...

第二部 IPsec VPNの設計ポイント

by user

on
Category: Documents
34

views

Report

Comments

Transcript

第二部 IPsec VPNの設計ポイント
I
P
s
e
c
T10:
T10:IPSec ~技術概要とセキュアなネットワークの実現手法~
第二部 IPsec VPNの設計ポイント
VPNの設計ポイント
2003/12/3
株式会社ディアイティ
セキュリティビジネス推進室
山田 英史
Copyright (C) 2003
2003 All rights reserved , by Matsushima &Yamada
IPsec
Network Security
第二部の内容
1. IPsec VPNの設計ポイント
VPNの設計ポイント
2. IPsec VPNの障害対応
VPNの障害対応
2
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
T10:IPSec ~技術概要とセキュアなネットワークの実現手法~
第二部
1. IPsec VPN設計ポイント
VPN設計ポイント
3
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
1-1. 要求仕様の確認
1. 要求仕様の確認
4
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
要求事項の確認
• 導入の目的
•
• 既存ネットワークの構成(ルータ、 •
NAT、
NAT、Firewall等
Firewall等 既存機器の確
•
認)
•
• WAN側の回線種、
WAN側の回線種、LAN
側の回線種、LAN側の回線
LAN側の回線
種
•
• アドレス体系
•
• トポロジー(スター型、メッシュ型、 •
一方向、双方向)
• VPNを利用するホストやネットワー
VPNを利用するホストやネットワー •
•
クの数
• VPNと一般インターネットアクセ
VPNと一般インターネットアクセ
スの併用
• アプリケーションの種類
5
流れるプロトコルの種類
パケットサイズ
アクセス制限やNAT
アクセス制限やNATなど
NATなど
品質(タイムアウト、遅延、障害時
の対応時間)
トラフィック量の時間変化
管理者の有無
保守体制(24
保守体制(24h365d
24h365d xx時間内)
xx時間内)
導入スケジュール
予算
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
製品の“機能
性能”を見極める
製品の 機能”と
機能 と“性能
性能 を見極める
• 機能面と性能面を評価し、ニーズに合った
製品を選択
– 機能面
• IPsecの実装レベル
IPsecの実装レベル
• 拡張機能
– 性能面
• スループット
• SA数
SA数
6
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
IPsec機器の形態
IPsec機器の形態
• 製品形態による特性も考慮
– IPsec専用装置
IPsec専用装置
• 高スループット、低い故障率
• 単機能
– IPsec機能付きファイアウォール
IPsec機能付きファイアウォール
• 機能の統合、アクセス制限
• 煩雑な管理、障害切り分けの難しさ
– IPsec機能付きルータ
IPsec機能付きルータ
• 機能の統合、低い故障率
• 低スループット、機器自身のセキュリティ
– IPsec clientソフト
clientソフト
• モバイル環境、低価格
• 低スループット、分散管理
7
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
1-2. 2. IPsecIPsec-VPN設計のポイント
VPN設計のポイント
8
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
ポイント
(8) 認証方法の選択
(9) NAT併用の注意点
NAT併用の注意点
(10)
10) Firewall併用時の注意点
Firewall併用時の注意点
(11)
11) その他ソリューションとの併用
の注意点
(12)
12) IPsec clientの仕様
clientの仕様
(13)
13) 管理・監視機能
(14)
14) 障害対応
(15)
15) 輸出規制に関する注意点
(16)
16) 保守体制
(1) トラフィックの質と量の把握
(2) 既存ネットワークへの影響
(3) スループット
・パフォーマンス
(4) SAの検証
SAの検証
(5) 経路上のルータの設定
(6) IPアドレスの運用
IPアドレスの運用
(7) フラグメンテーション
9
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(1)トラフィックの質と量の把握
• トラフィック量は時間の経過によって変化す
る。
– 日常業務のどの時間帯にトラフィックが
最大になり、どのホストあるいはセグメン
トに集中するのかを把握
– 流量に合わせたキャパシティを持つ製品
を選択
10
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(1)トラフィックの質と量の把握
• 流れるパケットの大きさとアプリケーション
のタイムアウトといった求められるトラフィッ
クの質に注目
– IPsec処理はオーバヘッドが大きい
IPsec処理はオーバヘッドが大きい
• ショートパケットに弱いものもある
• ReRe-Keyの処理時間も考慮。
Keyの処理時間も考慮。
11
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(2)既存ネットワークへの影響
• IPsecIPsec-VPNを導入するネットワークを図に起
VPNを導入するネットワークを図に起
こし、IPsec
