ISAKMPポリシー

ISAKMP(Internet Security Association and Key Management Protocol)ポリシーは、IPsec(Internet Protocol Security)環境で、VPN やセキュアな通信チャネルを確立する際に使用されるプロトコルの設定を管理するポリシーです。IPsec では、データの暗号化や認証、セキュリティアソシエーション(SA)を管理するために IKE(Internet Key Exchange)という鍵交換プロトコルを使用します。この IKE プロトコルを実現するための基盤が ISAKMP です。

以下では、ISAKMP の役割、ISAKMP ポリシーの設定内容、および ISAKMP がどのように IPsec と連携して機能するかについて詳しく解説します。

1. ISAKMP の概要

ISAKMP とは?

ISAKMP は、IPsec の一部として使用されるプロトコルで、VPN やセキュアな通信チャネルを確立する際の鍵交換やセキュリティパラメータの管理を行います。ISAKMP の主な役割は以下の通りです。

  • セキュリティアソシエーション(SA: Security Association)の管理:

    • SA とは、セキュアな通信を行うための一連のセキュリティパラメータ(暗号アルゴリズム、認証方式、鍵の情報など)を定義したものです。
    • ISAKMP は、通信する双方が一致する SA を持っていることを確認し、それに基づいてセキュアなチャネルを確立します。

  • 鍵交換の管理:

    • ISAKMP は、IKE プロトコルと連携して、安全に暗号鍵を交換するためのメカニズムを提供します。これにより、データの暗号化や認証に使用する鍵を確立することができます。

  • セキュリティポリシーのネゴシエーション:

    • ISAKMP は、通信を行うデバイス間で使用する暗号アルゴリズム、ハッシュ方式、認証方式などのセキュリティポリシーを交渉し、双方が合意したポリシーを適用します。

ISAKMP と IKE の関係

ISAKMP は、IKE(Internet Key Exchange)プロトコルの基盤として機能します。IKE には以下の 2 つのバージョンがあり、ISAKMP は両バージョンの鍵交換と管理に使用されます。

  • IKEv1:

    • IKE の最初のバージョンで、ISAKMP のセッションを確立するためにメインモードとアグレッシブモードという 2 つのモードを持ちます。
    • IKEv1 は、SA の確立に ISAKMP を使用して、セキュリティアソシエーションと鍵交換を行います。

  • IKEv2:

    • IKEv1 の後継バージョンで、セキュリティ機能の改善やパケット交換の最適化が行われています。ISAKMP は引き続き鍵管理の基盤として使用されますが、IKEv2 ではプロトコル全体がシンプルになり、モードも統一されています。

2. ISAKMP ポリシーとは?

ISAKMP ポリシーの役割

ISAKMP ポリシーは、ISAKMP セッションを確立する際に使用される セキュリティパラメータを定義する設定です。これらのポリシーは、IPsec ピア(例えば、ルーターやファイアウォールなど)がどのようにセキュリティネゴシエーションを行うかを決定します。

ISAKMP ポリシーには、以下のセキュリティパラメータが含まれます。

  1. 暗号化方式(Encryption Algorithm):

    • データの暗号化に使用するアルゴリズムを指定します。
    • 例: DES、3DES、AES(AES-128、AES-192、AES-256 など)

  2. ハッシュアルゴリズム(Hash Algorithm):

    • データの完全性を確認し、改ざんを防ぐために使用するハッシュアルゴリズムを指定します。
    • 例: MD5、SHA-1、SHA-256

  3. 認証方式(Authentication Method):

    • ピアを認証する際に使用する認証方式を指定します。
    • 例: Pre-shared key(事前共有キー)、Digital certificates(デジタル証明書)

  4. Diffie-Hellman グループ(DH グループ):

    • 鍵交換時に使用する Diffie-Hellman グループを指定します。グループ番号が大きいほどセキュリティが強化されますが、CPU の負荷も増加します。
    • 例: Group 1、Group 2、Group 5、Group 14、Group 19 など

  5. ライフタイム(Lifetime):

    • ISAKMP セッションの有効期間を秒単位で指定します。この期間が過ぎると、ISAKMP SA は再ネゴシエーションされ、新しい SA が確立されます。
    • 例: 86400 秒(1 日)、28800 秒(8 時間)

