IPsecによる VPN構築　第三部構築　第三部 IPsecによるVPN IPsec異機種間接続のポイント 2001/12/6 2001/12/6 株式会社ディアイティ技術部山田英史 1 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント内容 1. 2. 3. 4. IPsec異機種間接続のポイント IPsec異機種間接続のポイント IPsec異機種間接続の実際 IPsec異機種間接続の実際 IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点 IPsec異機種間接続の今後 IPsec異機種間接続の今後 2 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 1. IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント IPsecに IPsecによる異機種間接続のニーズ • IPsec異機種間で接続の必要性 IPsec異機種間で接続の必要性 VPNが VPNがセキュリティ技術として普及エクストラネットによる他社との間でVPN構築 IPsec異機種間接続の必要性 IPsec異機種間接続の必要性 4 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 1. IPsec異機種間接続のポイント IPsec異機種間接続のポイント • 異機種間接続の必要性大阪支店東京本社 A社Gateway A社Gateway Router その他支店 Router Internet B社 Ipsec対応 Ipsec対応ダイヤルアップルータ Router C社 IPsec対応 IPsec対応 Firewall ＜異機種間接続ペア＞異機種間接続ペア＞・A社IPsec Gatewayと GatewayとB社 IPsec対応ダイヤルアップルータ IPsec対応ダイヤルアップルータ・ A社IPsec Gatewayと GatewayとC社 IPsec対応 IPsec対応 Firewall 取引先 5 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 1. IPsec異機種間接続のポイント IPsec異機種間接続のポイント • 事前の調整項目（１）IKE （１）IKEパラメータの調整 IKEパラメータの調整（２）認証方式の決定（３）セキュリティポリシーの決定（４）アドレスの重複回避 6 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 1. IPsec異機種間接続のポイント IPsec異機種間接続のポイント • 日本ネットワークセキュリティ協会（JNSA 日本ネットワークセキュリティ協会（JNSA） JNSA）では以下のカテゴリで異機種間接続試験を実施。 http://www.jnsa http://www.jnsa.org jnsa.org 1．基本試験 1-1．基本的な接続性試験 – Pre Pre-Sharedによる相互接続試験 Sharedによる相互接続試験 – ReRe-key後の key後のSA 後のSA継続の確認　その他 SA継続の確認　その他 1-2．運用性確認 – SA SA復旧試験復旧試験 – SA LifeTimeに LifeTimeに関する試験 – フラグメンテーション試験　その他 2．オプション試験 2-1．基本的な接続性試験 – CA CA認証による相互接続試験認証による相互接続試験 – NAT Traversal接続　その他 Traversal接続　その他 2-2．運用性確認 – 性能試験　その他 7 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 8 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 • 異機種間接続の現状メーカーによりIPsec実装レベルが異なる実機による検証は必須 9 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 • 異機種間接続のための調査項目（１）パラメータの調査（２）安定性の調査（Re （２）安定性の調査（ReRe-Key試験） Key試験）（３）SA （３）SA復旧手順の確認 SA復旧手順の確認 10 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 1. IPsec異機種間接続のポイント IPsec異機種間接続のポイント（１）パラメータの調査（１）パラメータの調査 – IKEパラメータ一覧 IKEパラメータ一覧＜IKEフェーズ IKEフェーズ 1＞パラメータ種類設定値など Phase1モード Phase1モード暗号アルゴリズムハッシュアルゴリズム DHグループ DHグループ認証用ID 認証用IDタイプ IDタイプ Main mode／ mode／Aggressive mode 56bitDES bitDES／ 56 bitDES／TripleTriple-DES／ DES／他任意 MD5／ MD5／SHASHA-1 Phase1 SA LifeTime Gr1=768bit／ Gr1=768bit／Gr2=1024bit／ Gr2=1024bit／Gr5=2048bit IPアドレス／ドメイン名／メールアドレス IPアドレス／ドメイン名／メールアドレス／X.509DN／ X.509DN／任意の名前任意の時間 11 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 1. IPsec異機種間接続のポイント IPsec異機種間接続のポイント（１）パラメータの調査（続き）（１）パラメータの調査（続き） – IKEパラメータ一覧 IKEパラメータ一覧＜IKEフェーズ IKEフェーズ 2＞パラメータ種類設定値など Phase2モード Phase2モードトランスフォームペイロード Quick mode ESPトランスポートモード ESPトランスポートモード／ESPトンネルモード ESPトンネルモード ON／ ON／OFF 任意の時間 PFS（ PFS（Perfect Forward Secrecy） Secrecy） Pase2 SA Life Time 12 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 1. IPsec異機種間接続のポイント IPsec異機種間接続のポイント • SAの SAの概念図 Phase1 SA Phase 2 SA 13 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際（１）パラメータの調査 – Ping等 Ping等によるIKE によるIKEの IKEの確立の確認 – Initiatorと InitiatorとResponderの Responderの方向性の有無の確認 – 接続可能なIKE 接続可能なIKEパラメータの決定 IKEパラメータの決定 14 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際（２）安定性の調査（Re （２）安定性の調査（ReRe-Key試験） Key試験） – FTP等による長時間通信の実施。 