ:IKEv2 IPsec では、グローバル トラストポイントを指定する必要があります。

関連項目

「使用する認証方式の決定」

「セレクタ内の項目のフィルタリング」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)ポリシー セレクタから [Remote Access VPN] > [Public Key Infrastructure] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[Remote Access VPN] > [Public Key Infrastructure] を選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

[Public Key Infrastructure] ページが開き、現在使用可能な CA サーバと選択されている CA サーバ(PKI 登録オブジェクト)(存在する場合)が表示されます。

ステップ 2 必要な CA サーバを定義する PKI 登録ポリシー オブジェクトを [Available CA Servers] リストで選択して、[>>] をクリックして、[Selected CA Servers] リストに移動します。不要なオブジェクトを削除するには、選択済みオブジェクトのリストでオブジェクトを選択して [<<] をクリックします。

ASA および PIX 7.x+ デバイスでは、選択されている PKI 登録オブジェクトのリストには、リモート アクセス VPN に対して定義されている接続プロファイルで指定されたすべてのオブジェクトが含まれている必要があります。接続プロファイルの詳細については、「接続プロファイルの設定(ASA、PIX 7.0+)」を参照してください。また、[Global Settings] ポリシーで IKEv2 に対して設定されているすべてのトラストポイントも含まれている必要があります。「VPN グローバル IKEv2 設定」を参照してください。

リストされているオブジェクトを変更するには、次の手順を実行できます。

新しい PKI 登録オブジェクトを追加するには、使用可能なサーバのリストの下にある [Create](+)ボタンをクリックします。[Add PKI Enrollment] ダイアログボックスが開きます。PKI 登録オブジェクトの属性に関する詳細については、「[PKI Enrollment] ダイアログボックス」を参照してください。

既存のオブジェクトの設定を変更するには、いずれかのリストでそのオブジェクトを選択して、[Edit](鉛筆)ボタンをクリックします。


 

[PKI Enrollment] ダイアログボックス

[PKI Enrollment] ダイアログボックスを使用して、Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)登録オブジェクトを表示、作成、コピー、または編集します。PKI 登録オブジェクトは、ネットワーク内のデバイスからの証明書要求に応答する外部 Certification Authority(CA; 証明局)サーバを表します。

PKI 登録オブジェクトを作成して、デバイスが IPsec ネットワークの一部として証明書を交換するときに使用する CA サーバのプロパティを定義します。PKI 登録オブジェクトを作成する場合は、登録用のサーバ名および URL を定義します。このサーバに登録するデバイスが、Simple Certificate Enrollment Process(SCEP)を使用して CA サーバ独自の証明書を取得するか、またはデバイス設定に手動で入力した証明書を使用するかを指定する必要があります。CA サーバが失効確認に使用するサポート方式も選択する必要があります。


) Security Manager でトラストポイントを作成またはインポートするために登録パラメータを定義する必要はありません。


さらに、任意で次を定義できます。

CA サーバが Registration Authority(RA; 登録局)サーバとして機能するかどうかを指定します。

再試行の設定および RSA キー ペアの設定を含む、登録パラメータ。

証明書要求に含める追加の属性。

PKI 階層においてこのサーバの上位に位置する、信頼できる CA サーバのリスト。

ナビゲーション パス

[Manage] > [Policy Objects] を選択し、次に、オブジェクト タイプ セレクタから [PKI Enrollments] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。


ヒント このダイアログボックスは、リモート アクセスまたはサイト間 VPN の [Public Key Infrastructure] ポリシーから開くこともできます。

関連項目

「Public Key Infrastructure ポリシーについて」

「PKI 登録を正常に行うための前提条件」

「サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定」

「サイト間 VPN での IKEv2 認証の設定」

「リモート アクセス VPN での公開キー インフラストラクチャ ポリシーの設定」

「[Policy Object Manager] ウィンドウ」

フィールド リファレンス

 

