関連トピック
Diffie-Hellman グループについて
Diffie-Hellman (DH) グループによって、キー交換プロセスで使用されるキーの強度が決定されます。グループの数字が大きいほどセキュリティが強化されますが、キーの計算にさらに時間がかかります。
Fireware は以下の Diffie-Hellman グループをサポートしています:
- DH グループ 1: 768 ビット グループ
- DH グループ 2: 1024 ビット グループ
- DH グループ 5: 1536 ビット グループ
- DH グループ 14: 2048 ビット グループ
- DH グループ 15: 3072 ビット グループ
- DH グループ 19: 256 ビット 楕円曲線グループ
- DH グループ 20: 384 ビット 楕円曲線グループ
VPN exchange での両方のピアは、IPSec ネゴシエーション処理のフェーズ 1 中にネゴシエートされる同じ DH グループを使用する必要があります。Manual BOVPN トンネルを定義する際は、Diffie-Hellman グループを IPSec 接続のフェーズ作成の一部として指定します。IPSec 接続確立のフェーズ 1 では、2 つのピアによって、セキュリティで保護され認証されたチャネルが構成され、通信に使用できるようになります。
DH グループと Perfect Forward Secrecy (PFS)
フェーズ 1 に加えて、IPSec 接続のフェーズ 2 の Diffie-Hellman グループも指定することができます。フェーズ2の構成には、セキュリティ アソシエーション (SA) の設定やデータ パケットが2つのエンドポイント間で送信される場合に、どのようにセキュリティが保護されるかを定義する設定が含まれています。Perfect Forward Secrecy (PFS) を選択する場合にのみ、フェーズ 2 の Diffie-Hellman グループを指定します。
新しいキーは以前のキーから作成されないので、PFS は安全性の高いキーを作成します。キーのセキュリティが侵害された場合でも、新しいセッション キーのセキュリティは保護されます。フェーズ 2 中に PFS を指定すると、新しいSAがネゴシエートされるたびに Diffie-Hellman 交換を行います。
フェーズ2で選択する DH グループは、フェーズ 1 で選択したグループに一致させる必要はありません。
Diffie-Hellman グループの選択方法
Branch Office VPN トンネルと BOVPN 仮想インターフェイスについては、フェーズ 1 とフェーズ 2 両方の既定の DH グループが Diffie-Hellman グループ 2 となります。このグループでは、基本セキュリティと優れたパフォーマンスが提供されます。トンネル初期化とキーの再生成の速度が問題でない場合は、数値が高いほうの DH グループを使用します。実際の初期化と再生成の速度は、さまざまな要因に依存します。数値の高い DH グループを試して、パフォーマンスが遅いのはネットワークの問題であるかどうかを判断することができます。パフォーマンスが承認されない場合、下等 DH グループに変更します。