IPsec接続のベストプラクティス

IPsec接続を設定する際に最も一般的な問題の1つは、IPsec設定を誤って構成することです。 IPsecトンネルを設定する際の重要な要素は、両方の接続ピアの設定が100%一致していることを確認することです。 接続の両側の設定が一致しない場合、接続性とルーティングの問題が発生する可能性があります。 そのため、トンネルは立ち上がることがありますが、ルーティングが正しく構成されていない場合は、トンネルを通じてトラフィックを送信できません。

したがって、Cato IPsec接続設定を構成する前に、エッジデバイス（ルーター、ファイアウォール、VMなど）でIPsec設定を確認することを強くお勧めします。 次に、IPsecサイトを構成するために、まったく同じ設定を使用してください。

最も一般的な設定ミスの1つは、互換性のないDiffie-Helman（DH）グループを使用することです。 DHグループは、接続ピア間のAuthおよびInitメッセージで使用されるキーの強度レベルを決定します。 DHグループが両側で一致しない場合、トンネルの接続に失敗します。 したがって、IPsec接続の両側で一致するDHグループを選択する必要があります。 エッジデバイスの設定に合致するようにCato管理画面でDHグループパラメータを設定します。

もうひとつの重要な推奨事項は、キー更新のためにパーフェクトフォワードセクレシー（PFS）を使用する構成用です。 DHグループパラメータがNoneに設定されている場合、PFSは無効になります。 したがって、PFSを有効にする場合は、DHグループが認証メッセージパラメータセクションに構成されていることを確認してください。

以下のスクリーンショットは、認証メッセージパラメータとDHグループオプションの一例を示しています：

可能であれば弱い暗号化設定の使用を避け、より高いDHグループを使用してより高いレベルのセキュリティを提供することを推奨します。

Cato管理画面でサイトを設定する際、認証メッセージパラメータ内でIKEv2のDHグループが設定されていない場合でも、子セキュリティアソシエーション（SA）の初期メッセージパラメータにDHグループが表示されることがあります。 これは、最初の子SAが常に最初のIKE_AUTH交換で作成され、IKE SAと同じキーマテリアルを使用するためです。 IKE SAは初期メッセージパラメータセクションに構成されたDHグループを使用します。 IKE_AUTHにはDHグループの交換はありません。

DHグループが認証メッセージパラメータセクションに構成されている場合、それはCREATE_CHILD_SA交換中、追加の子SAを作成するか既存のものを再キー化する際にのみ使用されます。

注意すべき点は、Cato管理画面とIKEv2ピアに設定されたDHグループが一致しないことです。 この状況では、トンネルは最初のIKE_AUTH交換後に一時的に立ち上がりますが、CREATE_CHILD_SA交換を使用して再キー化に失敗します。 トンネルがIKE_SA_INITおよびIKE_AUTH交換によって再び立ち上がる前に、短時間の中断があるかもしれません。

両方の接続ピアで同じ暗号化アルゴリズムを使用することは非常に重要です。 時々、ユーザーは単一のアルゴリズムを選択する代わりに、エッジデバイスで複数の暗号化アルゴリズムを有効にします。 あまりにも多くのアルゴリズムを有効にすると、デバイスが接続を確立するのにより多くの時間がかかります。 したがって、トンネルの両側で使用するアルゴリズムのみを有効にすることをお勧めします - 少ない方が良いです。

100Mbpsを超える帯域幅のIPsecサイトには、AES 128 GCM-16またはAES 256 GCM-16アルゴリズムのみを使用してください。 AES CBCアルゴリズムは、100Mbps未満の帯域幅のサイトでのみ使用されます。

