VPN のセキュリティ

IPsec VPN トラフィックは、次の 2 つのフェーズでセキュリティ保護されます。

1. 認証: 第 1 フェーズでは、公開鍵と秘密鍵のペアのうちの公開鍵部分の交換によって、トラフィックの送信者および受信者の認証を確立します。このフェーズが正常終了しないうちは、VPN トンネルを確立できません。
2. 暗号化: VPN トンネル内のトラフィックは、AES や 3DES などの暗号化アルゴリズムを使用して暗号化されます。

手動鍵を使用する場合 (VPN 内の各ノードに同じ値を入力する必要があるため)、VPN メンバー認証情報およびデータ暗号化/復号化情報を交換する際には、認証情報 (鍵) の交換および VPN トンネル確立のための IKE (インターネット鍵交換) プロトコルが使用されます。SonicOS/X は、IKE の 2 つのバージョンをサポートしています。

IKE バージョン 1 (IKEv1)	2 つのフェーズから成る処理によって、VPN トンネルのセキュリティを保護します。最初に 2 つのノードが互いに認証し合い、次に暗号化の方法をネゴシエートします。
	IKEv1 の詳細は、IKE を最初に定義した 3 つの仕様書に記載されています。RFC2407、RFC2408、RFC2409 です。次のウェブで閲覧できます。 http://www.faqs.org/rfcs/rfc2407.html – The Internet IP Security Domain of Interpretation for ISAKMP http://www.faqs.org/rfcs/rfc2408.html – RFC 2408 - Internet Security Association and Key Management Protocol (ISAKMP) http://www.faqs.org/rfcs/rfc2409.html – RFC 2409 - The Internet Key Exchange (IKE)
IKE バージョン 2 (IKEv2)	IKEv2 は新しい VPN ポリシーに対する既定タイプです。その理由は、改良されたセキュリティ、簡素化されたアーキテクチャ、強化されたリモートユーザ向けサポートです。VPN トンネルは、2 組のメッセージ交換を使用して初期化されます。1 組目のメッセージは、暗号化アルゴリズムをネゴシエートし、ナンス (反復したメッセージを防ぐために生成し送信されるランダム値) を交換して、公開鍵交換を実行します。2 組目のメッセージは、以前のメッセージを認証し、識別情報および証明書を交換して、最初の CHILD_SA (セキュリティ アソシエーション) を確立します。これらのメッセージの一部は、最初の交換で確立された鍵によって暗号化され整合性が保全されます。 その結果、識別情報が盗聴から隠蔽され、あらゆるメッセージの全フィールドが認証されます。
	IKEv2 の詳細は、仕様書 RFC 4306 に記載されています。これは、http://www.ietf.org/rfc/rfc4306.txt で閲覧できます。

IKEv2 には IKEv1 との互換性はありません。IKEv2 を使用する場合、トンネルを確立するには、VPN 内のすべてのノードに IKEv2 を使用する必要があります。

IKEv2 では、VPN を越えた DHCP がサポートされません。

VPN セキュリティの詳細については、以下を参照してください。

• IKEv1 について
• IKEv2 について
• IKEv2 のモビリティおよびマルチホーム プロトコル (MOBIKE)
• IPsec (フェーズ 2) プロポーザルについて
• Suite B 暗号化について