- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- AI Trust Layer
- 外部アプリケーション
- 通知
- ログ
- 組織でのテスト
- トラブルシューティング
- Test Cloud に移行する
Test Cloud 管理ガイド
既定の IPSec/IKE ポリシー
UiPath VPN ゲートウェイは既定の IPsec/IKE ポリシーを使用して作成されます。このポリシーは、幅広いオンプレミス VPN デバイスとの相互運用性を最大限に高めるように設計されています。このセクションの情報は、Azure VPN Gateway の既定のポリシーに基づいています。
ほとんどのシナリオでは、カスタムの IPsec/IKE ポリシーは必要ありません。カスタム ポリシーを設定する必要があるのは、オンプレミス VPN デバイスによって厳格な暗号要件が適用される場合、または既定のポリシーを使用してトンネルを正常にネゴシエートできない場合のみです。
このセクションで使用される用語
このセクションでは全体にわたって次の用語を使用しています。
- SA:セキュリティ アソシエーション
- IKE フェーズ 1: メイン モード
- IKE フェーズ 2:クイック モード
IKE フェーズ 1 - 既定のパラメーター
IKE フェーズ 1 では、ピアの認証とネゴシエーション トラフィックの保護に使用される、セキュリティで保護された制御チャネルが確立されます。
表 1.フェーズ 1 の既定のプロパティ
| プロパティ | 値 (Value) |
|---|---|
| IKE バージョン | IKEv1 および IKEv2 |
| Diffie-Hellman グループ | グループ 2 (1024 ビット) |
| 認証方法 | 事前共有キー |
| SA のライフタイム | 28,800 秒 |
| クイック モード SA の数 | 100 |
UiPath VPN ゲートウェイは、既定のポリシーの一部として、以下の暗号化と整合性の組み合わせをサポートしています。
- AES256、SHA1
- AES256、SHA256
- AES128、SHA1
- AES128、SHA256
- 3DES、SHA1
- 3DES、SHA256
ネゴシエーション中に、ゲートウェイは UiPath とオンプレミス VPN デバイスとの間で相互にサポートされている最も強度の高い組み合わせを自動的に選択します。
IKE フェーズ 2 - 既定のパラメーター
IKE フェーズ 2 では、アプリケーション トラフィックに使用されるデータ トンネルが確立されます。
表 2. フェーズ 2 の既定のプロパティ
| プロパティ | 値 (Value) |
|---|---|
| IKE バージョン | IKEv1 および IKEv2 |
| SA のライフタイム (時間) | 27,000 秒 |
| SA のライフタイム (バイト) | 102,400,000 KB |
| デッド ピア検出 (DPD) | サポート対象 |
既定のポリシーでは、暗号化、整合性、PFS の複数の組み合わせがサポートされています。最終的に使用される組み合わせは、UiPath VPN ゲートウェイがフェーズ 2 のネゴシエーション時にイニシエーターまたはレスポンダーのどちらとして機能するかによって決まります。
IPsec の実装ではこの動作が期待されており、幅広い VPN デバイスとの相互運用性が向上します。
UiPath ゲートウェイがイニシエーターである場合
UiPath VPN ゲートウェイは、フェーズ 2 のネゴシエーションを開始する際に以下の組み合わせをサポートします。
| 暗号化 | 認証 | PFS グループ |
|---|---|---|
| GCM AES256 | GCM (AES256) | None |
| AES 256 | SHA1 | None |
| 3DES | SHA1 | None |
| AES 256 | SHA256 | None |
| AES 128 | SHA1 | None |
| 3DES | SHA256 | None |
UiPath ゲートウェイがレスポンダーである場合 (サポートされるすべてのセット)
レスポンダーとして機能する場合、UiPath VPN ゲートウェイは、相互運用性を最大限に高めるために、より幅広い組み合わせをサポートします。
| 暗号化 | 認証 | PFS グループ |
|---|---|---|
| GCM AES256 | GCM (AES256) | None |
| AES 256 | SHA1 | None |
| 3DES | SHA1 | None |
| AES 256 | SHA256 | None |
| AES 128 | SHA1 | None |
| 3DES | SHA256 | None |
| DES | SHA1 | None |
| AES 256 | SHA1 | 1 |
| AES 256 | SHA1 | 2 |
| AES 256 | SHA1 | 14 |
| AES 128 | SHA1 | 1 |
| AES 128 | SHA1 | 2 |
| AES 128 | SHA1 | 14 |
| 3DES | SHA1 | 1 |
| 3DES | SHA1 | 2 |
| 3DES | SHA256 | 2 |
| AES 256 | SHA256 | 1 |
| AES 256 | SHA256 | 2 |
| AES 256 | SHA256 | 14 |
| AES 256 | SHA1 | 24 |
| AES 256 | SHA256 | 24 |
| AES 128 | SHA256 | None |
| AES 128 | SHA256 | 1 |
| AES 128 | SHA256 | 2 |
| AES 128 | SHA256 | 14 |
| 3DES | SHA1 | 14 |
このような広範なレスポンダーがサポートされているため、UiPath VPN ゲートウェイは、古い VPN デバイス、厳格なエンタープライズ ファイアウォール、および特定の PFS グループ要件を適用するデバイスとの相互運用が可能です。
よくある誤解
既定のポリシーでは脆弱な暗号化が使用されている
間違いです。既定のポリシーでは複数の暗号化アルゴリズムがサポートされていますが、適用されるのは最も弱いオプションではありません。ネゴシエーション時に、相互にサポートされている最も強い組み合わせが常に選択されます。
重要なポイント
既定の IPsec/IKE ポリシーは、相互運用性を第一に考えて設計されており、可能な場合は常に使用する必要があります。カスタム ポリシーは、明確な技術要件またはコンプライアンス要件がある場合にのみ定義します。