Menu Close
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.6.2. Libreswan を使用した VPN 設定の作成
IKE/IPsec はピアツーピアプロトコルであるため、Libreswan は 「送信元」 と 「宛先」 または 「サーバー」 と 「クライアント」 という用語を使用しません。終了点 (ホスト) を参照する場合は、代わりに「「左」」と「「右」」という用語を使用します。これにより、ほとんどの場合、両方のエンドポイントで同じ設定を使用できますが、多くの管理者は、常にローカルホストに 「左」 を、リモートホストに 「右」 を使用することを選択します。
エンドポイントの認証には、一般的に 4 つの方法があります。
- Pre-Shared Keys (PSK) は、最も簡単な認証メソッドです。PSK はランダムな文字で構成されており、長さが 20 文字以上になります。FIPS モードでは、PSK が、使用する整合性アルゴリズムにより、最低強度の要件を満たす必要があります。PSK の値は 64 文字以上にすることが推奨されます。
- 生の RSA 鍵は、静的なホスト間またはサブネット間の
IPsec
設定で一般的に使用されます。ホストは、相互の公開 RSA 鍵を使用して手動で設定します。この方法は、1 ダース以上のホストで、互いにIPsec
トンネルを設定する必要がある場合は、適切に調整されません。 - X.509 証明書は、共通の
IPsec
ゲートウェイへの接続が必要になるホストが多数存在する、大規模なデプロイメントに一般的に使用されます。中央の 認証局 (CA) は、ホストまたはユーザーの RSA 証明書の署名に使用されます。この中央 CA は、個別のホストまたはユーザーの取り消しを含む、信頼のリレーを行います。 - NULL 認証は、認証なしでメッシュの暗号化を取得するために使用されます。これは、パッシブ攻撃は防ぎますが、アクティブ攻撃は防ぎません。ただし、
IKEv2
は非対称認証メソッドを許可するため、NULL 認証は、インターネット規模の日和見 IPsec にも使用できます。この場合、クライアントはサーバーを認証しますが、サーバーはクライアントを認証しません。このモデルは、TLS
を使用する安全な Web サイト (https:// websites とも呼ばれます) に似ています。
これらの認証方法に加えて、量子コンピューターからの考えられる攻撃から保護するために、認証を追加することができます。この追加認証方式は、Postquantum Preshared Keys (PPK と呼ばれます。個々のクライアントまたはクライアントグループは、帯域幅を設定した事前共有鍵に対応する (PPKID) を指定して、独自の PPK を使用できます。「量子コンピューターに対する保護の使用」を参照してください。