Security Cloud Control での仮想プライベートネットワークの管理

バーチャル プライベート ネットワーク(VPN)接続は、インターネットなどのパブリック ネットワークを介してエンドポイント間の安全なトンネルを確立します。

この項の内容は、Cisco 適応型セキュリティアプライアンス(Cisco ASA)デバイスのリモートアクセスおよびサイト間 VPN に当てはまります。また、ASA で VPN 接続を構築し、リモートでアクセスするために使用する SSL 標準についても説明します。

Security Cloud Control は以下のタイプの VPN 接続をサポートしています。

サイト間仮想プライベートネットワークの概要

サイト間 VPN トンネルは、地理的に異なる場所にあるネットワークを接続します。管理対象デバイス間、および管理対象デバイスと関連するすべての規格に準拠するその他のシスコまたはサードパーティのピアとの間で、サイト間 IPsec 接続を作成できます。これらのピアは、IPv4 アドレスと IPv6 アドレスの内部と外部の任意の組み合わせを持つことができます。サイト間トンネルは、Internet Protocol Security(IPsec)プロトコルスイートとインターネット キー エクスチェンジ バージョン 2(IKEv2)を使用して構築されます。VPN 接続が確立されると、ローカル ゲートウェイの背後にあるホストはセキュアな VPN トンネルを介して、リモート ゲートウェイの背後にあるホストに接続することができます。

VPN トポロジ

新しいサイト間 VPN トポロジを作成するには、一意の名前を付け、トポロジタイプを指定し、IPsec IKEv1 または IKEv2 あるいはその両方に使用される IKE バージョンと認証方式を選択する必要があります。設定したら、ASA にトポロジを展開します。

IPsec および IKE プロトコル

Security Cloud Control では、サイト間 VPN は、VPN トポロジに割り当てられた IKE ポリシーおよび IPsec プロポーザルに基づいて設定されます。ポリシーとプロポーザルはパラメータのセットであり、これらのパラメータによって、IPsec トンネル内のトラフィックでセキュリティを確保するために使用されるセキュリティ プロトコルやアルゴリズムなど、サイト間 VPN の特性が定義されます。VPN トポロジに割り当て可能な完全な設定イメージを定義するために、複数のポリシー タイプが必要となる場合があります。

認証 VPN トンネル

VPN 接続の認証には、各デバイスのトポロジ内で事前共有キーを設定します。事前共有キーにより、IKE 認証フェーズで使用する秘密鍵を 2 つのピア間で共有できます。

VPN 暗号化ドメイン

VPN の暗号化ドメインを定義するには、ルートベースまたはポリシーベースのトラフィックセレクタの 2 つの方法があります。

  • ポリシーベース:暗号化ドメインは、IPSec トンネルに入るすべてのトラフィックを許可するように設定されます。IPSec ローカルおよびリモートのトラフィックセレクタは 0.0.0.0 に設定されます。これは、IPSec トンネルにルーティングされるトラフィックはすべて、送信元/接続先のサブネットに関係なく暗号化されることを意味します。ASA は、暗号マップを使用したポリシーベースの VPN をサポートします。

  • ルートベース: 暗号化ドメインは、送信元と接続先の両方が特定の IP 範囲にある場合のみ暗号化するように設定されます。仮想 IPsec インターフェイスが作成され、そのインターフェイスに入るトラフィックはすべて暗号化および復号されます。ASA は、仮想トンネルインターフェイス(VTI)を使用してルートベースの VPN をサポートします。

エクストラネットデバイスについて

シスコ製以外のデバイスまたは管理対象外のシスコデバイスを、静的 IP アドレスまたは動的 IP アドレスのいずれかを使用して「エクストラネット」デバイスとして VPN トポロジに追加できます。

  • シスコ製以外のデバイス:Security Cloud Control を使用して、シスコ製以外のデバイスに対する設定を作成したり、展開したりすることはできません。

  • 管理対象外のシスコデバイス:組織によって管理されないシスコデバイス。たとえば、社内の他の部門が管理するネットワーク内のスポークや、サービスプロバイダーまたはパートナーネットワークへの接続などです。

ASA 間のサイト間 VPN 設定

Security Cloud Control は、適応型セキュリティアプライアンス(ASA)デバイスに搭載されているサイト間 VPN 機能の次の側面をサポートしています。

  • IPsec IKEv1 および IKEv2 プロトコルの両方をサポート。

  • 自動または手動の事前共有認証キー。

  • IPv4 および IPv6 内部、外部のすべての組み合わせをサポート。

  • IPsec IKEv2 サイト間 VPN トポロジにより、セキュリティ認定に準拠するための設定を提供。

  • スタティック インターフェイスおよびダイナミック インターフェイス。

  • エクストラネットデバイスのスタティックまたはダイナミック IP アドレスをエンドポイントとしてサポート。

動的にアドレス指定されたピアによるサイト間 VPN 接続の設定

Security Cloud Control を使用すると、ピアのいずれかの VPN インターフェイス IP アドレスが不明な場合、またはインターフェイスが DHCP サーバーからアドレスを取得する場合に、ピア間にサイト間 VPN 接続を作成できます。事前共有キー、IKE 設定、および IPsec 設定が別のピアと一致するダイナミックピアは、サイト間 VPN 接続を確立できます。

A と B の 2 つのピアがあるとします。スタティックピアは、VPN インターフェイスの IP アドレスが固定されているデバイスであり、ダイナミックピアは、VPN インターフェイスの IP アドレスが不明であるか、一時的な IP アドレスを持つデバイスです。

次の使用例では、動的にアドレス指定されたピアとの安全なサイト間 VPN 接続を確立するためのさまざまなシナリオについて説明します。

  • A はスタティックピア、B はダイナミックピア、またはその逆です。

  • A はスタティックピア、B は DHCP サーバーから解決された IP アドレスを持つダイナミックピア、またはその逆です。

  • A はダイナミックピアで、B はスタティックまたはダイナミック IP アドレスを持つエクストラネットデバイスです。

  • A は DHCP サーバーからの解決済み IP アドレスを持つダイナミックピアで、B はスタティックまたはダイナミック IP アドレスを持つエクストラネットデバイスです。


(注)  


Adaptive Security Device Manager(ASDM)などのローカルマネージャを使用してインターフェイスの IP アドレスを変更すると、Security Cloud Control では、そのピアの [設定ステータス(Configuration Status)] に [競合検出(Conflict Detected)] と表示されます。このアウトオブバンドの変更を解決すると、他方のピアの [設定ステータス(Configuration Status)] が [非同期(Not Synced)] 状態に変わります。[非同期(Not Synced)] 状態のデバイスに Security Cloud Control 設定を展開する必要があります。


通常、ダイナミックピアの IP アドレスを他方のピアは把握していないため、ダイナミックピアから接続を開始する必要があります。リモートピアが接続を確立しようとすると、他方のピアは事前共有キー、IKE 設定、および IPsec 設定を使用して接続を検証します。

VPN 接続はリモートピアが接続を開始した後にのみ確立されるため、VPN トンネルのトラフィックを許可するアクセス制御ルールに一致するすべての発信トラフィックは、接続が確立されるまでドロップされます。これにより、適切な暗号化と VPN 保護のないデータがネットワークから流出しないようになります。


(注)  


次のシナリオでは、サイト間 VPN 接続を設定できません。

1 台のデバイスに複数のダイナミックピア接続がある場合。

  • 3 台のデバイス A、B、C があるとします。

  • A(スタティックピア)と B(ダイナミックピア)間のサイト間 VPN 接続を設定します。

  • エクストラネットデバイスを作成して、A と C(ダイナミックピア)間のサイト間 VPN 接続を設定します。A のスタティック VPN インターフェイス IP アドレスをエクストラネットデバイスに割り当て、C との接続を確立します。


ASA サイト間 VPN のガイドラインと制約事項

  • Security Cloud Control は、S2S VPN の対象トラフィックを設計するための crypto-acl をサポートしていません。保護されたネットワークのみをサポートします。

  • IKE ポート 500/4500 が使用されている場合、またはアクティブな PAT 変換がある場合は、これらのポートでサービスを開始できないため、サイト間 VPN を同じポートに設定することはできません。

  • トンネルモードにのみ対応し、トランスポートモードには対応していません。IPsec トンネル モードは、新しい IP パケットのペイロードになる元の IP データグラム全体を暗号化します。トンネル モードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネル モードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール(またはその他のセキュリティゲートウェイ)間で通常の IPsec が実装される標準の方法です。

  • このリリースでは、1 つ以上の VPN トンネルを含む PTP トポロジのみがサポートされています。ポイントツーポイント(PTP)型の展開は、2 つのエンドポイント間で VPN トンネルを確立します。

仮想トンネル インターフェイスの注意事項

  • VTI は IPsec モードのみで設定可能です。ASA で GRE トンネルを終了することはサポートされていません。

  • トンネル インターフェイスを使用するトラフィックには、動的または静的なルートを使用することができます。

  • VTI の MTU は、基盤となる物理インターフェイスに応じて自動的に設定されます。ただし、VTI を有効にした後で物理インターフェイス MTU を変更した場合は、新しい MTU 設定を使用するために VTI を無効にしてから再度有効にする必要があります。

