IPsec トンネル ピアの Real-Time Resolution の制約事項
セキュア DNS の要件
この機能はセキュア DNS とだけ使用し、さらに、DNS の応答を認証できる場合に使用することを推奨します。それ以外の場合に使用すると、攻撃者が DNS の応答を偽装または強制し、証明書などのインターネット キー交換(IKE)認証データへのアクセス権を取得するおそれがあります。攻撃者は、発信側のホストによって信頼されている証明書を取得すると、フェーズ 1 の IKE セキュリティ アソシエーション(SA)を確立したり、発信側と実際の応答側で共有されている事前共有キーを推測しようとしたりします。
DNS 発信側
DNS によるリモート IPsec ピアの名前解決が機能するのは、ピアを発信側として使用する場合だけです。暗号化される最初のパケットが DNS ルックアップを開始します。DNS ルックアップが完了すると、これに続くパケットによって IKE が開始されます。