Soliton NetAttest
EPS + OneTimePassword
+ AR router
series
IPsec RADIUS
+ ワンタイムパスワード 設定例
2012/APL
アライドテレシス株式会社
はじめに
本資料は、弊社での検証に基づき、NetAttest
EPS及びARシリーズ、VPNクライアント端末
はじめに
目次
1.
AR シリーズ設定例
2-1. NetAttest EPS 基本設定例
2-2. NetAttest EPS
ワンタイムパスワード設定例
3-1. iPhone/iPad 設定例
3-2. Android 設定例
構成
構成
NetAttest EPS AR560S IPアドレス 192.168.1.2/24 PPPoE IPアドレス 10.100.10.1/32 Intranet Server iPhone / iPad, Android 192.168.2.1‐100 本資料は、弊社での検証に基づき、NetAttestEPS及びAR‐Router、 iPhone/iPad/Androidの操作方法を記載したものです。すべての環境での動作を保証 するものではありません。 IPアドレス 192.168.1.0/24 3Gネットワーク 3Gネットワーク インターネット インターネット LAN IPアドレス 192.168.1.1/24 トークンiPhone/iPad、Android 設定例
端末にVPNの設定を行います。 設定項目:VPNはじめに
AR ルータ設定例
NetAttestEPSとの連携とVPNを行うための設定を行います。設定項目:初期設定、NetAttestEPS(RADIUSサーバ)との連携、 VPN、DNS、DHCPサーバ、Firewall
NetAttest EPS 基本設定例
ARルータとの連携と認証するユーザの登録を行います。 設定項目:ARルータ(RADIUSクライアント)との連携、認証ユーザの登録NetAttest EPS ワンタイムパスワード設定例
ワンタイムパスワードを利用するためのトークン情報の登録と、認証ユーザへの紐付けを行います。 設定項目:トークン情報の登録、認証ユーザへのトークン紐付け■
設定の流れ
1. ARシリーズルーター
工場出荷時設定のCLIの ログインID/パスワード
は下記の通りです
»
ID : manager
»
パスワード
: friend
本資料は
AR415S/AR550S/AR560S/AR570Sのファームウェアバージョ
ン
2.9.2-07以上に適応可能です。AR260S V2/ARX640Sはスマートフォ
ンからのリモートアクセスに対応しておりません。
各設定画面のパラメータ詳細についてはユーザーマニュアルや設定例
をご参照下さい
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.html1. AR ルータの設定
・
IPアドレスおよびSecurity Officer レベルユーザーの作成
1. IPモジュールを有効にします。 ENABLE IP ↓
2. まず、ルータへログイン後、LAN側のインターフェースへIPアドレスを設定します ADD IP INT=VLAN1 IP=192.168.1.1 MASK=255.255.255.0 ↓
3. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成 します。パスワードは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓
Note‐セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に 消去されます。
1. AR ルータの設定
・
PPPインターフェースおよびスタティックルートの設定
4. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分 には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け 入れられるよう、「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY ↓ 5. ISPから通知されたPPPユーザー名とパスワードを指定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリ ンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。SET PPP=0 OVER=eth0-ANY USER=user@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ↓
6. WAN側(ppp0)インターフェースにIPアドレス「10.100.10.1」を設定します。
ADD IP INT=ppp0 IP=10.100.10.1 MASK=255.255.255.255 ↓
7. デフォルトルートを設定します。
1. AR ルータの設定
・
RADIUS サーバおよびIPアドレスプールの設定
8. モバイル端末のユーザーを認証する際に使用するRADIUSサーバーを登録します。
ADD RADIUS SERVER=192.168.1.2 SECRET="PASSWORD" PORT=1812 ↓
9. IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定し ます。ここでは100台分のモバイル端末のアドレスプールを用意しています。
1. AR ルータの設定
・
L2TPプロトコルならびにPPP TEMPLATEの設定
10. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプレート「1」 を作成します。接続時の認証にはPAPを使い、CHAPの再認証はOFFにし、VJ圧縮を有効にします。また、アドレ ス割り当てにはIPアドレスプール「VPNC」を使うようにします。
CREATE PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=PAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓ 11. L2TPモジュールを有効にします。 ENABLE L2TP ↓ 12. L2TPサーバーをBOTHモードで起動します。 ENABLE L2TP SERVER=BOTH ↓ 13. L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここではクライアント のアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。 ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓
1. AR ルータの設定
・
DNSリレーの設定
14. DNSリレー機能を有効にします。 ENABLE IP DNSRELAY ↓ 15. 接続確立までISPのDNSサーバーアドレスが不明なため、DNSリクエストの転送先として、IPCPネゴシエー ションを行うインターフェース名「ppp0」を指定します。1. AR ルータの設定
・
DHCP Server の設定
16. DHCPサーバー機能を有効にします。 ENABLE DHCP ↓
17. DHCPポリシー「DHCP」を作成します。IPアドレスの使用期限は3,600秒(1時間)とします。 CREATE DHCP POLI="DHCP" LEASE=3600 ↓