  • ネットワーク アドレス変換を適用する必要がある場合、IKE および ESP パケットは、UDP ヘッダーにカプセル化されます。

  • IKE および IPsec のセキュリティ アソシエーションには、トンネル内のデータ トラフィックに関係なく、継続的にキーの再生成が行われます。これにより、VTI トンネルは常にアップした状態になります。

  • トンネル グループ名は、ピアが自身の IKEv1 または IKEv2 識別情報として送信するものと一致する必要があります。

  • LAN-to-LAN トンネル グループの IKEv1 では、トンネルの認証方式がデジタル証明書である場合、かつ/またはピアがアグレッシブ モードを使用するように設定されている場合、IP アドレス以外の名前を使用できます。

  • 暗号マップに設定されるピア アドレスと VTI のトンネル宛先が異なる場合、VTI 設定と暗号マップの設定を同じ物理インターフェイスに共存させることができます。

  • デフォルトでは、VTI 経由のトラフィックは、すべて暗号化されます。

  • VTI インターフェイスのデフォルトのセキュリティレベルは 0 です。

  • VTI 経由のトラフィックを制御するため、VTI インターフェイスにアクセス リストを適用することができます。

  • VTI では BGP のみサポートされます。

  • ASA が IOS IKEv2 VTI クライアントを終端している場合は、IOS VTI クライアントによって開始されたこの L2L セッションのモード CFG 属性を ASA が取得できないため、IOS での設定交換要求を無効にします。

  • IPv6 はサポートされていません。

VPN で使用される暗号化アルゴリズムとハッシュアルゴリズム

VPN トンネルは通常、インターネットなどのパブリック ネットワークを経由するため、トラフィックを保護するために接続を暗号化する必要があります。IKE ポリシーと IPsec プロポーサルを使用して、暗号化とその他のセキュリティ技術を定義し、適用します。

デバイス ライセンスによって強力な暗号化を適用できる場合は、広範な暗号化とハッシュ アルゴリズム、および Diffie-Hellman グループがあり、その中から選択できます。ただし、一般に、トンネルに適用する暗号化が強力なほど、システム パフォーマンスは低下します。効率を損なうことなく十分な保護を提供するセキュリティとパフォーマンスのバランスを見出します。

シスコでは、どのオプションを選択するかについての特定のガイダンスは提供できません。比較的大規模な企業またはその他の組織内で運用している場合は、すでに、満たす必要がある標準が定義されている可能性があります。定義されていない場合は、時間を割いてオプションを調べてください。

以降のトピックでは、使用可能なオプションについて説明します。

使用する暗号化アルゴリズムの決定

IKE ポリシーまたは IPsec プロポーザルに対して使用する暗号化アルゴリズムを決定する場合は、VPN 内のデバイスによってサポートされるアルゴリズムに限定されます。

IKEv2 では、複数の暗号化アルゴリズムを設定できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、その順序を使用してピアとのネゴシエーションを行います。IKEv1 では、単一のオプションのみ選択できます。

IPsec プロポーザルでは、認証、暗号化、およびアンチリプレイ サービスを提供するカプセル化セキュリティ プロトコル(ESP)によってアルゴリズムが使用されます。ESP は、IP プロトコル タイプ 50 です。IKEv1 IPsec プロポーザルでは、アルゴリズム名の接頭辞が「ESP」となります。

デバイス ライセンスが強力な暗号化を適用できる場合、次の暗号化アルゴリズムを選択できます。強力な暗号化の対象ではない場合、DES のみ選択できます。

  • AES-GCM:(IKEv2 のみ)ガロア/カウンタモードの Advanced Encryption Standard は、機密性とデータ発信元認証を提供するブロック暗号モードの操作であり、AES より優れたセキュリティを実現します。AES-GCM には、128 ビット、192 ビット、256 ビットの 3 種類のキー強度が用意されています。キーが長いほど安全になりますが、パフォーマンスは低下します。GCM は NSA Suite B をサポートするために必要となる AES モードです。NSA Suite B は、暗号化強度に関する連邦標準規格を満たすためにデバイスがサポートすべき一連の暗号化アルゴリズムです。

  • AES-GMAC:(IKEv2 IPsec プロポーザルのみ)Advanced Encryption Standard のガロア メッセージ認証コード(GMAC)は、データ発信元認証だけを行う操作のブロック暗号モードです。これは AES-GCM の一種であり、データを暗号化せずにデータ認証が行えます。AES-GMAC には、128 ビット、192 ビット、256 ビットの 3 種類のキー強度が用意されています。

  • AES(Advanced Encryption Standard)は DES よりも高度なセキュリティを提供する対称暗号化アルゴリズムであり、計算の効率は 3DES よりも高いです。AES には、128 ビット、192 ビット、256 ビットの 3 種類のキー強度が用意されています。キーが長いほど安全になりますが、パフォーマンスは低下します。

  • DES(Data Encryption Standard)は、56 ビットキーを使用して暗号化する対称秘密鍵ブロックアルゴリズムです。ライセンスアカウントが輸出規制の要件を満たしていない場合、これは唯一のオプションです。3DES よりも高速であり、使用するシステムリソースも少ないですが、安全性は劣ります。堅牢なデータ機密保持が必要ない場合、およびシステム リソースや速度が重要である場合には、DES を選択します。

  • 3DES(トリプル DES):56 ビットキーを使用して暗号化を 3 回行います。異なるキーを使用してデータの各ブロックを 3 回処理するため、DES よりも安全です。ただし、使用するシステム リソースが多くなり、DES よりも速度が遅くなります。

  • Null:ヌル暗号化アルゴリズムは暗号化なしで認証します。通常はテスト目的にのみ使用されます。

使用するハッシュ アルゴリズムの決定

IKE ポリシーでは、ハッシュ アルゴリズムがメッセージ ダイジェストを作成します。これは、メッセージの整合性を保証するために使用されます。IKEv2 では、ハッシュ アルゴリズムは 2 つのオプションに分かれています。1 つは整合性アルゴリズムに使用され、もう 1 つは擬似乱数関数(PRF)に使用されます。

IPsec プロポーザルでは、ハッシュ アルゴリズムはカプセル化セキュリティ プロトコル(ESP)による認証のために使用されます。IKEv2 IPsec プロポーザルでは、これは整合性のハッシュと呼ばれます。IKEv1 IPsec プロポーザルでは、アルゴリズム名の接頭辞が「ESP-」となり、「-HMAC」(Hash Method Authentication Code)という接尾辞も使用されます。

IKEv2 では、複数のハッシュ アルゴリズムを設定できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、その順序を使用してピアとのネゴシエーションを行います。IKEv1 では、単一のオプションのみ選択できます。

次のハッシュ アルゴリズムから選択できます。

  • [SHA (Secure Hash Algorithm)]:標準の SHA(SHA-1)は、160 ビットのダイジェストを生成します。SHA には、総当たり攻撃に対して、MD5 よりも高い耐性が備えられています。ただし、MD5 よりも多くのリソースを消費します。最大レベルのセキュリティを必要とする実装には、SHA ハッシュ アルゴリズムを使用してください。

  • IKEv2 の設定では、以下の SHA-2 オプションを指定して、より高度なセキュリティを実現できます。NSA Suite B 暗号化仕様を実装するには、次のいずれかを選択します。

    • SHA256:256 ビットのダイジェストを生成するセキュア ハッシュ アルゴリズム SHA-2 を指定します。

    • SHA384:384 ビットのダイジェストを生成するセキュア ハッシュ アルゴリズム SHA-2 を指定します。

    • SHA512:512 ビットのダイジェストを生成するセキュア ハッシュ アルゴリズム SHA-2 を指定します。

  • MD5 (Message Digest 5):128 ビットのダイジェストを生成します。MD5 は処理時間が短いため、全体的なパフォーマンスが SHA より高速ですが、SHA より強度は低いと考えられています。

  • NULL またはなし(NULL、ESP-NONE):(IPsec プロポーザルのみ)NULL ハッシュ アルゴリズム。通常はテスト目的のみに使用されます。しかし、暗号化オプションとしていずれかの AES-GCM/GMAC オプションを選択した場合は、NULL 整合性アルゴリズムを選択する必要があります。NULL 以外のオプションを選択した場合、これらの暗号化標準に対しては、整合性ハッシュは無視されます。

使用する Diffie-Hellman 係数グループの決定

次の Diffie-Hellman キー導出アルゴリズムを使用して、IPsec Security Association(SA:セキュリティ アソシエーション)キーを生成することができます。各グループでは、異なるサイズの係数が使用されます。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。両方のピアに、一致する係数グループが存在する必要があります。

AES 暗号化を選択する場合は、AES で必要な大きいキー サイズをサポートするために、Diffie-Hellman(DH:デフィーヘルマン)グループ 5 以降を使用する必要があります。IKEv1 ポリシーは、以下に示すすべてのグループをサポートしているわけではありません。

NSA Suite-B の暗号化の仕様を実装するには、IKEv2 を使用して楕円曲線 Diffie-Hellman(ECDH)オプション:19、20、21 のいずれか 1 つを選択します。楕円曲線オプションと、2048 ビット係数を使用するグループは、Logjam のような攻撃にさらされる可能性が低くなります。

