NAPT を使用するパートナー企業モデル (IPSec を使用するホスト対ホスト通信) を構成するためのステップ

NAPT を使用するパートナー企業モデルは、NAT を使用するパートナー企業モデルを変更して、パートナー企業の内部ネットワークの前にある NAT デバイスを NAPT デバイスで置き換えています。

始める前に

このモデルの説明では、以下のステートメントおよび概念を取り扱います。

IKE トラフィック用のリモート・ポートにワイルドカード値の使用
ホスト対ホスト動的 IKE ネゴシエーションにおける NAPT の含意
- ローカルおよびリモートのデータ・エンドポイント
- ローカルおよびリモートのセキュリティー・エンドポイント
- IKE イニシエーターとレスポンダーの役割

パートナー企業モデルでは、両方のパートナー企業が各自の内部ネットワーク内でパブリック IP アドレスを使用するネットワーク・トポロジーを想定していました。NAT を使用するパートナー企業モデルでは、パートナー企業モデルを変更して、各パートナー企業のプライベート・ネットワークの前に NAT デバイスを配置して、各プライベート・ネットワークにプライベート・アドレッシングを組み込んでいます。両方の NAT デバイスは、静的 1 対 1 アドレス・マッピングを使用しています。

NAPT を使用するパートナー企業モデルは、NAT を使用するパートナー企業モデルを変更して、パートナー企業の内部ネットワークの前にある NAT デバイスを NAPT デバイスで置き換えています。NAPT デバイスは、複数対 1 のアドレスおよびポート・マッピングを使用します。 z/OS® ホストの前にある NAT は、引き続き静的 1 対 1 アドレス・マッピングを使用します。

図 1 は、NAPT トポロジーを使用するパートナー企業を示しています。

図 1. NAPT を使用するパートナー企業モデル

NAT を使用するパートナー企業と似ていますが、PCO2 ネットワークの前の NAT 装置は NAPT 装置で置き換えられています。

NAPT 使用のパートナー企業モデルには、NAT 使用のパートナー企業モデルと同じ基本的セキュリティー要件があります。1 つの相違点は、Enterprise Extender (EE) トラフィック用の IPSec 保護が、例から除去されていることです。 EE トラフィックは、IPSec 保護の有無にかかわらず、NAPT の使用と互換性がありません。詳しくは、NAT トラバース時の Enterprise Extender に関する考慮事項を参照してください。

この例には、静的 1 対 1 アドレス・マッピングから NAPT マッピングへの変更によって影響を受ける構成ステップのみが含まれています。NAPT 使用のパートナー企業モデルの場合に追加または変更される構成ステートメントは、太字で示されています。この例では、パートナー企業 1 (PCO1) のポリシーについて記述しています。

この例で仮定していることは、静的 1 対 1 アドレス・マッピングを使用して、NAPT 背後の非トラステッド・ゾーン B 内のパートナー企業 (PCO2) (9.4.4.4) から、接続ネットワーク経由で、NAT 背後のこのホスト上のサーバーへのネットワーク通信を使用可能にするために、以下の要件を満たす必要があるとします。

非トラステッド・ゾーン B からこのホストへの IKE トラフィックを許可する。
非トラステッド・ゾーン B から、このホストで実行されているセキュア FTP サーバーへの、セキュア FTP トラフィック (TLS/SSL を使用) を許可する。
非トラステッド・ゾーン B から、強い認証を伴う動的 IPSec トンネルを使用してこのホストで実行されている FTP サーバーへの、FTP トラフィックを許可する。
FTP 接続を開始する各リモート・ホストについて、通常の FTP 制御のための動的 IPSec トンネルが活動化される (リモート活動化)。
FTP データ接続を開始する各リモート・ホストについて、通常の FTP データのための動的 IPSec トンネルが活動化される (リモート活動化)。
ピアは、RSA シグニチャー方式を使用して互いに相手を認証する。

手順

パートナー企業の内部ネットワーク (ゾーン B) の前に NAPT がある場合、NAT 使用のパートナー企業ポリシーから、これらの要件を満たすために以下の変更を加える必要があります。