18. クライアントに提供する情報を設定します。ここでは、DNSサーバーアドレスとして、ルーターのLAN側イン ターフェースのIPアドレスを指定しています。ここへ送られたDNSリクエストは、DNSリレー機能によりISPの DNSサーバーに転送されます。
ADD DHCP POLICY="DHCP" SUBNET=255.255.255.0 ROUTER=192.168.1.1 DNSSERVER=192.168.1.1 ↓
19. クライアントに提供するIPアドレスの範囲を設定します。ここでは、192.168.1.128~192.168.1.144の16個 を指定しています。
1. AR ルータの設定
・
Firewall の設定
20. ファイアーウォール機能を有効にします。 ENABLE FIREWALL ↓
21. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。 CREATE FIREWALL POLICY=net ↓
22. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。 ENABLE FIREWALL POLICY=net ICMP_F=UNRE,PING ↓
23. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、 ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
1. AR ルータの設定
・
Firewall の設定(続き)
24. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイア ウォール設定を行います。最初に、ダイナミックインターフェーステンプレート「vpnif」を作成します。名前は 自由です。
CREATE FIREWALL POLICY=net DYNAMIC=vpnif ↓
25. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメーターで 指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレート名)。ここで は対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべてのユーザーが対象で あることを示します。
ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓
26. ファイアウォールポリシーの適用対象となるインターフェースを指定します。 LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。 ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE(内部) に設定します。
1. AR ルータの設定
・Firewall の設定(続き)
27. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。 ローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
28.
VPNクライアントがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0
IPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=ppp0 ↓
29. VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイア ウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=10.100.10.1 PORT=500 IP=10.100.10.1 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=4500 GBLIP=10.100.10.1 PORT=4500 IP=10.100.10.1 ↓
1. AR ルータの設定
・Firewall の設定(続き)
30. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるためのルー ルを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあとでこのルー ルを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで終点ポートが1701番 (L2TPパケット)ならば許可する」の意味になります。ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=1701 GBLIP=10.100.10.1 PORT=1701 IP=10.100.10.1 ENCAP=IPSEC ↓
1. AR ルータの設定
・
ISAKMPの設定
31. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」 という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
32. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。
ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、 VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアン トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓
33. ISAKMP SAの有効期限を600秒(10分)に設定しResponder Rekey Extension機能を有効にします。 SET ISAKMP POLICY="i" EXPIRYSECOND=600 REKEY=true ↓
↓
Note‐CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スク
1. AR ルータの設定
・
IPsecの設定
34. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、暗号 化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行うため、デ フォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを使って送受 信されるL2TPパケットだけを暗号化する形になります。CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓
35. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、 暗号化方式 「AES128bit」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT ↓
36. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、 暗号化方式 「3DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓
37. SAスペック「1」、「2」、「3」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定し ます。
CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 or 2 or 3" ↓
