今回から実際にRTX-1100とNetScreen-5GTの間でIPSecによるインターネットVPNを構築します。
IPSecを用いる場合、各種セキュリティパラメータを双方のVPN機器でそろえる必要があります。ファームウェアのバージョンなどにも依存するのですが、最近のファームウェアバージョンで選択できるセキュリティパラメータをまとめて、実際に採用するパラメータを決めてみました。
| 項目 | RTX-1100 | NetScreen | 採用パラメータ |
| IKE Auth | Preshare | Preshare RSA DSA | Preshare |
| IKE Encryption | DES 3DES AES128 | DES 3DES AES128 AES192 AES256 | AES128 |
| IKE DH Group | modp768 modp1024 | modp768 modp1024 modp1536 | modp1024 |
| IKE Hash | MD5 SHA1 | MD5 | SHA1 |
| IKE Lifetime | 28800(default) | 28800(default) | 28800 |
| PFS | on off | off modp768 modp1024 modp1536 | on / modp1024 |
| SA AH | MD5 SHA1 | MD5 SHA1 | SHA1 |
| SA ESP | DES 3DES AES128 | DES 3DES AES128 AES192 AES256 | AES128 |
| SA Lifetime | 28800(default) | 3600(default) | 3600 |
| SA Lifesize | 0 | 0 | 0 |
セキュリティパラメータは項目こそほぼ同等の項目が定義されていますが、実際のパラメータの選択肢では統一された記法が無いため、RFCなどを参照する必要があります。
例えば、Diffie-Hellman鍵共有で用いられるMODPグループについて、RTXではmodp768やmodp1024が選択可能ですが、これをNetScreenではDH Group1やDH Group2として定義されています。また、RTXではAESとだけ定義されている暗号化方式のAESですが、NetScreenではAES(128bit)やAES(192bit)として複数の選択肢が存在します。こうした場合では、YAMAHAのAESが何bitのものであるかを確認する必要があります。
こうした情報については最終的にはRFCを参照する必要がありますし、暗号理論に関する(大雑把な)理解も必要です。以下にいくつかの資料をまとめてみました。
これらのRFCはIPAのサイトに和訳とともに掲載されています。
(http://www.ipa.go.jp/security/rfc/RFC.html )
また、「電子政府推奨暗号リスト」
( http://www.soumu.go.jp/joho_tsusin/security/cryptrec.html )は実際にセキュリティパラメータを選択する際の一つの基準となるでしょう。