こし、IPsec機器の設置箇所を吟味
IPsec機器の設置箇所を吟味
• 特に既存のネットワークへの影響やサービ
スへの影響を考慮する
• 既存の機器との併用
– ファイアウォールやNAT
ファイアウォールやNATルータなどと
NATルータなどと
の併用
12
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(3)スループット・パフォーマンス
• ショートパケットが頻発するコンテンツ(音声や動
画)を対象にする場合は、実測によるスループット
の確認が望ましい
パケットロス率(%)
パケットロス率(%)
100
100
80
80
60
60
40
40
20
20
負荷(Mbps)
負荷(Mbps)
2
4
6
8
10
負荷(Mbps)
負荷(Mbps)
2
4
6
8
10
64byte
64byte長パケット送出
byte長パケット送出
1440byte
1440byte長パケット送出
byte長パケット送出
(カタログスペック10
10Mbps
Mbpsの製品)
(カタログスペック
10
Mbps
の製品)
(カタログスペック10
10Mbps
Mbpsの製品)
(カタログスペック
10
Mbps
の製品)
13
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(3)スループット・パフォーマンス
• 現実のパフォーマンス
– Mbpsより
Mbpsよりpps
よりpps
• SAの確立(
SAの確立(Re
の確立(ReRe-keyも)に要する時間
keyも)に要する時間
– SA数によっては数分かかる場合もある
SA数によっては数分かかる場合もある
– アプリケーションのタイムアウトに注意
14
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(3)スループット・パフォーマンス
• 実装による違い
– Windows XP純正
XP純正IPsec
純正IPsecと市販の
IPsecと市販のIPsec
と市販のIPsecクライアント
IPsecクライアント
ソフトの速度比較
IPsecクライアントソフト
IPsecクライアントソフト
IPsecクライアントソフト
IPsecクライアントソフト
HUB
テストツールによるファイル転送
IPsec
スループット(秒)
平文
XP純正
市販ソフト
5
8
22
※ IKEログ保存を行うことで時間経過とともに速度の劣化が見られた。
IKEログ保存を行うことで時間経過とともに速度の劣化が見られた。
15
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
• SA数
SA数
– Phase 1は装置間毎=対地に関係
1は装置間毎=対地に関係
– Phase 2
2はターゲット毎(プロトコル毎に2本)=ネットワー
はターゲット毎(プロトコル毎に2本)=ネットワー
ク規模に関連
Phase 1 SA
Phase 2 SA
16
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
• ReRe-Key時の
Key時のSA
時のSA二重保持
SA二重保持
– 例えばフェーズ 2のLife Timeを
Timeを10分と設定
10分と設定
• LifeTime
LifeTimeの何%で次の
の何%で次のSA
の何%で次のSAが準備されるかは製品によって異なる
SAが準備されるかは製品によって異なる
• LifeTimeは経過時間以外にパケット数で設定できる製品も有り
LifeTimeは経過時間以外にパケット数で設定できる製品も有り
Life Time
10分
10分
10分
10分
(7分)
7分経過後次の
セッション開始
10分
10分
10分
10分
この間SA
SAを二重に保持
この間
SA
を二重に保持
※フェーズ1
※フェーズ1はLife Timeの時点でいきなり
Timeの時点でいきなりRe
の時点でいきなりReRe-Key
17
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
• リモートアクセス時のSA
リモートアクセス時のSA二重保持
SA二重保持
10.10.20.5
10.10.10.5の
10.10.10.5
のSA
Internet
IPsec gateway
IPsec対応
IPsec対応
ダイヤルアップルータ
PPP再接続
PPP再接続
10.10.20.30
10.10.10.5の
SA保持
10.10.10.5
のSA
保持
Internet
10.10.10.30の
10.10.10.30
のSA
18
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
• SAの最大値
SAの最大値
– “トンネル数”“
トンネル数”“セッション数
”“セッション数”
セッション数”など各メーカ
により様々
•
•
•
Phase
Phase
Phase
か
1の数なのか
の数なのかPhase
Phase 2の数なのか
1の数なのか
2の数なのか
2の上り下り
2の上り下り2
の上り下り2本を考慮していのか
2 LifeTimeの重複は考慮しているの
LifeTimeの重複は考慮しているの
– 前述のような理由からPhase2
前述のような理由からPhase2 SAの数は
SAの数は
カタログスペックの50%
カタログスペックの50%程度に考えた方が
50%程度に考えた方が
無難
– Phase 1は実証試験が困難
1は実証試験が困難
• 装置を必要数用意することができない
19
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
• SA数の調整
SA数の調整
ターゲット
・192.168.32.*
・192.168.24.10
・192.168.24.20
IPsec gateway
IPsec client
Router
192.168.24.10
