2.7. 仮想プライベートネットワーク(VPN)のセキュリティー保護
Red Hat Enterprise Linux 6 での 仮想プライベートネットワーク ()VPN)は、Libreswan アプリケーションで対応している
IPsec
トンネリングプロトコルを使用して設定できます。Libreswan は Openswan アプリケーションのフォークです。ドキュメントの例は交換可能となります。NetworkManager IPsec
プラグインは、と呼ばれてい NetworkManager-openswanます。
注記
Libreswan は、Red Hat Enterprise Linux 6.8 で IPsec の推奨実装として Openswan に置き換えられました。6.8 よりも前のバージョンからのアップグレードを実行すると、openswan パッケージはに置き換え libreswanます。
Libreswan は、Red Hat Enterprise Linux 6 で利用可能なオープンソースのユーザー空間の
IPsec
実装です。インターネット鍵交換 ()を使用します。IKE)プロトコル。IKE
バージョン 1 および 2 は、ユーザーレベルのデーモンとして実装されます。ip xfrm コマンドでは、手動による鍵確立が可能ですが、これは推奨されません。Libreswan は、netlink を使用して暗号化鍵を転送する Linux カーネルでインターフェースします。Linux カーネルでパケットの暗号化と復号が行われます。
Libreswan は、ネットワークセキュリティーサービス を使用します(NSS)暗号化ライブラリー。連邦情報処理標準 ()に必要です。FIPS)セキュリティーコンプライアンス。
2.7.1. Libreswan を使用した IPsec VPN
Libreswan をインストールするには、
root
で以下のコマンドを実行します。libreswan パッケージは Extras リポジトリーから入手できます。このリポジトリーは、インストールを成功させるには有効にする必要があります。「 How to enable/disable a repository using Red Hat Subscription Manager?」を参照してください。( Extras リポジトリーの ID はです rhel-6-server-extras-rpms
。)
~]# yum install libreswan
Libreswan がインストールされていることを確認するには、以下のコマンドを発行します。
~]$ yum info libreswan
Libreswan を新規インストールした後に、NSS データベースはインストールプロセスの一部として初期化される必要があります。ただし、新しいデータベースを起動する必要があります。最初に、以下のように古いデータベースを削除します。
~]# rm /etc/ipsec.d/*db
次に、新しい NSS データベースを初期化するには、
root
で以下のコマンドを発行します。
~]# ipsec initnss
Initializing NSS database
See 'man pluto' if you want to protect the NSS database with a password
Libreswan が提供する
ipsec
デーモンを起動するには、root
で以下のコマンドを発行します。
~]# service ipsec start
デーモンが現在実行していることを確認します。
~]$ service ipsec status
pluto (pid 3496) is running...
Libreswan がシステムの起動時に起動するようにするには、
root
で以下のコマンドを実行します。
~]# chkconfig ipsec on
中間およびホストベースのファイアウォールを、
ipsec
サービスを許可するように設定します。ファイアウォール 「ファイアウォール」 の詳細と、特定のサービスが通過できるようには、を参照してください。Libreswan では、次のパケットを許可するファイアウォールが必要です。
インターネット鍵交換
用UDP
ポート 500()IKE)プロトコルIKE NAT-Traversal
のUDP
ポート 4500- カプセル化された
セキュリティーペイロード
()ESP)IPsec
パケット 認証されたヘッダー
(プロトコル 51)AH)IPsec
パケット(一般的でない)
Libreswan を使用した
IPsec
VPN の設定例を 3 つ示します。1 つ目は、ホストをセキュアに通信するために、2 つのホストを 1 つ接続する方法です。2 つのサイトを 1 つのネットワークに接続し、1 つのネットワークを構成する例を以下に示します。3 つ目は、このコンテキスト でロード リーダーとして知られるローミングユーザーをサポートします。