コンテンツにスキップ

IPsec プロファイルの追加

2つのファイアウォール間で IPsec および L2TP トンネルを確立する際のフェーズ 1、フェーズ 2 の IKE (Internet Key Exchange) パラメータを指定できます。鍵のネゴシエーションおよびデッドピア検知の設定も指定できます。

全般設定

IKE バージョンおよび鍵のネゴシエーションの設定を行います。

  1. プロファイル > IPsec プロファイル」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 鍵交換」で、フェーズ 1 およびフェーズ 2 の交換用の IKE バージョンを選択します。

    • IKEv1
    • IKEv2: NAT トラバーサルなどの追加の利点を備え、より高速で安全です。
  4. (IKEv1のみ)「認証モード」で、フェーズ 1 の Diffie-Hellman 鍵交換のモードを選択します。

    • メインモード: 3回の双方向交換を実行し、安全です。IKEv2 では常にメインモードを使用します。
    • アグレッシブモード: 3つのメッセージで鍵交換を実行し、認証情報を平文で送信します。

      警告

      アグレッシブモードは安全でないため、推奨しません。

  5. 鍵のネゴシエーションの試行回数」に、トンネルの鍵交換のネゴシエーションを試行する回数を入力します。

  6. 鍵の再入力接続」を選択すると、フェーズ 1 およびフェーズ 2 の交換の鍵が期限切れになる前に、ネゴシエーションが自動的に開始されます。

    リモートファイアウォール側でのみ開始する場合は、このチェックボックスをオフにします。セキュリティを確保するために、一方または両方のファイアウォールで鍵の再入力を選択してください。

    ヒント

    Sophos Firewall では、時間ベースの鍵の再入力のみをサポートしています。他社製のファイアウォールとの接続を確立する場合、そのファイアウォールで時間ベースの鍵の再入力を選択するようにしてください。

  7. ペイロードを圧縮して帯域幅の使用量を減らすには、「圧縮形式でデータをパスする」を選択します。データは暗号化の前に圧縮されます。

  8. HMAC 認証でハッシュ値を切り捨てるには、「SHA2 (96ビット切り捨て)」を選択します。

フェーズ 1

2つのファイアウォール間で暗号化トンネルを確立するために、フェーズ 1 の設定を指定します。

  1. 鍵の有効期間と再入力の設定を指定します。

    1. 鍵の有効期間」に、時間 (秒) を入力します。

      これは、セキュリティアソシエーション (SA) の有効期間です。SA が期限切れになると、「鍵の再入力接続」を選択した場合は鍵のネゴシエーションが再び開始され、新しい SA が確立されるか、または接続が終了します。

      ヒント

      鍵交換における競合を防止するため、次の注意事項に従ってください。

      イニシエーターの鍵の有効期間をレスポンダーよりも短く設定します。

      両方のファイアウォールで、フェーズ 2 の鍵の有効期間をフェーズ 1 の値よりも小さく設定します。

      例として、イニシエーターの支社 (IKEv2) およびレスポンダーの本社 (IKEv2) のデフォルトのプロファイルの値を参照してください。

    2. 鍵の再入力マージン」に、時間 (秒) を入力します。

      鍵の有効期間の残り時間がこの値になると、ネゴシエーションの試行が開始されます。

    3. 鍵の再入力マージンをランダム化する割合」に、パーセント値を入力します。

    鍵の有効期間: 8時間

    鍵の再入力マージン: 10分。鍵のネゴシエーションの試行は、7時間 50分後に始まります。

    ランダム化: 20パーセント。ネゴシエーションの試行は、7時間 48分後に始まり、7時間 52分後に終わります。

  2. 暗号化と認証の設定を指定します。

    1. DH グループ」 (Diffie–Hellman グループ) で、鍵交換の鍵の強度を決めるグループを選択します。リモートファイアウォールでも同じオプションを選択してください。

      グループの種類 (ecp や曲線など) の中で、値の大きい DH グループほど、長く強力な鍵を生成します。

    2. 次のアルゴリズムを選択します。

      1. 暗号化
      2. 認証

    ヒント

    データ交換の整合性を確保するために、最大 3つの暗号化アルゴリズムおよび認証アルゴリズムを選択できます。

    これらの組み合わせのうち少なくとも 1つを、リモートファイアウォールで設定する必要があります。

    アグレッシブモードでは、1つの組み合わせしか保存できません。

フェーズ 2

トンネル経由のデータ転送を保護するために、フェーズ 2 SA の設定を指定します。

  1. PFS グループ」 (Perfect Forward Secrecy) を使用して、フェーズ 2 トンネルごとに新しい鍵交換を適用します。PFS を使用する方が安全です。次のオプションから選択します。

    • なし: PFS をオフにします。

      警告

      このオプションを選択することは推奨しません。フェーズ 1 の鍵が侵害された場合、フェーズ 2 の全セッションが復号化される可能性があります。このオプションは、リモートピアが PFS をサポートしていない他社製ファイアウォールである場合にのみ使用するようにしてください。

    • フェーズ 1 と同じ: フェーズ 2 のネゴシエーションに、フェーズ1 の DH グループを使用します。

    • その他のオプションでは、フェーズ 2 のセッションの鍵用に指定した DH グループを使用します。DH グループを選択することをお勧めします。
  2. 鍵の有効期間」に、フェーズ 2 の SA の有効期間 (秒) を入力します。

    ヒント

    鍵交換における競合を防止するため、次の注意事項に従ってください。

    イニシエーターの鍵の有効期間をレスポンダーよりも短く設定します。

    両方のファイアウォールで、フェーズ 2 の鍵の有効期間をフェーズ 1 の値よりも小さく設定します。

    例として、イニシエーターの支社 (IKEv2) およびレスポンダーの本社 (IKEv2) のデフォルトのプロファイルの値を参照してください。

  3. 次のアルゴリズムを選択します。

    1. 暗号化
    2. 認証

    ヒント

    データ交換の整合性を確保するために、最大 3つの暗号化アルゴリズムおよび認証アルゴリズムを選択できます。

    これらの組み合わせのうち少なくとも 1つを、リモートファイアウォールで設定する必要があります。

    アグレッシブモードでは、1つの組み合わせしか保存できません。

デッドピア検知

フェーズ 2 のトンネルがアイドル状態の場合、データを送信する前に応答しないピアを検出する設定を指定します。

  1. デッドピア検知」を選択して、ピアが使用可能かどうかを確認します。
  2. ピアを確認する頻度」に、時間 (秒) を入力します。
  3. 次まで応答を待つ」に、IKEv1 の応答時間 (秒) を入力します。ピアがこの時間内に応答しない場合は、使用不可と見なされます。

    IKEv1 の場合、確認の回数は、指定した応答時間に依存します。

    IKEv2 の場合、確認の回数は、IKE のメッセージ再送のデフォルトのタイムアウト値に依存します。したがって、この値は影響しません。

  4. ピアが到達不可能な場合」で、次のいずれかの処理を選択します。

    • 保留: インストールされているトラフィックセレクタを保持し、オンデマンドでトンネルのネゴシエーションを再度行います。
    • 切断: 接続を閉じます。この設定は本社に使用してください。
    • 再開: DPD タイムアウトが発生したら、ただちに接続のネゴシエーションを再び開始します。この設定は支社に使用してください。

      鍵のネゴシエーションの試行回数」に指定した回数に基づき、トンネルの再開が試行されます。

  5. 保存」をクリックします。