Phase 2
Phase 2
Phase 2
192.168.24.20
192.168.32.0
Phase 1
• ターゲットをホスト指定にするかサブネット指定にするかにより
SA数が変わる
SA数が変わる
20
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
• LifeTimeの調整
LifeTimeの調整
センター拠点
ブランチ拠点
ReRe-Key
Internet
ADSL
IPsec gateway
IPsec対応
IPsec対応
ADSLルータ
ADSLルータ
•ダイナミックにアドレスが
ダイナミックにアドレスが割り振られる拠点(ブランチ拠点)が
イニシエータになるようにSA
イニシエータになるようにSA LifeTimeを短くする
LifeTimeを短くする
センター拠点>ブランチ拠点
21
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
• ReRe-Keyに要する時間
Keyに要する時間
– もし1
もし1ppsに
ppsに1つSAが確立するとした場合、
SAが確立するとした場合、
1000SA
1000SAを張り終わるまで
SAを張り終わるまで1000
を張り終わるまで1000秒(約
1000秒(約17
秒(約17分)
17分)
必要になる
– 他のトラフィックがある中での
他のトラフィックがある中でのRe
ReRe-Keyはさ
Keyはさ
らに時間がかかる可能性がある
22
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
• SAの復旧手順
SAの復旧手順
(2) 装置A
装置Aを強制的に
リブートして装置B
B
リブートして装置
との
とのSA
とのSAを復旧
SAを復旧
装置装置-B
(1) 装置B
装置Bが停電
でリブート
装置装置-A
VPN
装置装置-C
(3) リブートしたことにより
装置C
装置C・DのSAも削除
SAも削除
N
VP
VP
N
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
装置装置-D
•製品により
製品によりSA
製品によりSA復旧の手
SA復旧の手
順が異なる。
•異機種接続の場合は
異機種接続の場合は
実機での検証が必要。
•手動で復旧が必要な場
手動で復旧が必要な場
合は手順書等で明文化
しておく。
(4) 装置C
装置C・Dもリブート
して装置A
して装置AとのSA
とのSAを
SAを
再構築
23
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(4)SA
(4)SAの検証
SAの検証
• 異機種のSA
異機種のSA復旧手順確認試験
SA復旧手順確認試験
– AとBの2機種の場合
初期SA確立時の条件
SAの状態
AのSAが残った状態
Aのフェーズ2のみ削除
Aがイニシエーター
BのSAが残った状態
Bのフェーズ2のみ削除
AのSAが残った状態
Aのフェーズ2のみ削除
Bがイニシエーター
BのSAが残った状態
Bのフェーズ2のみ削除
24
リブートした側
Bをリブート
Bをリブート
Bをリブート
Bをリブート
Aをリブート
Aをリブート
Aをリブート
Aをリブート
pin gした側
Aからping
Bからping
Aからping
Bからping
Aからping
Bからping
Aからping
Bからping
結果
備考
×
○
×
Rekeyしない
○
○
○
○
×
90秒後、SA確立
Bをリブート
Bをリブート
Bをリブート
Bをリブート
Aをリブート
Aをリブート
Aをリブート
Aをリブート
Aからping
Bからping
Aからping
Bからping
Aからping
Bからping
Aからping
Bからping
×
○
×
○
○
○
○
×
90秒後、SA確立
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(5)経路上のルータの設定
• IPsecでは様々なプロトコルを使用する。それらが透過的に流れるよう
IPsecでは様々なプロトコルを使用する。それらが透過的に流れるよう
に経路上のルータのフィルタリングを設定。
• 特にISP
特にISPのルータには注意。事前に申し入れることを推奨。
ISPのルータには注意。事前に申し入れることを推奨。
•IPsec
IPsecで使用するプロトコル
IPsecで使用するプロトコル
•UDP
UDP
500 ISAKMP
•IP
IP type 51 AH (Authentication Header)
•IP
IP type 50 ESP (Encapsulation Security Payload)
•認証プロトコルなど
認証プロトコルなど
•CA,
CA, LDAP
•製品固有の管理用プロトコルなど
製品固有の管理用プロトコルなど
•SSL,
SSL, SNMP, FTP, 独自
25
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
• ネットワークの分割
– トンネルモードで使用の場合、
トンネルモードで使用の場合、IPsec
IPsec機器の前後でネッ
IPsec機器の前後でネッ
トワークが異なる。
• サブネットの再設定もありえる。
ファイア
ウォール
IPsec
gateway
社内LAN
社内LAN
26
Internet
202.10.1.0
202.10.5.0
ブリッジモードサポートの製品ではサブネットを
変更せずに設計することも可能
Router
192.168.32.0
IPsec
Network Security
(6)IP
(6)IPアドレスの運用
IPアドレスの運用
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(6)IP
(6)IPアドレスの運用
IPアドレスの運用
• IPアドレスの重複
IPアドレスの重複
