■IPセキュリティポリシーの構成
①IPフィルタを設定する
【既定のIPフィルタ】from IP to IP protocol from port to port ------------------------------------------------------------------------------- すべてのICMPトラフィック 自分 任意 ICMP -- -- ミラー ------------------------------------------------------------------------------- 全てのIP 自分 任意 任意 -- -- ミラー -------------------------------------------------------------------------------
②フィルタ操作を設定する
上記のフィルタに該当するパケットに対してのセキュリティの条件を設定する。
・許可(パススルー)
・ブロック
・セキュリティのネゴシエート
この場合は次の3つのチェックボックスが選べる
1.non-IPSec を受け付けるが、常にIPSecを使って応答する
2.IPSecに対応していない相手と、non-IPSecでの通信を許可
3.セッションキーのPFS (Perfect Forward Secrecy)
セキュリティメソッドを設定する。
3つのパターンから選べる
1.高(ESP) データの暗号化、認証、改竄防止
2.中(AH) データの認証と改竄防止のみ、非暗号化
3.カスタム
※カスタムについて
【既定のフィルタ操作】セキュリティメソッド AH整合性 ESP機密性 ESP整合性 キーの有効期限 ------------------------------------------------------------------------------- 許可 許可 ------------------------------------------------------------------------------- セキュリティ カスタム <なし> 3DES SHA1 100000kB/900sec を要求 カスタム <なし> DES SHA1 100000kB/900sec (省略可能) カスタム SHA1 <なし> <なし> 100000kB/300sec カスタム MD5 <なし> <なし> 100000kB/300sec ・通常通信を受け付けるが、常にIPSecで応答する ・IPSecに対応していないクライアントと通常通信を許可する ------------------------------------------------------------------------------- セキュリティ カスタム <なし> 3DES SHA1 100000kB/900sec が必要 カスタム <なし> 3DES MD5 100000kB/900sec カスタム <なし> DES SHA1 100000kB/900sec カスタム <なし> DES MD5 100000kB/900sec ・通常通信を受け付けるが、常にIPSecで応答する -------------------------------------------------------------------------------
③認証方法を設定する
【認証方法】
・Kerberos V5 プロトコル
・証明機関(CA)からの証明書を使う
・文字列を仮共有キーの保護に使う
④トンネルの設定をする
【トンネルの設定】
・IPsecトンネルなし
・エンドポイントのIPアドレスを指定
⑤ネットワークインターフェースを指定する
【接続の種類】
・全てのネットワーク接続
・ローカルエリアネットワーク(LAN)
・リモートアクセス
■既定のIPsecポリシー
・クライアント(応答のみ)
通常は保護なしで通信します。
セキュリティを要求しているサーバーとネゴシエートするには、既定の応答の規則を使用します。
そのサーバーとの間で要求されたプロトコルとポートのトラフィックだけが保護されます。
・サーバー(セキュリティが必要)
すべての IP トラフィックで、Kerberos 信頼を使ったセキュリティを常に要求します。
要求に応答しないクライアントとの、セキュリティで保護されていない通信を許可します。
・セキュリティで保護されたサーバー(セキュリティが必要)
すべての IP トラフィックで、Kerberos 信頼を使ったセキュリティが常に必要です。
信頼されていないクライアントとの、セキュリティで保護されていない通信を許可しません。
