IPsec-VPN では、キーのネゴシエーションに IKE(インターネットキー交換)を、転送中のデータの暗号化に IPsec を使用します。IKE および IPsec の両フェーズで、暗号化アルゴリズム、認証アルゴリズム、DH グループを構成する必要があります。本ドキュメントでは、サポートされているアルゴリズムとパラメーターを一覧表示し、適切な組み合わせを選択するための参考情報を提供します。
IPsec-VPN ゲートウェイの IKE フェーズおよび IPsec フェーズには、AES256-GCM-16 + SHA256 + DH グループ 14 の暗号スイートを推奨します。Classic VPN ゲートウェイまたはトランジットルーターの場合は、AES256 + SHA256 + DH グループ 14 を推奨します。
IKE 暗号化アルゴリズム
IKE フェーズでは、キー交換プロセス中に交換されるデータを保護するために暗号化アルゴリズムを使用します。
|
アルゴリズム |
キー長 |
セキュリティ |
パフォーマンス |
VPN ゲートウェイ |
トランジットルーター |
推奨事項 |
|
AES256-GCM-16 |
256 ビット |
非常に高い |
高い(ハードウェアアクセラレーション対応) |
enhanced のみ |
未対応 |
推奨 |
|
AES128-GCM-16 |
128 ビット |
高い |
非常に高い(ハードウェアアクセラレーション対応) |
enhanced のみ |
未対応 |
推奨 |
|
AES256 |
256 ビット |
高い |
中程度 |
enhanced / standard |
対応 |
推奨 |
|
AES192 |
192 ビット |
高い |
中程度 |
enhanced / standard |
対応 |
利用可能 |
|
AES128 |
128 ビット |
中程度 |
高い |
enhanced / standard |
対応 |
利用可能 |
|
3DES |
168 ビット |
低い |
低い |
enhanced / standard |
対応 |
非推奨 |
|
DES |
56 ビット |
非常に低い |
中程度 |
enhanced / standard |
対応 |
非推奨 |
DES(56 ビットキー)および 3DES(実効 168 ビットキー)は、ブルートフォース攻撃に対して脆弱であり、一般的に安全でないと見なされています。本番環境では、AES128 以上の強度を持つ暗号化アルゴリズムを使用してください。
GCM モード
AES-GCM(Galois/Counter Mode)は、データ暗号化と整合性検証の両方を提供する認証暗号化モード(AEAD)です。GCM モードには、CBC モードと比較して以下の利点があります。
-
より高いパフォーマンス:並列処理およびハードウェアアクセラレーションをサポートしており、CBC モードよりも大幅に高いスループットを実現します。
-
より強固なセキュリティ:組み込みの整合性チェック機能により、別途認証アルゴリズムを構成する必要がありません。
-
より低い遅延:暗号化と認証を単一ステップで実行することで、処理遅延を削減します。
AES128-GCM-16 および AES256-GCM-16 は、enhanced VPN ゲートウェイ上の IPsec 接続でのみ使用できます。これらのアルゴリズムは、standard VPN ゲートウェイおよびトランジットルーターではサポートされていません。
IKE 認証アルゴリズム
認証アルゴリズムは、IKE フェーズ中にデータパケットの整合性を検証し、改ざんを防止します。
|
アルゴリズム名 |
ダイジェスト長 |
セキュリティ |
パフォーマンス |
VPN ゲートウェイ |
トランジットルーター |
推奨事項 |
|
SHA512 |
512 ビット |
極めて高い |
低い |
enhanced / traditional |
対応 |
高セキュリティ要件のシナリオ向けに推奨 |
|
SHA384 |
384 ビット |
高い |
中程度 |
enhanced / traditional |
対応 |
利用可能 |
|
SHA256 |
256 ビット |
高い |
高い |
enhanced / traditional |
対応 |
