Security Gateway and IPsec release 3

このドキュメントでは、 セキュリティ・ゲートウェイ機能を使う際の注意事項をまとめている。

1. SAについて
2. 通信の途絶について
3. ログに関する情報
4. 良くある設定の間違い

1. SAについて

• 1.1 show ipsec saコマンド

  鍵交換の途中でshow ipsec saコマンドを実行すると、表示が遅くなること がある。また、プロトコル(protocol)がIKEと表示されるSAに関しては、 キロバイト寿命は表示されない。

• 1.2 SAの更新タイミング

  SAが更新されるタイミングは、元の寿命の1/4を経過したときであるが、 更新のタイミングをずらして負荷を下げるために、実際に更新される タイミングにはバラつきがある。

• 1.3 SAの数

  1つの相手セキュリティ・ゲートウェイに対して、最低1つのSAが 必要で、1つのipsec tunnelコマンドについて最低2つ、1つの ipsec transportコマンドについて最低2つのSAが生成される。 これに加えて、SAの更新時には、この2倍のSAが生成される。 また、2つのセキュリティ・ゲートウェイが同時に鍵交換を開始 した場合に、余分なSAが生成されることがある。

• 1.4 設定変更によるSAの消滅

  IPsecの設定を変更したときには、管理中のSAがすべて削除される。 本来、IPsecの通信が始まっているときに、IPsecの設定を変更すること は好ましくない。設定を変更するときは、なるべく、IPsecで通信を していないときに行う。また、鍵交換の最中に設定を変更することも 好ましくないので、ipsec auto refresh offを設定してから、他の IPsecの設定を変更するべきである。

2. 通信の途絶について

鍵交換は計算量の大きい処理であるため、鍵が生成される際に通信が 途絶する傾向にある。しかし、以下のような場合には、対策を立てる ことで改善できる可能性がある。

• 2.1 DFビットに関する情報

  IPsecの処理で暗号化されたパケットは、元のパケットに比べて若干長くなるため、 元のパケットがMTUに近い長さを持つ場合には、パケットのフラグメントが必要に なる。通常は、ルータが暗号化されたパケットをフラグメントして、 相手のセキュリティゲートウェイに送信する。 ところが、元のパケットにDFビットが立っている場合には注意を要する。 DFビットが付いているパケットはフラグメントができないので、送信元に対して、 ICMPメッセージを返す。しかし、ファイアウォールなどの設定により、 このICMPメッセージが何処かで破棄されてしまうと、送信側がこのICMP メッセージを受け取れないために、通信が途絶する場合がある。

• 2.2 高負荷における鍵交換

  高負荷のときに、鍵交換のためのパケットが破棄されてしまって、 鍵交換に失敗する場合がある。このような場合には、他のパケットよりも 鍵交換のパケットを優先させることで、問題を回避できる可能性がある。 鍵交換のパケットは、UDPの500番に向けて送信されるので、 設定は以下のようになる。詳しくは、優先制御の設定方法を 参照する必要がある。

  queue class filter 1 4 ip 自分のアドレス 相手のアドレス udp 500 500
  pp select leased
  pp queue class filter list 1
  pp queue type priority
  

3. ログに関する情報

• 3.1 can't activate

  「can't activate」は、相手から鍵交換を始動されたときに、こちらの設定が 相手の設定と異なっているときに表示される。対処方法としては、 相手の設定と自分の設定を比較して、整合性が取れているかを確認する。 具体的には、ipsec sa policyのアルゴリズムが同じであるかどうか、 ipsec tunnelコマンドやipsec transportコマンドが設定されているかどうか を確認する。

• 3.2 can't find pre-shared key

  「can't find pre-shared key」は、 事前共有鍵(pre-shared key)が設定されていないときに表示される。 ipsec ike pre-shared-keyの設定があるかどうか、または正しいか どうかを確認する。

4. 良くある設定の間違い

• 4.1 鍵交換用の経路がトンネルに向いている

  トンネルインタフェースは、鍵交換の終了後に 有効になるインタフェースであるから、 鍵交換の相手先に対する経路は、トンネルインタフェースに向いて いてはならない。このような設定では、鍵交換がいつまでも終了しない。

• 4.2 ipsec ike local addressの設定が正しくない

  ipsec ike local addressが設定されていないときには、 自分側のセキュリティゲートウェイのアドレスは、相手に最も 近いインタフェースのアドレスとなる。もし、それ以外の インタフェースのアドレスを自分側のセキュリティゲートウェイの アドレスにしたい場合には、そのアドレスをipsec ike local address コマンドで明示的に指定する必要がある。

• 4.3 ipsec auto refresh onが設定されていない

  ipsec auto refresh onが設定されていないときには、鍵交換を 自分から始めることはないので注意する必要がある。

• 4.4 NATが邪魔をしている

  トンネルインタフェースで処理されたパケットがNATの処理を 受けるとIPアドレスが変化してしまうので、認証情報が無効 になる。すなわち、認証ヘッダ(AH)の処理とNATを併用する ことはできない。