FTP等による長時間通信の実施。 • ReRe-Key発生後の通信継続の可否 Key発生後の通信継続の可否 – 数日間通信を続行。 • パケットロス • スループット 15 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際（３）SA （３）SA復旧手順の確認 SA復旧手順の確認 – 一方の装置が再起動した場合のSA 一方の装置が再起動した場合のSA復旧 SA復旧手順を確認 • 大半は自動的に復旧できない 16 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 • IPsec異機種間接続試験の例 IPsec異機種間接続試験の例 – 試験環境 1.5Mbps 1.5Mbps 128Kbps 128Kbps （ダイヤルアップ） Internet B社 IPsec対応 IPsec対応ダイヤルアップルータ Router A社 IPsec専用 IPsec専用 Gateway 10Base 10BaseBase-T 10Base 10BaseBase-T 10Base 10BaseBase-T PC PC 17 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 • IPsec異機種間接続試験の例 IPsec異機種間接続試験の例 – 試験の条件 • • • • • • • • • アルゴリズム：　暗号= アルゴリズム：　暗号=DESDES-CBC　CBC　ハッシュ= ハッシュ=MD5 IKEモード：　IKEモード：　Aggressive モード：　Aggressive mode+Quick mode DHグループ：　DHグループ：　1 グループ：　1 トランスフォームペイロード：　ESP ペイロード：　ESPトンネルモード ESPトンネルモード IDタイプ：　IDタイプ：　IP IPアドレスアドレスタイプ：　IP PFS：　PFS：　ON ：　ON Key Life Time：　Time：　Phase1 ：　Phase1 =10分、 =10分、Phase2 分、Phase2 =5分 =5分認証方式：　Pre 認証方式：　PrePre-Shared Key Initiator：　Initiator：　B ：　B社 Ipsec対応ダイヤルアップルータに固定 Ipsec対応ダイヤルアップルータに固定 18 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 • IPsec異機種間接続試験の例 IPsec異機種間接続試験の例 – 試験１　IKE 試験１　IKEの確立確認 IKEの確立確認 • 結果：　ダイヤルアップルータからping 結果：　ダイヤルアップルータからpingを打ち、 pingを打ち、上記パラメータ設定でSA 上記パラメータ設定でSAの確立を確認できた。 SAの確立を確認できた。 – 試験２　Re 試験２　ReRe-Key試験 Key試験 • 結果：　SA 結果：　SA確立後 SA確立後ping 確立後pingを継続し、その間に発生 pingを継続し、その間に発生するRe するReRe-Keyの後も通信が継続することを確認 Keyの後も通信が継続することを確認した。 19 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 • IPsec異機種間接続試験の例 IPsec異機種間接続試験の例 – 試験3 試験3　回線切断後のSA 回線切断後のSA復旧試験 SA復旧試験 • • 結果：　ダイヤルアップルータがPPP 結果：　ダイヤルアップルータがPPPのタイムアウト PPPのタイムアウトした後の再接続の際、ダイヤルアップルータは新たなIPアドレスを得て IPアドレスを得てSA アドレスを得てSAの再構築をはかり、専用 SAの再構築をはかり、専用 Gateway側はそれに答え新たな Gateway側はそれに答え新たなSA 側はそれに答え新たなSAを確立。 SAを確立。この時専用Gateway この時専用Gateway側には旧 Gateway側には旧SA 側には旧SAが保持されたまま SAが保持されたままになるが、Key になるが、Key Life Time経過後に削除される。 Time経過後に削除される。 ※このような特性は製品によって異なる。 20 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 • SAの SAの二重保持 10.10.10.5の 10.10.10.5のSA Internet 10.10.20.5 PPP再接続 PPP再接続 10.10.10.5の 10.10.10.5のSA保持 SA保持 Internet 10.10.20.30 10.10.10.30の 10.10.10.30のSA 21 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 2. IPsec異機種間接続の実際 IPsec異機種間接続の実際 • IPsec異機種間接続試験の例 IPsec異機種間接続試験の例 – 試験5 試験5　IPsec専用 IPsec専用Gateway 専用Gateway再起動後の Gateway再起動後のSA 再起動後のSA の復旧手順の確認 • 結果：　専用Gateway 結果：　専用Gatewayをリブートし GatewayをリブートしSA をリブートしSAを削除す SAを削除すると、ダイヤルアップルータ側にエラーが表示され、そのままの状態を放置するとKey され、そのままの状態を放置するとKey Life Timeが経過するまで Timeが経過するまでSA が経過するまでSAは再構築できない。 