– BtoBなどエクストラネットで他社拠点と接
BtoBなどエクストラネットで他社拠点と接
続する場合は、双方のプライベートアドレ
スの重複を避ける
• グローバルアドレスを割り振る
• NATによりグローバルアドレスに変換
NATによりグローバルアドレスに変換
27
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(6)IP
(6)IPアドレスの運用
IPアドレスの運用
• モバイル端末に割り振るIP
モバイル端末に割り振るIPアドレスの保持
IPアドレスの保持
– IPsecIPsec-DHCPなど方式の違いによりアドレ
DHCPなど方式の違いによりアドレ
スのプール数が異なる
– モバイル端末が同時に数百台がアクセ
スしてくる場合はアドレス空間に注意
28
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(7)フラグメンテーション
• IPsecヘッダが不可されることでパケット長
IPsecヘッダが不可されることでパケット長
が延長される
– フラグメンテーションによる通信効率の劣
化に注意
– MTUの調整(
MTUの調整(1380
の調整(1380byte
1380byte程度が良さそう)
byte程度が良さそう)
– DF=1
DF=1にして
にしてPMTU
にしてPMTUを通す
PMTUを通す
29
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(8)認証方法の選択
• IPsec標準の
IPsec標準のPre
標準のPrePre-Shared Key
– 小規模VPN
小規模VPNおよび
VPNおよび1
および1対n接続に向く。
• 拡張認証
– RADIUS認証
RADIUS認証
• モバイル
モバイルVPN
VPNに適する
VPNに適する
• 各種認証デバイス(ワンタイムパスワード等)による認証強化が
可能
• 製品によりサポート状況に差あり
– CA認証
CA認証
• モバイル
モバイルVPN
VPNおよび大規模
および大規模VPN
VPN(
VPNおよび大規模
VPN(n対n接続)に適する
• 各種認証デバイス(IC
各種認証デバイス(ICカード等)による認証強化が可能
ICカード等)による認証強化が可能
• 製品によりサポート状況に差あり
30
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(9)NAT
(9)NAT併用の注意点
NAT併用の注意点
P4
•
•
G3
Internet
s
G2
d
G3
P1
P4
data
アドレス変換
s
G1
G2
d
G3
•
暗号化データ
NATによるアドレスの付け替えは
NATによるアドレスの付け替えは
IPsecとしては「なりすまし」として認
IPsecとしては「なりすまし」として認
識される(AH
AH使用の場合)
識される(
AH使用の場合)
IPsecでは
IPsecではTCP/UDP
ではTCP/UDPも暗号化する
TCP/UDPも暗号化する
ので、ポート番号等が見えなくなる
IPますカレード等では、
IPますカレード等では、NAT
ますカレード等では、NATルータ
NATルータ
が複数のセッションを管理するた
めの情報がなくなることになる
ESPではスタティック
ESPではスタティックNAT
ではスタティックNAT(
NAT(静的な
アドレス変換)であれば可能
NAT
Router
暗号化データ
P1
P4
data
G1
トンネリング
s
P1
d
P4
data
P1
P2
P3
31
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(9)NAT
(9)NAT併用時の注意
NAT併用時の注意
• NAT併用時問題点の回避策
NAT併用時問題点の回避策
– NATルータ自身が
NATルータ自身がIPsec
ルータ自身がIPsecを実装
IPsecを実装
– NAT Traversalの標準化により問題解決
Traversalの標準化により問題解決
32
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(10)
10)Firewall併用時の注意点
Firewall併用時の注意点
• ポート番号などの情報が欠けるため、暗号
化されたデータはFirewall
Firewallを通過出来ない
化されたデータは
Firewallを通過出来ない
場合がある
• Firewallが
FirewallがNATをする場合の問題もある
NATをする場合の問題もある
33
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(10)
10)Firewall併用時の注意点
Firewall併用時の注意点
Firewallの内側へ
Firewallの内側へIPsec
の内側へIPsecを置く場合
IPsecを置く場合
– 暗号化パケットを通過させるために
様々な設定をFirewall
様々な設定をFirewallに行う必要が有
Firewallに行う必要が有
る
– Firewallが
FirewallがNATを行う場合は、
NATを行う場合は、NAT
を行う場合は、NATルー
NATルー
タと同じ問題が発生する
– この設置方法は避けた方が賢明
•
Internet
Router
暗号化
global
FIREWALL
Private
IPsec
非暗号化
事業所LAN
事業所LAN
34
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(10)
10)Firewall併用時の注意点
Firewall併用時の注意点
Firewallの外側へ
Firewallの外側へIPsec
の外側へIPsecを置く場合
IPsecを置く場合
– Firewallに到達する前にデータは復号
Firewallに到達する前にデータは復号
