2.7. 仮想プライベートネットワーク(VPN)のセキュリティー保護

Red Hat Enterprise Linux 6 での 仮想プライベートネットワーク ()VPN)は、Libreswan アプリケーションで対応している IPsec トンネリングプロトコルを使用して設定できます。LibreswanOpenswan アプリケーションのフォークです。ドキュメントの例は交換可能となります。NetworkManager IPsec プラグインは、と呼ばれてい NetworkManager-openswanます。
注記
Libreswan は、Red Hat Enterprise Linux 6.8 で IPsec の推奨実装として Openswan に置き換えられました。6.8 よりも前のバージョンからのアップグレードを実行すると、openswan パッケージはに置き換え libreswanます。
Libreswan は、Red Hat Enterprise Linux 6 で利用可能なオープンソースのユーザー空間の IPsec 実装です。インターネット鍵交換 ()を使用します。IKE)プロトコル。IKE バージョン 1 および 2 は、ユーザーレベルのデーモンとして実装されます。ip xfrm コマンドでは、手動による鍵確立が可能ですが、これは推奨されません。Libreswan は、netlink を使用して暗号化鍵を転送する Linux カーネルでインターフェースします。Linux カーネルでパケットの暗号化と復号が行われます。
Libreswan は、ネットワークセキュリティーサービス を使用します(NSS)暗号化ライブラリー。連邦情報処理標準 ()に必要です。FIPS)セキュリティーコンプライアンス。

2.7.1. Libreswan を使用した IPsec VPN

Libreswan をインストールするには、root で以下のコマンドを実行します。libreswan パッケージは Extras リポジトリーから入手できます。このリポジトリーは、インストールを成功させるには有効にする必要があります。「 How to enable/disable a repository using Red Hat Subscription Manager?」を参照してください。( Extras リポジトリーの ID はです rhel-6-server-extras-rpms。)
~]# yum install libreswan
Libreswan がインストールされていることを確認するには、以下のコマンドを発行します。
~]$ yum info libreswan
Libreswan を新規インストールした後に、NSS データベースはインストールプロセスの一部として初期化される必要があります。ただし、新しいデータベースを起動する必要があります。最初に、以下のように古いデータベースを削除します。
~]# rm /etc/ipsec.d/*db
次に、新しい NSS データベースを初期化するには、root で以下のコマンドを発行します。
~]# ipsec initnss
Initializing NSS database
See 'man pluto' if you want to protect the NSS database with a password
Libreswan が提供する ipsec デーモンを起動するには、root で以下のコマンドを発行します。
~]# service ipsec start
デーモンが現在実行していることを確認します。
~]$ service ipsec status
pluto (pid  3496) is running...
Libreswan がシステムの起動時に起動するようにするには、root で以下のコマンドを実行します。
~]# chkconfig ipsec on
中間およびホストベースのファイアウォールを、ipsec サービスを許可するように設定します。ファイアウォール 「ファイアウォール」 の詳細と、特定のサービスが通過できるようには、を参照してください。Libreswan では、次のパケットを許可するファイアウォールが必要です。
  • インターネット鍵交換UDP ポート 500()IKE)プロトコル
  • IKE NAT-TraversalUDP ポート 4500
  • カプセル化された セキュリティーペイロード ()ESPIPsec パケット
  • 認証されたヘッダー (プロトコル 51)AHIPsec パケット(一般的でない)
Libreswan を使用した IPsec VPN の設定例を 3 つ示します。1 つ目は、ホストをセキュアに通信するために、2 つのホストを 1 つ接続する方法です。2 つのサイトを 1 つのネットワークに接続し、1 つのネットワークを構成する例を以下に示します。3 つ目は、このコンテキスト でロード リーダーとして知られるローミングユーザーをサポートします。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。