SAは再構築できない。 • エラー検出時はすみやかにダイヤルアップルータ側もリブートし新たなSA タ側もリブートし新たなSAの構築を行う必要が SAの構築を行う必要がある。 22 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点 23 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点（１）IKE （１）IKEパラメータに関する注意点 IKEパラメータに関する注意点（２）セキュリティポリシーに関する注意点（３）Re （３）ReRe-Keyのタイミングに関する注意点 Keyのタイミングに関する注意点（４）認証方式の選択に関する注意点（５）SA （５）SA復旧手順に関する注意点 SA復旧手順に関する注意点（６）3 （６）3機種以上混在の場合の注意点（７）バージョンに関する注意点 24 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点（１）IKE （１）IKEパラメータに関する注意点 IKEパラメータに関する注意点 – 利用環境で動作するパラメータ値が見つかればOK かればOK。 OK。 25 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点（２）セキュリティポリシーに関する注意点 – サブネット指定かホスト指定を事前に決定。 • 製品のサポート状況を考慮。 • SAの SAのセッション数の上限を考慮。 26 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点（３）Re （３）ReRe-Keyのタイミングに関する注意点 Keyのタイミングに関する注意点 – Key Life Timeを双方同じ時間に設定する Timeを双方同じ時間に設定することを推奨。 – 製品の特性により一方が常にInitiator 製品の特性により一方が常にInitiatorにな Initiatorになる必要がある場合はそちらのKey る必要がある場合はそちらのKey Life Timeを他方より短く設定。 Timeを他方より短く設定。 – 製品によりRe 製品によりReRe-Key開始のタイミングが異な Key開始のタイミングが異なり、一時的にSA り、一時的にSAが SAが二重に構築されるのでセッション数の上限に注意が必要。 27 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点 • ReRe-Keyの Keyのタイミング – 例えばフェーズ 2のLife Timeを Timeを10分と設定 10分と設定 Life Time 10分 10分（7分） 10分 10分 10分 10分 7分経過後次のセッション開始 10分 10分この間SA この間SAを SAを二重に保持 ※製品により次セッションの開始のタイミングが異なる。 28 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点（４）認証方式の選択に関する注意点 – 異機種間接続ではPre 異機種間接続ではPrePre-Sharedが Sharedが主流。 – RADIUS認証や RADIUS認証やCA 認証やCA認証のニーズが高まる。 CA認証のニーズが高まる。 • 問題点：　製品により実装レベルが異なる。 • 問題点：　ローカルCA 問題点：　ローカルCA間の CA間の相互認証の実績少間の相互認証の実績少ない。 29 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点（５）SA （５）SA復旧手順に関する注意点 SA復旧手順に関する注意点 – 自動的にSA 自動的にSAが復旧するのは難しい。 SAが復旧するのは難しい。 – 運用でカバーすることが要求される。 30 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点（６）3 （６）3機種以上混在の場合の注意点大阪支店東京本社 A社Gateway A社Gateway Router その他支店東京本社にあるGateway 東京本社にあるGatewayは、ダイ Gatewayは、ダイヤルアップルータおよびFIrewall FIrewallとヤルアップルータおよび FIrewallという2 いう2つの機種と接続しなくてはならない。 Router Internet B社 Ipsec対応 Ipsec対応ダイヤルアップルータ Router C社 IPsec対応 IPsec対応 Firewall 2組み以上の組み合わせを満たすパラメータ値が見いだせない場合がある。取引先 31 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 3. IPsec異機種混在環境の注意点 IPsec異機種混在環境の注意点（７）バージョンに関する注意点 – バージョンすることにより接続性が落ちる場合がある。 32 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 4. IPsec異機種間接続の今後 IPsec異機種間接続の今後 33 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント 4. IPsec異機種間接続の今後 IPsec異機種間接続の今後 • IPsecの IPsecの普及が異機種間接続の問題点を克服させる。 – 現場で揉まれることにより、ベンダー間の調整が図られると予想。 • 不完全ながらも既に実績がある。 – JNXでは異機種混在環境を構築。 JNXでは異機種混在環境を構築。 – 数百店鋪規模のインターネット経由POS 数百店鋪規模のインターネット経由POS情 POS情報交換で実績有り。 34 Copyright (C) 2001 dit Co.,Ltd. All rights reserved IPsec異機種間接続のポイント IPsec異機種間接続のポイント IPsecによる IPsecによるVPN によるVPN構築 VPN構築第三部　おわり株式会社ディアイティ 35 Copyright (C) 2001 dit Co.,Ltd. All rights reserved