第 7 章 ネットワークでの利用例 81
7.8 VPN を構築する 〜 IPsec の設定〜
プライベートアドレス 192.168.2.1/24
グローバルアドレス 10.0.2.2
プライベートアドレス 192.168.1.1/24
グローバルアドレス 10.0.1.1
SEIL B
SEIL A
インターネット インターネット インターネット インターネット
ネットワークB 192.168.2.0/24
IPsec IPsec IPsec IPsecトンネルトンネルトンネルトンネル
ネットワークA 192.168.1.0/24
※ 本節では説明のため、「10.0.0.0〜10.255.255.255」「172.16.0.0〜172.16.255.255」までのアド レスをグローバルアドレスとして表現しています。
設計
(1)IKEパラメータを決定する
IKEを使用した設定を行う場合、はじめに通信を行う両側で鍵を交換する条件や、鍵の認証方法等 を合わせる必要があります。特に合わせるべき設定項目としては、プロポーザルにおいて対向ホ ストを認証するときの方式を指定する認証メソッド、認証アルゴリズム(ハッシュアルゴリズム)、
暗号化アルゴリズム、そして鍵交換アルゴリズムで用いるパラメータであるDH(Diffie-Hellman)
Groupがあります。認証メソッドには事前共有鍵がサポートされ、認証アルゴリズムにはMD5
が、計算時間が長くなるという特徴があります。
(2) セキュリティアソシエーションプロポーザルを決定する
ここでは、セキュリティアソシエーションの有効期間を設定するライフタイムの長さ、認証、暗 号化の両アルゴリズムに関してはどのアルゴリズムをどのような優先順位で用いるのか、更に DH鍵交換アルゴリズムで用いるパラメータであるPFS GROUPにはどれを使用するかを決めま す。なおPFS GROUPには、Group1(modp768)、Group2(modp1024)、Group5(modp1536) が用意されており、数字が大きくなる順で盗聴による鍵の解読が困難になりますが、計算時間が 長くなるという特徴があります。
(3) セキュリティアソシエーションを決定する
IKEを使用したIPsecトンネルを構築する場合に決める必要がある項目は、IPsecのモード、使 用するプロトコル、相手に提示するセキュリティアソシエーションプロポーザルです。ここで は、モードはtunnelモードを使用し、暗号化プロトコルであるESPを使用するものとします。
また、セキュリティアソシエーションプロポーザルは、工場出荷状態ですでに登録されているも のではなく新たに登録したものを使用するものとします。
(4) セキュリティポリシーを決定する
次に決定したセキュリティアソシエーションを、どのようなトラフィックに対して適用す るかを決めます。これをセキュリティポリシーと呼びます。この例では、192.168.1.0/24と
192.168.2.0/24の間のすべてのトラフィックに対して、先に決めたセキュリティアソシエーショ
ンを使用するものとします。
設定の流れ
( 1 )
SEIL AにIKEを設定する決定したIKEパラメータに従って設定を行います。
( 2 )
SEIL Aにセキュリティアソシエーションプロポーザルを設定する決定したセキュリティアソシエーションプロポーザルに従って設定を行います。
( 3 )
SEIL Aにセキュリティアソシエーションを設定する決定したセキュリティアソシエーションに従って設定を行います。
( 4 )
SEIL Aにセキュリティポリシーを設定する決定したセキュリティアポリシーに従って設定を行います。
( 5 )
SEIL Aの設定を確認する設定が正しくなされているか確認します。
( 6 )
SEIL Aの設定を保存する すべての設定を保存します。SEIL Aに管理者アカウントでログインし、事前共有鍵を設定します。以下の設定を行ってくだ さい。
設定項目 パラメータ
識別子 10.0.2.2
鍵文字列 opensesame
■ 記述例
¶ ³
# ike preshared-key add 10.0.2.2 opensesame
µ ´
■ パラメータ解説
ike preshared-key add 10.0.2.2 opensesame
事前共有鍵の識別子として「10.0.2.2」を、鍵文字列として「opensesame」を設定し ます。
※ 事前共有鍵は通信相手が用意したものを設定することになります。あらかじめ通信を行う相 手と相談し、鍵の設定を行ってください。
※ 今回の設定では、SEIL AとSEIL Bそれぞれに、お互いが用意した鍵を設定します。