推奨 |
|
SHA1 |
160 ビット |
中程度 |
高い |
enhanced / traditional |
対応 |
互換性が必要なシナリオ向けに利用可能 |
|
MD5 |
128 ビット |
低い |
極めて高い |
enhanced / traditional |
対応 |
非推奨 |
MD5 認証アルゴリズムは衝突攻撃に対して脆弱であるため、安全でないと見なされています。本番環境では、SHA256 以上の強度を持つ認証アルゴリズムを使用してください。
IPsec 暗号化アルゴリズム
IPsec フェーズでは、データトラフィックを暗号化するために暗号化アルゴリズムを使用します。IPsec フェーズと IKE フェーズで利用可能な暗号化アルゴリズムは同一です。
|
アルゴリズム |
キー長 |
セキュリティ |
パフォーマンス |
VPN ゲートウェイのサポート状況 |
トランジットルーターのサポート状況 |
推奨事項 |
|
AES256-GCM-16 |
256 ビット |
極めて高い |
高い(ハードウェアアクセラレーション対応) |
enhanced のみ |
未対応 |
推奨 |
|
AES128-GCM-16 |
128 ビット |
高い |
極めて高い(ハードウェアアクセラレーション対応) |
enhanced のみ |
未対応 |
推奨 |
|
AES256 |
256 ビット |
高い |
中程度 |
enhanced / standard |
対応 |
推奨 |
|
AES192 |
192 ビット |
高い |
中程度 |
enhanced / standard |
対応 |
利用可能 |
|
AES128 |
128 ビット |
中程度 |
高い |
enhanced / standard |
対応 |
利用可能 |
|
3DES |
168 ビット |
低い |
低い |
enhanced / standard |
対応 |
非推奨 |
|
DES |
56 ビット |
極めて低い |
中程度 |
enhanced / standard |
対応 |
非推奨 |
|
SM4 |
128 ビット |
高い(国密規格) |
中程度 |
standard のみ |
未対応 |
国密規格が必要なシナリオ向けに推奨 |
IKE フェーズと IPsec フェーズで異なる暗号化アルゴリズムを使用できます。たとえば、IKE フェーズではキー交換を保護するために AES256 を使用し、IPsec フェーズではデータトラフィックを暗号化するために AES128 を使用してスループットを向上させることができます。ただし、構成およびメンテナンスを簡素化するため、両フェーズで同一の暗号化アルゴリズムを使用することをベストプラクティスとして推奨します。
IPsec 認証アルゴリズム
IPsec フェーズでは、送信されたデータの整合性を検証するために認証アルゴリズムを使用します。利用可能なアルゴリズムは、IKE 認証アルゴリズムと同じです。
|
アルゴリズム名 |
ダイジェスト長 |
セキュリティ |
パフォーマンス |
VPN ゲートウェイタイプ |
トランジットルーターのサポート状況 |
推奨 |
|
SHA512 |
512 ビット |
極めて高い |
低い |
Enhanced / Classic |
対応 |
高セキュリティ要件のシナリオ向けに推奨 |
|
SHA384 |
384 ビット |
高い |
中程度 |
Enhanced / Classic |
対応 |
有効な選択肢 |
|
SHA256 |
256 ビット |
高い |
高い |
Enhanced / Classic |
対応 |
推奨 |
|
SHA1 |
160 ビット |
中程度 |
高い |
Enhanced / Classic |
対応 |
互換性目的で利用可能 |
|
MD5 |
128 ビット |
低い |
極めて高い |
Enhanced / Classic |
対応 |
非推奨 |
AES-GCM 暗号化アルゴリズムは、GCM モードにより組み込みの整合性検証機能(AEAD)を提供します。そのため、認証アルゴリズムは IKE フェーズのネゴシエーション保護にのみ使用され、GCM モードが IPsec フェーズのデータ整合性を保証します。
DH グループ
