[index] CentreCOM AR450S コマンドリファレンス 2.9

CREATE ISAKMP POLICY

カテゴリー:IPsec / ISAKMP


CREATE ISAKMP POLICY=policy PEER={ipadd|ANY} [AUTHTYPE={PRESHARED|RSASIG}] [DELETEDELAY=0..30] [DHEXPONENTLENGTH=160..1023] [ENCALG={DES|3DESOUTER|AES128|AES192|AES256}] [EXPIRYKBYTES=1..1000] [EXPIRYSECONDS=600..31449600] [GROUP={0|1|2}] [HASHALG={SHA|MD5}] [HEARTBEATMODE={BOTH|NONE|RECEIVE|SEND}] [HYBRIDXAUTH={ON|OFF|TRUE|FALSE}] [KEY=0..65535] [LOCALID={ipadd|domain-name|userdomainname|dist-name}] [LOCALRSAKEY=0..65535] [MODE={MAIN|AGGRESSIVE}] [MSGBACKOFF={INCREMENTAL|NONE}] [MSGRETRYLIMIT=0..1024] [MSGTIMEOUT=1..86400] [NATTRAVERSAL={ON|OFF|TRUE|FALSE}] [PHASE2XCHGLIMIT={NONE|1..1024}] [POLICYFILENAME=filename] [PRENEGOTIATE={ON|OFF|TRUE|FALSE}] [REMOTEID={ipadd|domain-name|userdomainname|dist-name}] [RETRYIKEATTEMPTS={0..16|CONTINUOUS}] [SENDDELETES={ON|OFF|TRUE|FALSE}] [SENDNOTIFY={ON|OFF|TRUE|FALSE}] [SENDIDALWAYS={ON|OFF|TRUE|FALSE}] [SETCOMMITBIT={ON|OFF|TRUE|FALSE}] [SRCINTERFACE=interface] [XAUTH={CLIENT|SERVER|NONE}] [XAUTHNAME=username] [XAUTHPASSWORD=password] [XAUTHTYPE={GENERIC|RADIUS}]

policy: ISAKMPポリシー名(1〜24文字)
ipadd: IPアドレス
domain-name: ドメイン名
userdomainname: ユーザー名付きドメイン名(user@foo.bar.xxxの形式)
dist-name: X.500識別名(DN)("cn=myname,o=myorg,c=jp"の形式)
filename: ファイル名(拡張子は.scp)
interface: IPインターフェース名(eth0、ppp0など)
username: ユーザー名(1〜64文字)
password: パスワード(1〜64文字。大文字小文字を区別する)


ISAKMPポリシーを作成する。

ISAKMPポリシーでは、ISAKMPメッセージの交換相手(ISAKMPピア)や使用する暗号アルゴリズムなど、ISAKMP/IKEに関する各種設定パラメーターを定義する。

ISAKMPでは始動者(ネゴシエーションを開始する側)と応答者の区別がある。



パラメーター

POLICY: ISAKMPポリシー名

PEER: ISAKMPの通信相手(ISAKMPピア)のIPアドレスを指定する。IPアドレスを指定した場合は、始動者、応答者のどちら側にもなりうる。一方、ANY(どの相手からでも接続を受け入れる)を指定したポリシーでは必ず応答者側(受け入れ専用)になる。

AUTHTYPE: ISAKMPピアの認証方式。PRESHARED(事前共有鍵)、RSASIG(RSAデジタル署名)から選択する。デフォルトはPRESHARED。

DELETEDELAY: ISAKMPフェーズ1、2において、各フェーズ(ISAKMP Exchange)の最終パケットを送信した側が、最終パケット送信後もISAKMP Exchangeの情報を保持しておく時間(秒)。デフォルトは30秒。

DHEXPONENTLENGTH: Diffie-Hellman鍵交換アルゴリズムにおいて、各当事者が生成する乱数(g^a mod pにおけるa)の長さ(ビット)。値が大きいほど生成した鍵の安全性が高まるが、鍵の交換に時間がかかるようになる。Oakleyグループ0、1、2いずれの場合も最小値は160ビット。デフォルト値も同じく160ビット。最大値はグループによって異なり、グループ0は511ビット、グループ1は767ビット、グループ2は1023ビット。

ENCALG: ISAKMPメッセージの暗号化アルゴリズム。デフォルトはDES。

EXPIRYKBYTES: ISAKMP SAの有効期限(Kbyte)。通信データ量が指定量に達すると、ISAKMP SAは再ネゴシエートされる。デフォルトはNONE(無期限)。

EXPIRYSECONDS: ISAKMP SAの有効期限(秒)。SA作成後、指定時間が経過すると、ISAKMP SAは再ネゴシエートされる。デフォルトは86400(24時間)。

