キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

2015/7/1 Webcast "IPsec 基本とトラブルシューティング" Q&A

資料ダウンロード   録画を観る  
主に、Cisco IOS における IPsec のトラブルシューティングについて解説を行います。 トラブルシューティングの前提となる、IPsec に関する知識に関しても基本的な解説を行います。


 

Q1. Phase1ではMain modeとAggressive modeの2種類があり、Aggressive modeの ほうが高速なのになぜMain modeを通常利用するのでしょうか?
A1. Aggressive modeではID payloadが平文で交換される為、セキュリティーの面で若干劣るところがあります。AM1でProposalとKE payloadを同時に送信するという仕様上、DHグループをネゴシエートすることができないという制限もありますが、これについては、DHグ ループを決め打ちにしている場合にはMain modeとの差は生じません。


Q2. Anti-replayエラーの対策として、CheckをDisableにした場合の懸念点は何でしょうか。
A2. Replay攻撃は、盗聴した通信内容をそのまま再度送りつけるという攻撃になるので、暗号化されたパケットは細工されることなく再送されてくることになります。
上位レイヤで再送を検知し、その通信内容を無効化できるようなアプリケーションである場合は、その処理に依存すればよいですが、上位レイヤにそのような機能が存在しない場合には、攻撃パケットによる重複処理が発生する懸念があります。


Q3. invalid spi に関しての質問ですが、ipsec saのlifetimeを調整する際、両端のルータで設定できるかと思いますが、両方とも同じ値を必ず設定する必要がありますでしょうか。違う値を設定した場合はどうなるのでしょうか。
A3. 基本的には、設定が可能ですが推奨としては同じ値にしていただくと運用上もよいかと思います。設定した場合ですが、セキュリティーの強い小さい値を使う実装となっております。


Q4. debugをconsoleに出力するとログが多すぎて見えなくなってしまいます。その場合、どうやってログ取得をしたらいいでしょうか。(これは IPSecではないかもしれませんが)
A4. debug crypto condition というコマンドがあります。peer の IP や SPI番号などである程度、フィルターをすることが可能です。また、コンソールでは負荷も高くなります為、telnet や buffer などがお勧めです。


Q5. show crypto ipsec の conn id とは何でしょうか。
A5. セッションを管理している内部の ID で、シスコ独自のものとなります。IKE で規定されるものではありません。


Q6. どの暗号化を使えば安全ですか
A6. Next Generation Encryption というページがあり、推奨されるアルゴリズムがありますので、下記URL をご参照ください。
http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html


Q7. 証明書とpreshared で何か違いがありますか?
A7. ユーザ様のトラフィックにおいて違いはありませんが、ネゴシエーション時に違いがあります。また、証明書のほうが preshared に比べて改ざん難しいので困難です。


Q8. Diffie-Hellman鍵交換について教えて下さい?
A8. 暗号化されていない経路上で、暗号化する為の鍵を生成するプロトコルです。


Q9. AH と ESP の違いはなんですか? ネゴシエーションに関ってきますか?
A9. AH パケット全体を認証します。パケットの暗号化はできません。ESP 暗号化とAH よりは弱い認証をします。
Q10. パケットキャプチャ時のnull指定は動作として暗号化と同様の処理がされるだけで暗号化そのものをされるわけではないですよね。あくまでもトラブルシュート用で、業務中に行うものではないという理解でよろしいでしょうか。
A10.キャプチャー上の出力は、暗号が実施された ESP 、または "esp-null" によって生成された ESP のどちらであるかを 確認する事は出来ません。 しかしながら、"esp-null" では内容は暗号化されておりませんので、状況に応じて使い分けて頂ければと存じます。


Q11. INS環境でIPsecを使用する場合、DPDを使用していないとすると、isaKMP/IPSec SA を更新しようとして INS 発呼して通信しようとするのでしょうか。
A11.設定や構成によって動作が異なりますので一概にはお応え出来ませんが、SA の更新が必須となる構成の場合は発呼の要因とる可能性があります。


Q12. 以前、ルータの交換後にIPsec 接続不可が発生しました。debugで確認するとphase1のMM5で失敗していました。手順を確認すると key config-key password-encryption コマンドが抜けていましたが、configを確認すると相違はありませんでした。なぜPreshared Keyはconfigに反映されない仕様なのでしょうか?
A12.詳細な理由に関しましては残念ながらお伝えする事が出来ませんが、 Encrypto pre-shared key は設定された master key を用いてパスワードの暗号化を行います。
該当のコマンドを表示する事によりセキュリティー上の問題となります為、非表示となっております。 尚、master key は copy-and-paste 等により他のルーターへ移動したと致しましても再利用する事は出来ません。

 

バージョン履歴
改訂番号
1/1
最終更新:
‎07-13-2015 04:36 PM
更新者: