RV160およびRV260でのIPSecプロファイル（自動キーイングモード）の設定

目的

このドキュメントでは、RV160およびRV260シリーズルータで自動キーイングモードを使用して新しいインターネットプロトコルセキュリティ(IPSec)プロファイルを作成する方法について説明します。

はじめに

IPsecは、インターネット上で安全なプライベート通信を実現します。2つ以上のホストに、インターネット経由で機密情報を送信するためのプライバシー、整合性、および信頼性を提供します。IPSecは一般にバーチャルプライベートネットワーク(VPN)で使用され、IPレイヤで実装され、その使用はセキュリティのない多くのアプリケーションを支援できます。VPNは、インターネットなどのセキュリティで保護されていないネットワークを介して送信される機密データとIP情報に対して、セキュリティで保護された通信メカニズムを提供するために使用されます。リモートユーザと組織に柔軟なソリューションを提供し、同一ネットワーク上の他のユーザからの機密情報を保護します。

VPNトンネルの両端を正常に暗号化して確立するには、両方とも暗号化、復号化、および認証の方式に合意する必要があります。IPsecプロファイルはIPsecの中心的な設定であり、自動モードおよび手動キーイングモードでのフェーズIおよびIIネゴシエーションに対して、暗号化、認証、およびDiffie-Hellman(DH)グループなどのアルゴリズムを定義します。フェーズ1では、事前共有キーを確立して、セキュアで認証済みの通信を作成します。フェーズ2では、トラフィックが暗号化されます。プロトコル、モード、アルゴリズム、Perfect Forward Secrecy（PFS；完全転送秘密）、Security Association（SA；セキュリティアソシエーション）ライフタイム、およびキー管理プロトコルなど、ほとんどのIPSecパラメータを設定できます。

サイト間VPNを設定する場合、リモートルータにはローカルルータと同じプロファイル設定が必要であることに注意してください。

Cisco IPSecテクノロジーの詳細については、Introduction to Cisco IPSec Technologyを参照してください。

VPN Setup Wizardを使用してIPSecプロファイルおよびサイト間VPNを設定するには、RV160およびRV260のVPN Setup Wizardの設定のリンクをクリックしてください。

サイト間VPNを設定するには、ドキュメント『RV160およびRV260でのサイト間VPNの設定』を参照してください。

適用可能なデバイス

・ RV160

・ RV260

[Software Version]

·1.0.00.13

IPSecプロファイルの設定

ステップ 1：ルータのWeb設定ページにログインします。

ステップ 2：VPN > IPSec VPN > IPSec Profilesの順に移動します。

ステップ 3：IPSecプロファイルテーブルで、Addをクリックして新しいIPSecプロファイルを作成します。プロファイルの編集、削除、または複製を行うオプションもあります。

ステップ 4：プロファイル名を入力し、キーイングモード（自動または手動）を選択します。

HomeOfficeがプロファイル名として入力されます。

Keying ModeにはAutoが選択されています。

ステップ 5：IKE VersionとしてInternet Key Exchange Version 1 (IKEv1)またはInternet Key Exchange Version 2 (IKEv2)を選択します。IKEは、Internet Security Association and Key Management Protocol(ISAKMP)フレームワーク内でOakley鍵交換およびSkeme鍵交換を実装するハイブリッドプロトコルです。OakleyとSkemeは両方とも認証された鍵関連情報を導き出す方法を定義していますが、Skemeには高速な鍵更新も含まれています。IKEは、IPSecピアの認証を提供し、IPSecキーをネゴシエートし、IPSecセキュリティアソシエーションをネゴシエートします。IKEv2は、キー交換に必要なパケット数が少なく、より多くの認証オプションをサポートするのに対し、IKEv1は共有キーと証明書ベースの認証のみを行うので、より効率的です。この例では、IKEバージョンとしてIKEv1が選択されています。

注：デバイスでIKEv2がサポートされている場合は、IKEv2の使用が推奨されます。使用しているデバイスでIKEv2がサポートされていない場合は、IKEv1を使用します。

手順 6：フェーズIでは、フェーズIIでデータを暗号化するために使用するキーを設定し、交換します。Phase Iセクションで、Diffie-Hellman(DH)グループを選択します。DHはキー交換プロトコルであり、プライムキーの長さが異なる2つのグループ、グループ2 ～ 1024ビットとグループ5 ～ 1536ビットを使用します。このデモンストレーションでは、グループ2（1024ビット）を選択しました。

注：速度を上げ、セキュリティを下げるには、グループ2を選択します。速度を遅くし、セキュリティを高くするには、グループ5を選択します。グループ2がデフォルトとして選択されます。

手順 7：ドロップダウンリストから暗号化オプション(3DES、AES-128、AES-192、またはAES-256)を選択します。この方式により、ESP/ISAKMPパケットの暗号化および復号化に使用されるアルゴリズムが決まります。Triple Data Encryption Standard(3DES)は3回DES暗号化を使用しますが、現在はレガシーアルゴリズムです。つまり、同等のセキュリティレベルではなくても許容できるセキュリティレベルを提供するため、他に優れた選択肢がない場合にのみ使用する必要があります。ユーザは、下位互換性のために必要な場合にのみ使用する必要があります。一部の「block collision」攻撃に対して脆弱であるためです。3DESはセキュアとは見なされないため、使用することは推奨されません。高度暗号化規格(AES)は、DESよりも安全に使用されるように設計された暗号化アルゴリズムです。AESでは、より大きなキーサイズを使用します。これにより、メッセージを復号化する既知のアプローチは、侵入者がすべての可能なキーを試すことだけになります。ご使用のデバイスでAESがサポートされている場合は、AESを使用することをお勧めします。この例では、暗号化オプションとしてAES-128を選択しています。

