- 基本情報
- データのセキュリティとコンプライアンス
- 組織
- 認証とセキュリティ
- ライセンス
- テナントとサービス
- アカウントとロール
- AI Trust Layer
- 外部アプリケーション
- 通知
- ログ
- 組織でのテスト
- トラブルシューティング
- Test Cloud に移行する
Test Cloud 管理ガイド
IPsec および IKE ポリシーの設定
IPsec/IKE ポリシーでは、VPN トンネルをセキュリティで保護する方法を定義します。両側 (UiPath ゲートウェイとオンプレミス VPN デバイス) で相互運用可能な設定を使用する必要があります。そうしないと、トンネルを確立できないか、トンネルはトラフィックを伝送できません。
このセクションでは、設定の意味、UiPath のオプションと一般的なファイアウォール用語とのマッピング、および最も一般的な設定ミスについて説明します。
概要
サイト間 VPN には、次の 2 つのネゴシエーション フェーズがあります。
- IKE フェーズ 1
- セキュリティで保護された制御チャネルを確立します。
- ピアを認証し、ネゴシエーション トラフィックを保護するために使用されます。
- IKE フェーズ 2 (IPsec/クイック モード)
- データ トンネルを確立します。
- 実際のアプリケーション トラフィックに使用されます。
VPN が機能するには、両方のフェーズが相互運用可能である必要があります。
カスタムの IPsec/IKE ポリシーが必要な状況
UiPath ゲートウェイは、ほとんどの最新 VPN デバイスで動作する、安全な既定のポリシーを使用して作成されています。
カスタム ポリシーは、次の場合にのみ設定する必要があります。
- オンプレミス デバイスに厳格な暗号化要件がある
- 社内基準または規制基準に準拠する必要がある
- 既存のファイアウォール設定に一致させる
カスタム ポリシーを使用しなくても VPN が機能する場合は、既定のポリシーを変更しないでください。
IKE フェーズ 1 (制御チャネル)
UiPath のフェーズ 1 の設定では、ネゴシエーション チャネルの保護方法を制御します。
| 設定 | 説明 |
|---|---|
| 暗号化 | 制御トラフィックの暗号化方法 |
| 整合性 | トラフィックの整合性の検証方法 |
| DH グループ | キーの交換方法 |
フェーズ 1 でサポートされるオプション
- 暗号化
- AES128、AES192、AES256
- GCMAES128、GCMAES256
- 整合性
- SHA1、SHA256、SHA384
- MD5
- DH グループ
- DHGroup1
- DHGroup2
- DHGroup14
- DHGroup2048
- DHGroup24
- ECP256
- ECP384
- None
ファイアウォールの UI では、これらには多くの場合、「IKE プロポーザル」や「フェーズ 1 プロポーザル」というラベルが付いています。
IKE フェーズ 2 (IPsec/クイック モード)
フェーズ 2 のパラメーターは、アプリケーション トラフィックの保護方法を制御します。
| 設定 | 説明 |
|---|---|
| IPsec の暗号化 | データの暗号化 |
| IPsec の整合性 | データの整合性 |
| PFS グループ | Perfect Forward Secrecy |
| SA のライフタイム | キー更新のしきい値 |
フェーズ 2 でサポートされるオプション
- IPsec の暗号化
- None
- AES128、AES192、AES256
- DES、DES3
- GCMAES128、GCMAES192、GCMAES256
- IPsec の整合性
- SHA1、SHA256
- MD5
- GCMAES128、GCMAES192、GCMAES256
- PFS グループ
- PFS1
- PFS2
- PFS2048
- PFS24
- ECP256
- ECP384
- None
PFS について
多くのオンプレミス デバイスでは、PFS は、DH グループの選択と組み合わさったチェック ボックスになっています。UiPath では、PFS グループを直接選択します。
概念のマッピングについては、次の表をご覧ください。
| オンプレミス デバイス | UiPath |
|---|---|
| PFS が無効化されている | PFS グループ = なし |
| DH グループ 2 を使用して PFS が有効化されている | PFS2 |
| DH グループ 14 を使用して PFS が有効化されている | PFS2048 |
| DH グループ 24 を使用して PFS が有効化されている | PFS24 |
| ECDH を使用して PFS が有効化されている | ECP256 / ECP384 |
マッピングについて詳しくは、Microsoft のドキュメントをご覧ください。
重要なルールとエッジ ケース
一般的な障害は GCMAES の不一致です。
IPSec の暗号化に GCMAES を使用する場合は、IPsec の整合性のため、同じ GCMAES アルゴリズムとキー長を選択します。
- 有効
- 暗号化:
GCMAES128 - 整合性:
GCMAES128
- 暗号化:
- 無効
- 暗号化:
GCMAES128 - 整合性:
SHA256
- 暗号化:
このように一致していないと、トンネルは確立されません。
None は、デフォルトで安全でないという意味ではありません。フェーズ 2 の整合性 = なし は、GCMAES を使用する場合にのみ有効です。これは、組み込みの整合性保護を提供するためです。
GCM 以外の暗号化で「なし」を使用すると、失敗します。
SA のライフタイムの値は、オンプレミス デバイスと相互運用可能である必要があります。ライフタイムが一致していないと、通常は、直ちに障害が発生するのではなく定期的に切断が発生します。
IPSec/IKE の一般的な設定ミス
| 症状 | 考えられる原因 |
|---|---|
| トンネルが作成されない | 暗号化または整合性の不一致 |
| トンネル フラップ | SA のライフタイムの不一致 |
| フェーズ 1 がアップ、フェーズ 2 がダウン | PFS の不一致 |
| 短時間動作した後に失敗する | キー更新の不一致 |
| 正しいように見えるが失敗する | GCMAES ルールの違反 |
推奨されるアプローチ
- 既定のポリシーから始めます。
- カスタム ポリシーは、必要な場合にのみ導入します。
- フェーズ 1 とフェーズ 2 を正確に一致させます。
- 特に以下に注意を払います。
- PFS のマッピング
- GCMAES ルール
- パラメーターを一度に 1 つずつ変更します。
重要なポイント
IPsec/IKE ポリシーは、見た目だけではなく概念が一致している必要があります。概念が同じ暗号であっても、ベンダーが異なれば使われる用語も異なります。このマッピングを理解することで、サイレント障害を回避できます。