GM の削除とポリシー トリガーに関する情報
GET VPN のソフトウェア バージョン
GET VPN のソフトウェア バージョンは次の形式です。
major-version.minor-version.mini-version
値は次のとおりです。
-
major-version は、すべての GET VPN デバイスの互換性を定義します。
-
minor-version は、キー サーバ(KS)/KS 間(連携キー サーバ)の関係と GM/GM 間の相互運用性に関する互換性を定義します。
-
mini-version は、互換性に影響しない機能変更を追跡します。
たとえば、基本バージョン(以前のすべての GET VPN 機能)は 1.0.1 です。また、たとえば GM の削除機能とポリシー交換機能が含まれるバージョンは 1.0.2 である場合、これらの機能は(トリガーされるキー再生成でのこれらの機能の動作導入に関係なく)基本バージョンと完全な後方互換性があることを意味します。
GM はインターネット キー エクスチェンジ(IKE)フェーズ 1 ネゴシエーション(RFC 2408、『Internet Security Association and Key Management Protocol [ISAKMP]』で定義されています)の間にベンダー ID ペイロードで KS に GET VPN ソフトウェア バージョンを送信します。KS は、連携 KS 通知(ANN)メッセージのバージョン フィールドで他の連携 KS にソフトウェア バージョンを送信します。連携 KS も、各 GM が使用しているバージョンのリストを同期します。
GM 削除機能とポリシー交換機能はそれぞれ、その機能をサポートしていないグループのデバイスを検出するために KS(またはプライマリ KS)で実行するコマンドを提供しています。
GM の削除
GM の削除とポリシー交換機能がないとき、グループから不要な GM を削除するには、次の手順を実行する必要があります。
-
フェーズ 1 のクレデンシャル(たとえば、事前共有キーまたは 1 つ以上の PKI 証明書)を失効にします。
-
KS のトラフィック暗号キー(TEK)および Key Encryption Key(KEK)データベースをクリアします。
-
各 GM で TEK および KEK データベースを個別にクリアし、強制的に各 GM を再登録します。
GET VPN グループが数千の GM にサービスを提供しているとき、機能させるとき、3 番目のステップには時間がかかります。また、実稼動ネットワークのグループ全体をクリアすると、ネットワーク中断を引き起こす可能性があります。GET VPN GM 削除機能とポリシー トリガー機能では、KS(またはプライマリ KS)で入力したコマンドを使用して新たな一連の TEK および KEK キーを作成し、それらを GM に伝播することによって、このプロセスを自動化します。
他の GET VPN ソフトウェア バージョンとの GM 削除の互換性
GET VPN の GM 削除およびポリシー トリガー機能は、GET VPN ネットワークのすべてのデバイスがこの機能をサポートする GET VPN ソフトウェア バージョンにアップグレードされた後にのみ使用する必要があります。そうしないと、古いソフトウェアを実行しているセカンダリ KS または GM が GM の削除メッセージを無視し、古い SA を使用してトラフィックの暗号化と復号化を続行します。この動作により、ネットワーク トラフィックの中断が発生します。
この機能には、ネットワークのすべてのデバイスが GM の削除をサポートするバージョンを実行しているかどうかを確認するために KS(またはプライマリ KS)で使用するコマンドが用意されています。プライマリ KS が GM の削除をサポートしていないデバイスを含むネットワークの GM を削除しようとすると、警告メッセージが表示されます。詳細については、「GM の削除をサポートするソフトウェア バージョンを GM が実行していることを確認する」セクションを参照してください。
一時的な IPsec SA による GM の削除
GET VPN GM の削除とポリシー トリガー機能には、一時的な IPsec SA により GM の削除をトリガーするために KS(またはプライマリ KS)で使用するコマンドが用意されています。この動作により、すべての GM のキーのライフタイムが短縮され、キーの有効期限が切れる前に再登録します。GM の削除の間、ライフタイムが期限切れになるまで一時的な IPsec SA を使用してトラフィックの暗号化と復号化が継続されるため、ネットワーク中断は発生しません。詳細については、「一時的な IPsec SA による GM の削除」セクションを参照してください。
即時の IPsec SA 削除による GM の削除
GET VPN GM の削除とポリシー トリガー機能では、GM が強制的に古い TEK と KEK を(一時的な SA を使用せず)即座に削除し、再登録するために KS(またはプライマリ KS)で使用できるオプションのキーワードを提供します。ただし、この動作により、データ プレーンに中断が引き起こされる可能性があります。そのため、重大なセキュリティ上の理由がある場合のみこの方式を使用する必要があります。詳細については、「GM の削除と IPSec SA の即座の削除」セクションを参照してください。
ポリシーの交換とキー再生成のトリガー
GET VPN GM 削除およびポリシー トリガー機能では、古い SA を削除し、新しい SA をインストールするための新しいキー再生成トリガー方法を提供します。
キー再生成をトリガーする TEK および KEK ポリシー変更に関する不整合
この機能なしでは、キー再生成をトリガーする TEK および KEK ポリシー変更に関して不整合があります。
-
セキュリティ ポリシーの更新中に複数のキー再生成が送信される可能性があります。
-
一部のポリシー変更は(たとえば、トランスフォーム セット、プロファイル、ライフタイム、およびアンチリプレイ)新しい SA を GM にインストールしますが、既存のポリシーからの SA はライフタイムが期限切れになるまでアクティブのままになります。
-
一部のポリシー変更(たとえば、TEK のアクセス コントロール エントリ/アクセス コントロール リスト(ACE/ACL)の変更)は新しい SA を GM にインストールし、即座に有効になります。ただし、古い SA は各 GM のデータベースで維持されます(ライフタイムが期限切れになるまで show crypto ipsec sa コマンドを使用して表示できます)。