IKE トラフィックの IpService ステートメントを変更して、リモート・ポートにワイルドカード値を指定します。 NAPT は IKE パケットの IP アドレスとポートの両方の値を更新するので、トラフィックは定数値 500 または 4500 を使用して記述できなくなります。

IpService                      IKE-local-500 
{
  SourcePortRange              500
  DestinationPortRange         0
  Protocol                     UDP
  Direction                    bidirectional
  Routing                      local
  SecurityClass                0
}

IpService                      IKE-local-4500 
{
  SourcePortRange              4500
  DestinationPortRange         0
  Protocol                     UDP
  Direction                    bidirectional
  Routing                      local
  SecurityClass                0
}

リモート・データ・エンドポイントを変更して、NAPT の単一の IP アドレス 9.4.4.4 を反映します。リモート・データ・エンドポイントは、パートナー企業の内部ネットワークです。z/OS 実装では、リモート・エンドポイントのプライベート・アドレスをコーディングする必要はありません。リモート・データ・エンドポイントについては、変換対象であるパブリック・アドレスをネットワーク・アドレスとして構成してください。この例では PCO2 内部ネットワーク内のプライベート・アドレス (10.2.0.0/16) が、パブリック・アドレス (9.4.4.4) に変換されます。したがって、リモート・データ・エンドポイントは 9.4.4.4 です。
```
IpAddr    ZoneB
{
   Addr   9.4.4.4
}
```

リモート・セキュリティー・エンドポイントを変更します。

RemoteSecurityEndpoint   ZoneB_IKED
{
   Identity      Fqdn  *.PCO2.example.com 
   Location      9.4.4.4
   CaLabel       CA4PartnerCompany
}

タスクの結果

以下に示すのは、すべてのオブジェクトおよびそれぞれの参照も含めて、完全に構成されたポリシーです。

# IpFilterPolicy for secure public server

IpFilterPolicy
{
   PreDecap             off
   IpFilterGroupRef     ZoneB
}
 
KeyExchangePolicy
{
   AllowNat             Yes
   NatKeepAliveInterval 0
   KeyExchangeRuleRef   ZoneB_KeyExRule1
}

###### All re-usable statements follow #######
IpFilterGroup           ZoneB
{
   IpFilterRuleRef      ZoneB-Permitted-traffic
   IpFilterRuleRef      FTPServer-ZoneB  #IPSec-protected
}

######################################
# IpFilterRules                      #
#   defines:                         #
#      data endpoints                #
#      Allowed services              #
#      Actions (permit, deny, ipsec) #
######################################
IpFilterRule            ZoneB-Permitted-traffic
{
   IpSourceAddrRef           PrivateServerAddress
   IpDestAddrRef             ZoneB
   IpServiceRef              IKE-local-500
   IpServiceRef              IKE-local-4500
   IpServiceGroupRef         SecureFTPServer
   IpGenericFilterActionRef  permit-nolog
}

IpFilterRule           FTPServer-ZoneB
{
   IpSourceAddrRef           PrivateServerAddress
   IpDestAddrRef             ZoneB
   IpServiceGroupRef         FTPServer
   IpGenericFilterActionRef  ipsec-nolog
   IpDynVpnActionRef         FTP-vpnaction
}
 
####################
# IpService groups #
####################
IpServiceGroup            FTPServer
{
   IpServiceRef           FTPServer-Control
   IpServiceRef           FTPServer-Data-Passive
}

IpServiceGroup            SecureFTPServer
{
   IpServiceRef           SecureFTPServer-Control
   IpServiceRef           SecureFTPServer-Data-Passive
}

##################################
# Services provided by this host #
##################################

IpService                    IKE-local-500
{
  SourcePortRange            500
  DestinationPortRange       0
  Protocol                   UDP
  Direction                  bidirectional
  Routing                    local
  SecurityClass              0
}

IpService                    IKE-local-4500
{
  SourcePortRange            4500
  DestinationPortRange       0
  Protocol                   UDP
  Direction                  bidirectional
  Routing                    local
  SecurityClass              0
}

