サポートされているIPSecパラメータ
このトピックでは、サイト間VPNでサポートされているフェーズ1 (ISAKMP)およびフェーズ2 (IPSec)の構成パラメータを示します。Oracleでは、これらの値を選択してセキュリティを最大化し、広い範囲にわたってCPEデバイスをカバーします。CPEデバイスが検証済デバイスのリストにない場合は、ここの情報を使用してデバイスを構成してください。
CPE構成ヘルパーを使用して、CPEデバイスの構成時にネットワーク・エンジニアが使用する情報を収集することもできます。
Oracleでは、IPSec接続を構成する複数のトンネル間で非対称ルーティングが使用されます。あるトンネルをプライマリとして、別のトンネルをバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックは、デバイス上で稼働している任意のトンネルを使用できます。適切にファイアウォールを構成してください。そうしないと、接続間でのpingテストまたはアプリケーション・トラフィックが確実に動作しません。
サポートされている暗号化ドメインまたはプロキシID
暗号化ドメインの値(プロキシID、セキュリティ・パラメータ・インデックス(SPI)またはトラフィック・セレクタとも呼ばれます)は、CPEがルートベース・トンネルとポリシーベース・トンネルのどちらをサポートしているかによって異なります。使用する適切な暗号化ドメイン値の詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。
カスタムのIKEおよびIPSecパラメータ
カスタムのInternet Key Exchange (IKE)またはIPSecパラメータを使用する際に、カスタム・フェーズ1の提案を選択した場合、CPEは正確な提案を受け入れるように構成する必要があります。一致しない場合、IKEはIPSecトンネル・フェーズ1のセキュリティ・アソシエーションを設定できません。
カスタム・フェーズ2のIPSec提案では、次の動作が想定されます:
- Oracleが新しいフェーズ2 IPSecセキュリティ・アソシエーションを開始すると、IKEはカスタム値のみを提案します。
- CPEが新しいフェーズ2 IPSecセキュリティ・アソシエーションを開始すると、Oracleがパラメータをサポートしているかぎり、フェーズ2セキュリティ・アソシエーションが確立されます。
Oracle IKE開始およびIPフラグメント
Oracle IKEパラメータ提案のデフォルト・セットは大きすぎて単一のUDPパケットに収まらないため、IPSec接続のOracle終端によって開始リクエストが断片化されます。新しいIKEセキュリティ・アソシエーションを正常に開始するには、Oracle VPNパブリックIPとCPE間のファイアウォールまたはセキュリティ・リストでIPフラグメントを許可する必要があります。
商用クラウドでサポートされているパラメータ
この項では、サイト間VPNが商用クラウド向けの場合にサポートされるパラメータを示します。商用クラウド・リージョンのリストは、リージョンと可用性ドメインを参照してください。
一部のパラメータでは、Oracleが複数の値をサポートしており、推奨値が示されています。
Oracleでは、IKEv1またはIKEv2の次のパラメータがサポートされています。特定のCPEについてドキュメントを調査し、IKEv1またはIKEv2に対してCPEがどのパラメータをサポートしているかを確認してください。
フェーズ1 (ISAKMP)
| パラメータ | オプション |
|---|---|
| ISAKMPプロトコル |
バージョン1 |
| 交換タイプ |
メイン・モード |
| 認証方式 |
事前共有キー * |
| 暗号化アルゴリズム |
AES-256-CBC (推奨) AES-192-CBC AES-128-CBC |
| 認証アルゴリズム |
SHA-2 384 (推奨) SHA-2 256 SHA-1 (SHAまたはSHA1-96とも呼ばれる) ** |
| Diffie-Hellmanグループ |
グループ2 (MODP 1024ビット) グループ5 (MODP 1536ビット) グループ14 (MODP 2048ビット) グループ19 (ECP 256ビット・ランダム) グループ20 (ECP 384ビット・ランダム) (推奨) |
| IKEセッション・キー存続期間 |
28800秒(8時間) |
|
* 事前共有キーには、数字、文字およびスペースのみを使用できます。 ** Oracleでは、SHA-1を使用しないことを強くお薦めします。NISTは、2011年にSHA-1の使用を正式に非推奨とし、2013年にデジタル署名での使用を禁止しました。 |
|
フェーズ2 (IPSec)
| パラメータ | オプション |
|---|---|
| IPSecプロトコル |
ESP、トンネル・モード |
| 暗号化アルゴリズム |