IKEv2 では、複数のグループを設定できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、その順序を使用してピアとのネゴシエーションを行います。IKEv1 では、単一のオプションのみ選択できます。

  • 2:Diffie-Hellman グループ 2(1024 ビット Modular Exponential(MODP)グループ)。このオプションは十分な保護レベルとは見なされなくなりました。

  • 5:Diffie-Hellman グループ 5(1536 ビット MODP グループ)。以前は 128 ビットキーの十分な保護レベルと見なされていましたが、このオプションは十分な保護レベルとは見なされなくなりました。

  • 14:Diffie-Hellman グループ 14(2048 ビット Modular Exponential(MODP)グループ)。192 ビットのキーでは十分な保護レベルです。

  • 19:Diffie-Hellman グループ 19(国立標準技術研究所(NIST)256 ビット楕円曲線モジュロプライム(ECP)グループ)。

  • 20:Diffie-Hellman グループ 20(NIST 384 ビット ECP グループ)。

  • 21:Diffie-Hellman グループ 21(NIST 521 ビット ECP グループ)。

  • 24:Diffie-Hellman グループ 24(2048 ビット MODP グループと 256 ビット素数位数部分群)。このオプションは推奨されなくなりました。

使用する認証方式の決定

次の方法を使用して、サイト間 VPN 接続でピアを認証できます。

事前共有キー

事前共有キーは、接続内の各ピアで設定された秘密鍵文字列です。これらのキーは、IKE が認証フェーズで使用します。IKEv1 の場合は、各ピアで同じ事前共有キーを設定する必要があります。IKEv2 の場合は、各ピアに一意のキーを設定できます。

事前共有キーは、証明書に比べて拡張性がありません。多数のサイト間 VPN 接続を設定する必要がある場合は、事前共有キー方式ではなく証明書方式を使用します。

ASA 間のサイト間 VPN トンネルの作成

次の手順を使用して、2 つの ASA またはエクストラネットデバイスを備えた ASA 間にサイト間 VPN トンネルを作成します。

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間 VPN(Site to Site VPN)] > [ASA と FDM(ASA & FDM)] をクリックします。

ステップ 2

右上隅の青いプラス をクリックし、ASA ラベル付きの [サイト間VPN] をクリックします。

ステップ 3

[設定名(Configuration name)] フィールドに、サイト間 VPN 設定の名前を入力します。

ステップ 4

いずれかのオプションを選択して、新しいポリシーベースまたはルートベースのサイト間 VPN を作成します。

ステップ 5

[ピアデバイス] セクションで、次の手順を実行します。

  1. [ピア1]:ASA デバイスを選択してから、[選択] をクリックします。

  2. [ピア2]:他の ASA デバイスを選択してから、[選択] をクリックします。

    [エクストラネット]:ピア 2 でエクストラネットデバイスを選択する場合は、[エクストラネット] スライダをクリックして有効にします。

    [静的] を選択して IP アドレスを指定します。DHCP が割り当てられた IP を持つエクストラネットデバイスの場合は [動的] を選択します。[IPアドレス] には、静的インターフェイスの IP アドレスまたは動的インターフェイスの [DHCP割り当て] が表示されます。

  3. [次へ(Next)] をクリックします。

  4. エンドポイントデバイスの [VPNアクセスインターフェイス(VPN Access Interface)] を選択します。

  5. (ルートベースの VPN に適用可能)LAN サブネットを制御する [LANインターフェイス(LAN Interfaces)] を選択します。複数のインターフェイスを選択できます。

    選択した LAN インターフェイスに接続されたネットワークは、ルーティング ポリシー アクセス リストに追加されます。ルーティング ポリシー アクセス リストに一致するトラフィックは、VPN トンネルによって暗号化および復号されます。

  6. [ネットワークの追加] をクリックして、参加デバイスの [保護されたネットワーク] を追加します。保護されたネットワークは、この VPN エンドポイントによって保護されるネットワークを定義します。

  7. (任意かつポリシーベースに適用可能)[NAT免除(NAT Exempt)] を選択して、VPN トラフィックをローカル VPN アクセスインターフェイス上の NAT ポリシーから除外します。個々のピアに対して手動で設定する必要があります。NAT ルールをローカル ネットワークに適用しない場合、ローカル ネットワークをホストするインターフェイスを選択します。このオプションは、ローカル ネットワークが 1 つのルーテッド インターフェイス(ブリッジグループ メンバーではない)の背後にある場合にのみ機能します。ローカルネットワークが複数のルーテッドインターフェイスまたは 1 つ以上のブリッジグループのメンバーの背後にある場合、NAT 免除ルールを手動で作成する必要があります。必要なルールを手動で作成する方法については、「NAT からのサイト間 VPN トラフィックの除外」を参照してください。

  8. [次へ(Next)] をクリックします。

ステップ 6

(ルートベースに適用可能)[トンネルの詳細(Tunnel Details)] では、前の手順でピア デバイスを設定すると、[VTIアドレス(VTI Address)] フィールドが自動的に入力されます。必要に応じて、新しい VTI として使用される IP アドレスを手動で入力できます。

ステップ 7

[IKE設定] セクションで、インターネット キー エクスチェンジ(IKE)ネゴシエーション中に使用する IKE バージョンを選択し、プライバシー設定を指定します。IKE ポリシーの詳細については、「グローバル IKE ポリシーの設定」を参照してください。

ユーザーが行った構成に基づいて、Security Cloud Control は IKE 設定を提案します。推奨される IKE 構成設定を続行するか、新しい構成設定を定義することができます。

(注)  

 

IKE ポリシーはデバイスに対してグローバルであり、デバイスに関連付けられたすべての VPN トンネルに適用されます。したがって、ポリシーを追加または削除すると、このデバイスが参加しているすべての VPN トンネルに影響します。

  1. 必要に応じて、いずれかまたは両方の IKE バージョンを選択します。

    デフォルトでは、[IKEVバージョン2] が有効になっています。

    (注)  

     

    ルートベースの VPN では、IKE バージョンを両方一緒には有効にできません。

  2. [IKEv2ポリシーの追加] をクリックし、IKEv2 ポリシーを選択します。

    (注)  

     

    [新しいIKEv2ポリシーの作成(Create New IKEv2 Policy)] をクリックして、新しい IKEv2 ポリシーを作成します。新しい IKEv2 ポリシーの作成の詳細については、「IKEv2 ポリシーの設定」を参照してください。既存の IKEv2 ポリシーを削除するには、選択したポリシーにカーソルを合わせ、[x] アイコンをクリックします。

  3. 参加デバイスの [事前共有キー(Pre-Shared Key)] を入力します。事前共有キーは、接続内の各ピアで設定された秘密鍵文字列です。IKE は、これらのキーを認証フェーズで使用します。

    (IKEv2)[ピア1事前共有キー(Peer 1 Pre-shared Key)]、[ピア2事前共有キー(Peer 2 Pre-shared Key)]:IKEv2 の場合、各ピアで固有のキーを設定できます。[事前共有キー(Pre-shared Key)] を入力します。表示ボタンをクリックして、ピアに適切な事前共有キーを入力できます。このキーには 1 ~ 127 の英数字を指定できます。次の表で、両方のピアにおける事前共有キーの目的について説明します。

    ローカル事前共有キー

    リモートピア事前共有キー

    ピア 1 ピア 1 事前共有キー ピア 2 事前共有キー
    ピア 2 ピア 2 事前共有キー ピア 1 事前共有キー
  4. [IKEバージョン1(IKE Version 1)] をクリックして有効にします。

  5. [IKEv1ポリシーの追加] をクリックし、IKEv1 ポリシーを選択します。[新しいIKEv1ポリシーの作成(Create New IKEv1 Policy)] をクリックして、新しい IKEv1 ポリシーを作成します。新しい IKEv1 ポリシーの作成の詳細については、「IKEv1 ポリシーの設定」を参照してください。既存の IKEv1 ポリシーを削除するには、選択したポリシーにカーソルを合わせ、[x] アイコンをクリックします。

  6. (IKEv1)[事前共有キー(Pre-shared Key)]:IKEv1 の場合は、各ピアで同じ事前共有キーを設定する必要があります。このキーには 1 ~ 127 の英数字を指定できます。このシナリオでは、ピア 1 とピア 2 は同じ事前共有キーを使用してデータを暗号化および復号します。

  7. [次へ(Next)] をクリックします。

ステップ 8

[IPSec設定(IPSec Settings)] セクションで、ユーザーが行った構成に基づいて、Security Cloud Control は IKEv2 プロポーザルを提案します。推奨される IKE 構成設定を続行するか、新しい構成設定を定義することができます。IPSec 設定の詳細については、「IPSec プロポーザルの設定」を参照してください。

  1. [+IKEv2プロポーザル(+ IKEv2 Proposals)] をクリックして、IPSec 構成を選択します。[IPSec設定(IPSec Settings)] ステップでの選択に応じて、対応する IKEv プロポーザルを使用できます。既存の IKEv2 プロポーザルを削除するには、選択したプロポーザルにカーソルを合わせ、[x] アイコンをクリックします。

    (注)  

     