表 24-10 [PKI Enrollment] ダイアログボックス

要素
説明

Name

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

Description

(任意)オブジェクトの説明。

[CA Information] タブ

このタブを使用して、認証局サーバ、その証明書、およびその失効確認サポート レベルに関する設定値を入力します。特定の設定については、「[PKI Enrollment] ダイアログボックス - [CA Information] タブ」を参照してください。

[Enrollment Parameters] タブ

このタブを使用して、PKI 登録に関する設定を入力します。特定の設定については、「[PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ」を参照してください。

(注) Security Manager でトラストポイントを作成またはインポートするために登録パラメータを定義する必要はありません。

[Certificate Subject Name] タブ

このタブを使用して、サブジェクト属性など、証明書に含める任意の情報を入力します。特定の設定については、「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」を参照してください。

[Trusted CA Hierarchy] タブ

このタブを使用して、階層フレームワークに配置する、信頼できる CA サーバを定義します。特定の設定については、「[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ」を参照してください。

Category

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、ルールとオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

Allow Value Override per Device

Overrides

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[PKI Enrollment] ダイアログボックス - [CA Information] タブ

[PKI Enrollment] ダイアログボックスの [CA Information] タブを使用して、次のことを実行できます。

外部 Certificate Authority(CA; 認証局)サーバの名前と位置を定義する。

証明書を手動で貼り付ける(既知の場合)。

サーバの失効確認サポート レベルを定義する。

ナビゲーション パス

[PKI Enrollment] ダイアログボックスに移動して、[CA Information] タブをクリックします。このダイアログボックスを開く方法については、「[PKI Enrollment] ダイアログボックス」を参照してください。

関連項目

「[PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ」

「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」

「[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ」

フィールド リファレンス

 

表 24-11 [PKI Enrollment] ダイアログボックス - [CA Information] タブ

要素
説明

CA Server Nickname

証明書要求内の CA サーバの識別に使用する名前。このフィールドを空白のままにすると、ドメイン名が使用されます。Verisign CA の場合は、このフィールドを空白のままにする必要があります。また、次の点を考慮してください。

名前は同じであるが、URL が異なる 2 つの CA サーバは、同じデバイス上で設定できません。

この CA 名は、同じ PKI 登録オブジェクトの一部として設定されている信頼できる CA の名前(「[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ」で定義)と同じにできません。

デバイスが VPN の一部として設定されている場合、いずれかのピアで使用される CA サーバ名と同じ CA サーバ名を使用する、デバイスレベルのオーバーライドを設定しないでください(これは、デバイスおよびそのピアが階層化された PKI 階層を使用する場合は問題になりません)。

Enrollment Type

実行する登録のタイプ。Security Manager は、URL 登録を設定している場合にだけ登録を実行します。別のタイプを選択する場合、独自の方法を使用して登録を実行する必要があります。

[Self-Signed Certificate](ASA のみ): enrollment self コマンドを設定する場合。

[Terminal](ASA のみ): enrollment terminal コマンドを設定する場合。

[URL]:CA サーバの URL を設定することで、自動登録を実行する場合。

[None]:登録コマンドを設定しない場合。

Enrollment URL

(URL 登録のみ)

デバイスが登録を試行する先の CA サーバの URL。この URL は次の形式になります。

[SCEP]: http://CA_name:port の形式の HTTP URL を使用します。ここで、CA_name は CA サーバのホスト DNS 名または IP アドレスです。ポート番号は必須です。

[TFTP]: tftp://certserver/file_specification の形式を使用します。CA サーバに直接アクセスできないときにこのオプションを使用します。TFTP サーバが、証明書要求および証明書を転送します。

サポートされているその他の形式には、bootflash、cns、flash、ftp、null、nvram、rcp、scp、system などがあります。

の形式で URL に含める必要があります。ここで、script_location は CA スクリプトへのフル パスです。

CA Certificate Source

Fingerprint

Certificate

(URL 登録のみ)

証明書の取得方法:

[Retrieve CA Certificate Using SCEP](デフォルト):ルータが、Simple Certificate Enrollment Process(SCEP)を使用して CA サーバから証明書を取得するようにします。CA サーバのフィンガープリントを 16 進数形式で入力します。入力した値が証明書のフィンガープリントと一致しない場合、証明書は拒否されます。

