Cato IPsec ガイド: IKEv1 対 IKEv2

IPsec サイト ベストプラクティス - IKEv2 への移行

一般的に、Cato はベストプラクティスとして IPsec IKEv2 サイトの使用を推奨します。 IKEv2 の改善点は以下のとおりです:

  1. IKEv2 は、VPN トンネルを設定するために必要なメッセージの数を減らすことによって効率を向上させます。 トンネルはより速く、より少ない帯域幅でセットアップされます。

  2. IKEv2 はより信頼性があります。 トンネルがダウンしたときに検出するための組み込みのライブネスチェックがあります。

  3. IKEv2 は DoS 攻撃から保護します。 IKEv1とは異なり、IKEv2の応答者は、イニシエーターが広告されたIPアドレスでメッセージを受信できることを証明するまで、重要な処理を行う必要はありません。

  4. NAT-T は組み込まれています。 VPN エンドポイントが NAT を実行するルーターの背後に配置されている場合、NAT-T または NAT Traversal が必要です。 IPsec トンネルは、NAT と互換性のない Encapsulating Security Payload(ESP)を使用してデータを送信します。 したがって、NAT-T を使用して、ESP パケットを UDP でカプセル化し、その後 NAT を経由してルーティングできます。

IPsec IKEv2 サイトを使用する利点の詳細については、RFC 4306 を参照してください。

IKEv2 と IKEv1 の間の類似点

以下は、IKEv1 と IKEv2 トンネルに関する strongSwan 設定の比較です。 strongSwan は、Windows や macOS を含む複数のオペレーティング システム用のオープンソース IPsec ソリューションです。

IKEv1

IKEv2

 
conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev1
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret
 
conn cato-vpn
        auto=追加
        compress=no
        type=トンネル
        keyexchange=ikev2
        fragmentation=yes
        forceencaps=yes
        ike=aes256-sha1-modp1024
        esp=aes256-sha1
        dpdaction=クリア
        dpddelay=300s
        rekey=no
        left=172.16.1.62
        leftid=54.183.180.107
        leftsubnet=172.16.1.0/24
        right=45.62.177.115
        rightid=45.62.177.115
        rightsubnet=172.17.3.0/24
        authby=secret

唯一の違いは一つの数字だけです。 keyexchangeの値をikev1からikev2に変更するだけで、strongSwanをIKEv1からIKEv2に変換できます。

注意: IKEv1とIKEv2の両方のサイトでIPSec共有秘密キー(PSK)を最大64文字まで設定できます。

Cato管理アプリケーションでのIKEv1からIKEv2への切り替え

IKEv1トンネルからIKEv2トンネルに移行するために必要な手順は以下の通りです。

サイトをIKEv1からIKEv2トンネルへ移行するには:

  1. ネットワーク > サイト 画面で、IKEv1からIKEv2に切り替えたいサイトを選択します。

  2. ネットワーク > サイト > [サイト名] > サイト設定 > 一般 画面で、接続タイプ のドロップダウンから IPsec IKEv2 を選択します。 サイトのネイティブ範囲やその他のネットワークは、接続タイプを変更すると失われます。

    360002841277-image-0.png

  3. ネットワーク > サイト > [サイト名] > サイト設定 > ネットワーク 画面で、ネイティブ範囲 および他の任意のリモートネットワークを入力します。 これらはリモートトラフィックセレクターです。

  4. ネットワーク > サイト > [サイト名] > サイト設定 > IPsec 画面で、プライマリ セクションの下にある Cato IP(Egress) を選択し、リモートVPNゲートウェイの サイトIP を入力します。

    360002920918-image-1.png

  5. プライマリPSK の下の パスワード フィールドにPSKを入力します。

    360002841297-image-2.png

  6. ルーティング セクションを展開し、ネットワーク範囲 の下にサイト用のルーティングオプションを追加します。 これらはすべて、CatoまたはCato VPN範囲に接続されている他のサイトで既に構成されているネットワークである必要があります。

    360002841317-image-3.png

  7. Cato による接続の開始 チェックボックスを選択して、Cato が VPN 接続を開始します。 この構成は任意ですが、推奨されます。なぜなら、リモート VPN ゲートウェイが接続を開始するように構成されていない可能性があるからです。

  8. (任意) イニシャルメッセージパラメータ セクションを展開し、設定を構成します。 ほとんどの IPsec IKEv2 対応ソリューションは、以下のイニシャルおよび Auth パラメータの自動ネゴシエーションを実装しているため、ファイアウォールベンダーから特に指示がない限り、自動に設定することをお勧めします。

    イニシャルおよび Auth メッセージパラメータは、IKEv1のフェーズ1およびフェーズ2のパラメータとほぼ同一ですが、IKEv2にはPRFと整合性アルゴリズムの構成オプションの両方があります。 ほとんどのベンダーは異なる PRF と整合性アルゴリズムをサポートしていないため、疑問がある場合は、自動に設定するか、同じ値に設定されていることを確認してください。

  9. 保存 をクリックしてください。

IKEv2: 最後のフロンティア

今日、1999年のようにパーティーをする理由は本当に1つだけです。つまり、1998年、IKEv1がIETFによって最初に定義されたとき、VPN接続の少なくとも1つの側がIKEv1のみをサポートするレガシーデバイスで終了する場合です。 主要なクラウドプロバイダ(AWS、GCP、Azure、Alibaba Cloud)は IKEv2 をサポートしています。 したがって、古いVPNエンドポイントに接続していない限り、VPNトンネルをセットアップする際にはIKEv2が第一選択肢であるべきです。

この記事は役に立ちましたか?

3人中3人がこの記事が役に立ったと言っています

0件のコメント