JNSA IPSec 機器相互接続試験のご案内
16
1 JNSA IPSec 機機機機機機機機機機機機 機機 12 機 11 機 17 機 JNSA 機機機機機機機機機機機機機
-
Upload
olivia-rivas -
Category
Documents
-
view
36 -
download
0
description
JNSA IPSec 機器相互接続試験のご案内. 平成 12 年 11 月 17 日. JNSA 相互接続ワーキンググループ . 目次. 試験目的 P.3 試験スケジュール P.4 試験環境について P.5 試験参加機器について P.6 試験参加時の貸出し器材 P.9 試験環境の器材提供について P.10 試験内容 P.11 試験結果の報告 P.16. 試験の目的. IPSec 相互接続試験の目的 - PowerPoint PPT Presentation
Transcript of JNSA IPSec 機器相互接続試験のご案内
1
JNSA IPSec 機器相互接続試験のご案内
平成 12 年 11 月 17 日
JNSA 相互接続ワーキンググループ
2
目次
試験目的 P.3試験スケジュール P.4試験環境について P.5試験参加機器について P.6試験参加時の貸出し器材 P.9試験環境の器材提供について P.10試験内容 P.11試験結果の報告 P.16
3
試験の目的
• IPSec 相互接続試験の目的IPSec 標準機能による相互接続試験は様々なグループで実施されていますが、機器の接続性確認するに留まっています。本試験においては、運用を視野に入れた様々な試験を行い、その結果を一般に公開致します。その結果、ベンダーやユーザに対し VPN 構築時に有効な情報を与える事が出来ると共に、セキュリティへの意識を高める事を目的とします。
• 各試験項目の目的– 接続性確認試験
• 機器間の接続性の確認を行います。例えば認証方式による接続性の確認などが挙げられます。
– 運用性確認試験• 各ベンダーのこれまでの経験を元に、運用上問題となり易い項目を事
前に確認し、障害が発生する可能性や障害発生時の対応方法等を確認します。
– ダイアルアップ接続試験• 多くの IPSec 相互接続試験は、ゲートウェイ型の IPSec 機器が使用さ
れていました。本試験ではクライアント製品の接続性確認および運用性確認を実施します。
4
試験スケジュール• 期間 : 2000 年 11 月 22 日 ~ 12 月 8 日• 搬入スケジュール
– 11 月 22 日 搬入開始発送する場合は、 22 日必着として下さ
い。持込みの方は、別紙の搬入指示に従っ
て下さい。– 11 月 24 日 設置開始– 11 月 24 日午後 試験実施説明会(各社代表者は参加必須)
• 試験スケジュール– 2000 年 11 月 27 日 ( 月 ) ~ 12 月 8 日 ( 金 ) 10:00 ~ 18:00
• リファレンス機選定相互接続試験• 接続性確認 基本試験等
• 試験会場– 工学院大学 新宿キャンパス
住所 :〒 163-8677 東京都新宿区西新宿 1-24-2
5
試験環境について
IPSecGateway
クライアント
Shared HUB
クライアント
IPSecGateway
回線シュミレータ
IPSecクライアント
クライアント
IPSecGateway
・基本的にはローカルネットワークで試験を 実施する。
・ Dialupルータや、クライアント接続試験時に ダイアルアップ環境や、リモート接続環境が 必要な場合は、回線シュミレータを使用し 試験を実施する。
6
試験参加機器について (1/3)
• IPSec 相互接続試験参加製品要求事項– IPSec Version2※1 対応のハードウェア、ソフトウェアであること– 1 製品 1エントリ※ 2 とする。 (同一製品の複数エントリは認めな
い )– 実機試験中に技術者派遣が可能なこと
※1 :最低限次ページの各項目が実装されていることを条件とする。※2 :複数代理店が扱う製品については、代理店間で調整のうえエントリ下さい
7
試験参加機器について (2/3)
• IPSec 機器実装必須項目について– 下記RFCで実装必須となっている項目をサポートしている事
• RFC2401 :インターネット・プロトコルのためのセキュリティ・アーキテクチャ
• RFC2402 : IP 認証ヘッダ • RFC2403 : ESP および AH での HMAC-MD5-96 の使用法 • RFC2404 : ESP および AH での HMAC-SHA-1-96 の使用法 • RFC2405 :明示的 IV を伴う ESP DES-CBC 暗号アルゴリズム • RFC2406 : IP 暗号ペイロード( ESP )• RFC2407 : IPSECにおける ISAKMP の解釈• RFC2408 : Internet SA と鍵管理プロトコル• RFC2409 :インターネット鍵交換• RFC2410 : NULL 暗号化アルゴリズムと IPsec でのその使用法 • RFC2411 : IP セキュリティ文書体系• RFC2451 : ESP CBC モード 暗号アルゴリズム
8
試験参加機器について (3/3)
• IPSec 機器実装必須項目について– 下記のパラメータをサポートしている事
• プロトコル : ESP• パケットモード :トンネルモード• Phase1 パラメータ