フィンガープリントを使用して CA の証明書の真正性を確認すると、不正な第三者が、本物の証明書を偽の証明書に置き換えることを阻止できます。

)を入力して、CA のフィンガープリントを取得できます。フィンガープリントの使用は、Cisco IOS ソフトウェア リリース 12.3(12) 以降、12.3(14)T 以降、12.4 以降(15.x を含む)、12.2(33)XNA 以降だけでサポートされます。

[Enter CA Certificate from CA Server Manually]:別のデバイスから最大 3 つの証明書をコピーし、[Certificate] フィールドに貼り付けます(ブラウザの貼り付け機能、またはキーボード ショートカット Ctrl+V を使用します)。各証明書は、「certificate」という単語で始まり、「quit」という単語で終わる必要があります。PKI 登録オブジェクトが定義済み証明書を表すようにするには、このオプションを使用します。

Revocation Check Support

実行する証明書失効確認のタイプ。

[Checking Not Performed]:これがデフォルトです。デバイスは、CRL がデバイス上に存在する場合も、失効確認を実行しません。

[CRL Check Required]:デバイスは CRL を確認する必要があります。デバイス上に CRL が存在せず、デバイスが CRL を取得できない場合、証明書は拒否され、トンネルは確立されません。

[OCSP Check Required]:デバイスは、OCSP サーバからの失効ステータスをチェックする必要があります。チェックに失敗すると、その証明書は拒否されます。

[CRL Check Attempted]:デバイスは、指定された LDAP サーバから最新の CRL をダウンロードしようとします。ダウンロードに失敗しても、証明書は受け入れられます。

[OCSP Check Attempted]:デバイスは、OCSP サーバからの失効ステータスをチェックしようとします。チェックに失敗した場合でも、証明書は受け入れられます。

[CRL or OCSP Check Required]:デバイスは最初に CRL に対するチェックを行います。CRL が存在しない、または取得できない場合、デバイスは OCSP サーバからの失効ステータスをチェックしようとします。両方のオプションが失敗した場合、証明書は拒否されます。

[OCSP or CRL Check Required]:デバイスは、最初に OCSP サーバからの失効ステータスをチェックしようとします。このチェックが失敗すると、デバイスは CRL をチェックします。両方のオプションが失敗した場合、証明書は拒否されます。

[CRL and OCSP Checks Attempted]:デバイスは、最初に CRL をチェックします。CRL が存在しない、または取得できない場合、デバイスは OCSP サーバからの失効ステータスをチェックしようとします。両方のオプションが失敗した場合でも、証明書は受け入れられます。

[OCSP and CRL Checks Attempted]:デバイスは、最初に OCSP サーバからの失効ステータスをチェックしようとします。このチェックが失敗すると、デバイスは最新の CRL をダウンロードしようとします。両方のオプションが失敗した場合でも、証明書は受け入れられます。

OCSP Server URL

OCSP チェックを必須としている場合に、失効をチェックする OCSP サーバの URL。この URL は、 http: // で始まる必要があります。

CRL Server URL

CRL チェックを必須としている場合に、CRL をダウンロードできる LDAP サーバの URL。この URL は、 ldap: // で始まる必要があります。

(注) AAA サーバを ASA デバイスで使用する場合は、ポート番号を URL に含める必要があります。含めないと、LDAP が失敗します。

Enable Registration Authority Mode (PIX 6.3)

PIX 6.3 デバイスの場合に、CA サーバが Registration Authority(RA; 登録局)モードで動作するかどうかを指定します。登録局は、実際の CA のプロキシとして動作するサーバであるため、CA サーバがオフラインの場合でも CA の運用を続行できます。

(注) Cisco IOS ルータは、必要に応じて、RA モードを自動的に設定します。

[PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ

[PKI Enrollment] ダイアログボックスの [Enrollment Parameters] タブを使用して、デバイスが CA サーバに接続するときに使用する再試行設定、および証明書に関連付ける RSA キー ペアを生成するための設定を定義します。