冗長性のために、プライマリおよびセカンダリの両方のIPsec接続を設定することをお勧めします。 さらに、接続には異なる送信元IPアドレスと異なる宛先PoPを使用する必要があります。 送信元または宛先のいずれかが接続に失敗し、トンネルがダウンした場合、第二のトンネルが他のPoPにトラフィックを渡します。 プライマリおよびセカンダリ接続の両方で同じ送信元IPアドレスを設定し、送信元IPに障害が発生した場合、トラフィックを渡すことができる他の接続は利用できません。

Catoは、2つの接続ピア間のネゴシエーションのために、IKEv1とIKEv2の両方をサポートしています。 Cato管理画面でIPsecサイトを作成する際、エッジデバイスと一致するサポートされるインターネットキー交換バージョン（IKEv1またはIKEv2）を選択してください。 IKEv2がサポートされている場合、一般的にはそれを使用することをお勧めします。ただし、Cato管理画面で利用可能なIKEv2パラメーターをサポートしないデバイスもあります。 その場合、IKEv1を使用してください。 例えば、ファイアウォールがAES CBC 256の暗号化をサポートしていない場合、IPsec構成でそれを使用しないでください IKEv1とIKEv2について詳しくは、Cato IPsecガイド: IKEv1 vs IKEv2をご覧ください

IKEv2サイトが有効な場合は、Catoによる接続開始のオプションを選択することを強くお勧めします。 ほとんどの場合、エッジデバイスは再接続試行の間に長い遅延が設定されています。 これらのデバイスが接続を開始すると、VPNのネゴシエーションプロセスに長い時間がかかります。 対照的に、Catoが接続を開始すると、ネゴシエーションは非常に速くなります。

以下のスクリーンショットはIKEv2イニシエーターオプションを示しています：

異なるクラウドベンダーのVPNに対するIPsec構成は互換性がない場合があります。 各クラウドベンダー（例えば：Amazon AWS、Microsoft AzureまたはGCP）はIPsecトンネルに対して異なるデフォルト構成設定を使用します。 クラウドベンダーのIPsec構成を確認し、Cato IPsecサイトに一致する構成を使用してください。

注意: デフォルトのクラウドIPsec設定を変更する場合は、Cato管理画面のIPsecサイト設定で同じ設定を使用することを忘れないでください。

例えば、AzureはイニシエーターまたはChild SA (ESP SA)のレスポンダーであるかに応じてPFSを異なる方法で処理します。 イニシエーターの場合、AzureはデフォルトではDHグループを送信しません。 レスポンダーの場合、AzureはピアからDHグループを受け入れます。 つまり、Cato管理画面の認証メッセージパラメータセクションでDHグループを設定し、AzureがCREATE_CHILD_SAエクスチェンジを使用してESP SAを作成しようとすると、Catoは「No proposal chosen」と応答し、SAを確立できません。 しかし、CatoがCREATE_CHILD_SAエクスチェンジを開始した場合、設定されたDHグループがAzureがレスポンダーとして受け入れるものであれば、ESP SAが確立されます。 したがって、Azureとの最大互換性を確保するために、IKEv2サイト設定の認証メッセージパラメータセクションでDHグループをなしに設定するか、Azureでカスタムポリシーを設定してCato管理画面で設定されているDHグループと同じPFSグループを指定します。

次のスクリーンショットはAzureのカスタム設定の例を示しています：

Azure VPNパラメータの詳細については、VPN デバイスとIPsecパラメータについてを参照してください。

Cato Networksは、暗号化、RPF、整合性アルゴリズムなどのIKEv2 Initおよび認証メッセージパラメータの自動パラメータを選択することを許可します。 自動設定を使用して接続性やルーティングの問題が発生した場合、エッジデバイスの設定に一致する正確な設定を選択し、自動を使用しないことをお勧めします。

ただし、暗号化アルゴリズムにGCM（AES GCM 128またはAES GCM 256）を設定されているサイトの場合、GCMも整合性を提供するため整合性アルゴリズムは不要です。 AES GCM暗号化アルゴリズムを選択すると、整合性アルゴリズムは自動に設定されます。