※ SEIL Bの設定を行う場合、設定は以下の通りです。
設定項目 パラメータ
識別子 10.0.1.1
鍵文字列 opensesame
IKEプロポーザルの設定をします。以下の設定を行ってください。
設定項目 パラメータ IKEプロポーザル名 ikeprop01
認証メソッド preshared-key 暗号化アルゴリズム 3des
認証アルゴリズム sha1 Diffie-Hellmanグループ modp1536
ライフタイム 3600
■ 記述例
¶ ³
# ike proposal add ikeprop01 authentication preshared-key encryption 3des hash sha1 dh-group modp1536 lifetime-of-time 3600
µ ´
■ パラメータ解説
ike proposal add ikeprop01
IKEプロポーザル名として、「ikeprop01」を設定します。
authentication preshared-key
続けて、認証メソッドとして「preshared-key」を設定します。
encryption 3des hash sha1 dh-group modp1536
続けて、IKEで使用する暗号化アルゴリズムとして「3des」を、認証アルゴリズムと して「sha1」を設定、Diffie-Hellmanグループとして「modp1536」を設定します。
lifetime-of-time 3600
続けて、IKEセキュリティアソシエーションの有効時間として「3600」(秒)を設定し ます。
IKE Peerの設定をします。以下の設定を行ってください。
設定項目 パラメータ
IKE Peer名 seilb
モード main プロポーザルリスト ikeprop01 リモートIPアドレス 10.0.2.2
自己識別子 address 相手識別子 address
■ 記述例
¶ ³
# ike peer add seilb exchange-mode main proposal ikeprop01 address 10.0.2.2 my-identifier address peers-identifier address
µ ´
■ パラメータ解説 ike peer add seilb
続けて、プロポーザルリストとして「ikeprop01」を設定します。
address 10.0.2.2
続けて、IKEで使用するリモートIPアドレスとして「10.0.2.2」を設定します。
my-identifier address peers-identifier address
続けて、自己識別子、相手識別子ともに「address」を設定します。
※ SEIL Bの設定を行う場合、設定は以下の通りです。
設定項目 パラメータ
IKE Peer名 seila
モード main プロポーザルリスト ikeprop01 リモートIPアドレス 10.0.1.1
自己識別子 address 相手識別子 address
( 2 ) SEIL A にセキュリティアソシエーションプロポーザルを設定する
IKEの設定が完了したら、セキュリティアソシエーションプロポーザルの設定を行います。以下 の設定を行ってください。
設定項目 パラメータ
セキュリティアソシエーションプロポーザル名 saprop01 認証アルゴリズム hmac-sha1、hmac-md5 暗号化アルゴリズム 3des、des
有効時間 3600
PFSグループ modp768
■ 記述例
¶ ³
# ipsec security-association proposal add saprop01 authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des lifetime-of-time 3600 pfs-group modp768
µ ´
■ パラメータ解説
ipsec security-association proposal add saprop01
authentication-algorithm hmac-sha1,hmac-md5 encryption-algorithm 3des,des
続けて、AHで使用する認証アルゴリズムとして「hmac-sha1」「hmac-md5」を、ESP で使用する暗号化アルゴリズムとして「3des」「des」を設定します。
lifetime-of-time 3600
続けて、IKE利用時のIPsecセキュリティアソシエーションの有効時間として「3600」
(秒)を設定します。
pfs-group modp768
続けて、PFSグループとして「modp768」を設定します。