PKI 登録オブジェクトが Microsoft CA を表す場合、ルータのアイデンティティの検証に必要なチャレンジ パスワードを定義できます。


) Security Manager でトラストポイントを作成またはインポートするために登録パラメータを定義する必要はありません。


ナビゲーション パス

[PKI Enrollment] ダイアログボックスに移動して、[Enrollment Parameters] タブをクリックします。このダイアログボックスを開く方法については、「[PKI Enrollment] ダイアログボックス」を参照してください。

関連項目

「[PKI Enrollment] ダイアログボックス - [CA Information] タブ」

「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」

「[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ」

フィールド リファレンス

 

表 24-12 [PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ

要素
説明

Challenge Password

CA サーバがデバイスの ID を検証するために使用するパスワード。このパスワードは、PIX 6.3 デバイスの場合は必須ですが、PIX/ASA 7.0+ デバイスおよび Cisco IOS ルータの場合は任意です。

CA サーバに直接アクセスして、または Web ブラウザにアドレス( http://URLHostName/certsrv/mscep/mscep.dll )を入力して、パスワードを取得できます。このパスワードは、CA サーバから取得した時間から 60 分間有効です。したがって、パスワードは、作成後、できるだけ迅速に配布する必要があります。

(注) 各パスワードは、単一デバイスごとの単一登録に対して有効です。このため、VPN の各デバイスにデバイスレベルのオーバーライドを最初に設定している場合を除き、このフィールドが VPN に対して定義されている PKI 登録オブジェクトを割り当てることは推奨しません。詳細については、「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

Retry Period

証明書要求の試行間隔(分数)。値には 1 ~ 60 分を指定できます。デフォルトは 1 分です。

Retry Count

最初の要求時に証明書が発行されていない場合、実行する再試行回数。値には 1 ~ 100 を指定できます。デフォルトは 10 です。

Certificate Auto-Enrollment

(IOS デバイスのみ)

現在の証明書のライフタイムのパーセンテージです。ルータは、このパーセンテージ後に新しい証明書を要求します。たとえば、70 を入力した場合、ルータは、現在の証明書のライフタイムが 70% に達成したあとに、新しい証明書を要求します。値の範囲は 10 ~ 100 % です。

値を指定しない場合、ルータは、古い証明書が期限切れになってから、新しい証明書を要求します。

Include Device’s Serial Number

デバイスのシリアル番号を証明書に含めるかどうかを指定します。

ヒント CA は、このシリアル番号を使用して、証明書を認証するか、またはあとで証明書を特定のデバイスに関連付けます。シリアル番号を含めるかどうか判断できない場合は、デバッグに役立つため、含めてください。

RSA Key Pair Name

(PIX 7.0+、ASA、IOS デバイスのみ)

証明書に関連付けるキー ペアがすでに存在する場合、このフィールドでは、そのキー ペアの名前を指定します。

キー ペアが存在しない場合、このフィールドでは、登録時に生成されるキー ペアに割り当てる名前を指定します。

(注) RSA キー ペアを指定しない場合、Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)が代わりに使用されます。PIX デバイスおよび ASA デバイスでは、展開の前にデバイス上にキー ペアが存在する必要があります。

RSA Key Size

(IOS デバイスのみ)

キー ペアが存在しない場合は、必要なキー サイズ(係数)をビットで定義します。512 ~ 1024 の係数が必要な場合は、64 の倍数となる整数を入力します。1024 よりも大きい値が必要な場合は、1536 または 2048 を入力します。推奨サイズは 1024 です。

(注) 係数のサイズが大きくなるほど、キーがよりセキュアになります。ただし、係数のサイズが大きいキーほど、生成に時間がかかり(512 ビットより大きい場合は 1 分以上)、交換するときの処理にも時間がかかります。

RSA Encryption Key Size

(IOS デバイスのみ)

個別の暗号化、シグニチャ キー、および証明書を要求する場合に使用する、2 番めのキーのサイズ。

Source Interface

(IOS デバイスのみ)