ISAKMP ポリシーの設定例(Cisco ルーター)

以下の例では、Cisco ルーターで ISAKMP ポリシーを設定する手順を示します。

  1. ISAKMP ポリシーの作成と設定:

bash

 

crypto isakmp policy 10

 encr aes ! 暗号化方式を AES に設定

 hash sha ! ハッシュ方式を SHA に設定

 authentication pre-share ! 認証方式を事前共有キー(Pre-shared key)に設定   group 2 ! Diffie-Hellman グループ 2 を設定

 lifetime 86400 ! ライフタイムを 86400 秒(1 日)に設定

  1. 事前共有キーの設定:

bash

 

crypto isakmp key cisco123 address 192.168.1.1

  • 事前共有キー cisco123 を、ピアの IP アドレス 192.168.1.1 に対して設定しています。これにより、両方のデバイスが同じキーを持っている場合に認証が成功します。
  1. ISAKMP ポリシーの確認:

bash

 

show crypto isakmp policy

  • 設定された ISAKMP ポリシーを確認し、各パラメータが正しく設定されているかを確認します。

複数の ISAKMP ポリシーを設定する際の注意点

  • ISAKMP ポリシーを複数設定することができますが、優先順位に注意する必要があります。ポリシー番号(crypto isakmp policy <番号>)は、番号が小さいほど優先されます。
  • 例えば、以下のように複数のポリシーを設定した場合、最初にポリシー 10 が適用され、ネゴシエーションが失敗した場合は次に 20 のポリシーが適用されます。

bash

 

crypto isakmp policy 10

 encr aes

 hash sha

 authentication pre-share

 group 2 

 

crypto isakmp policy 20

 encr 3des

 hash md5

 authentication pre-share

 group 5

ISAKMP の動作モード

ISAKMP は、IKE の鍵交換フェーズ(フェーズ 1)で以下の 2 つのモードで動作します。

  1. メインモード(Main Mode):

    • メインモードでは、6 つのメッセージを交換して ISAKMP セッションを確立します。これにより、セッションのセキュリティが強化されますが、若干のオーバーヘッドが発生します。

  2. アグレッシブモード(Aggressive Mode):

    • アグレッシブモードでは、3 つのメッセージを交換することで迅速に ISAKMP セッションを確立します。ただし、メインモードと比べてセキュリティがやや弱くなります。

3. ISAKMP ポリシーの役割と重要性

ISAKMP ポリシーは、IPsec VPN のフェーズ 1 で使用されるセキュリティ設定を管理するため、IPsec VPN の安全性やパフォーマンスに大きな影響を与えます。以下の理由から、ISAKMP ポリシーの設定は非常に重要です。

  • 強力な暗号化方式と認証方式の使用:

    • 弱い暗号化方式(例: DES)やハッシュアルゴリズム(例: MD5)はセキュリティの脆弱性を引き起こす可能性があるため、AES や SHA-2 などの強力なアルゴリズムを選択することが推奨されます。

  • Diffie-Hellman グループの選定:

    • 大きなグループ番号を選択することでセキュリティは強化されますが、CPU 負荷も増加するため、使用する機器の性能を考慮する必要があります。

  • 認証方式の選定:

    • 事前共有キー(Pre-shared Key)は設定が容易ですが、デジタル証明書などの方法に比べるとセキュリティが低いため、重要な通信ではデジタル証明書の使用を検討します。

4. まとめ

  • ISAKMP ポリシーは、IPsec VPN のフェーズ 1 で使用されるセキュリティ設定を定義し、鍵交換やセキュリティアソシエーションのネゴシエーションを管理する重要なポリシーです。
  • ISAKMP ポリシーは、暗号化方式、ハッシュ方式、認証方式、Diffie-Hellman グループ、およびライフタイムのパラメータを設定し、IPsec の安全性とパフォーマンスを決定します。
  • ISAKMP ポリシーの設定は、VPN 構築時のセキュリティと通信の効率性を左右するため、慎重に選定することが重要です。

ISAKMP ポリシーの理解と設定を適切に行うことで、セキュアで信頼性の高い VPN 環境を構築できるようになります。もしさらに詳しい設定や例を知りたい場合は、Cisco などのベンダーの公式ドキュメントを参照することをお勧めします。