化されているのでFirewall
化されているのでFirewallのフィルタリ
Firewallのフィルタリ
ング設定には影響を与えない
– Firewallが
FirewallがNATを行う場合は、
NATを行う場合は、IPsec
を行う場合は、IPsec
gatewayから見ると事業所
gatewayから見ると事業所LAN
から見ると事業所LAN上のホ
LAN上のホ
ストがすべて同じIP
ストがすべて同じIPに見えるので細
IPに見えるので細
かなセキュリティポリシーが設定でき
ない
•
Internet
Router
暗号化
IPsec
global
FIREWALL
Private
非暗号化
事業所LAN
事業所LAN
35
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(10)
10)Firewall併用時の注意点
Firewall併用時の注意点
一般
サイト
•
支店
Internet
Router
暗号化
global
FIREWALL
Private
IPsec
非暗号化
事業所LAN
事業所LAN
36
Firewallと
FirewallとIPsecを並列に置く場
IPsecを並列に置く場
合
– Firewallと
FirewallとIPsec gatewayを
gatewayを
並列に設置し、用途に応じ
て経路を使い分ける
– 拠点間で暗号化通信をする
時はIPsec
時はIPsec gateway側の経
gateway側の経
路を使用し、Internet
路を使用し、Internet上の一
Internet上の一
般サイトへアクセスする時
はFirewall側の経路を使用
Firewall側の経路を使用
する
– ルータなどによる経路設定
が必要
– Firewallの設定に影響をお
Firewallの設定に影響をお
よぼさない
– 他社との接続ではIP
他社との接続ではIPアドレ
IPアドレ
スの重複に注意
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(10)
10)Firewall併用時の注意点
Firewall併用時の注意点
一般
サイト
•
支店
Internet
Router
暗号化
global
FIREWALL
DMZ
Private
IPsec
Firewallの
FirewallのDMZ経由で
DMZ経由でIPsec
経由でIPsec
を並列に置く場合
– 前ページの構成のバリ
エーションで、IPsec
エーションで、IPsec
gatewayの内側のポート
gatewayの内側のポート
をFirewallの
FirewallのDMZに接続
DMZに接続
– 前ページと同様に暗号
化と非暗号化の経路を
使い分けるが、そのルー
ティングをFirewall
ティングをFirewallにさせ
Firewallにさせ
る
非暗号化
事業所LAN
事業所LAN
37
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(11)
11)その他ソリューションとの併用の注意点
• QoSとの併用
QoSとの併用
– 暗号データは
暗号データはQoS
QoSを適用できない場合がある
QoSを適用できない場合がある
– QoSが適用される前に平文に戻るように設置位置に注
QoSが適用される前に平文に戻るように設置位置に注
意する
• ウィルスチェックサーバとの併用
– 暗号データはウィルスチェックを適用できない場合があ
る
– ウィルスチェックが行なわれる前に平文に戻るように設
置位置に注意する
社内LAN
社内LAN
・QoS
・ウィルスチェック
サーバ
Router
38
Internet
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(12)
12)IPsec clientの仕様
clientの仕様
• スループットはプラットホームの性能に左右される
• 対応プラットホーム
• コンフィグレーション
– 環境設定やポリシー変更の容易さ
• アドレス管理
– Internet経由のモバイル環境において
Internet経由のモバイル環境において
ISPから割り振られるダイナミックアドレス
ISPから割り振られるダイナミックアドレス
とは別にユーザが管理するアドレスを付
与できることが望ましい
• IPsecIPsec-DHCP, PARなど
PARなど
39
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(13)管理・監視機能
13)管理・監視機能
• コンフィグレーション設定機能
– アドレス付与、ルール設定、バージョンアッ
プ、SA
プ、SAの状態管理、
SAの状態管理、SA
の状態管理、SAの削除操作
SAの削除操作
– 操作環境
• シリアル接続コンソール、
シリアル接続コンソール、Web
Web、
Web、TELNET、
TELNET、独
自管理ツール…
自管理ツール
40
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
(13)管理・監視機能
13)管理・監視機能
Network Security
• 状態管理・監視
– SNMP、
SNMP、Syslog、
Syslog、Web、
Web、独自独自管理ツー
独自独自管理ツー
ル
– Pingによる死活監視
Pingによる死活監視
41
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(13)管理・監視機能
13)管理・監視機能
• ログ機能
– SNMP、
SNMP、Syslog、
Syslog、Web、
Web、独自管理ツール、
シリアル接続コンソール
42
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(14)障害対応
14)障害対応
• ログ収集機能
– ログ収集方法により精度が異なる