    [新しいIKEv2プロポーザルの作成(Create New IKEv2 Proposal)] をクリックして、新しい IKEv2 プロポーザルを作成します。新しい IKEv2 プロポーザルの作成の詳細については、「IKEv2 の IPsec プロポーザルの設定」を参照してください。

  2. [Perfect Forward Secrecy対応のDiffie-Hellmanグループ(Diffie-Hellman Group for Perfect Forward Secrecy)] を選択します。詳細については、「VPN で使用される暗号化アルゴリズムとハッシュアルゴリズム」を参照してください。

  3. [次へ(Next)] をクリックします。

ステップ 9

[終了(Finish)] セクションで構成に目を通し、構成に問題がない場合にのみ続行して、[送信(Submit)] をクリックしてください。


新しく構成されたサイト間 VPN トンネルを示す [VPNトンネル(VPN Tunnels)] ページに移動します。変更は段階的であり、手動で展開する必要があります。VTI トンネルを介してデバイス間で VTI トラフィックを自動的にルーティングするルーティングポリシーが作成されます。このポリシーを表示するには、[インベントリ(Inventory)] ページでデバイスを選択し、[設定(Configuration)] > [差分(Diff)] を選択します。

新しいトンネルに関連付けられたデバイスに、サイト間 VPN 構成を展開するには、「構成変更の展開」セクションを参照してください。

NAT からのサイト間 VPN トラフィックの除外

インターフェイスでサイト間 VPN 接続が定義されていて、かつそのインターフェイス向けの NAT ルールを指定している場合、NAT ルールから VPN 上のトラフィックを任意で除外できます。この操作は、VPN 接続のリモート エンドが内部アドレスを処理できる場合に行うと便利です。

VPN 接続を作成するときに、[NATを除外(NAT Exempt)] オプションを選択すると、ルールが自動的に作成されます。ただし、これはローカルで保護されたネットワークが単一のルーテッド インターフェイス(ブリッジ グループ メンバーではない)を介して接続されている場合のみ動作します。その代わりに、接続内のローカルネットワークが複数のルーテッド インターフェイス、または 1 つ以上のブリッジ グループ メンバーの背後に存在する場合、NAT 免除ルールを手動で設定する必要があります。

NAT ルールから VPN トラフィックを除外するには、宛先がリモート ネットワークのときにローカル トラフィックの手動アイデンティティ NAT ルールを作成します。次に、任意の宛先(インターネットなど)のトラフィックに NAT を適用します。ローカル ネットワークに複数のインターフェイスがある場合、各インターフェイスにルールを作成します。次の点も考慮してください。

  • 接続内に複数のローカル ネットワークがある場合、ネットワークを定義するオブジェクトを保持するネットワーク オブジェクト グループを作成します。

  • VPN に IPv4 ネットワークと IPv6 ネットワークの両方を含める場合、それぞれに個別のアイデンティティ NAT ルールを作成します。

次の例では、ボールダーとサンノゼのオフィスを接続するサイトツーサイト トンネルを示します。インターネットに渡すトラフィックについて(たとえばボールダーの 10.1.1.6 から www.example.com へ)、インターネットへのアクセスのために NAT によって提供されるパブリック IP アドレスが必要です。次の例では、インターフェイス ポート アドレス変換(PAT)ルールを使用しています。ただし、VPN トンネルを経由するトラフィックについては(たとえば、ボールダーの 10.1.1.6 からサンノゼの 10.2.2.78 へ)、NAT を実行しません。そのため、アイデンティティ NAT ルールを作成して、そのトラフィックを除外する必要があります。アイデンティティ NAT は同じアドレスにアドレスを変換します。

次の例は、Firewall1(ボールダー)の設定を示します。例では、内部インターフェイスがブリッジ グループであると仮定するため、各メンバー インターフェイスにルールを記述する必要があります。ルーティングされた内部インターフェイスが 1 つある場合も複数ある場合も、プロセスは同じです。


(注)  


この例では、IPv4 のみと仮定します。VPN に IPv6 ネットワークも含まれる場合、IPv6 にはパラレル ルールを作成します。IPv6 インターフェイス PAT は実装できないため、PAT を使用するには固有の IPv6 アドレスを持つホスト オブジェクトを作成する必要があることに注意してください。


手順

ステップ 1

さまざまなネットワークを定義するには、オブジェクトを作成します。

  1. 左側のペインで [オブジェクト(Objects)] をクリックします。

  2. 青色のプラスボタン をクリックして、オブジェクトを作成します。

  3. [ASA] > [ネットワーク(Network)] をクリックします。

  4. ネットワーク内でボールダーを特定します。

  5. オブジェクト名を入力します(例:boulder-network)。

  6. [ネットワークオブジェクトの作成(Create a network object)] を選択します。

  7. [値(Value)] セクションで、次の手順を実行します。

    • [eq] を選択して、単一の IP アドレスまたは CIDR 表記で表されるサブネットアドレスを入力します。

    • [範囲(range)] を選択し、IP アドレスの範囲を入力します。たとえば、ネットワークアドレスを 10.1.1.0/24 と入力します。

  8. [追加(Add)] をクリックします。

  9. 青色のプラスボタン をクリックして、オブジェクトを作成します。

  10. サンノゼの内部ネットワークを定義します。

  11. オブジェクト名を入力します(例:san-jose)。

  12. [ネットワークオブジェクトの作成(Create a network object)] を選択します。

  13. [値(Value)] セクションで、次の手順を実行します。

    • [eq] を選択して、単一の IP アドレスまたは CIDR 表記で表されるサブネットアドレスを入力します。

    • [範囲(range)] を選択し、IP アドレスの範囲を入力します。たとえば、ネットワークアドレスを 10.1.1.0/24 と入力します。

  14. [追加(Add)] をクリックします。

ステップ 2

Firewall1(ボールダー)上で VPN 経由でサンノゼに向かう場合、ボールダー ネットワークの手動アイデンティティ NAT を設定します。

  1. 左側のペインで [セキュリティデバイス(Security Devices)] > [すべてのデバイス(All Devices)] の順にクリックします。

  2. フィルタを使用して、NAT ルールを作成するデバイスを見つけます。

  3. 詳細パネルの [管理(Management)] 領域で、[NAT] をクリックします。

  4. > [Twice NAT] をクリックします。

    • セクション 1 で、[静的(Static)] を選択します。 [続行(Continue)] をクリックします。

    • セクション 2 で、[送信元インターフェイス(Source Interface)] = [内部(inside)] および [宛先インターフェイス(Destination Interface)] = [外部(outside)] を選択します。[続行(Continue)] をクリックします。

    • セクション 3 で、[送信元の元のアドレス(Source Original Address)] = 'boulder-network' および [送信元の変換後アドレス(Source Translated Address)] = 'boulder-network' を選択します。

    • [宛先を使用(Use Destination)] を選択します。

    • [宛先の元のアドレス(Destination Original Address)] = 'sanjose-network' および [送信元の変換後アドレス(Source Translated Address)] = 'sanjose-network' を選択します。:宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。[ポート(Port)] フィールドはすべて空白のままにします。このルールは、送信元と宛先の両方のアイデンティティ NAT を設定します。

    • [着信パケットのプロキシ ARP の無効化(Disable proxy ARP for incoming packets)] を選択します。

    • [保存(Save)] をクリックします。

    • 他の内部インターフェイスごとに、同等のルールを作成するプロセスを繰り返します。

ステップ 3

Firewall1(ボールダー)上でボールダーの内部ネットワークのインターネットに入る場合、手動ダイナミック インターフェイス PAT を設定します。注:IPv4 トラフィックを対象とする内部インターフェイス用ダイナミック インターフェイス PAT ルールは、初期設定時にデフォルトで作成されるので、既に存在する可能性があります。ただし、この設定は説明を完結させるために示しています。この手順を完了する前に、内部インターフェイスとネットワークをカバーするルールがすでに存在していることを確認して、存在している場合はこの手順をスキップしてください。

  1. > [Twice NAT] をクリックします。

  2. セクション 1 で、[ダイナミック(Dynamic)] を選択します。 [続行(Continue)] をクリックします。

  3. セクション 2 で、[送信元インターフェイス(Source Interface)] = [内部(inside)] および [宛先インターフェイス(Destination Interface)] = [外部(outside)] を選択します。[続行(Continue)] をクリックします。

  4. セクション 3 で、[送信元の元のアドレス(Source Original Address)] = 'boulder-network' および [送信元の変換後アドレス(Source Translated Address)] = 'インターフェイス(interface)' を選択します。

  5. [保存(Save)] をクリックします。

  6. 他の内部インターフェイスごとに、同等のルールを作成するプロセスを繰り返します。

ステップ 4

設定変更を Security Cloud Control に展開します。詳細については、Security Cloud Control GUI を使用して行った設定変更の展開を参照してください。

ステップ 5

Firewall2(サンノゼ)の管理を行っている場合、そのデバイスに同様のルールを設定できます。

  • 手動アイデンティティ NAT ルールは、宛先が boulder-network の場合は sanjose-network 向けになります。Firewall2 の内部および外部ネットワーク向けに新しいインターフェイス オブジェクトを作成します。