認証中、登録中、および失効リストの取得時に、CA または LDAP サーバに送信されるすべての発信接続の送信元アドレス。このパラメータは、CA サーバまたは LDAP サーバが、(ファイアウォールなどが原因で)接続の生成元のアドレスに応答できない場合に必要となる場合があります。

このフィールドで値を定義しない場合、発信インターフェイスのアドレスが使用されます。

インターフェイスまたはインターフェイス ロールの名前を入力するか、[Select] をクリックしてインターフェイスまたはインターフェイス ロールを選択します。必要なオブジェクトが表示されていない場合は、[Create] ボタンをクリックして作成します。

[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ

[PKI Enrollment] ダイアログボックスの [Certificate Subject Name] タブを使用して、CA サーバに送信される証明書要求内のデバイスに関する追加情報を任意で定義します。この情報は、証明書に格納され、このルータから証明書を受信するすべての第三者が表示できます。

標準の LDAP X.500 形式を使用して、すべての情報を入力します。

ナビゲーション パス

[PKI Enrollment] ダイアログボックスに移動して、[Certificate Subject Name] タブをクリックします。このダイアログボックスを開く方法については、「[PKI Enrollment] ダイアログボックス」を参照してください。

関連項目

「[PKI Enrollment] ダイアログボックス - [CA Information] タブ」

「[PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ」

「[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ」

フィールド リファレンス

 

表 24-13 [PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ

要素
説明

Include Device’s FQDN

デバイスの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を証明書要求に含めるかどうかを指定します。

この名前は、[Hostname] ポリシーから取得されます(有効な完全修飾ドメイン名を取得するには、このポリシーでホスト名とドメイン名の両方を必ず指定してください)。Hostname ポリシーを設定しない場合、この名前は Security Manager でのデバイスの表示名 display_name .null から取得されますが、望ましい結果を得られない可能性が高くなります。

Include Device’s IP Address

IP アドレスが証明書要求に含まれているインターフェイス。

インターフェイスまたはインターフェイス ロールの名前を入力するか、[Select] をクリックしてインターフェイスまたはインターフェイス ロールを選択します。必要なオブジェクトが表示されていない場合は、[Create] ボタンをクリックして作成します。

Common Name (CN)

証明書に含める X.500 共通名。

Organization Unit (OU)

証明書に含める組織単位の名前(部門名など)。

(注) Cisco Easy VPN Remote コンポーネントの PKI 登録オブジェクトを設定する場合、このフィールドには、コンポーネントが接続するクライアント グループの名前を含める必要があります。含めないと、このコンポーネントは接続できません。ただし、この情報は、設定の問題は発生しないなどの理由から、Easy VPN サーバでは必須ではありません。Easy VPN の詳細については、「Easy VPN について」を参照してください。

Organization (O)

証明書に含める組織名または会社名。

Locality (L)

証明書に含める都市。

State (ST)

証明書に含める州。

Country (C)

証明書に含める国。

Email (E)

証明書に含める電子メール アドレス。

[PKI Enrollment] ダイアログボックス - [Trusted CA Hierarchy] タブ

[PKI Enrollment] ダイアログボックスの [Trusted CA Hierarchy] タブを使用して、階層 PKI フレームワーク内に信頼できる CA サーバを定義します。このフレームワーク内で、すべての登録済みピアは、信頼できるルート CA 証明書または共通の下位 CA を共有している場合、互いの証明書を検証できます。

(PKI 登録オブジェクトとして定義されている)CA サーバを選択して [Available Servers] リストの階層に含め、[>>] をクリックしてそれらのサーバを選択済みリストに移動します。サーバを削除するには、この反対を実行します。

必要な PKI 登録オブジェクトをまだ定義していない場合は、使用可能なサーバ リストの下の [Create](+)ボタンをクリックして、オブジェクトを作成します。必要な場合は、オブジェクトを選択し、[Edit] ボタンをクリックして、オブジェクトの定義を変更することもできます。