– ログの確認、設定内容の確認、電源の
off/on…
off/on
– 特に遠隔操作で対応できない場合も想
定しておく
• デバッグツールの有無
43
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(15)輸出規制に関する注意点
15)輸出規制に関する注意点
• IPsec製品は暗号機能を実装しているので輸出規制の対
IPsec製品は暗号機能を実装しているので輸出規制の対
応となる。海外拠点に設置する場合は注意
• 製品開発元の国の輸出規制および日本の輸出規制を、
事前に確認する必要がある
• 輸出規制以外に海外拠点への設置については、時差、言
輸出規制以外に海外拠点への設置については、時差、言
葉の壁、文化の違い等によりインストールや保守について
十分に事前調整する必要がある
44
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
(16)保守体制
16)保守体制
• メーカや販売元の保守体制を確認
– 方法
• センドバック、オンサイト
– 対応時間
– 対応地域
– 費用
45
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
1-3. 3. 実機試験
46
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
実機によるパイロットテストの必要性
• 異なるメーカの製品を混在する場合(異機
種間接続)
• ADSLなど比較的新しい技術に適用する場
ADSLなど比較的新しい技術に適用する場
合
• 実際のアプリケーション環境下で使用する
のに不安がある場合
• 標準外の機能を利用する場合(NAT
標準外の機能を利用する場合(NAT越え、
NAT越え、
PKI…)
PKI )
• 正常時の記録とエラーの記録
47
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
参考
NPO 日本ネットワークセキュリティ協会
http://www.jnsa.org
インターネットVPN
インターネットVPN WG
– 公衆無線LAN
環境でのIPsec
IPsec利用の調査
公衆無線LAN環境での
LAN環境での
IPsec利用の調査
– NATNAT-Tに関する考察
– フラグメンテーションに関する考察
– IPアドレス重複に関する考察
IPアドレス重複に関する考察
– SAの説明
SAの説明
48
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
T10:IPSec ~技術概要とセキュアなネットワークの実現手法~
第二部
2. IPsec VPNの障害対応
VPNの障害対応
49
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
2-1.
1. 障害状況の把握
障害状況の把握
50
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
現状の把握
機器停止、機器の自動リブート、
一部通信の不具合、遅延、・・・
障害発生
<発生時の状況>
発生時の状況>
発生日時
特定の時間帯に発生
決まった曜日に発生
特定の拠点に発生
特定のホストまたはネットワークに発生
特定のアプリケーションに発生
特定のオペレーションの後に発生
トラフィックの増加の後に発生ター
ゲットの増減の後に発生
回線の変更の後に発生
ReRe-Keyのタイミングで発生
Keyのタイミングで発生
CRLの更新後発生
CRLの更新後発生
アドレスの変更の後に発生
その他設定変更の後に発生
次ページへ
51
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
確認事項
前ページから
•ハードのインジケータ状態の確認
ハードのインジケータ状態の確認
•SA
SAの状態の確認
SAの状態の確認
•パラメータ設定の確認
パラメータ設定の確認
•セキュリティポリシーの確認
セキュリティポリシーの確認
•ファームやソフトウェア
ファームやソフトウェア バージョンの確認
•ログの確認
ログの確認
•Ping
Ping試験
Ping試験
•パケットアナライザーによるパケット評価
パケットアナライザーによるパケット評価
•デバックツールの使用
デバックツールの使用
52
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
2-2. 正常な状態の把握
2. 正常な状態の把握
53
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
SAの状態
SAの状態
54
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
IKE確立までのログ
IKE確立までのログ
Session
Index
75
Date/Time
Reported By
03/Dec/2002 07:21:11PM
Isakmp
ScSA
Log Message
AddSa: SPIs:C0307A1D/2FEF5A47 Loc:192.168.1.*
フェーズ 2 の確立
Rem:192.168.10.* (210.152.196.10) Prot:ESP-3DES[168]-HMAC-MD5 Exp:5:00:00
74
03/Dec/2002 07:21:10PM
Isakmp
cSA
Notify from 210.152.196.10: Initial Contact
73
03/Dec/2002 07:21:10PM
Isakmp
ScSA
AddPhase1: Rem:210.152.196.10, ID:"210.152.196.10",
72
03/Dec/2002 07:21:10PM
ShSecrt
ScSA
Found PW for: 210.152.196.10.