  • 手動ダイナミック インターフェイス PAT ルールは、宛先が「任意」の場合は sanjose-network 向けになります。


Cisco ASA と Multicloud Defense Gateway 間のサイト間 VPN 設定

Cisco ASA と、関連するすべての標準に準拠する Multicloud Defense Gateway の間にサイト間 IPsec 接続を作成できます。VPN 接続が確立されると、ファイアウォールの背後にあるホストは、セキュアな VPN トンネルを介してゲートウェイの背後にあるホストに接続できます。

Multicloud Defense は現在、Amazon Web Services(AWS)、Azure、Google Cloud Platform(GCP)、および Oracle OCI クラウドアカウントをサポートしています。

Cisco ASA と Multicloud Defense Gateway 間でのサイト間 VPN の作成

次の手順を使用して、Security Cloud Control ダッシュボードから Security Cloud Control およびMulticloud Defense Gateway によって管理される Cisco ASA デバイス間に VPNトンネルを作成します。

始める前に

次の前提条件を満たしていることを確認してください。

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] の順にクリックします。

ステップ 2

右上隅にあるトンネルの作成()ボタンをクリックし、Multicloud Defense ラベル付きの [サイト間VPN(Site-to-Site VPN)] をクリックします。

ステップ 3

[設定名(Configuration Name)] フィールドに、作成するサイト間 VPN 設定の名前を入力します。

ステップ 4

[ピアデバイス(Peer Devices)] エリアで、次の情報を入力します。

  • [デバイス1(Device 1)]:ドロップダウンリストの [Cisco ASA(ASA)] タブをクリックし、目的の Cisco ASA デバイスを選択します。

  • [デバイス2(Device 2)]:ドロップダウンリストの [Multicloud Defense] タブをクリックし、目的のゲートウェイを選択します。

  • [VPNアクセスインターフェイス(VPN Access Interface)]:Multicloud Defense への接続に使用する Cisco ASA インターフェイスを選択します。

  • [パブリックIP(Public IP)](任意):選択した Cisco ASA の外部インターフェイスにマッピングする NAT のパブリック IP アドレスを指定します。

  • [ルーティング(Routing)]:[ネットワークの追加(Add Networks)] をクリックし、Cisco ASA から 1 つ以上の保護されたネットワークを選択して、選択したネットワークと Multicloud Defense Gateway の間にサイト間トンネルを作成します。

ステップ 5

[次へ(Next)] をクリックします。

ステップ 6

[トンネルの詳細(Tunnel Details)] エリアで、次の情報を入力します。

  • [仮想トンネルインターフェイスIP(Virtual Tunnel Interface IP)]:ピアの新しい [仮想トンネルインターフェイス(Virtual Tunnel Interfaces)] のアドレスを指定します。Security Cloud Control から Cisco ASA のサンプルアドレスが提供されますが、競合が発生した場合は変更できます。このデバイスで現在使用されていない未使用の IP アドレスを割り当てられます。

  • [自律システム番号(Autonomous System Number)](ピア 1):Cisco ASA デバイスに自律システム番号が設定されていない場合、Security Cloud Control からデバイスの自律システム番号が提示されますが、その番号は変更できます。デバイスに自律システム番号がすでに設定されている場合は、現在の値が表示され、変更できません。

  • [自律システム番号(Autonomous System Number)](ピア 2):BGP プロファイルが Multicloud Defense Gateway に割り当てられている場合、プロファイルに関連付けられた自律番号が表示され、変更できません。Multicloud Defense Gateway の追加」を参照してください。

ステップ 7

[次へ(Next)] をクリックします。

ステップ 8

[IKE設定(IKESettings)] エリアで、Security Cloud Control によってデフォルトの [事前共有キー(Pre-Shared Key)] が生成されます。このキーは、ピアで設定される秘密鍵文字列です。IKE では、認証フェーズでこのキーが使用されます。このキーは、ピア間にトンネルを確立する際の相互検証に使用されます。

ステップ 9

[次へ(Next)] をクリックします。

ステップ 10

[終了(Finish)] エリアで設定を確認し、設定に問題がない場合にのみ続行します。

デフォルトでは、[変更をCisco ASAにすぐに展開する(Deploy changes to Cisco ASA)] チェックボックスがオンになっており、[送信(Submit)] をクリックすると設定がすぐに Cisco ASA デバイスに展開されます。

後で設定を確認して手動で展開する場合は、このチェックボックスをオフにします。

ステップ 11

[送信(Submit)] をクリックします。

設定が Multicloud Defense Gateway にプッシュされます。


Security Cloud Control の [VPN] ページには、ピア間で作成されたサイト間トンネルが表示されます。対応するトンネルは Multicloud Defense Gateway ポータルで確認できます。

グローバル IKE ポリシーについて

Internet Key Exchange(IKE、インターネット キー エクスチェンジ)は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA、セキュリティ アソシエーション)の自動的な確立に使用されるキー管理プロトコルです。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKE プロポーザルは、2 つのピア間のネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。

IKE ポリシー オブジェクトはこれらのネゴシエーションに対して IKE プロポーザルを定義します。有効にするオブジェクトは、ピアが VPN 接続をネゴシエートするときに使用するものであり、接続ごとに異なる IKE ポリシーを指定することはできません。各オブジェクトの相対的な優先順位は、これらの中でどのポリシーを最初に試行するかを決定します。数が小さいほど、優先順位が高くなります。ネゴシエーションで両方のピアがサポートできるポリシーを見つけられなければ、接続は確立されません。

IKE グローバル ポリシーを定義するには、各 IKE バージョンを有効にするオブジェクトを選択します。事前定義されたオブジェクトが要件を満たさない場合、セキュリティ ポリシーを適用する新しいポリシーを作成します。

次に、オブジェクト ページでグローバル ポリシーを設定する方法について説明します。VPN 接続を編集しているときに IKE ポリシー設定の [編集(Edit)] をクリックすることで、ポリシーの有効化、無効化および作成が行えます。

次に、各バージョンの IKE ポリシーの設定方法を説明します。

IKEv1 ポリシーの管理

IKEv1 ポリシーについて

インターネット キー エクスチェンジ(IKE)バージョン 1 ポリシー オブジェクトには、VPN 接続を定義する際に必要な IKEv1 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SA)の自動確立に使用されます。

複数の事前定義された IKEv1 ポリシーが存在します。必要に適したポリシーがあれば、[状態(State)] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

IKEv1 ポリシーの作成

インターネット キー エクスチェンジ(IKE)バージョン 1 ポリシー オブジェクトには、VPN 接続を定義する際に必要な IKEv1 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SA)の自動確立に使用されます。

複数の事前定義された IKEv1 ポリシーが存在します。必要に適したポリシーがあれば、[状態(State)] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続での IKE 設定の編集時に、オブジェクトリストに表示される [新しいIKEv1 ポリシーの作成(Create New IKEv1 Policy)] リンクをクリックして、IKEv1 ポリシーを作成することもできます。

手順

ステップ 1

左側のペインで [オブジェクト(Objects)] をクリックします。

ステップ 2

次のいずれかの操作を実行します。

  • 青色のプラスボタン をクリックし、[FDM] > [IKEv1 ポリシー(IKEv1 Policy)] を選択して、新しい IKEv1 ポリシーを作成します。

  • オブジェクトのページで、編集する IKEv1 ポリシーを選択し、右側の [操作(Actions)] ウィンドウで [編集(Edit)] をクリックします。

ステップ 3

[オブジェクト名(Object Name)] を 128 文字以内で入力します。

ステップ 4

IKEv1 プロパティを設定します。

  • [優先順位(Priority)]:IKE ポリシーの相対的優先順位(1 ~ 65,535)。このプライオリティによって、共通のセキュリティ アソシエーション(SA)の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティ ポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。

  • [暗号化(Encryption)] :フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティ アソシエーション(SA)の確立に使用される暗号化アルゴリズム。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。

  • [Diffie-Hellmanグループ(Diffie-Hellman Group)] :2 つの IPsec ピア間の共有秘密を互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。オプションの説明については、「使用する Diffie-Hellman 係数グループの決定」を参照してください。

  • [ライフタイム(Lifetime)]:セキュリティ アソシエーション(SA)のライフタイム(120 ~ 2147483647 までの秒数、または空白)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません(フィールドを空白のままにします)。

  • [認証(Authentication)] :2 つのピア間で使用される認証方式。詳細については、「使用する認証方式の決定」を参照してください。

    • [事前共有キー(Preshared Key)]:各デバイスで定義されている事前共有キーを使用します。事前共有キーを使用すると、秘密鍵を 2 つのピア間で共有し、認証フェーズ中に IKE で使用できます。ピアに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。

    • [証明書(Certificate)]:ピアのデバイス ID 証明書を使用して相互に識別します。認証局に各ピアを登録することによって、これらの証明書を取得する必要があります。また、各ピアでアイデンティティ証明書の署名に使用された、信頼できる CA ルート証明書および中間 CA 証明書もアップロードする必要があります。ピアは、同じ CA または別の CA に登録できます。どちらのピアにも自己署名証明書を使用することはできません。