GROUP: 鍵交換時に用いるDiffie-Hellman(Oakley)グループを指定する。グループ0(512ビットMODP)、グループ1(768ビットMODP)、グループ2(1024ビットMODP)から選択する。デフォルトはグループ1。

HASHALG: ISAKMPメッセージの認証用ハッシュアルゴリズム。デフォルトはSHA。

HEARTBEATMODE: ISAKMPハートビートを使用するかどうか。ISAKMPハートビートは、ルーター間の通信が途絶えたときに古いSA情報が残らないようにする本製品の独自機能。他社製品との互換性はない。SENDを指定した場合は、20秒間隔でハートビートメッセージを送信する。RECEIVEを指定した場合は、ハートビートメッセージの受信だけを行う。受信側は、3回連続してハートビートを受信できなかった場合は通信が不可能になったものとみなして、対向ルーターとの間に張られたSAをすべて削除する。BOTHを指定したときは送信と受信の両方を行う。NONEはハートビートメッセージを使用しないことを示す。デフォルトはNONE。

HYBRIDXAUTH: ハイブリッド型の拡張認証(XAUTH)を使用するかどうか。AUTHTYPEにRSASIGを指定した場合にのみ有効。デフォルトはOFF。

KEY: ISAKMPピアの認証に用いる鍵の番号を指定する。事前共有鍵(PRESHARED)方式の場合は各ピア共通のGENERAL鍵(必須)を、デジタル署名(RSASIG)方式の場合はISAKMPピアのRSA公開鍵を指定する。無指定の場合は、ISAKMPメッセージで相手の公開鍵証明書を要求し、CA証明書を使って鍵の正当性を検証する。

LOCALID: ISAKMPフェーズ1において、相手に送信するIDペイロードの内容(自分のID情報)を指定する。IPアドレス(例:172.16.10.5)、ドメイン名(例:bar.mydomain.net)、ユーザー名付きドメイン名(例:joger@bar.mydomain.net)、X.500識別名(例:"cn=joge,o=ournet,c=jp")の4形式が使用できる。デフォルトでは、ISAKMPパケットの始点アドレスがIDとして使われる。また、相手認証にデジタル署名(RSASIG)方式を使っている場合は、SET SYSTEM DISTINGUISHEDNAMEコマンドで設定したシステム識別名(DN)が使用される。このパラメーターは、おもに自分のIPアドレスが不定な場合に使う。

LOCALRSAKEY: 自分のRSA秘密鍵を指定する。相手認証にデジタル署名(RSASIG)方式を使う場合の必須パラメーター。ただし、ENABLE ISAKMPコマンドのLOCALRSAKEYパラメーターでデフォルト鍵を設定している場合は省略可能。その場合、デフォルト鍵が使われる。

MODE: ISAKMPフェーズ1で使用するIKE交換モード。ID情報が保護されるMAINモードとID情報が保護されないAGGRESSIVEモードがある。相手認証に事前共有鍵(PRESHARED)方式を使い、なおかつ、片側のルーターのアドレスが不定な場合は、LOCALID/REMOTEIDでIPアドレス以外のIDを指定し、AGGRESSIVEモードを使う必要がある。それ以外の場合は通常MAINモードを使う。デフォルトはMAINモード。

MSGBACKOFF: ISAKMPネゴシエーション時における再送処理間隔を一定にするかどうか。NONEを指定すると、再送間隔を一定(MSGTIMEOUTで指定された間隔)にする。INCREMENTALを指定すると、MSGTIMEOUTを基準に再送間隔を再送するごとに増加する。デフォルトはINCREMENTAL。

MSGRETRYLIMIT: ISAKMPメッセージの再送回数。デフォルトは8

MSGTIMEOUT: ISAKMPメッセージを送信してから1回目の再送を行うまでの待ち時間。2回目以降の再送待ち時間はこれよりも長くなる。デフォルトは4秒

NATTRAVERSAL: IPsec NAT-Traversal(NAT-T)を使用するかどうか。デフォルトはFALSE

PHASE2XCHGLIMIT: このポリシーに基づいて確立されたISAKMP SA上で行うことのできるIKEフェーズ2交換の最大数。デフォルトはNONE(制限なし)。

POLICYFILENAME: AT-VPN Clientに送るセキュリティーポリシーファイルの名前を指定する。本機能を使用するには、ENABLE ISAKMPコマンドのPOLICYSERVERENABLEDパラメーターにTRUEを設定する必要がある。詳細はAT-VPN Clientのマニュアルを参照。

PRENEGOTIATE: ルーター起動時(正確にはENABLE ISAKMPコマンドの実行時)にIKEのネゴシエーションを行っておくかどうかを指定する。デフォルトはFALSE。