ナビゲーション パス

[PKI Enrollment] ダイアログボックスに移動して、[Trusted CA Hierarchy] タブをクリックします。このダイアログボックスを開く方法については、「[PKI Enrollment] ダイアログボックス」を参照してください。

関連項目

「[PKI Enrollment] ダイアログボックス - [CA Information] タブ」

「[PKI Enrollment] ダイアログボックス - [Enrollment Parameters] タブ」

「[PKI Enrollment] ダイアログボックス - [Certificate Subject Name] タブ」

サイト間 VPN での IKEv2 認証の設定

サイト間 VPN で IKE Version 2(IKEv2; IKE バージョン 2)を設定する場合は、認証設定を定義するよう [IKEv2 Authentication] ポリシーを設定する必要があります。IKEv1 と異なり、認証設定は、IKEv2 プロポーザルの一部ではありません。

Security Manager では、サイト間 VPN の IKEv2 認証を設定する際に、VPN トポロジで使用するデフォルト設定を行います。例外をデフォルトに設定して、VPN の特定のセグメントに異なる事前共有キーまたはトラストポイントを指定できます。事前共有キーとトラストポイントの混合を使用できます。たとえば、グローバル事前共有キーを設定して、VPN の選択したメンバーにはトラストポイントを設定できます。

IKEv2 を使用すると、IKEv1 とは異なり非対称認証を使用できます。これは、2 つのピアが、異なる事前共有キーまたは異なるトラストポイントを使用したり、1 つのピアが事前共有キーを使用して、他のピアがトラストポイントを使用したりできることを意味します。Security Manager では、次の操作を行って、非対称認証を設定できます。

[Global IKEv2 Authentication Settings] タブで、自動生成キーを選択して、[Same Keys for All Tunnels or the Same Key at Tunnel Endpoints] オプションを選択 しない 場合は、異なる事前共有キーを設定できます。各トンネルの終端ごとに異なる事前共有キーが生成されます。

[Override IKEv2 Authentication Settings] タブで、グローバル設定のオーバーライドを作成できます。ローカル ピアとリモート ピアのサブセットに異なるキーまたはトラストポイントを指定するオーバーライドを追加します。デバイスまたは特定のトンネルに複数のオーバーライドを作成できるため、ピアが認証する事前共有キーとトラストポイントのセットを設定できます。


ヒント [IKEv2 Authentication] ポリシーは共有ポリシーではありません。IKEv2 ネゴシエーションをサポートする VPN トポロジごとにポリシーを設定する必要があります。すべての VPN トポロジで使用するグローバル IKEv2 認証オプションは設定できません。[Create VPN] ウィザードの使用時に、IKEv2 をサポートするよう選択する場合でも、[IKEv2 Authentication] ポリシーが設定されることはありません。

始める前に

[IKEv2 Authentication] ポリシーは、[IKE Proposal] ポリシーと [IPsec Proposal] ポリシーの VPN で IKEv2 をイネーブルにする場合、およびトポロジ内の少なくとも一部のデバイスが IKEv2 をサポートする場合にかぎり使用されます。

IKEv2 を設定するには、デバイスは、ASA ソフトウェア リリース 8.4(1) 以降が実行されている ASA でなければなりません。デバイス サポートの詳細については、「各 IPsec テクノロジーでサポートされるデバイスについて」を参照してください。


ヒント トポロジで IKEv2 だけをサポートする場合は、検証の警告を回避するために、[IKEv1 Preshared Keys] ポリシーと [IKEv1 Public Key Infrastructure] ポリシーの割り当てを解除してください。

関連項目

「IKE について」

「使用する認証方式の決定」


ステップ 1 「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタで(IKEv2 をサポートする)通常の IPsec トポロジを選択して、ポリシー セレクタで [IKEv2 Authentication] を選択します。

ポリシーの参照情報については、「[IKEv2 Authentication] ポリシー」を参照してください。

ステップ 2 [Global IKEv2 Authentication Settings] タブで、[Override IKEv2 Authentication Settings] タブでオーバーライドが設定されていない VPN 内のデバイスに使用する必要がある認証タイプを設定します。VPN 内のほとんどのデバイスで使用されるオプションを選択します。グローバル事前共有キーまたはトラストポイントを設定できます。