  • [ハッシュ(Hash)] :メッセージの整合性の確保に使用されるメッセージダイジェストを作成するためのハッシュアルゴリズム。オプションの説明については、「使用するハッシュアルゴリズムの決定」を参照してください。

ステップ 5

[追加(Add)] をクリックします。


IKEv2 ポリシーの管理

IKEv2 ポリシーについて

インターネット キー エクスチェンジ(IKE)バージョン 2 ポリシー オブジェクトには、VPN 接続を定義する際に必要な IKEv2 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SA)の自動確立に使用されます。

複数の事前定義された IKEv2 ポリシーがあります。必要に適したポリシーがあれば、[状態(State)] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

IKEv2 ポリシーの作成

インターネット キー エクスチェンジ(IKE)バージョン 2 ポリシー オブジェクトには、VPN 接続を定義する際に必要な IKEv2 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティ アソシエーション(SA)の自動確立に使用されます。

複数の事前定義された IKEv2 ポリシーがあります。必要に適したポリシーがあれば、[状態(State)] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続での IKE 設定の編集時に、オブジェクトリストに表示される [新しいIKEv2ポリシーの作成(Create New IKEv2 Policy)] リンクをクリックして、IKEv2 ポリシーを作成することもできます。

手順

ステップ 1

左側のペインで [オブジェクト(Objects)] をクリックします。

ステップ 2

次のいずれかの操作を実行します。

  • 青色のプラスボタン をクリックし、[FDM] > [IKEv2ポリシー(IKEv2 Policy)] を選択して、新しい IKEv2 ポリシーを作成します。

  • オブジェクトページで、編集する IKEv2 ポリシーを選択し、右側の [アクション(Actions)] ペインで [編集(Edit)] をクリックします。

ステップ 3

[オブジェクト名(Object Name)] を 128 文字以内で入力します。

ステップ 4

IKEv2 プロパティを設定します。

  • [優先順位(Priority)]:IKE ポリシーの相対的優先順位(1 ~ 65,535)。このプライオリティによって、共通のセキュリティ アソシエーション(SA)の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティ ポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。

  • [状態(State)]:IKE ポリシーが有効か無効かを示します。トグルをクリックして状態を変更します。IKE ネゴシエーション中には、有効なポリシーのみが使用されます。

  • [暗号化(Encryption)] :フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティ アソシエーション(SA)の確立に使用される暗号化アルゴリズム。有効にするすべてのアルゴリズムを選択します。ただし、同じポリシーに混合モード(AES-GCM)と通常モードのオプションを含めることはできません(通常モードでは整合性ハッシュを選択する必要がありますが、混合モードでは個別の整合性ハッシュの選択は禁止されています)。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。

  • [Diffie-Hellmanグループ(Diffie-Hellman Group)] :2 つの IPsec ピア間の共有秘密を互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。許可するすべてのアルゴリズムを選択します。システムは、最も強いグループから始めて最も弱いグループに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用する Diffie-Hellman 係数グループの決定」を参照してください。

  • [整合性ハッシュ(Integrity Hash)] :メッセージの整合性の確保に使用されるメッセージダイジェストを作成するためのハッシュアルゴリズムの整合性部分。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。整合性ハッシュは、AES-GCM 暗号化オプションでは使用されません。オプションの説明については、「使用するハッシュアルゴリズムの決定」を参照してください。

  • [擬似ランダム関数(PRF)ハッシュ(Pseudo-Random Function (PRF) Hash)]:ハッシュアルゴリズムの疑似ランダム関数(PRF)部分。このアルゴリズムは IKEv2 トンネル暗号化に必要なキー関連情報とハッシュ操作を取得するために使用されます。IKEv1 では、整合性と PRF アルゴリズムは別ですが、IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用するハッシュアルゴリズムの決定」を参照してください。

  • [ライフタイム(Lifetime)]:セキュリティ アソシエーション(SA)のライフタイム(120 ~ 2147483647 までの秒数、または空白)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません(フィールドを空白のままにします)。

ステップ 5

[追加(Add)] をクリックします。


IPsec プロポーザルについて

IPsec は、VPN を設定する場合の最も安全な方法の 1 つです。IPsec では、IP パケット レベルでのデータ暗号化が提供され、標準規格に準拠した堅牢なセキュリティ ソリューションが提供されます。IPsec では、データはトンネルを介してパブリック ネットワーク経由で送信されます。トンネルとは、2 つのピア間のセキュアで論理的な通信パスです。IPsec トンネルを通過するトラフィックは、トランスフォーム セットと呼ばれるセキュリティ プロトコルとアルゴリズムの組み合わせによって保護されます。IPsec Security Association(SA:セキュリティ アソシエーション)のネゴシエーション中に、ピアでは、両方のピアに共通するトランスフォーム セットが検索されます。

IKE バージョン(IKEv1 または IKEv2)に基づいて、別個の IPsec プロポーザル オブジェクトがあります。

  • IKEv1 IPsec プロポーザルを作成する場合、IPSec が動作するモードを選択し、必要な暗号化タイプおよび認証タイプを定義します。アルゴリズムには単一のオプションを選択できます。VPN で複数の組み合わせをサポートするには、複数の IKEv1 IPsec プロポーザル オブジェクトを作成して選択します。

  • IKEv2 IPsec プロポーザルを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュ アルゴリズムを選択できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、マッチが見つかるまでピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

カプセル化セキュリティ プロトコル(ESP)は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。これは認証、暗号化、およびアンチリプレイ サービスを提供します。ESP は、IP プロトコル タイプ 50 です。


(注)  


IPsec トンネルで暗号化と認証の両方を使用することを推奨します。


次に、各 IKE バージョンの IPsec プロポーザルの設定方法を説明します。

IPsec プロポーザルオブジェクトの管理

IPsec プロポーザル オブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。IKEv1 と IKEv2 に対して、異なるオブジェクトがあります。現在、Security Cloud Control は IKEv1 IPsec プロポーザルオブジェクトをサポートしています。

カプセル化セキュリティ プロトコル(ESP)は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。このプロトコルにより、認証、暗号化、およびアンチリプレイサービスが実現します。ESP は、IP プロトコル タイプ 50 です。


(注)  


IPsec トンネルで暗号化と認証の両方を使用することを推奨します。


IKEv1 IPsec プロポーザルオブジェクトの作成

IPsec プロポーザル オブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。IKEv1 と IKEv2 に対して、異なるオブジェクトがあります。現在、Security Cloud Control は IKEv1 IPsec プロポーザルオブジェクトをサポートしています。

カプセル化セキュリティ プロトコル(ESP)は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。このプロトコルにより、認証、暗号化、およびアンチリプレイサービスが実現します。ESP は、IP プロトコル タイプ 50 です。


(注)  


IPsec トンネルで暗号化と認証の両方を使用することを推奨します。


定義済みの複数の IKEv1 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続の IKEv1 IPSec 設定を編集している間に、オブジェクトリストに表示される [新規IKEv1プロポーザルの作成(Create New IKEv1 Proposal)] リンクをクリックして、IKEv1 IPSec プロポーザルオブジェクトを作成することもできます。

手順

ステップ 1

左側のペインで オブジェクト をクリックします。

ステップ 2

次のいずれかの操作を実行します。

  • 青色のプラスボタン をクリックし、[FTD] > [IKEv1 IPSecプロポーザル(IKEv1 IPsec Proposal)] を選択して新しいオブジェクトを作成します。

  • オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [アクション(Actions)] ペインで [編集(Edit)] をクリックします。

ステップ 3

新しいオブジェクトのオブジェクト名を入力します。

ステップ 4

IKEv1 IPSec プロポーザルオブジェクトが動作するモードを選択します。

  • トンネルモードでは IP パケット全体がカプセル化されます。IPSec ヘッダーが、元の IP ヘッダーと新しい IP ヘッダーとの間に追加されます。これがデフォルトです。トンネル モードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネル モードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール(またはその他のセキュリティ ゲートウェイ)間で通常の IPSec が実装される標準の方法です。

  • トランスポートモードでは IP パケットの上位層プロトコルだけがカプセル化されます。IPSec ヘッダーは、IP ヘッダーと上位層プロトコル ヘッダー(TCP など)との間に挿入されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。一般的に、トランスポート モードは、レイヤ 2 またはレイヤ 3 のトンネリング プロトコル(GRE、L2TP、DLSW など)を保護する場合にだけ使用されます。

ステップ 5

このプロポーザルの [ESP暗号化(ESP Encryption)](カプセル化セキュリティプロトコル暗号化)アルゴリズムを選択します。詳細については、「使用する暗号化アルゴリズムの決定」を参照してください。

ステップ 6

認証に使用する [ESPハッシュ(ESP Hash)] または整合性アルゴリズムを選択します。詳細については、「使用するハッシュアルゴリズムの決定」を参照してください。

ステップ 7

[追加(Add)] をクリックします。


IKEv2 IPsec プロポーザルオブジェクトの管理

IPsec プロポーザル オブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティ プロトコルとアルゴリズムの組み合わせを定義します。

IKEv2 IPsec プロポーザルを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュ アルゴリズムを選択できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、マッチが見つかるまでピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