– モード :メインモード (クライアントはアグレッシブモード )
– 相互認証 : Pre-Shared (ASCII)– Hash Algorithm :MD5/SHA-1– Encryption Algorithm: DES-CBC– IDペイロードタイプ : ID_IPV4_ADDR
• Phase2 パラメータ– モード :クイックモード– Authentication Alg : HMAC-MD5/HMAC-SHA1:– IDペイロードタイプ : ID_IPV4_ADDR/ID_IPV4_ADDR_SUBNET
– Group Description : Group1
9
試験参加時の貸出機材
• ご用意いただきたい機材– IPSec gateway
• ソフトウェアタイプの場合は、製品がインストールされたマシン
– IPSec Client• ダイアルアップ用の TAもしくは、ダイアルアップルータを含む
– クライアント用ノート PC– 製品マニュアル– HUBおよび 10base-Tケーブル(オプション)– テーブルタップ(オプション)– その他、必要と思われる器材
10
試験環境の器材提供について• 試験環境構築に伴い、以下の器材提供を募集しています。• 器材への要求事項
– CA局• IPSec 機器への証明書が発行できる証明書発行システム• プロダクト提供の場合は試験サイトにインストール済みのシステムを提
供下さい。• 証明書の形式などが試験期間中に柔軟に変更可能であれば、インター
ネット経由でのサービスで参加して頂く事も可能です。– 回線シュミレータ
• HSD, ISDN として利用可能かつ、 64kbps~ 1.5Mbpsの各帯域を利用可能な機器および、設定マニュアル一式
– 測定機器• プロトコルアナライザ
– IKEのネゴシエーション情報を Decrypt可能なプロトコルアナライザと操作マニュアル一式
– 試験期間中に期間限定のライセンス発行が可能な製品• トラフィックジェネレータ
– IP レベルのトラフィックジェネレートが可能な製品および、設定マニュアル一式
11
試験内容
• 試験は4つのカテゴリに分け、以下の順に実施致します。
– 相互接続性確認 /基本試験• 各製品の基本的な接続性を確認
– 運用性確認 /基本試験• IPSec 機器の機種や機能に関わらず、 IPSec 機器を運用する際
に、事前確認が必要となる項目– 相互接続性確認 / オプション試験
• デジタル署名による相互認証など、 RFCで実装必須となっていない項目を使用した際の接続性を確認
– 運用性確認 / オプション試験• IPSec 機器の機能や機種に関係する、運用性の確認• IPSec 機器を運用する際に、有益となる情報取得のための試験
12
試験内容 相互接続性 /基本試験
• 相互接続性 /基本試験– Pre-Shared相互認証方式での接続試験
• 基本的には参加機器の総当りで接続性を確認します。• Phase1, Phase2 の各パラメータを変更し、パラメータ変更
時の接続性の確認も合わせて実施します。
– Phase2 IDペイロードタイプ確認試験• 各機器がサポートしている Phase2 IDペイロードタイプを確
認します。• peerの設定内容が異なる際の、接続性の確認やエラーの発生状況を確認します。
– 通信中の Re-key 動作確認試験• 通信中に SA Durationを迎え Re-keyが発生した際の通信状態
の確認を行います。
13
試験内容 運用性 /基本試験
• 運用性 /基本試験– SA消失問題に関する試験
• 機器の障害等により、 SA を消失した際の SA リカバリ手順等を確認します。
– End to End 通信試験( 動作試験アプリケーション )• ftp , http , HOST 系のアプリケーション通信を、 IPSec を使
用して行った際の動作を確認します。
– IP フラグメンテーション発生時の通信試験• IPSec 機器で、 IP フラグメンテーションが発生した際の動作
を確認します。
– SA Life Time動作確認• 無通信状態で、 SA Life Time を迎えた際の動作を確認します。
14
試験内容 相互接続性 / オプション試験
• 相互接続性 / オプション試験– デジタル署名認証の接続試験
• Phase1 の相互認証で、デジタル署名方式を使用した際の接続性を確認します。
– Public-key認証の接続試験• Phase1 の相互認証で、 Public-key方式を使用した際の接続性
を確認します。
– NAT Traversal接続試験• NAT Traversalを使用した際の、接続性を確認します。
15
試験内容 運用性 / オプション試験
• 運用性 / オプション試験– NAT 動作確認試験
• NAT機能を実装した IPSec 機器を使用し、 NAT使用時の IPSec通信の動作を確認します。
– CA に関する試験• 証明書の取得方法や CRLの参照方法等、 CA を使用する際に必要となる項目の動作を確認します。
– 性能試験• IPSec 機器が確立可能な SA数等、各 IPSec 機器の性能を計る
試験を行います。
– 回線障害試験• ネゴシエーション中に回線障害が発生した時の動作を確認し
ます。
16
試験結果の報告
• 平成 12 年 12 月下旬– Internet Week2000 にて、中間結果報告
• 平成 13 年 2 月下旬– 試験結果を JNSAホームページにて公開