[Global Preshared Keys]:グローバル事前共有キーを設定するには、[Key Specification] を選択して、次のいずれかのオプションを設定します。

[User Defined]:必要なグローバル キーを入力して、[Confirm] フィールドに再度入力します。

[Auto Generated]:生成する必要があるキーの長さを入力して、すべてのトンネルに同じキーを使用するか、単一のトンネルの両方の終端で同じキーを使用するかを選択します。いずれのオプションも選択しない場合は、すべてのエンド ポイントで固有のキーが生成されます。

新しいキーを生成するには、[Regenerate Key (On Next Deployment)] を選択することもできます。これによって、VPN のキーを定期的に再生成できます。このチェックボックスは、次回に展開が正常に行われたあとでオフにされます。

[Global Trustpoint (CA Servers)]:トラストポイント証明書認可を設定するには、[PKI Specification] を選択して、Certificate Authority(CA; 認証局)サーバを識別する PKI 登録オブジェクトの名前を入力します。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

ステップ 3 特定のデバイスのグローバル IKEv2 認証設定をオーバーライドする場合は、[Override IKEv2 Authentication Settings] タブをクリックして、次のいずれかを実行します。

オーバーライドを追加するには、[Add Row](+)ボタンをクリックし、[IKEv2 Authentication] ダイアログボックスに入力します。オーバーライドを作成するローカル ピアとリモート ピアを選択して、使用する必要がある CA サーバの事前共有キーを指定します。「[IKEv2 Authentication (Override)] ダイアログボックス」を参照してください。

オーバーライドを編集するには、テーブルでそのオーバーライドを選択し、[Edit Row](鉛筆)ボタンをクリックします。

オーバーライドを削除するには、テーブルでそのオーバーライドを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。


 

[IKEv2 Authentication] ポリシー

[IKEv2 Authentication] ポリシーを使用して、サイト間 VPN で Internet Key Exchange(IKE; インターネット キー エクスチェンジ)バージョン 2 のデバイス認証設定を行います。これらの設定は、ASA 8.4(1)+ デバイスだけに適用されます。IKEv2 認証の設定の詳細については、「サイト間 VPN での IKEv2 認証の設定」を参照してください。

ポリシーには 2 つのタブが含まれています。

[Global IKEv2 Authentication Settings]:グローバル設定は、[Overrides] タブでオーバーライドが設定されている場合を除き、VPN 内のすべてのデバイスに適用されます。VPN 内のほとんどのデバイスで使用される認証スキームを表すグローバル設定を行います。

[Override IKEv2 Authentication Settings]:オーバーライド設定によって、固有の認証設定が特定のトンネルに適用され、VPN 内のさまざまなトンネルで必要な固有の事前共有キーとトラストポイントの組み合わせを作成できます。このタブで行う設定は、最初に使用され、常にグローバル設定に優先されます。

ナビゲーション パス

「[Site-to-Site VPN Manager] ウィンドウ」を開き、VPN セレクタで(IKEv2 をサポートする)通常の IPsec トポロジを選択して、ポリシー セレクタで [IKEv2 Authentication] を選択します。

このポリシーは、共有ポリシーとしては使用できません。

関連項目

「IKE について」

「サイト間 VPN の IPsec プロポーザルについて」

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」

フィールド リファレンス

 

表 24-14 [IKEv2 Authentication] ポリシー

要素
説明
[Global IKEv2 Authentication Settings] タブ

Key Specification

VPN での認証に事前共有キーを使用します。次のいずれかを設定します。

[User Defined]:必要なグローバル キーを入力して、[Confirm] フィールドに再度入力します。キーは 1 ~ 128 文字の範囲で指定できます。

[Auto Generated]:Security Manager にキーを生成させます。 キーを生成する方法を示す次のオプションを指定します。

[Key Length]:生成するキーの長さ(1 ~ 128)。

[Same Keys for All Tunnels]:VPN 内のすべてのトンネルに同じキーを生成するには、このオプションを選択します。このオプションを選択しない場合は、トンネルごとに異なるキーまたはキー ペア([Same Key for Tunnel Endpoints] を選択した場合)が使用されます。