IKEv2 IPSec プロポーザルオブジェクトの作成または編集

定義済みの複数の IKEv2 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト(Objects)] ページから直接オブジェクトを作成および編集する方法について説明します。VPN 接続の IKEv2 IPsec 設定を編集している間に、オブジェクト リストに表示される [新規IPsecプロポーザルの作成(Create New IPsec Proposal)] リンクをクリックして、IKEv2 IPsec プロポーザル オブジェクトを作成することもできます。

手順

ステップ 1

左側のペインで オブジェクト をクリックします。

ステップ 2

次のいずれかの操作を実行します。

  • 青色のプラスボタン をクリックし、[FTD] > [IKEv2 IPsecプロポーザル(IKEv2 IPsec Proposal)] を選択して新しいオブジェクトを作成します。

  • オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [アクション(Actions)] ペインで [編集(Edit)] をクリックします。

ステップ 3

新しいオブジェクトのオブジェクト名を入力します。

ステップ 4

IKEv2 IPsec プロポーザルオブジェクトの設定:

  • [暗号化(Encryption)]:このプロポーザルのカプセル化セキュリティ プロトコル(ESP)暗号化アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。

  • [整合性ハッシュ(Integrity Hash)]:認証に使用するハッシュまたは整合性アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用するハッシュアルゴリズムの決定」を参照してください。

ステップ 5

[追加(Add)] をクリックします。


ASA サイト間仮想プライベートネットワークのモニタリング

Security Cloud Control を使用すると、オンボード ASA デバイスで既存のサイト間 VPN 設定を監視できます。サイト間の設定を変更または削除することはできません。

サイト間 VPN トンネルの接続の確認

[接続の確認(Check Connectivity) ] ボタンを使用して、トンネルに対するリアルタイムの接続確認をトリガーし、トンネルの現在の状態(アクティブまたはアイドル)を確認します。サイト間 VPN トンネルを検索してフィルタ処理する[オンデマンド接続確認(on-demand connectivity check)] ボタンをクリックしていない場合、オンボーディングされているすべてのデバイスで利用可能なすべてトンネルに対する確認が 1 時間に一度実行されます。


(注)  


  • Security Cloud Control は、トンネルがアクティブかアイドルかを判断するために、Cisco ASA で次の接続確認コマンドを実行します。
    show vpn-sessiondb l2l sort ipaddress
  • ASA モデルデバイストンネルは常に [アイドル(Idle)] と表示されます。


[VPN] ページからトンネル接続を確認するには、次の手順を実行します。

手順

ステップ 1

左側のペインで、 [VPN] > [Cisco ASA/FDMサイト間VPN(ASA/FDM Site-to-Site VPN)] の順にクリックします。[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)]

ステップ 2

サイト間 VPN トンネルのトンネルのリストを検索およびフィルタリングして、選択します。

ステップ 3

右側の [アクション(Actions)] ペインで、[接続の確認(Check Connectivity)] をクリックします。


[サイト間VPN(Site-to-Site VPN)] ダッシュボード

Security Cloud Control では、テナントで作成されたサイト間 VPN 接続に関する統合情報が表示されます。

左側のペインで、 [セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] の順にクリックします。[サイト間VPN(Site-to-Site VPN)] には、次のウィジェットの情報が表示されます。

  • [セッションとインサイト(Sessions and Insights)]:アクティブな VPN トンネルとアイドル状態の VPN トンネルをそれぞれ適切な色で表す棒グラフが表示されます。

  • [問題(Issues)]:問題が検出されたトンネルの合計数が表示されます。

  • [保留中の展開(Pending Deploy)]:展開が保留中のトンネルの合計数が表示されます。

円グラフの値またはウィジェット内のリンクをクリックすると、選択した値に基づき、フィルタを含むサイト間 VPN のリストページが表示されます。たとえば、[VPNトンネルステータス(VPN Tunnel Status)] ウィジェットで [アクティブなVPNトンネル(Active VPN Tunnels)] をクリックすると、[アクティブ(Active)] ステータスフィルタが適用されたサイト間 VPN のリストページが表示され、アクティブトンネルのみが表示されます。

VPN の問題の特定

Security Cloud Control は、Cisco ASA の VPN の問題を特定できます(この機能は、AWS VPC サイト間 VPN トンネルではまだ利用できません)。この記事では次のことを説明します。

ピアが欠落している VPN トンネルを見つける

「Missing IP Peer」状態は、FDM による管理 デバイスよりも Cisco ASA デバイスで発生する可能性が高くなります。

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして VPN ページを開きます。

ステップ 2

[テーブルビュー(Table View)] を選択します。

ステップ 3

フィルタアイコン をクリックして、フィルタパネルを開きます。

ステップ 4

検出された問題を確認します。

ステップ 5

問題を報告している各デバイスを選択し、右側の [ピア(Peers)] ペインを確認します。1 つのピア名がリストされます。Security Cloud Control は、他のピア名を「Missing peer IP」として報告します。


暗号化キーの問題がある VPN ピアを見つける

このアプローチを使用して、以下のような暗号化キーの問題がある VPN ピアを見つけます。

  • IKEv1 または IKEv2 キーが無効、欠落しているか、一致しない

  • トンネルが古くなっているか、暗号化レベルが低い

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして VPN ページを開きます。

ステップ 2

[テーブルビュー(Table View)] を選択します。

ステップ 3

フィルタアイコン をクリックして、フィルタパネルを開きます。

ステップ 4

問題を報告している各デバイスを選択し、右側の [ピア(Peers)] ペインを確認します。ピア情報には、両方のピアが表示されます。

ステップ 5

いずれかのデバイスの [ピアの表示(View Peers)] をクリックします。

ステップ 6

ダイアグラムビューで、問題を報告しているデバイスをダブルクリックします。

ステップ 7

下部の [トンネルの詳細(Tunnel Details)] パネルで [Key Exchange(キー交換)] をクリックします。両方のデバイスを表示して、そこでキーの問題を診断できます。


トンネルに対して定義された不完全な、または誤った設定のアクセスリストを見つける

「アクセスリストが不完全または正しく設定されていない」状態は、ASA デバイスでのみ発生する可能性があります。

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして VPN ページを開きます。

ステップ 2

[テーブルビュー(Table View)] を選択します。

ステップ 3

フィルタアイコン をクリックして、フィルタパネルを開きます。

ステップ 4

問題を報告している各デバイスを選択し、右側の [ピア(Peers)] ペインを確認します。ピア情報には、両方のピアが表示されています。

ステップ 5

いずれかのデバイスの [ピアの表示(View Peers)] をクリックします。

ステップ 6

ダイアグラムビューで、問題を報告しているデバイスをダブルクリックします。

ステップ 7

下部の [トンネルの詳細(Tunnel Details)] パネルで [トンネルの詳細(Tunnel Details)] をクリックします。「ネットワーク ポリシー:不完全(Network Policy: Incomplete)」というメッセージが表示されます。


トンネル設定の問題を見つける

トンネル設定のエラーは、次のシナリオで発生する可能性があります。

  • サイト間 VPN インターフェイスの IP アドレスが変更れたときの、「ピア IP アドレス値が変更されました(Peer IP Address Value has changed)」。

  • VPN トンネルの IKE 値が他の VPN トンネルと一致しない場合、「IKE 値が一致しません(IKE value Mismatch)」というメッセージが表示されます。

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして VPN ページを開きます。

ステップ 2

[テーブルビュー(Table View)] を選択します。

ステップ 3

フィルタアイコン をクリックして、フィルタパネルを開きます。

ステップ 4

[トンネルの問題(Tunnel Issues)] で、[検出された問題(Detected Issues)] をクリックして、エラーを報告している VPN 設定を表示します。問題を報告している()設定を表示できます。

ステップ 5

問題を報告している VPN 設定を選択します。

ステップ 6

右側の [ピア(Peers)] ペインに、問題のあるピアに アイコンが表示されます。 アイコンにカーソルを合わせると、問題と解決策が表示されます。

次のステップ:トンネル設定の問題の解決


トンネル設定の問題の解決

この手順では、次のトンネル設定の問題を解決を試みます。

  • サイト間 VPN インターフェイスの IP アドレスが変更れたときの、「ピア IP アドレス値が変更されました(Peer IP Address Value has changed)」。

  • VPN トンネルの IKE 値が他の VPN トンネルと一致しない場合、「IKE 値が一致しません(IKE value Mismatch)」というメッセージが表示されます。

詳細については、「トンネル設定の問題を見つける」を参照してください。

手順

ステップ 1

左側のペインで [インベントリ(Inventory)]セキュリティデバイス をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックし、問題を報告している VPN 設定に関連付けられているデバイスを選択します。

