サポートされているIPSecパラメータ
このトピックでは、サイト間VPNでサポートされているフェーズ1 (ISAKMP)およびフェーズ2 (IPSec)の構成パラメータを示します。Oracleでは、これらの値を選択してセキュリティを最大化し、広い範囲にわたってCPEデバイスをカバーします。検証済デバイスのリストにCPEデバイスがない場合は、ここの情報を使用してデバイスを構成します。
CPE構成ヘルパーを使用して、CPEデバイスの構成時にネットワーク・エンジニアが使用する情報を収集することもできます。
Oracleでは、IPSec接続を構成するいくつかのトンネル間で非対称ルーティングが使用されます。あるトンネルはプライマリとして、別のトンネルはバックアップとして構成した場合でも、VCNからオンプレミス・ネットワークへのトラフィックはデバイス上で稼働中の任意のトンネルを使用できます。ファイアウォールを適切に構成します。そうしないと、接続を介したpingテストやアプリケーション・トラフィックが確実に機能しません。
サポートされている暗号化ドメインまたはプロキシID
暗号化ドメインの値(プロキシID、セキュリティ・パラメータ・インデックス(SPI)またはトラフィック・セレクタとも呼ばれます)は、CPEでルートベース・トンネルとポリシーベース・トンネルのどちらをサポートしているかによって異なります。使用する適切な暗号化ドメイン値の詳細は、サポートされている暗号化ドメインまたはプロキシIDを参照してください。
カスタムのIKEおよびIPSecパラメータ
カスタムのInternet Key Exchange (IKE)またはIPSecパラメータを使用する際に、カスタム・フェーズ1の提案を選択した場合、CPEは正確な提案を受け入れるように構成する必要があります。一致しない場合、IKEはIPSecトンネル・フェーズ1のセキュリティ・アソシエーションを設定できません。
カスタム・フェーズ2のIPSec提案では、次の動作が想定されます:
- Oracleが新しいフェーズ2 IPSecセキュリティ・アソシエーションを起動すると、IKEはカスタム値のみを提案します。
- CPEが新しいフェーズ2 IPSecセキュリティ・アソシエーションの開始時に、Oracleがパラメータをサポートしている場合は、フェーズ2セキュリティ・アソシエーションを確立します。
Oracle IKE開始およびIPフラグメント
Oracle IKEパラメータ提案のデフォルト・セットは大きすぎて単一のUDPパケットに収まらないため、IPSec接続のOracle終端によって開始リクエストが断片化されます。新しいIKEセキュリティ・アソシエーションを正常に起動するには、Oracle VPNパブリックIPとCPP間のファイアウォールまたはセキュリティ・リストでIPフラグメントを許可する必要があります。
商用クラウドでサポートされているパラメータ
この項では、商用クラウドのサイト間VPNでサポートされているパラメータを示します。商用クラウド・リージョンのリストは、リージョンと可用性ドメインを参照してください。
一部のパラメータでは、Oracleがいくつかの値をサポートしており、推奨値が示されています。
Oracleでは、IKEv1またはIKEv2の次のパラメータがサポートされています。特定のCPEについてドキュメントをチェックし、CPEがIKEv1またはIKEv2に対してサポートしているパラメータを確認してください。
フェーズ1 (ISAKMP)
| パラメータ | オプション |
|---|---|
| ISAKMPプロトコル |
バージョン1 |
| 交換タイプ |
メイン・モード |
| 認証方式 |
事前共有キー * |
| 暗号化アルゴリズム |
AES-256-CBC (推奨) AES-192-CBC AES-128-CBC |
| 認証アルゴリズム |
SHA-2 384 (推奨) SHA-2 256 SHA-1 (SHAまたはSHA1-96とも呼ばれる) ** |
| Diffie-Hellmanグループ |
グループ2 (MODP 1024ビット) グループ5 (MODP 1536ビット) グループ14 (MODP 2048ビット) グループ19 (ECP 256ビット・ランダム) グループ20 (ECP 384ビット・ランダム) (推奨) |
| IKEセッション・キー存続期間 |
28800秒(8時間) |
|
* 事前共有キーには、数字、文字およびスペースのみを使用できます。 ** SHA-1を使用しないことをお勧めします。NISTは、2011年にSHA-1の使用を正式に非推奨とし、2013年にデジタル署名での使用を禁止しました。 |
|
フェーズ2 (IPSec)
| パラメータ | オプション |
|---|---|
| IPSecプロトコル |
ESP、トンネル・モード |
| 暗号化アルゴリズム |
AES-256-GCM (推奨) AES-192-GCM AES-128-GCM AES-256-CBC AES-192-CBC AES-128-CBC |
| 認証アルゴリズム |
GCMを使用する場合、GCM暗号化に認証が含まれているため、認証アルゴリズムは必要ありません。 GCMを使用しない場合は、次のオプションがサポートされています: HMAC-SHA-256-128 (推奨) HMAC-SHA1-128 * |
| IPSecセッション・キー存続期間 |
3600秒(1時間) |
| 前方秘匿性(PFS) |
有効、グループ5 (デフォルト、推奨) グループ2、5、14、19、20、24に対して無効および有効をサポートします。 |
|
* SHA-1を使用しないことをお薦めします。NISTは、2011年にSHA-1の使用を正式に非推奨とし、2013年にデジタル署名での使用を禁止しました。 |
|
Government Cloudのパラメータ
US Government Cloudでサイト間VPNのパラメータを確認するには、Government Cloudに必要なサイト間VPNパラメータを参照してください。
リファレンス
前述のパラメータをまだよく知らない場合は、次の表に関連する標準へのリンクを示します。
| オプション | 関連する標準 |
|---|---|
| Advanced Encryption Standard (AES) | FIPS PUB 197標準 |
| 暗号ブロック連鎖(CBC) | SP 800-38A標準 |
| セキュア・ハッシュ・アルゴリズム(SHA) | FIPS PUB 180-4標準 |
| Diffie-Hellman (DH)グループ |
RFC 2631: Diffie-Hellmanキー共有方法 RFC 3526: Internet Key Exchange (IKE)のためのより多くのモジュラ指数(MODP) Diffie-Hellmanグループ RFC 4306: Internet Key Exchange (IKEv2)プロトコル |
| DHグループ・タイプ: モジュラ指数(MODP)または楕円曲線プライム(ECP) |
MODP RFC 3526: インターネット・キー交換(IKE)のためのより多くのモジュラ指数(MODP) Diffie-Hellmanグループ ECP RFC 5114: IETF標準で使用するための追加のDiffie-Hellmanグループ |
| ガロア・カウンタ・モード(GCM) | RFC 5288: TLSのためのAESガロア・カウンタ・モード(GCM)暗号スイート |
| 前方秘匿性(PFS) | RFC 2412: OAKLEYキー決定プロトコル |