REMOTEID: ISAKMPフェーズ1において、相手から受け取ることを期待するIDペイロードの内容(相手のID情報)を指定する。IPアドレス(例:172.16.10.5)、ドメイン名(例:bar.mydomain.net)、ユーザー名付きドメイン名(例:joger@bar.mydomain.net)、X.500識別名(例:"cn=joge,o=ournet,c=jp")の4形式が使用できる。デフォルトでは、相手から受け取ったISAKMPメッセージの始点IPアドレスをID値として期待する。このパラメーターは、おもに相手ルーターのIPアドレスが不定な場合に使う。

RETRYIKEATTEMPTS: ISAKMPフェーズ1のネゴシエーションが正常に完了しなかった場合のリトライ回数を指定する。CONTINUOUSを指定すると、無制限にリトライする。(ただし、24時間以内にネゴシエーションが完了しない場合はリトライを停止する。)デフォルトは0(リトライを行わない)。本指定は、MAIN/AGGRESSIVE/QUICKモードに対してのみ動作する。XAUTHに対しては動作しない。また、ピアのIPアドレスがANYに設定されている場合も動作しない。

SENDDELETES: SAの削除を通知するDeleteペイロードを送信するかどうか。TRUEまたはONを指定した場合、ローカル側でSA情報が削除された場合に該当SAがもはや有効でないことを相手ルーターに通知する。これにより、無効なSAにトラフィックが送り出されることを防止できる。デフォルトはFALSE。

SENDNOTIFY: IKEのステータスやエラー情報を通知するNotifyペイロードを送信するかどうか。デフォルトはFALSE。

SENDIDALWAYS: ISAKMP SAのネゴシエーション時に常にIDペイロードを送信するかどうか。デフォルトはFALSE。

SETCOMMITBIT: ISAKMP SAのネゴシエーション時にISAKMPヘッダーのCommitビットをオンにするかどうか。TRUEまたはONを指定した場合は、SA確立の確認メッセージを受け取るまで、SAにトラフィックが送信されないことが保証される。デフォルトはFALSE。

SRCINTERFACE: ISAKMPメッセージの始点インターフェース。指定したインターフェースに有効なIPアドレスが設定されている場合は、そのアドレスがISAKMPメッセージの始点アドレスとして使われる。

XAUTH: ISAKMPフェーズ1終了後に拡張認証(XAUTH)を使用するかどうか。使用する場合はサーバー(認証する側)、クライアント(認証を受ける側)のどちらになるかを指定する。SERVER指定時は、ISAKMPピアに対してXAUTHの認証要求を送る。CLIENT指定時は、ISAKMPピアからのXAUTH認証要求を期待する。NONEはXAUTHを使わない。デフォルトはNONE。

XAUTHNAME: XAUTH使用時のユーザー名。クライアント側が指定する。

XAUTHPASSWORD: XAUTH使用時のパスワード。クライアント側が指定する。

XAUTHTYPE: XAUTH使用時の認証方式。GENERAL(ユーザー認証データベース)またはRADIUSから選択する。デフォルトはGENERIC。



5つのISAKMPポリシーを作成する。「xauth」はすべてのXAUTHユーザーをまかなうポリシー。「dyn1」「dyn2」はアドレス不定のuser1、user2からの接続を受け入れるためのポリシー(AggressiveモードでFQDNのIDを使用)。「fix1」「fix2」はアドレス固定の相手から接続を受け入れるためのポリシー(MainモードでデフォルトのIPアドレス形式のIDを使用)。
CREATE ISAKMP POLICY=xauth PEER=ANY KEY=0 XAUTH=SERVER SENDN=TRUE SETC=TRUE
CREATE ISAKMP POLICY=dyn1 PEER=ANY KEY=1 MODE=AGGR SENDN=TRUE REMOTEID=user1
CREATE ISAKMP POLICY=dyn2 PEER=ANY KEY=2 MODE=AGGR SENDN=TRUE REMOTEID=user2
CREATE ISAKMP POLICY=fix1 PEER=1.1.1.1 KEY=11 SENDN=TRUE
CREATE ISAKMP POLICY=fix2 PEER=2.2.2.2 KEY=12 SENDN=TRUE



備考・注意事項

「PRENEGOTIATE=TRUE」を指定する場合は、ENABLE ISAKMPコマンドが実行されるときに、すでにISAKMPポリシーが定義されていなくてはならない。具体的にはENABLE ISAKMPコマンドより前にCREATE ISAKMP POLICYコマンドが実行されなくてはならない。設定ファイルをEDITコマンド等で編集するときは注意すること。



関連コマンド

DESTROY ISAKMP POLICY
SET ISAKMP POLICY
SHOW ISAKMP POLICY



参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication


(C) 2003 - 2009 アライドテレシスホールディングス株式会社

PN: J613-M3069-03 Rev.L