71
03/Dec/2002 07:21:09PM
Isakmp
ScSA
Got policy for peer:210.152.196.1, I am initiator, authentication: shared
70
03/Dec/2002 07:21:09PM
Isakmp
ScSA
Establish Request: 192.168.1.5 to 192.168.10.1
65
03/Dec/2002 06:52:15PM
Monitor
Evnt
Red port link: 10Mb HD
49
03/Dec/2002 06:37:18PM
Monitor
Evnt
Black port link: 10Mb HD
48
03/Dec/2002 06:37:18PM
Sonic
Init
LAN interface link status is supported.
47
03/Dec/2002 06:37:18PM
Monitor
Evnt
Gate is now Secure.
34
03/Dec/2002 06:37:08PM
Isakmp
ScSA
Default sa lifetime: 720
33
03/Dec/2002 06:37:08PM
Isakmp
ScSA
Current security level set to "Standard"
32
03/Dec/2002 06:37:08PM
Isakmp
Init
Initialized and running.
2
03/Dec/2002 06:36:59PM
RTC
Init
Initialized and running.
1
03/Dec/2002 06:36:59PM
RtcNVRA Init
Initialized and running.
フェーズ 1 の確立
Cookies: 930802BDF812A961/D061A0255F9D657E Prot:DES[56]-MD5, Exp:23:59:59
55
IKEネゴ シエ ーション
イニシエ ータとして 動作
インタフェース のリンクア ッ プ
初期化と各種パラメータのセッ ト
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
パケット
Phase 1
1セッション
セッション
(メインモード)
Phase 2セッション
2セッション
暗号化通信
56
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
2-3. 障害切り分け
3. 障害切り分け
57
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
切り分け作業
パケットアナライザまたは試験用PC
PCの接続箇所
パケットアナライザまたは試験用
PC
の接続箇所
ブランチ拠点
センター拠点
Server
IPsec
gateway
Router
Internet
IPsec
gateway
Router
Server
Server
1
2
3
58
4
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
切り分け作業
可能であればパケットアナライザ1
台でgateway
gatewayを
可能であればパケットアナライザ
1台で
gateway
を
挟んで両側の内外のパケットを同時に収集
IPsec
gateway
Router
Internet
パケット
アナライザ
記録時間にズレが無くなり、遅延などが把握しやすい
59
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
切り分け作業
• 障害が確認された拠点で現地調査
– ブランチで障害発生時は同時にセンター
側でも調査した方が良い
– しかし、実際には人員の手配が付かずど
ちらか一方での作業になることが多い
60
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
Pingによる切り分け
Pingによる切り分け
•
•
•
経路上のどこに障害があるのかを予測
問題のあるホストまたはネットワークの特定
IPsec gatewayの障害か否かの絞込み
gatewayの障害か否かの絞込み
61
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
例
• ブランチ拠点にあるクライアントからセンター
拠点のあるサーバにアクセスできなくなった
と想定
62
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
Pingによる切り分け
Pingによる切り分け
• 58ページの図においてブランチ側で切り分け作業を行なう
58ページの図においてブランチ側で切り分け作業を行なう
と想定。
• ①にpingを送信する
①にpingを送信するPC
PCを設置
PCを設置
• ②にパケットアナライザを設置
– ①からセンター内問題のサーバへping
①からセンター内問題のサーバへpingを打つ。
pingを打つ。
– ①からセンターの別のサーバや
①からセンターの別のサーバやPC
PCに
PCにpingを打つ。
pingを打つ。
– ①からセンター IPsec gatewayの内部
gatewayの内部LAN
の内部LAN側
LAN側I/Fに
I/Fにping
を打つ。
– ①からセンター側ルータへping
①からセンター側ルータへpingを打つ。
pingを打つ。
– ①からセンター IPsec gatewayの
gatewayのInternet側
Internet側I/Fに
I/Fにpingを
pingを
打つ。
– ②で収集したパケットの確認
63
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
Pingによる切り分け
Pingによる切り分け
• 確認事項
– アプリケーションはだめでも
アプリケーションはだめでもping
pingは通るか
pingは通るか
– SAは確立しているか
SAは確立しているか
– IKEはどこで失敗するか
IKEはどこで失敗するか
– どことどこの間に問題がありそうか
• 原因箇所の絞込み
– アプロケーション、ホスト、経路、IPsec
アプロケーション、ホスト、経路、IPsecの
IPsecの
設定、IKE
設定、IKEネゴ
IKEネゴ
64
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
Pingによる切り分け
Pingによる切り分け
• 前頁までの作業で障害箇所が見つからない場合
– IPsec clientを実装した試験用
clientを実装した試験用PC
を実装した試験用PCを②に