IpService                    SecureFTPServer-Control
{
  SourcePortRange            990
  DestinationPortRange       1024 65535
  Protocol                   tcp
  Direction                  bidirectional InboundConnect
  Routing                    local
  SecurityClass              0
}

IpService                    SecureFTPServer-Data-Passive
{
  SourcePortRange            50201 50400
  DestinationPortRange       1024 65535
  Protocol                   tcp
  Direction                  bidirectional InboundConnect
  Routing                    local
  SecurityClass              0
}

IpService                    FTPServer-Control
{
  SourcePortRange            21
  DestinationPortRange       1024 65535
  Protocol                   tcp
  Direction                  bidirectional InboundConnect
  Routing                    local
  SecurityClass              0
}

IpService                  FTPServer-Data-Passive
  {
    SourcePortRange            50000 50200  
    Protocol                   tcp
    Direction                  bidirectional InboundConnect
    Routing                    local
    SecurityClass              0
  }

######################
# Security Endpoints #
######################
LocalSecurityEndpoint  Local_IKED
{
   Identity      Fqdn  Server.PCO1.example.com 
   Location      10.1.1.1
}

RemoteSecurityEndpoint   ZoneB_IKED
{
   Identity      Fqdn   *.PCO2.example.com 
   Location      9.4.4.4
   CaLabel       CA4PartnerCompany
}
                                                                            
##########################
# Generic filter actions #
##########################

IpGenericFilterAction    permit-nolog
{
   IpFilterAction        permit
   IpFilterLogging       no
}

IpGenericFilterAction    ipsec-nolog
{
   IpFilterAction        ipsec
   IpFilterLogging       no
}

##################################
# Key Exchange offers            #
#   defines:                     #
#     Authentication type        #
#     Encryption type            #
#     Peer authentication method #
#     Refresh limits             #
##################################
KeyExchangeOffer RSA-SHA1-3DES-DH2
{
   HowToEncrypt    3DES
   HowToAuthMsgs   SHA1
   HowToAuthPeers  RsaSignature
   DHGroup         Group2
   RefreshLifetimeProposed  480
   RefreshLifetimeAccepted  240 1440
   RefreshLifesizeProposed  none
   RefreshLifesizeAccepted  none
}

##################################
# Key Exchange Actions           #
#  defines:                      #
#    Negotiation mode            #
#    List of Key exchange offers #
##################################
KeyExchangeAction Main-RSA-SHA1-3DES-DH2
{
   HowToInitiate       main
   HowToRespondIKEv1   main
   KeyExchangeOfferRef RSA-SHA1-3DES-DH2
}

######################################
# KeyExchangeRules                   #
#   defines:                         #
#      A pair of security endpoints  #
#      permitted in IKE negotiations #
######################################
KeyExchangeRule              ZoneB_KeyExRule1
{
   LocalSecurityEndpointRef  Local_IKED
   RemoteSecurityEndpointRef ZoneB_IKED
   KeyExchangeActionRef      Main-RSA-SHA1-3DES-DH2
}

############################
# Data Offers              #
#   defines:               #
#      Encapsulation mode  #
#      Authentication type #
#      Encryption type     #
#      Refresh limits      #
############################
### Authenticated offer ###
IpDataOffer TRAN-ESPSHA-NOENCR
{
   HowToEncap   Transport
   HowToEncrypt DoNot
   HowToAuth    ESP HMAC_SHA1
   RefreshLifetimeProposed 240
   RefreshLifetimeAccepted 120 480
   RefreshLifesizeProposed  none
   RefreshLifesizeAccepted  none
}

##############################
# Dynamic VPN Actions        #
#   defines:                 #
#     Initiation role        #
#     Pfs group              #
#     Lifetime of connection #
#     List of Data offers    #
##############################
IpDynVpnAction FTP-vpnaction
{
   Initiation           remoteonly
   InitiateWithPfs      group2
   AcceptablePfs        group2
   VpnLife              1440
   IpDataOfferRef       TRAN-ESPSHA-NOENCR
}


################
# IP addresses #
################

IpAddr    PrivateServerAddress
{
   Addr   10.1.1.1
}

IpAddr    ZoneB
{
   Addr   9.4.4.4
}