ゲートウェイ VPN の基本
バーチャル プライベート ネットワーク(VPN)は、インターネットや他のネットワークなどのパブリック ソースを介したエンドポイント間でセキュアなトンネルを確立するネットワーク接続です。Firepower 管理対象デバイスの仮想ルータ間にセキュア VPN トンネルを確立するように Firepower システムを設定できます。システムは、インターネット プロトコル セキュリティ(IPsec)プロトコル スイートを使用してトンネルを構築します。
VPN 接続が確立されると、ローカル ゲートウェイの背後にあるホストはセキュアな VPN トンネルを介して、リモート ゲートウェイの背後にあるホストに接続することができます。接続は、2 つのゲートウェイの IP アドレスとホスト名、その背後のサブネット、および相互認証のための 2 つのゲートウェイの共有秘密で構成されます。
VPN エンドポイントは、Internet Key Exchange(IKE)のバージョン 1 またはバージョン 2 のいずれかのプロトコルを使用して相互に認証し、トンネルに対してセキュリティ アソシエーションを作成します。システムは IPsec Authentication Header(AH)プロトコルまたは IPsec Encapsulating Security Payload(ESP)プロトコルのいずれかを使用して、トンネルに入るデータを認証します。ESP プロトコルは、AH と同じ機能を提供する他にデータの暗号化も行います。
展開にアクセス コントロール ポリシーが存在する場合、システムは、VPN トラフィックがアクセス コントロールを通過するまで VPN トラフィックを送信しません。さらに、システムは、トンネルがダウンしている場合は、トンネル トラフィックをパブリックなソースに送信しません。
VPN を Firepower 用に設定して展開するには、展開先の各管理対象デバイスで VPN ライセンスを有効にしておく必要があります。また、VPN 機能は 7000 および 8000 シリーズ デバイスでのみ使用できます。
IPsec
IPsec プロトコル スイートは、VPN トンネルにおいて、IP パケットが ESP または AH セキュリティ プロトコルでどのようにハッシュ、暗号化、およびカプセル化されるかを定義します。Firepower システムはハッシュ アルゴリズムおよび Security Association(SA)の暗号キーを使用しますが、これは、Internet Key Exchange(IKE)プロトコルによって 2 つのゲートウェイ間で確立されています。
セキュリティ アソシエーション(SA)は 2 つのデバイス間で共有のセキュリティ属性を確立し、VPN エンドポイントがセキュアな通信をサポートできるようにします。SA は、2 つの VPN エンドポイントが、VPN トンネルがどのようにセキュアにされているかを表すパラメータを処理することができます。
システムは、IPsec 接続のネゴシエーションの最初の段階で Internet Security Association and Key Management Protoco(ISAKMP)を使用し、エンドポイントと認証キー交換の間で VPN を確立します。IKE プロトコルは ISAKMP 内にあります。
AH セキュリティ プロトコルは、パケット見出しとデータを保護しますが、暗号化はできません。ESP はパケットを暗号化および保護しますが、最も外側の IP 見出しをセキュアにすることはできません。多くの場合、この保護は必要なく、大半の VPN 展開は、(暗号化の機能により)AH よりも頻繁に ESP を使用します。VPN はトンネル モードのみで動作するため、システムはレイヤ 3 からのパケット全体を暗号化および認証し、ESP プロトコル内で稼動します。トンネル モードの ESP は、後者の暗号化機能だけでなく、データを暗号化します。
IKE
Firepower システムは IKE プロトコルを使用して、トンネルに対して SA をネゴシエートする他に、2 つのゲートウェイを相互に認証します。プロセスは、次の 2 つのフェーズで構成されます。
IKE フェーズ 1 では、Diffie-Hellman キー交換によってセキュアに認証された通信チャネルを確立し、その後の IKE 通信を暗号化するために事前共有キーを生成します。このネゴシエーションにより、双方向の ISAKMP セキュリティ アソシエーションが生じます。ユーザは、事前共有キーを使用して認証を行うことができます。フェーズ 1 はメイン モードで機能します。このフェーズでは、ネゴシエーションの間にすべてのデータを保護しようとしますが、ピアのアイデンティティも保護します。
IKE フェーズ 2 では、IKE ピアが、フェーズ 1 で確立されたセキュアなチャネルを使用して、IPsec の代わりにセキュリティ アソシエーションにネゴシエートします。ネゴシエーションにより、最低 2 つの単方向セキュリティ アソシエーション(一方は着信、他方は発信)が生じます。