[Same Key for Tunnel Endpoints]:VPN 内の各トンネルの各終端で同じキーを生成するには、このオプションを選択します。このオプションを選択しない場合は、トンネルの各終端で異なるキーが生成されます。

[Regenerate Key (On Next Deployment)]:デバイスへの次の展開で新しいキーを生成するには、このオプションを選択します。これによって、VPN のキーを容易に再生成できます。

展開が正常に行われたあとで、後続の展開でキーが再生成されないように、このチェックボックスはオフにされます。VPN のキーを再生成するたびに、このオプションを選択します。

PKI Specification

IKEv2 接続のトラストポイントを定義する PKI 登録ポリシー オブジェクトの名前。トラストポイントは Certificate Authority(CA; 認証局)と ID のペアを表し、CA の ID、CA 固有の設定パラメータ、および登録されている 1 つの ID 証明書との関連付けが含まれます。PKI 登録オブジェクトを選択する場合や、新しいオブジェクトを作成する場合は、[Select] をクリックします。

[Override IKEv2 Authentication Settings] タブ

このテーブルには、VPN に対して定義されている IKEv2 認証オーバーライドがリストされます。これらのポリシーは、グローバル設定で定義された事前共有キーまたは PKI 設定に優先されます。オーバーライドを設定するには、次のいずれかを実行します。

オーバーライドを追加するには、[Add Row](+)ボタンをクリックし、[IKEv2 Authentication] ダイアログボックスに入力します。オーバーライドを作成するローカル ピアとリモート ピアを選択して、使用する必要がある CA サーバの事前共有キーを指定します。「[IKEv2 Authentication (Override)] ダイアログボックス」を参照してください。

オーバーライドを編集するには、テーブルでそのオーバーライドを選択し、[Edit Row](鉛筆)ボタンをクリックします。

オーバーライドを削除するには、テーブルでそのオーバーライドを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

[IKEv2 Authentication (Override)] ダイアログボックス

[IKEv2 Authentication] ダイアログボックスを使用して、サイト間 VPN の IKEv2 認証グローバル設定に対するオーバーライドを設定します。IKEv2 グローバル認証設定とオーバーライド認証設定の詳細については、「サイト間 VPN での IKEv2 認証の設定」を参照してください。

ナビゲーション パス

[IKEv2 Authentication] ポリシーの [Override IKEv2 Authentication Settings] タブ(「[IKEv2 Authentication] ポリシー」を参照)で、[Add Row](+)ボタンをクリックするか、テーブルでオーバーライドを選択して [Edit Row](鉛筆)をクリックします。

フィールド リファレンス

 

表 24-15 [IKEv2 Authentication] ダイアログボックス

要素
説明

Local Peers

Remote Peers

このオーバーライドを定義するトンネルのローカル側とリモート側。

リストにデバイスを追加するには、リストの右側にある [Select] ボタンをクリックして、[Local or Remote Peer Selection] ダイアログボックスを開きます。このダイアログボックスで、[Available] リストで必要なピアを選択して、[>>] をクリックして [Selected] リストに移動します。([<<] ボタンを使用して)逆のことを行って、デバイスの選択を解除できます。

使用可能なデバイスのリストには、IKEv2 接続をサポートするデバイスだけが含まれています。これは、VPN 内のすべてのデバイスではないことがあります。

IKEv2 Authentication Mode

選択したローカル ピアとリモート ピア間で使用する IKEv2 認証モード。次のいずれかを選択します。

[Key Specification]:ユーザ定義の事前共有キー(1 ~ 128 文字)。必要なキーを入力して、[Confirm] フィールドに再度入力します。

[PKI Specification]:IKEv2 接続のトラストポイントを定義する PKI 登録ポリシー オブジェクトの名前。PKI 登録オブジェクトを選択する場合や、新しいオブジェクトを作成する場合は、[Select] をクリックします。