1. AR ルータの設定
・
IPsecの設定(続き)
38. IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を作成し ます。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=ppp0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓
39. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式 には「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパス した相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定しま す。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。
CREATE IPSEC POLICY=L2 INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓
40. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。 CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note‐NAT‐Traversalを使用する場合は、必ずIKEとNAT‐Tのパケットが通過できるような設定を行ってください。
Note‐「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順は
SHOW IPSEC POLICYコマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメーターを使 用します。
1. AR ルータの設定
・
IPsecの設定(続き)
41. IPsecモジュールを有効にします。 ENABLE IPSEC ↓ 42. ISAKMPモジュールを有効にします。 ENABLE ISAKMP ↓ 43. Security Officerレベルのユーザーでログインしなおします。 LOGIN secoff ↓ 44.動作モードをセキュリティーモードに切り替えます。
ENABLE SYSTEM SECURITY_MODE ↓
45. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。 CREATE CONFIG=router.cfg ↓ SET CONFIG=router.cfg ↓ Note‐セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードに おいて、Security OfficerレベルでTelnetログインしたい場合は、あらかじめRSO(Remote Security Officer)の設定を行っておいてくださ い 。
2-1. NetAttest EPS 基本設定例
NetAttest EPSのIPアドレス設定など、初期設定については本資料には記載しておりません。 前提となる初期設定は以下です ・ システム初期設定 ・ サービス初期設定 ・ LDAP設定とLDAPサービスの起動 詳細は管理者マニュアル等をご参照下さい 本資料ではNetAttest EPS V4.2を元として記載しておりますRADIUSクライアントの登録 RADIUSクライアントとしてRADIUS認証を 行なう機器を登録します。 本資料では、AR560S がRADIUSクライアントとなります。
2-1. NetAttest EPS 基本設定例
RADIUSクライアントを識別するための任意文字列を 入力します AR560SのIPアドレスを入力します。本資料では 192.168.1.1になります。 RADIUSクライアントを認証するためのパスワード として、RADIUSクライアント側に設定したものと 同一の任意文字列を入力します。 (本資料7ページのAR560S設定参照)
2-1. NetAttest EPS 基本設定例
RADIUSサービスを起動します
ユーザーの登録
RADIUS認証を行なうユーザーを登録します
認証を行なうユーザーの姓および名 を入力します 認証を行なう際に入力するユーザー IDとパスワードを入力します 上記の各情報を入力後、OKをクリッ クするとユーザーが登録されます
2-1. NetAttest EPS 基本設定例
2-2. NetAttest EPSワンタイムパスワード設定例
トークンのシリアル番号等の情報が埋 め込まれたDPXファイルを、 NetAttest EPSにインポートします。 転送キーのテキストボックスには、DPX ファイルと紐付いている転送キーを入力 します。 ※DPXファイルには、PIN有とPIN無の2種 類があります。 OTP利用時にPINコードも 合わせた二要素認証を利用したい場合 は、PIN有のファイルを利用します。 DPXファイル、転送キー、初期PINコード はトークンと共に納品されます。 DPXファイルのインポート2-1で設定したRADIUSの基本設定に、以降の設定を追加することでRADIUSのパスワードと
して
ワンタイムパスワード(以下OTP)を利用することができるようになります。
※OTPでは、RADIUSの認証方式としてPAPのみ対応していますのでAR側にPAPの設定が必要です。DPXファイルが正常にインポートされたこ とを確認します。 DPXファイルのインポート後に表示され る画面から、CSVファイルダウンロードし インポート結果を確認します。また、イン ポートしたトークンの一覧は、「RADIUS サーバ」→「DIGIPASS」→「トークン一覧」 からも確認できます。 DPXファイル インポート結果の確認
2-2. NetAttest EPSワンタイムパスワード設定例
すでに登録しているユーザーに、イン ポートしたトークンのシリアル番号を紐 付けます。 「ユーザー」→「ユーザ一覧」から、OTP 認証を利用するユーザーのタスク変更 ボタンをクリックします。 標準属性タブで、ユーザーの認証タイプ として「VASCO」を選択します。 OTPタブで、対応させたいトークンのシリ アルNo.を入力します。 ユーザーとトークンの紐付け
2-2. NetAttest EPSワンタイムパスワード設定例
OTPの利用方法 ここまでの設定により、RADIUS認証におけるパスワードとしてEPSのユーザーデータに登録してあ るパスワードの代わりとしてOTPが利用できるようになりました。 ソフトウェアトークン ハードウェアトークン
2-2. NetAttest EPSワンタイムパスワード設定例
補足
PINコードについて
PIN(Personal identification number /個人認識番号) コードはユーザーが独自に設
定できるパスワードです。
NetAttestのOTPでは、PINコード(4桁の数字)とワンタイムパスワードを使った二要
素認証が可能です。
PINコードの変更方法
ユーザー自身によるPINコードの変更は認証処理の中で行います。
新しいPIN に変更したい場合、パスワードは通常のPIN + ワンタイムパスワード
に続けて、新しいPIN を2度入力します。
例
OTP
XXXXXX
旧PINコード
1234
パスワードとして以下を入力する事で
PINコードを変更できます。
2-2. NetAttest EPSワンタイムパスワード設定例
3. iPhone/iPad 設定例
本資料ではiPhone 3GS/iOS 4.2 を元として記載しております
