IPSec VPN(バーチャルプライベートネットワーク)を使用すると、インターネット上に暗号化されたトンネルを確立することによって、企業リソースへのリモートアクセスを安全に取得できます。
このドキュメントの目的は、RV130およびRV130WでIPSec VPNサーバを設定する方法を説明することです。
注:RV130およびRV130W上でShrew Soft VPN Clientを使用してIPSec VPNサーバを設定する方法については、『RV130およびRV130W上でIPSec VPNサーバを使用するShrew Soft VPN Client』を参照してください。
・ RV130W Wireless-N VPNファイアウォール
・ RV130 VPNファイアウォール
・ v1.0.1.3
ステップ1:Web設定ユーティリティにログインし、[VPN] > [IPSec VPN Server] > [Setup] を選択します。[Setup]ページが開きます。
ステップ2:[Server Enable] チェックボックスをオンにして、証明書を有効にします。
ステップ3:(オプション)VPNルータまたはVPN ClientがNATゲートウェイの背後にある場合は、[Edit] をクリックしてNATトラバーサルを設定します。そうでない場合は、NATトラバーサルを無効のままにします。
注:NATトラバーサル設定の設定方法についての詳細は、『RV130およびRV130W VPNルータでのインターネットキーエクスチェンジ(IKE)ポリシー設定』を参照してください。
ステップ4:[Pre-Shared Key] フィールドに、デバイスとリモートエンドポイント間で交換されるキーを8 ~ 49文字の範囲で入力します。
ステップ5:[Exchange Mode]ドロップダウンリストから、IPSec VPN接続のモードを選択します。Mainはデフォルトモードです。ただし、ネットワーク速度が低い場合は、アグレッシブモードを選択します。
注:アグレッシブモードでは、接続中にトンネルのエンドポイントのIDがクリアテキストで交換されます。交換に必要な時間は短くなりますが、安全性は低下します。
ステップ6:[Encryption Algorithm] ドロップダウンリストから、フェーズ1の事前共有キーを暗号化するための適切な暗号化方式を選択します。AES-128は、高いセキュリティと高速なパフォーマンスを実現するために推奨されます。VPNトンネルでは、両端で同じ暗号化方式を使用する必要があります。
使用可能なオプションは次のように定義されています。
・ DES:Data Encryption Standard(DES)は56ビットの古い暗号化方式で、安全性はそれほど高くありませんが、下位互換性のために必要な場合があります。
・ 3DES:Triple Data Encryption Standard(3DES)は、データを3回暗号化するため、鍵サイズを増やすために使用される168ビットのシンプルな暗号化方式です。これにより、DESよりもセキュリティが高くなりますが、AESよりもセキュリティが低くなります。
・ AES-128 — Advanced Encryption Standard with 128-bit key(AES-128)では、AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全です。一般に、AESは3DESよりも高速で安全です。AES-128は、AES-192およびAES-256よりも高速ですが安全性が低くなります。
・ AES-192:AES-192はAES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが高い安全性を備え、AES-256よりも高速ですが低い安全性を備えています。
・ AES-256:AES-256はAES暗号化に256ビットキーを使用します。AES-256は低速ですが、AES-128およびAES-192よりも安全です。
ステップ7:[Authentication Algorithm] ドロップダウンリストから、フェーズ1でカプセル化セキュリティペイロード(ESP)プロトコルヘッダーパケットがどのように検証されるかを決定する適切な認証方式を選択します。VPNトンネルでは、接続の両端で同じ認証方式を使用する必要があります。
使用可能なオプションは次のように定義されています。
・ MD5:MD5は、128ビットのダイジェストを生成する一方向ハッシュアルゴリズムです。MD5はSHA-1より高速で計算されますが、SHA-1より安全性が低くなります。MD5は推奨されません。
・ SHA-1:SHA-1は、160ビットのダイジェストを生成する一方向ハッシュアルゴリズムです。SHA-1はMD5よりも低速で計算しますが、MD5よりも安全です。
・ SHA2-256:256ビットのダイジェストを使用してセキュアハッシュアルゴリズムSHA2を指定します。
ステップ8:[DH Group] ドロップダウンリストから、フェーズ1のキーで使用する適切なDiffie-Hellman(DH)グループを選択します。Diffie-Hellmanは、事前共有キーセットを交換するための接続で使用される暗号キー交換プロトコルです。アルゴリズムの強度はビットによって決まります。
使用可能なオプションは次のように定義されています。
・ Group1(768ビット):キーを最も高速で計算しますが、最もセキュアではありません。