ステップ 4

デバイスの変更を受け入れます

ステップ 5

左側のペインで、[VPN] > [ASA/FDMサイト間VPN(ASA/FDM Site-to-Site VPN)] をクリックして VPN ページを開きます。

ステップ 6

この問題を報告している VPN 設定を選択します。

ステップ 7

[アクション(Actions)] ペインで、[編集(Edit)] アイコンをクリックします。

ステップ 8

各手順で [次へ(Next)] をクリックして、最後に手順 4 で [完了(Fnish)] ボタンをクリックします。

ステップ 9

すべてのデバイスの設定変更のプレビューと展開


サイト間 VPN トンネルを検索してフィルタ処理する

フィルタサイドバーを検索フィールドと組み合わせて使用して、VPN トンネル図に示されている VPN トンネルの検索を絞り込みます。

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして VPN ページを開きます。

ステップ 2

フィルタアイコンをクリックしてフィルタペインを開きます。

ステップ 3

これらのフィルタを使用して検索を絞り込みます。

  • [デバイスによるフィルタ(Filter by Device)] - [デバイスによるフィルタ(Filter by Device)] をクリックし、[デバイスタイプ(Device Type)] タブを選択し、フィルタ処理で検索するデバイスをチェックします。

  • [トンネルの問題(Tunnel Issues)] - トンネルの各サイドで問題が検出されたかどうかでフィルタ処理します。問題のあるデバイスの例には、関連するインターフェイス、ピア IP アドレス、アクセスリストが欠落している、IKEv1 プロポーザルが一致しないなどがありますが、これらに限定されません(トンネルの問題の検出は、AWS VPC VPN トンネルではまだ使用できません)。

  • [デバイス/サービス(Devices/Services)] - デバイスのタイプでフィルタ処理します。

  • [ステータス(Status)] – トンネルのステータスには、アクティブとアイドルがあります。

    • [アクティブ(Active)] - セッションが開かれ、ネットワークパケットが VPN トンネルを通過している、または正常なセッションが確立され、タイムアウトになっていない場合。アクティブのステータスは、トンネルが有効で関連していることを示します。

    • [アイドル(Idle)] - Security Cloud Control はこのトンネルのオープンセッションを検出できません。トンネルが使用されていないか、このトンネルに問題がある可能性があります。

  • [オンボーディング済み(Onboarded)] - デバイスは、Security Cloud Control によって管理される場合と、Security Cloud Control によって管理されない場合(管理対象外)があります。

    • [管理対象(Managed)] - Security Cloud Control が管理するデバイスでフィルタ処理します。

    • [管理対象外(Unmanaged)] - Security Cloud Control が管理しないデバイスでフィルタ処理します。

  • [デバイスタイプ(Device Types)] - トンネルの各サイドがライブデバイス(接続されたデバイス)かモデルデバイスかでフィルタ処理します。

ステップ 4

検索バーにデバイス名または IP アドレスを入力して、フィルタ処理された結果を検索することもできます。検索では大文字と小文字は区別されません。


管理対象外サイト間 VPN ピアのオンボーディング

ピアの 1 つがオンボードされると、Security Cloud Control がサイト間 VPN トンネルを検出します。2 番目のピアが Security Cloud Control の管理対象外の場合は、VPN トンネルのリストをフィルタ処理して、管理対象外デバイスを見つけてオンボードできます。

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして VPN ページを開きます。

ステップ 2

[テーブルビュー(Table View)] を選択します。

ステップ 3

をクリックしてフィルタパネルを開きます。

ステップ 4

[管理対象外(Unmanaged)] にチェックを入れます。

ステップ 5

結果の表からトンネルを選択します。

ステップ 6

右側の [ピア(Peers)] ペインで、[デバイスのオンボード(Onboard Device)] をクリックし、画面の指示に従います。


サイト間 VPN トンネルの IKE オブジェクトの詳細の表示

選択したトンネルのピア/デバイスで設定されている IKE オブジェクトの詳細を表示できます。それらの詳細は、IKE ポリシーオブジェクトの優先順位に基づいた階層のツリー構造に表示されます。


(注)  


エクストラネットデバイスには、IKE オブジェクトの詳細が表示されません。


手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして VPN ページを開きます。

ステップ 2

[VPNトンネル(VPN Tunnels)] ページで、ピアを接続する VPN トンネルの名前をクリックします。

ステップ 3

右側の [関係(Relationships)] で、詳細を表示するオブジェクトを展開します。


サイト間 VPN トンネル情報の表示

サイト間 VPN テーブルビューは、Security Cloud Control にオンボードされたすべてのデバイスで使用可能なすべてのサイト間 VPN トンネルの完全なリストです。トンネルは、このリストに 1 つだけ存在します。表にリストされているトンネルをクリックすると、右側のサイドバーにオプションが表示され、トンネルのピアに直接移動して詳細に調査できます。

Security Cloud Control がトンネルの両側を管理していない場合は、[オンボードデバイス(Onboard Device)] をクリックして、管理対象外のピアをオンボードするメインの [オンボード(Onboarding)] ページを開くことができます。管理対象外サイト間 VPN ピアのオンボーディングSecurity Cloud Control がトンネルの両側を管理する場合、[ピア2(Peer 2)] 列には管理対象デバイスの名前が含まれています。ただし、AWS VPC の場合、[ピア2(Peer 2)] 列には VPN ゲートウェイの IP アドレスが含まれています。

テーブルビューでサイト間 VPN 接続を表示するには、次の手順を実行します。

手順

ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして VPN ページを開きます。

ステップ 2

[テーブルビュー(Table View)] ボタンをクリックします。

ステップ 3

サイト間 VPN トンネルの検索とフィルタ処理」を使用して特定のトンネルを見つけるか、グローバルビューのグラフィックを拡大して、探している VPN ゲートウェイとそのピアを見つけます。


サイト間 VPN のグローバル表示
手順

ステップ 1

左側のペインで [セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックします。

ステップ 2

[グローバルビュー(Global view)] ボタンをクリックします。

ステップ 3

サイト間 VPN トンネルの検索とフィルタ処理」を使用して特定のトンネルを見つけるか、グローバルビューのグラフィックを拡大して、探している VPN ゲートウェイとそのピアを見つけます。

ステップ 4

グローバルビューに表示されているピアのいずれかを選択します。

ステップ 5

[詳細の表示(View Details)] をクリックします。

ステップ 6

VPN トンネルのもう一方の端をクリックすると、その接続のトンネルの詳細、NAT 情報、およびキー交換情報が Security Cloud Control に表示されます。

  • [トンネルの詳細(Tunnel Details)]:トンネルの名前と接続情報が表示されます。[更新(Refresh)] アイコンをクリックすると、トンネルの接続情報が更新されます。

  • [AWS接続固有のトンネルの詳細(Tunnel Details specific to AWS connections)]:AWS サイト間接続のトンネルの詳細は、他の接続の場合と若干異なります。AWS VPC から VPN ゲートウェイへの接続ごとに、AWS は 2 つの VPN トンネルを作成します。これは、高可用性を実現するためです。

    • トンネルの名前は、VPN ゲートウェイが接続されている VPC の名前を表します。トンネルの名前に含まれている IP アドレスは、VPN ゲートウェイが VPC として認識している IP アドレスです。

    • Security Cloud Control の接続ステータスが [アクティブ(Active)] の場合、AWS トンネルの状態は [アップ(Up)] です。Security Cloud Control の接続ステータスが [非アクティブ(Inactive)] の場合、AWS トンネルの状態は [ダウン(Down)] です。

  • [NAT情報(NAT Information)]:使用されている NAT ルールのタイプ、元のパケットの情報、および変換されたパケットの情報が表示され、そのトンネルの NAT ルールを確認できる NAT テーブルへのリンクが提供されます(AWS VPC サイト間 VPN ではまだ利用できません)。

  • [キー交換(Key Exchange)]:トンネルで使用されている暗号キーと、キー交換の問題が表示されます(AWS VPC サイト間 VPN ではまだ利用できません)。


[サイト間VPNトンネル(Site-to-Site VPN Tunnels)] ペイン

[トンネル(Tunnels)] ペインには、特定の VPN ゲートウェイに関連付けられているすべてのトンネルのリストが表示されます。VPN ゲートウェイと AWS VPC のサイト間 VPN 接続の場合、[トンネル(Tunnels)] ペインには、VPN ゲートウェイから VPC へのすべてのトンネルが表示されます。VPN ゲートウェイと AWS VPC のサイト間 VPN 接続にはそれぞれ 2 つのトンネルがあるため、他のデバイスで通常表示される 2 倍の数のトンネルが表示されます。

VPN ゲートウェイの詳細

VPN ゲートウェイに接続されているピア数と、VPN ゲートウェイの IP アドレスが表示されます。これは、[VPNトンネル(VPN Tunnels)] ページにのみ表示されます。

ピアの表示

サイト間 VPN ピアのペアを選択すると、ペアリングされた 2 つのデバイスのリストが [ピア(Peers)] ペインに表示され、いずれかのデバイスの [ピアの表示(View Peer)] をクリックできます。[ピアの表示(View Peer] をクリックすると、そのデバイスが関連付けられている他のサイト間ピアが表示されます。これは、テーブルビューとグローバルビューに表示されます。

Security Cloud Control サイト間 VPN トンネルの削除

手順


ステップ 1

左側のペインで、[セキュアな接続(Secure Connections)] > [サイト間VPN(Site to Site VPN)] > [ASAとFDM(ASA & FDM)] をクリックして [VPN] ページを開きます。

ステップ 2

削除するサイト間 VPN トンネルを選択します。

ステップ 3

右側の [アクション(Actions)] ペインで、[削除(Delete)] をクリックします。


選択したサイト間 VPN トンネルが削除されます。