Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6.2. Libreswan を使用した VPN 設定の作成

IKE/IPsec はピアプロトコルとピアプロトコルにピアプロトコルであるため Libreswan では、ソース と宛先、サーバーおよびクライアントという用語を使用しません。その代わりに、左右の用語を使用して 、終了点 (ホスト)を参照しています。これにより、ほとんどのケースで同じ設定を使用することも可能です。ただし、管理者はローカルホストに常に残され 、リモートホストに適切な使用を選択できる多くの管理者を選択できます
エンドポイントの認証に一般的に使用される 4 つの方法があります。
  • Pre-Shared Keys (PSK)は、最も簡単な認証メソッドです。PSK はランダムな文字で構成されており、長さが 20 文字以上になります。FIPS モードでは、PSK が、使用する整合性アルゴリズムにより、最低強度の要件を満たす必要があります。PSK の値は 64 文字以上にすることが推奨されます。
  • 生の RSA 鍵は、静的なホスト間またはサブネット間の IPsec 設定で一般的に使用されます。ホストは、相互の公開 RSA 鍵を使用して手動で設定します。この方法は、ドイジー以上のホストで、互いに IPsec トンネルを設定する必要がある場合には、適切に調整されません。
  • X.509 証明書 は、共通の IPsec ゲートウェイへの接続が必要なホストが多数存在する、大規模なデプロイメントに一般的に使用されます。中央の認証局(CA )は、ホストまたはユーザーの RSA 証明書の署名に使用されます。この中央 CA は、個別のホストまたはユーザーの取り消しを含む、信頼のリレーを行います。
  • NULL 認証 は、認証なしでメッシュの暗号化を取得するために使用されます。これは、パッシブ攻撃は防ぎますが、アクティブ攻撃は防ぎません。ただし、IKEv2 は非対称認証メソッドを許可するため、NULL 認証は、インターネット規模の Opportunistic IPsec にも使用できます。この場合、クライアントはサーバーを認証しますが、サーバーはクライアントを認証しません。このモデルは、TLS (https:// Web サイトとしても知られている)を使用して、Web サイトのセキュリティーを保護するのと似ています。
このような認証方法に加え、量子コンピューターから考えられる攻撃から保護するために、追加の認証を追加できます。この追加の認証方法は、PPK (Postquantum Preshared Keys )と呼ばれます。個々のクライアントまたはクライアントグループは、帯域幅を設定した事前共有鍵に対応するPPKID を指定して、独自の PPK を使用できます。「数量コンピューターに対する保護の使用」 を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。