【ご案内】
VPNの総合ページ「古河電工VPNソリューション」のサイトを開設いたしました。こちらもご参照下さい。
【VPN機能概要】
MUCHO-EVでは,IPsecに準拠したVPN機能を搭載しています。本社−支社間を通信コストの低廉なインターネットVPNで結ぶことで,セキュアなイントラネットを構築することができます。
VPNの手順を簡単に説明します。
【サポート機能】
- IKE SAの確立
VPNをサポートした装置間で,まず,設定してある鍵データ(pre-shared key)から計算した鍵作成情報をお互いに通知します。この鍵データはVPNを確立する同士で同じでなければなりません。これが正しいとVPN通信を開始することができます(IKE SA確立)。
IKE…自動鍵管理プロトコル Internet Key Exchange RFC2409
SA…論理的なコネクション Security Association- IPsec SA の確立
通信を開始する際,IPsec SAを確立するためのネゴシエーションを開始します。ネゴシエーションの通信を暗号化するために,(1)で作成された鍵を使用します。ネゴシエーションではIPsec SA通信のため設定したポリシーを提案し,相手が同じポリシーを選択し,IPsec SAを確立します。IPsec SAを確立するためにIPsec SAでデータを暗号化して通信する際の鍵が作成されます。- 暗号化
(2)で作成された鍵を使用し,データを暗号化し,通信を開始します。データを暗号化することで,盗聴できなくなります。【MUCHO-EV構成例・設定例】
- ベースドキュメント ;
- RFC2401 --- Security Architecture for the Internet Protocol
- RFC2402 --- IP Authentication Header
- RFC2403 --- The Use of HMAC-MD5-96 within ESP and AH
- RFC2404 --- The Use of HMAC-SHA-1-96 within ESP and AH
- RFC2405 --- The ESP DES-CBC Cipher Algorithm With Explicit IV
- RFC2406 --- IP Encapsulating Security Payload (ESP)
- RFC2407 --- The Internet IP Security Domain of Interpretation for ISAKMP
- RFC2408 --- Internet Security Association and Key Management Protocol (ISAKMP)
- RFC2409 --- The Internet Key Exchange (IKE)
- RFC2410 --- The NULL Encryption Algorithm and Its Use With IPsec
- RFC2411 --- IP Security Document Roadmap
- RFC2412 --- The OAKLEY Key Determination Protocol
- セキュリティプロトコル ; ESP
- IPsec mode ; トンネルモード
- 暗号鍵管理 ; IKE(ISAKMP/Oakley)
- ハッシュアルゴリズム ; MD5
- 認証アルゴリズム ; HMAC-MD5,HMAC-SHA
- 暗号アルゴリズム ; DES-CBC 56bits
- 認証方法 ; Pre-shared Key
- Oakley Group ; Default 768-bit MODP group(group1)
- IKE交換モード ; Main Mode,Aggressive Mode,Quick Mode
- 鍵 Lifetime ; Second(秒),Kbyte(バイト長)
- 通信可能なピア数 ; 16
【関連FAQ】
- MUCHO同士でのVPN
- MUCHOとFortKnoxシリーズ間でのVPN