PCを②に
接続
• ②から問題のサーバへping
②から問題のサーバへpingを打つ
pingを打つ
• ②からセンター内の別のサーバやPC
②からセンター内の別のサーバやPCに
PCにping
を打つ
• ②からセンター IPsec gatewayの内部
gatewayの内部LAN
の内部LAN側
LAN側
I/Fに
I/Fにpingを打つ
pingを打つ
• 同様に②からブランチ内へも
同様に②からブランチ内へもping
pingを打つ
pingを打つ
65
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
Pingによる切り分け
Pingによる切り分け
• 確認事項
– ブランチの
ブランチのIPsec
IPsec Gatewayの外からなら
Gatewayの外からなら
問題ないか
– SAは確立しているか
SAは確立しているか
– IKEはどこで失敗するか
IKEはどこで失敗するか
– どことどこの間に問題がありそうか
66
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
パケットアナライザによる切り分け
• IPsec gateway内部で何が起こっているの
gateway内部で何が起こっているの
か=ログの調査
– ログ収集方法により精度が異なることに
注意
• 外部で何が起こっているのか=パケットア
ナライザによる解析
– IPsec gatewayを挟むようにパケットアナ
gatewayを挟むようにパケットアナ
ライザを設置
67
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
パケットアナライザによる切り分け
• 58ページの図においてブランチ側で切り分
58ページの図においてブランチ側で切り分
け作業を行なうと想定
• ①②にパケットアナライザを設置
• 障害の起こるオペレーションを実施
• その際のパケットの収集とIPsec
その際のパケットの収集とIPsec gatewayの
gatewayの
ログを照らし合わせて解析
68
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
パケットアナライザによる切り分け
• 確認事項
– IKEのどのプロセスで失敗するか
IKEのどのプロセスで失敗するか
• 何往復目で止まるか
– はUDP500が経路上でフィルタされている
UDP500が経路上でフィルタされている
可能性有り
– 内部ログでエラーが記録されているか
69
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
パケットアナライザによる切り分け
• 確認事項
– IKEは成功しているがパケットのやり取り
IKEは成功しているがパケットのやり取り
ができない。
• ①と②でパケットにロスが確認できる。
• ①と②で遅延が確認できる。
70
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
パケットアナライザによる切り分け
No .
発ア ドレス
着ア ドレス
byt e
時間
サービス
1
IP-192.168.16.30
IP-192.168.16.35
154
30:32.8
IP UDP
2
IP-192.168.16.35
IP-192.168.16.30
206
30:32.8
IP UDP
3
IP-192.168.16.30
IP-192.168.16..35
226
30:32.9
IP UDP
4
IP-192.168.16.35
IP-192.168.16.30
226
30:33.0
IP UDP
5
IP-192.168.16.30
IP-192.168.16.35
138
30:33.1
IP UDP
6
IP-192.168.16.35
IP-192.168.16.30
106
30:33.1
IP UDP
7
IP-192.168.16.30
IP-192.168.16.35
930
30:33.3
IP UDP
8
IP-192.168.16.35
IP-192.168.16.30
338
30:33.3
IP UDP
9
IP-192.168.16..30
IP-192.168.16.35
98
30:33.5
IP UDP
10
IP-192.168.16.30
IP-192.168.16.35
306
30:33.8
IP ESP
11
IP-192.168.16.35
IP-192.168.16.30
90
30:34.0
IP ESP
12
IP-192.168.16.35
IP-192.168.16.30
114
30:38.4
IP ESP
13
IP-192.168.16.30
IP-192.168.16.35
90
30:38.6
IP ESP
0.7
ク
ラ
イ
ア
ン
ト
~
サ
ー
バ
0 .2
4 .4 4 . 8
0 .2
•確認箇所
•各パケット間の時間
•①と②で拾ったパケット間での遅延
71
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
2-3. 原因の特定
3. 原因の特定
72
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
現地の切り分けで発見
• 切り分け作業で発生箇所を絞込み原因を
特定
– トリガーになるオペレーションを実施
– 発生時間に合わせて精度を上げた再調
査
73
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
擬似環境で再現試験
• 擬似環境で、予想される原因を試し、障害
を再現
• 障害原因の予測
– 高負荷
– ショートパケット
– SA数
SA数
– ReRe-Key
– 特定アプリケーション
74
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
デバッグ
• 実環境あるいは擬似環境で障害を再現し
デバッグ
– 共通秘密鍵がエクスポートできる機種な
らデコード機能付きパケットアナライザ
(松下電工 NetCocoon等)が使用可能
NetCocoon等)が使用可能
– メーカのデバッグツールの使用
• 改善案を1
改善案を1つずつ段階的に試し、原因と改
善策を決定
75
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
Network Security
ご清聴ありがとうございました
株式会社ディアイティ
山田 英史
[email protected]
76
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
Fly UP