注：役に立つ可能性のあるその他のリソースを次に示します。IPSecを使用したVPNのセキュリティの設定および次世代暗号化。

ステップ 8：認証方式によって、ESPヘッダーパケットの検証方法が決まります。これは、サイドAとサイドBが実際に本人の主張どおりであることを検証するために認証で使用されるハッシュアルゴリズムです。MD5は、128ビットのダイジェストを生成する一方向ハッシュアルゴリズムで、SHA1よりも高速です。SHA1は160ビットのダイジェストを生成する一方向ハッシュアルゴリズムで、SHA2-256は256ビットのダイジェストを生成します。SHA2-256の方がより安全なので、このコマンドを使用することを推奨します。VPNトンネルの両端で同じ認証方式が使用されていることを確認します。認証(MD5、SHA1またはSHA2-256)を選択します。

この例ではSHA2-256が選択されています。

ステップ 9：SA Lifetime (Sec)は、このフェーズでIKE SAがアクティブになっている時間を示します。それぞれのライフタイムの後にSAが期限切れになると、新しいネゴシエーションが開始されます。範囲は120 ～ 86400で、デフォルトは28800です。

フェーズIのSAライフタイムとして、デフォルト値の28800 秒を使用します。

注：フェーズ1のSAライフタイムは、フェーズIIのSAライフタイムよりも長くすることを推奨します。フェーズIをフェーズIIより短くすると、データトンネルとは対照的に、トンネルを頻繁に再ネゴシエートする必要があります。データトンネルはセキュリティを強化する必要があるため、フェーズIよりもフェーズIIのライフタイムを短くすることをお勧めします。

ステップ 10：フェーズIIでは、送受信されるデータを暗号化します。Phase 2 Optionsで、ドロップダウンリストからプロトコルを選択します。オプションは次のとおりです。

・ Encapsulating Security Payload(ESP)：データ暗号化にESPを選択し、暗号化を入力します。

・ Authentication Header (AH)：データが秘密ではない（つまり、暗号化されないが認証される必要がある）状況でデータ整合性を確保する場合に選択します。これは、トラフィックの送信元と宛先を検証するためだけに使用されます。

この例では、プロトコル選択としてESPを使用します。

ステップ 11ドロップダウンリストから暗号化オプション(3DES、AES-128、AES-192、またはAES-256)を選択します。この方式により、ESP/ISAKMPパケットの暗号化および復号化に使用されるアルゴリズムが決まります。

この例では、暗号化オプションとしてAES-128を使用します。

注：役に立つ可能性のあるその他のリソースを次に示します。IPSecを使用したVPNのセキュリティの設定および次世代暗号化。

ステップ 12認証方法によって、Encapsulating Security Payload Protocol(ESP)ヘッダーパケットの検証方法が決まります。認証(MD5、SHA1またはSHA2-256)を選択します。

この例ではSHA2-256が選択されています。

ステップ 13このフェーズでVPNトンネル(IPsec SA)がアクティブである時間を入力します。フェーズ2のデフォルト値は3600秒です。このデモンストレーションでは、デフォルト値を使用します。

ステップ 14：Perfect Forward Secrecy（PFS；完全転送秘密）を有効にするには、Enableにチェックマークを付けます。Perfect Forward Secrecy（PFS；完全転送秘密）が有効になっている場合は、IKEフェーズ2ネゴシエーションによって、IPSecトラフィックの暗号化と認証用の新しいキーマテリアルが生成されます。PFSは、公開キー暗号化を使用してインターネット経由で送信される通信のセキュリティを向上させるために使用されます。ご使用のデバイスでサポートされている場合は、この方法を使用することをお勧めします。

ステップ 15：Diffie-Hellman(DH)グループを選択します。DHはキー交換プロトコルであり、プライムキーの長さが異なる2つのグループ、グループ2 ～ 1024ビットとグループ5 ～ 1536ビットを使用します。このデモンストレーションでは、グループ2（1024ビット）を選択しました。

注：速度を上げ、セキュリティを下げるには、グループ2を選択します。速度を遅くし、セキュリティを高くするには、グループ5を選択します。デフォルトでは、グループ2が選択されています。

ステップ 16：Applyをクリックして、新しいIPSecプロファイルを追加します。

結論

これで、新しいIPsecプロファイルが正常に作成されました。次に進み、IPsecプロファイルが追加されていることを確認してください。また、次の手順に従って実行コンフィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピーし、すべての設定をリブート後も保持できます。

ステップ 1：Applyをクリックした後、新しいIPsecプロファイルを追加する必要があります。

ステップ 2：ページの上部でSaveボタンをクリックしてConfiguration Managementに移動し、実行コンフィギュレーションをスタートアップコンフィギュレーションに保存します。これは、リブート間の設定を保持するためです。

ステップ 3：Configuration Managementで、SourceがRunning Configurationで、Destination がStartup Configurationであることを確認します。次にApplyを押して、実行コンフィギュレーションをスタートアップコンフィギュレーションに保存します。ルータが現在使用しているすべての設定は、揮発性であり、リブート間は保持されないRunning Configurationファイル内にあります。実行コンフィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピーすると、リブート間のすべての設定が保持されます。