たとえば、KS が Data Encryption Standard(DES)から Advanced Encryption Standard(AES)にポリシーを変更する場合、GM がこのトリガーされたキー再生成を受け取ると、新しい SA(例:AES)がインストールされ、古い SA(例:DES)のライフタイムは短縮されます。GM は短縮されたライフタイムが期限切れになるまで古い SA を使用してトラフィックの暗号化と復号化を継続します。
次に、短縮されたライフタイムを計算する式を示します。
TEK_SLT = MIN(TEK_RLT, MAX(90s, MIN(5%(TEK_CLT), 3600s)))
値は次のとおりです。
-
TEK_SLT は TEK の短縮されたライフタイムです。
-
TEK_RLT は TEK の残りのライフタイムです。
-
TEK_CLT は TEK の設定されたライフタイムです。
次の表は、キー再生成に関する不整合をまとめたものです。
ポリシーの変更 |
キー再生成を送信するか |
ポリシー変更後のキー再生成の動作 |
---|---|---|
TEK:SA ライフタイム |
No |
古い SA は、そのライフタイムが期限切れになるまでアクティブのままになります。新しいライフタイムは、次にスケジュールされたキー再生成の後に有効になります。clear crypto sa コマンドを入力しても、古いライフタイムを使用して再登録され、古い SA が再度ダウンロードされます。 |
TEK:IPSEC トランスフォーム セット |
Yes |
古いトランスフォーム セットの SA は、そのライフタイムが期限切れになるまでアクティブのままになります。 |
TEK:IPSEC プロファイル |
Yes |
古いプロファイルの SA は、そのライフタイムが期限切れになるまでアクティブのままになります。 |
TEK:一致する ACL |
Yes |
発信パケット分類ですぐに ACL が使用されます。ただし、古い SA は SA データベースに残ります(show crypto ipsec sa コマンドを使用して表示できます)。 |
TEK:リプレイ カウンタのイネーブル化 |
Yes |
ただし、カウンタ リプレイがない古い SA は、そのライフタイムが期限切れになるまでアクティブのままになります。 |
TEK:リプレイ カウンタ値の変更 |
No |
新しいリプレイ カウンタがある SA は、次にスケジュールされたキー再生成時に送信されます。 |
TEK:リプレイ カウンタのディセーブル化 |
Yes |
ただし、カウンタ リプレイがイネーブルになっている古い SA は、そのライフタイムが期限切れになるまでアクティブのままになります。 |
TEK:TBAR の有効化 |
Yes |
ただし、時間ベースのアンチリプレイ(TBAR)が無効になった古い SA は、そのライフタイムが期限切れになるまでアクティブのままになります。 |
TEK:TBAR ウィンドウの変更 |
No |
新しい TBAR ウィンドウがある SA は、次にスケジュールされたキー再生成時に送信されます。 |
TEK:TBAR の無効化 |
Yes |
ただし、TBAR がイネーブルになっている古い SA は、そのライフタイムが期限切れになるまでアクティブのままになります。 |
TEK:受信専用のイネーブル |
Yes |
受信専用モードは、キー再生成後ただちにアクティブになります。 |
TEK:受信専用のディセーブル |
Yes |
受信専用モードは、キー再生成後ただちに非アクティブになります。 |
KEK:SA ライフタイムの動作 |
No |
変更は次のキー再生成時に適用されます。 |
KEK:認証キーの変更 |
Yes |
変更は即時に適用されます。 |
KEK:暗号アルゴリズムの変更 |
Yes |
変更は即時に適用されます。 |
この機能では、一貫性を確保することで、これらの問題を解決します。この機能によって、GET VPN ポリシーの変更単独ではキー再生成がトリガーされなくなります。ポリシー(およびグローバル コンフィギュレーション モードの終了)を変更すると、ポリシーが変更され、キー再生成が必要であることを示す syslog メッセージがプライマリ KS に表示されます。この機能には、(実行コンフィギュレーションの最新のセキュリティ ポリシーに基づく)キー再生成を送信するために KS(またはプライマリ KS)で入力する新しいコマンドが用意されています。
この機能ではまた、古い TEK および KEK を即座に削除し、新しい TEK および KEK をインストールするようにキー再生成を受信する GM に強制する追加のキーワードを新しいコマンドに用意しています。そのため、新しいポリシーは古い SA ポリシーが期限切れになるのを待たずにただちに反映されます。(ただし、すべての GM が同時にキー再生成メッセージを受信しない場合があるため、このキーワードを使用すると、一時的なトラフィックの切断が発生する可能性があります)。
ポリシーの交換およびキー再生成のトリガーの他の GET VPN ソフトウェア バージョンとの互換性
キー再生成のトリガーは、GET VPN ネットワーク内のすべてのデバイスをこの機能をサポートする GET VPN ソフトウェア バージョンにアップグレードしてから使用する必要があります。crypto gdoi ks コマンドをまだサポートしていない古いバージョンを実行している GM では、プライマリ KS はソフトウェアバージョン管理機能を使用してこれらのバージョンを検出し、ポリシー交換のための命令を送信せずにキー再生成のトリガーのみ実行します。したがって、GM がキー再生成を受信すると、新しい SA をインストールしますが、古い SA の有効期間は短縮しません。(この動作は以前のキー再生成メソッドと同様であり、ポリシーの交換をサポートしないデバイスの後方互換性が確保されます。)
この機能は、ネットワークのすべてのデバイスがポリシーの交換をサポートするバージョンを実行しているかどうかを確認するために KS(またはプライマリ KS)で使用するコマンドを提供します。詳細については「GM がポリシーの交換をサポートするソフトウェア バージョンを実行していることを確認する」セクションを参照してください。