( 3 ) SEIL A にセキュリティアソシエーションを設定する
セキュリティアソシエーションプロポーザルの設定が完了したら、セキュリティアソシエーショ ンの設定を行います。以下の設定を行ってください。
設定項目 パラメータ
セキュリティアソシエーション名 sa03
IPsecのモード tunnel
始点IPアドレス 10.0.1.1
終点IPアドレス 10.0.2.2
セキュリティアソシエーションプロポーザル名 saprop01
AH disable
ESP enable
■ 記述例
¶ ³
# ipsec security-association add sa03 tunnel 10.0.1.1 10.0.2.2 ike saprop01 ah disable esp enable
µ ´
■ パラメータ解説
ipsec security-association add sa03
セキュリティアソシエーション名として「sa03」を設定します。
tunnel 10.0.1.1 10.0.2.2
続けて、IPsecに「tunnel」モードを設定します。さらに、IPsecで認証、暗号化を行 う始点IPアドレスとして「10.0.1.1」を、終点IPアドレスとして「10.0.2.2」を設定
続けて、使用するセキュリティアソシエーションプロポーザル名として「saprop01」 を設定します。
ah disable esp enable
続けて、AHの使用/不使用は「disable」を、ESPの使用/不使用は「enable」を設定し ます。
※ SEIL Bの設定を行う場合、設定は以下の通りです。
設定項目 パラメータ
セキュリティアソシエーション名 sa03
IPsecのモード tunnel
始点IPアドレス 10.0.2.2
終点IPアドレス 10.0.1.1
セキュリティアソシエーションプロポーザル名 saprop01
AH disable
ESP enable
( 4 ) SEIL A にセキュリティポリシーを設定する
セキュリティアソシエーションの設定が完了したら、続いてセキュリティポリシーの設定をしま す。以下の設定を行ってください。
設定項目 パラメータ
セキュリティポリシー名 sp03 セキュリティアソシエーション名 sa03 送信元IPアドレス/ネットマスク長 192.168.1.0/24 送信先IPアドレス/ネットマスク長 192.168.2.0/24
プロトコル any
有効/無効 enable
■ 記述例
¶ ³
# ipsec security-policy add sp03 security-association sa03 src 192.168.1.0/24 dst 192.168.2.0/24 protocol any enable
µ ´
■ パラメータ解説
security-association sa03
続けて、対象となるセキュリティアソシエーション名として「sa03」を設定します。
src 192.168.1.0/24 dst 192.168.2.0/24
続けて、送信元と送信先のIPアドレスを設定します。「src」は送信元IPアドレスと ネットマスク長、「dst」は送信先IPアドレスとネットマスク長を意味します。送信元 IPアドレス/ネットマスク長として「192.168.1.0/24」を、送信先IPアドレス/ネット マスク長として「192.168.2.0/24」を設定します。
protocol any
続けて、プロトコルとして、すべてのパケットを対象とするため「any」を設定します。
enable
続けて、設定を有効にするため「enable」を設定します。
※ SEIL Bの設定を行う場合、設定は以下の通りです。
設定項目 パラメータ
セキュリティポリシー名 sp03 セキュリティアソシエーション名 sa03 送信元IPアドレス/ネットマスク長 192.168.2.0/24 送信先IPアドレス/ネットマスク長 192.168.1.0/24
プロトコル any
有効/無効 enable
( 5 ) SEIL A の設定を確認する
以上の設定が終了したら、show statusコマンドによりIPsecおよびIKEの動作情報を確認しま す。詳細はコマンドリファレンスをご覧ください。
¶ ³
# show status ipsec
µ ´
¶ ³
# show status ike
µ ´
( 6 )設定を保存する
すべての設定が終了したら、save-toコマンドにより設定内容を保存します。詳細は、ó[6.3.1 設定内容の保存・読込・取得¤ ¡
£P.62¢]をご覧ください。
以上で、SEIL A側のIKEとセキュリティアソシエーションプロポーザル、セキュリティアソシ