DH グループ(Diffie-Hellman グループ)は、IKE キー交換中に共有鍵を生成します。キー長が長いほどセキュリティは強化されますが、ネゴシエーション時の計算オーバーヘッドも増加します。IPsec フェーズの完全前方秘匿性(PFS)にも DH グループが使用されます。
|
DH グループ |
キー長 |
セキュリティ |
パフォーマンス |
推奨事項 |
説明 |
|
グループ 1 |
768 ビット |
非常に低い |
非常に高い |
非推奨 |
安全でないと見なされています。レガシデバイスとの互換性確保時のみ使用してください。 |
|
グループ 2 |
1024 ビット |
低い |
高い |
非推奨 |
十分なセキュリティを提供しません。グループ 14 へのアップグレードを推奨します。 |
|
グループ 5 |
1536 ビット |
中程度 |
中程度 |
使用可能 |
中程度のセキュリティを提供します。移行用途に適しています。 |
|
グループ 14 |
2048 ビット |
高い |
中程度 |
推奨 |
現在の主流選択肢であり、セキュリティとパフォーマンスのバランスに優れています。 |
|
グループ 24 |
2048 ビット(楕円曲線) |
高い |
高い |
使用可能 |
楕円曲線ベースの DH 交換であり、グループ 14 よりも優れたパフォーマンスを提供します。 |
DH グループ 14(2048 ビット)の使用を推奨します。グループ 1 およびグループ 2 は、キー長が現代のセキュリティ要件を満たしていないため、本番環境での使用は推奨されません。IPsec フェーズでは、PFS を有効にして、IKE フェーズと同じ DH グループを使用することを推奨します。
推奨される暗号スイート
セキュリティ要件およびデバイスの互換性に基づいて、以下のオプションから暗号スイートを選択してください。
|
セキュリティレベル |
暗号化アルゴリズム |
認証アルゴリズム |
DH グループ |
ユースケース |
|
非常に高い(推奨) |
AES256-GCM-16 |
SHA256 |
グループ 14 |
高セキュリティおよび高性能が求められる enhanced VPN ゲートウェイ向け。 |
|
高い |
AES256 |
SHA256 |
グループ 14 |
良好な互換性が求められる一般的な本番環境向け。 |
|
中程度 |
AES128 |
SHA256 |
グループ 14 |
高性能データ転送向け。 |
|
基本 |
AES128 |
SHA1 |
グループ 2 |
アップグレードできないレガシデバイスとの互換性確保向け。 |
よくある質問
IKE バージョンの選択
-
IKEv2(推奨):より効率的なネゴシエーション、複数のネットワークセグメントおよび NAT トラバーサルのネイティブサポート、より強固なセキュリティを提供します。
-
IKEv1:レガシデバイスとの互換性がありますが、ネゴシエーションプロセスが複雑で、複数のネットワークセグメントのサポートが限定的です。
ピアゲートウェイデバイスが IKEv2 をサポートしている場合は、優先的に使用してください。
IKE と IPsec で同じアルゴリズム
いいえ。IKE フェーズおよび IPsec フェーズで異なる暗号化アルゴリズムおよび認証アルゴリズムを構成できます。ただし、運用を簡素化し、構成ミスの可能性を低減するために、両フェーズで同一のアルゴリズム組み合わせを使用することがベストプラクティスです。
ピアが AES-GCM をサポートしていない場合の対処方法
AES-GCM アルゴリズムを使用するには、両端のデバイスが対応している必要があります。ピアデバイスが AES-GCM をサポートしていない場合は、幅広い互換性と強固なセキュリティを提供する AES256 + SHA256 + DH グループ 14 の組み合わせを使用してください。
PFS の有効化
はい。有効にすることを強く推奨します。 完全前方秘匿性(PFS)により、長期キーが漏洩しても、それまでにネゴシエートされたセッションキーは安全に保たれます。PFS を有効にすると、セキュリティアソシエーション(SA)を再ネゴシエートするたびに新しい DH キー交換が実行されます。PFS 用の DH グループには、IKE フェーズで使用したものと同じものを使用することを推奨します。