AES-256-GCM (推奨) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| 認証アルゴリズム |
GCMを使用する場合、GCM暗号化に認証が含まれているため、認証アルゴリズムは必要ありません。 GCMを使用しない場合は、次のオプションがサポートされています: HMAC-SHA-256-128 (推奨) HMAC-SHA1-128 * |
| IPSecセッション・キー存続期間 |
3600秒(1時間) |
| 前方秘匿性(PFS) |
有効、グループ5 (デフォルト、推奨) グループ2、5、14、19、20、24に対して無効と有効をサポートします。 |
|
* Oracleでは、SHA-1を使用しないことを強くお薦めします。NISTは、2011年にSHA-1の使用を正式に非推奨とし、2013年にデジタル署名での使用を禁止しました。 |
|
Government Cloudでサポートされているパラメータ
この項では、サイト間VPNがGovernment Cloud向けの場合にサポートされるパラメータを示します。詳細は、すべての米国Government Cloudのお客様を参照してください。
一部のパラメータでは、Oracleが複数の値をサポートしており、推奨値は太字テキストで強調表示されています。
Oracleでは、IKEv1またはIKEv2の次のパラメータがサポートされています。特定のCPEについてドキュメントを調査し、IKEv1またはIKEv2に対してCPEがどのパラメータをサポートしているかを確認してください。
フェーズ1 (ISAKMP)
| パラメータ | オプション |
|---|---|
| ISAKMPプロトコル |
バージョン1 |
| 交換タイプ |
メイン・モード |
| 認証方式 |
事前共有キー * |
| 暗号化アルゴリズム |
AES-256-CBC (推奨) AES-192-CBC AES-128-CBC |
| 認証アルゴリズム |
SHA-2 384 (推奨) SHA-2 256 SHA-1 (SHAまたはSHA1-96とも呼ばれる) |
| Diffie-Hellmanグループ |
グループ14 (MODP 2048) グループ19 (ECP 256) グループ20 (ECP 384) (推奨) |
| IKEセッション・キー存続期間 |
28800秒(8時間) |
|
* 事前共有キーには、数字、文字およびスペースのみを使用できます。 |
|
フェーズ2 (IPSec)
| パラメータ | オプション |
|---|---|
| IPSecプロトコル |
ESP、トンネル・モード |
| 暗号化アルゴリズム |
AES-256-GCM (推奨) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| 認証アルゴリズム |
GCM (Galois/Counter Mode)を使用する場合、GCM暗号化に認証が含まれるため、認証アルゴリズムは必要ありません。 GCMを使用しない場合、HMAC-SHA-256-128を使用します。 |
| IPSecセッション・キー存続期間 |
3600秒(1時間) |
| 前方秘匿性(PFS) |
有効、グループ14(デフォルト、推奨) グループ2、5、14、19、20、24に対して無効と有効をサポートします。 |
リファレンス
前述のパラメータをまだよく理解していない場合のために、次の表に関連する標準へのリンクを示します。
| オプション | 関連する標準 |
|---|---|
| Advanced Encryption Standard (AES) | FIPS PUB 197標準 |
| 暗号ブロック連鎖(CBC) | SP 800-38A標準 |
| セキュア・ハッシュ・アルゴリズム(SHA) | FIPS PUB 180-4標準 |
| Diffie-Hellman (DH)グループ |
RFC 2631: Diffie-Hellmanキー共有方法 RFC 3526: Internet Key Exchange (IKE)のためのより多くのモジュラ指数(MODP) Diffie-Hellmanグループ RFC 4306: Internet Key Exchange (IKEv2)プロトコル |
| DHグループ・タイプ: モジュラ指数(MODP)または楕円曲線プライム(ECP) |
MODP RFC 3526: Internet Key Exchange (IKE)のためのより多くのモジュラ指数(MODP) Diffie-Hellmanグループ ECP RFC 5114: IETF標準で使用するための追加のDiffie-Hellmanグループ |
| ガロア・カウンタ・モード(GCM) | RFC 5288: TLSのためのAESガロア・カウンタ・モード(GCM)暗号スイート |
| 前方秘匿性(PFS) | RFC 2412: OAKLEYキー決定プロトコル |