・ Group2(1024ビット):キーの計算は低速ですが、Group1よりも安全です。
・ Group5(1536ビット):最も遅いキーを計算しますが、最も安全です。
ステップ9:[IKE SA Life Time] フィールドに、自動IKEキーが有効である時間を秒単位で入力します。この時間が経過すると、新しいキーが自動的にネゴシエートされます。
ステップ10:[Local IP]ドロップダウンリストから、1人のローカルLANユーザがVPNトンネルにアクセスできるようにする場合は[Single] を選択し、複数のユーザがアクセスできるようにする場合は[Subnet] を選択します。
ステップ11:ステップ10で[Subnet] を選択した場合は、[IP Address]フィールドにサブネットワークのネットワークIPアドレスを入力します。ステップ10で[Single] を選択した場合は、シングルユーザのIPアドレスを入力してステップ13に進みます。
ステップ12:(オプション)ステップ10で[Subnet] を選択した場合は、[Subnet Mask] フィールドにローカルネットワークのサブネットマスクを入力します。
ステップ13:[IPSec SA Lifetime] フィールドに、フェーズ2でVPN接続がアクティブなままになる時間(秒)を入力します。この時間が経過すると、VPN接続のIPSecセキュリティアソシエーション(SA)が再ネゴシエートされます。
ステップ14:[Encryption Algorithm] ドロップダウンリストから、フェーズ2の事前共有キーを暗号化するための適切な暗号化方式を選択します。AES-128は、高いセキュリティと高速なパフォーマンスを実現するために推奨されます。VPNトンネルでは、両端で同じ暗号化方式を使用する必要があります。
使用可能なオプションは次のように定義されています。
・ DES:Data Encryption Standard(DES)は、56ビットの古い暗号化方式で、最も安全性が低いですが、下位互換性のために必要な場合があります。
・ 3DES:Triple Data Encryption Standard(3DES)は、データを3回暗号化するため、鍵サイズを増やすために使用される168ビットのシンプルな暗号化方式です。これにより、DESよりもセキュリティが高くなりますが、AESよりもセキュリティが低くなります。
・ AES-128 — Advanced Encryption Standard with 128-bit key(AES-128)では、AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全です。一般に、AESは3DESよりも高速で安全です。AES-128は、AES-192およびAES-256よりも高速ですが安全性が低くなります。
・ AES-192:AES-192はAES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが高い安全性を備え、AES-256よりも高速ですが低い安全性を備えています。
・ AES-256:AES-256はAES暗号化に256ビットキーを使用します。AES-256は低速ですが、AES-128およびAES-192よりも安全です。
ステップ15:[Authentication Algorithm] ドロップダウンリストから、フェーズ2でカプセル化セキュリティペイロード(ESP)プロトコルヘッダーパケットがどのように検証されるかを決定するための適切な認証方式を選択します。VPNトンネルでは、両端で同じ認証方式を使用する必要があります。
使用可能なオプションは次のように定義されています。
・ MD5:MD5は、128ビットのダイジェストを生成する一方向ハッシュアルゴリズムです。MD5はSHA-1より高速で計算されますが、SHA-1より安全性が低くなります。MD5は推奨されません。
・ SHA-1:SHA-1は、160ビットのダイジェストを生成する一方向ハッシュアルゴリズムです。SHA-1はMD5よりも低速で計算しますが、MD5よりも安全です。
・ SHA2-256:256ビットのダイジェストを使用してセキュアハッシュアルゴリズムSHA2を指定します。
ステップ16:(オプション)[PFS Key Group] フィールドで、[Enable] チェックボックスをオンにします。Perfect Forward Secrecy(PFS)は、フェーズ2で新しいDHキーを確保することで、データ保護のセキュリティをさらに強化します。このプロセスは、フェーズ1で生成されたDHキーが送信中に危険にさらされた場合に実行されます。
ステップ17:[DH Group] ドロップダウンリストから、フェーズ2のキーで使用する適切なDiffie-Hellman(DH)グループを選択します。
使用可能なオプションは次のように定義されています。
・ Group1(768ビット):キーを最も高速で計算しますが、最もセキュアではありません。
・ Group2(1024ビット):キーの計算は低速ですが、Group1よりも安全です。
・ Group5(1536ビット):最も遅いキーを計算しますが、最も安全です。
ステップ18:[Save] をクリックして設定を保存します。
詳細については、次のドキュメントを参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
10-Dec-2018 |
初版 |