IPsec プロファイルの追加
2つのファイアウォール間で IPsec および L2TP トンネルを確立する際のフェーズ 1、フェーズ 2 の IKE (Internet Key Exchange) パラメータを指定できます。鍵のネゴシエーションおよびデッドピア検知の設定も指定できます。
全般設定
IKE バージョンおよび鍵のネゴシエーションの設定を行います。
- 「プロファイル > IPsec プロファイル」に移動し、「追加」をクリックします。
- 名前を入力します。
-
「鍵交換」で、フェーズ 1 およびフェーズ 2 の交換用の IKE バージョンを選択します。
- IKEv1
- IKEv2: NAT トラバーサルなどの追加の利点を備え、より高速で安全です。
-
(IKEv1のみ)「認証モード」で、フェーズ 1 の Diffie-Hellman 鍵交換のモードを選択します。
- メインモード: 3回の双方向交換を実行し、安全です。IKEv2 では常にメインモードを使用します。
-
アグレッシブモード: 3つのメッセージで鍵交換を実行し、認証情報を平文で送信します。
警告
アグレッシブモードは安全でないため、推奨しません。
-
「鍵のネゴシエーションの試行回数」に、トンネルの鍵交換のネゴシエーションを試行する回数を入力します。
-
「鍵の再入力接続」を選択すると、フェーズ 1 およびフェーズ 2 の交換の鍵が期限切れになる前に、ネゴシエーションが自動的に開始されます。
リモートファイアウォール側でのみ開始する場合は、このチェックボックスをオフにします。セキュリティを確保するために、一方または両方のファイアウォールで鍵の再入力を選択してください。
ヒント
Sophos Firewall では、時間ベースの鍵の再入力のみをサポートしています。他社製のファイアウォールとの接続を確立する場合、そのファイアウォールで時間ベースの鍵の再入力を選択するようにしてください。
-
ペイロードを圧縮して帯域幅の使用量を減らすには、「圧縮形式でデータをパスする」を選択します。データは暗号化の前に圧縮されます。
- HMAC 認証でハッシュ値を切り捨てるには、「SHA2 (96ビット切り捨て)」を選択します。
フェーズ 1
2つのファイアウォール間で暗号化トンネルを確立するために、フェーズ 1 の設定を指定します。
-
鍵の有効期間と再入力の設定を指定します。
-
「鍵の有効期間」に、時間 (秒) を入力します。
これは、セキュリティアソシエーション (SA) の有効期間です。SA が期限切れになると、「鍵の再入力接続」を選択した場合は鍵のネゴシエーションが再び開始され、新しい SA が確立されるか、または接続が終了します。
ヒント
鍵交換における競合を防止するため、次の注意事項に従ってください。
イニシエーターの鍵の有効期間をレスポンダーよりも短く設定します。
両方のファイアウォールで、フェーズ 2 の鍵の有効期間をフェーズ 1 の値よりも小さく設定します。
例として、イニシエーターの支社 (IKEv2) およびレスポンダーの本社 (IKEv2) のデフォルトのプロファイルの値を参照してください。
-
「鍵の再入力マージン」に、時間 (秒) を入力します。
鍵の有効期間の残り時間がこの値になると、ネゴシエーションの試行が開始されます。
-
「鍵の再入力マージンをランダム化する割合」に、パーセント値を入力します。
例
鍵の有効期間: 8時間
鍵の再入力マージン: 10分。鍵のネゴシエーションの試行は、7時間 50分後に始まります。
ランダム化: 20パーセント。ネゴシエーションの試行は、7時間 48分後に始まり、7時間 52分後に終わります。
-
-
暗号化と認証の設定を指定します。
-
「DH グループ」 (Diffie–Hellman グループ) で、鍵交換の鍵の強度を決めるグループを選択します。リモートファイアウォールでも同じオプションを選択してください。
グループの種類 (ecp や曲線など) の中で、値の大きい DH グループほど、長く強力な鍵を生成します。
-
次のアルゴリズムを選択します。
- 暗号化
- 認証
ヒント
データ交換の整合性を確保するために、最大 3つの暗号化アルゴリズムおよび認証アルゴリズムを選択できます。
これらの組み合わせのうち少なくとも 1つを、リモートファイアウォールで設定する必要があります。
注
アグレッシブモードでは、1つの組み合わせしか保存できません。
-
フェーズ 2
トンネル経由のデータ転送を保護するために、フェーズ 2 SA の設定を指定します。
-
「PFS グループ」 (Perfect Forward Secrecy) を使用して、フェーズ 2 トンネルごとに新しい鍵交換を適用します。PFS を使用する方が安全です。次のオプションから選択します。
-
なし: PFS をオフにします。
警告
このオプションを選択することは推奨しません。フェーズ 1 の鍵が侵害された場合、フェーズ 2 の全セッションが復号化される可能性があります。このオプションは、リモートピアが PFS をサポートしていない他社製ファイアウォールである場合にのみ使用するようにしてください。
-
フェーズ 1 と同じ: フェーズ 2 のネゴシエーションに、フェーズ1 の DH グループを使用します。
- その他のオプションでは、フェーズ 2 のセッションの鍵用に指定した DH グループを使用します。DH グループを選択することをお勧めします。
-
-
「鍵の有効期間」に、フェーズ 2 の SA の有効期間 (秒) を入力します。
ヒント
鍵交換における競合を防止するため、次の注意事項に従ってください。
イニシエーターの鍵の有効期間をレスポンダーよりも短く設定します。
両方のファイアウォールで、フェーズ 2 の鍵の有効期間をフェーズ 1 の値よりも小さく設定します。
例として、イニシエーターの支社 (IKEv2) およびレスポンダーの本社 (IKEv2) のデフォルトのプロファイルの値を参照してください。
-
次のアルゴリズムを選択します。
- 暗号化
- 認証
ヒント
データ交換の整合性を確保するために、最大 3つの暗号化アルゴリズムおよび認証アルゴリズムを選択できます。
これらの組み合わせのうち少なくとも 1つを、リモートファイアウォールで設定する必要があります。
注
アグレッシブモードでは、1つの組み合わせしか保存できません。
デッドピア検知
フェーズ 2 のトンネルがアイドル状態の場合、データを送信する前に応答しないピアを検出する設定を指定します。
- 「デッドピア検知」を選択して、ピアが使用可能かどうかを確認します。
- 「ピアを確認する頻度」に、時間 (秒) を入力します。
-
「次まで応答を待つ」に、IKEv1 の応答時間 (秒) を入力します。ピアがこの時間内に応答しない場合は、使用不可と見なされます。
注
IKEv1 の場合、確認の回数は、指定した応答時間に依存します。
IKEv2 の場合、確認の回数は、IKE のメッセージ再送のデフォルトのタイムアウト値に依存します。したがって、この値は影響しません。
-
「ピアが到達不可能な場合」で、次のいずれかの処理を選択します。
- 保留: インストールされているトラフィックセレクタを保持し、オンデマンドでトンネルのネゴシエーションを再度行います。
- 切断: 接続を閉じます。この設定は本社に使用してください。
-
再開: DPD タイムアウトが発生したら、ただちに接続のネゴシエーションを再び開始します。この設定は支社に使用してください。
「鍵のネゴシエーションの試行回数」に指定した回数に基づき、トンネルの再開が試行されます。
-
「保存」をクリックします。