「さくらの専用サーバ」ファイアウォール ASA 9.16 へのファームウェアアップデート¶
重要
本ページは「さくらの専用サーバ」のファイアウォール「Cisco Firepower 4125」のファームウェアアップデートメンテナンスの重要な注意点について記載しています。
概要¶
ファームウェア情報¶
ファームウェアアップデートメンテナンスの重要な注意点¶
IKE および IPsec で使用される安全性の低い暗号のサポートが廃止されます¶
ファームウェアバージョンは ASA 9.16 では、次の暗号のサポートが廃止されます。
Diffie-Hellman グループ:2 および 24
暗号化アルゴリズム:DES、3DES、AES-GMAC、AES-GMAC-192、AES-GMAC-256、NULL、ESP-3DES、ESP-DES、ESP-MD5-HMAC
ハッシュアルゴリズム:MD5
警告
VPN 機能をご利用の場合、廃止される暗号からサポートが継続される暗号に設定を変更いただく必要がございます。 変更いただけない場合は、ファームウェアアップデート時に設定が拒否され、以下のいずれかの状態となります。
設定はデフォルトの暗号を使用する形で置き換えられる
設定が削除される
いずれの場合も正常に VPN 通信の行えない状態となりますので、対向側の機器を含めた VPN 設定の更新をお願いいたします。
サポートが廃止される暗号と代替となるサポートされる暗号の組み合わせは以下となります。
IKEv1:crypto ikev1 policy <priority>¶
廃止項目 |
代替項目 |
|---|---|
hash md5 |
hash sha |
encryption 3des
encryption des
|
encryption aes
encryption aes-192
encryption aes-256
|
group 2 |
group 14
group 5 ※非推奨
|
CLI での設定箇所と設定例は以下です。
crypto ikev1 policy <priority>¶crypto ikev1 policy 1 authentication pre-share encryption aes hash sha group 14 lifetime 28800
GUI での設定箇所と設定例は以下となります。
IKEv2:crypto ikev2 policy <priority>¶
廃止項目 |
代替項目 |
|---|---|
prf md5 |
prf sha256
prf sha384
prf sha512
prf sha
|
integrity md5 |
integrity sha256
integrity sha384
integrity sha512
integrity sha
|
encryption 3des
encryption des
encryption null
|
encryption aes
encryption aes-192
encryption aes-256
encryption aes-gcm
encryption aes-gcm-192
encryption aes-gcm-256
|
group 2
group 24
|
group 14
group 15
group 16
group 19
group 20
group 21
group 5 ※非推奨
|
CLI での設定箇所と設定例は以下です。
crypto ikev2 policy <priority>¶crypto ikev2 policy 1 encryption aes integrity sha256 group 14 prf sha256 lifetime seconds 28800
GUI での設定箇所と設定例は以下となります。
IPsec:crypto ipsec ikev1 transform-set <name>¶
廃止項目 |
代替項目 |
|---|---|
esp-3des
esp-des
|
esp-aes
esp-aes-192
esp-aes-256
esp-null
|
esp-md5-hmac |
esp-sha-hmac
esp-none
|
CLI での設定箇所と設定例は以下です。
crypto ipsec ikev1 transform-set <name>¶crypto ipsec ikev1 transform-set FirstSet esp-aes esp-sha-hmac
GUI での設定箇所と設定例は以下となります。
IPsec:crypto ipsec ikev2 ipsec-proposal <name>¶
廃止項目 |
代替項目 |
|---|---|
protocol esp encryption 3des
protocol esp encryption des
protocol esp encryption aes-gmac
protocol esp encryption aes-gmac-192
protocol esp encryption aes-gmac-256
|
protocol esp encryption aes
protocol esp encryption aes-192
protocol esp encryption aes-256
protocol esp encryption aes-gcm
protocol esp encryption aes-gcm-192
protocol esp encryption aes-gcm-256
|
protocol esp integrity md5 |
protocol esp integrity sha-256
protocol esp integrity sha-384
protocol esp integrity sha-512
protocol esp integrity sha-1
protocol esp integrity null
|
CLI での設定箇所と設定例は以下です。
crypto ipsec ikev2 ipsec-proposal <name>¶crypto ipsec ikev2 ipsec-proposal secure protocol esp encryption aes protocol esp integrity sha-256
GUI での設定箇所と設定例は以下となります。
Crypto Map:crypto map <name> <sequence>¶
廃止項目 |
代替項目 |
|---|---|
set pfs group2
set pfs group24
|
set pfs group14
set pfs group5 ※非推奨
set pfs group15 ※IKEv1 では使用不可
set pfs group16 ※IKEv1 では使用不可
set pfs group19 ※IKEv1 では使用不可
set pfs group20 ※IKEv1 では使用不可
set pfs group21 ※IKEv1 では使用不可
|
set ikev1 phase1-mode aggressive group2 |
set ikev1 phase1-mode aggressive group14
set ikev1 phase1-mode aggressive group5 ※非推奨
|
CLI での設定箇所と設定例は以下です。
crypto map <name> <sequence> ※IKEv1¶crypto map asa 1 match address l2l_vpn crypto map asa 1 set pfs group14 crypto map asa 1 set peer <peer IP> crypto map asa 1 set ikev1 transform-set FirstSet crypto map asa interface outsidecrypto map <name> <sequence> ※IKEv2¶crypto map asa 1 match address l2l_vpn crypto map asa 1 set pfs group14 crypto map asa 1 set peer <peer IP> crypto map asa 1 set ikev2 ipsec-proposal secure crypto map asa 1 set security-association lifetime seconds 7200 crypto map asa interface outside
GUI での設定箇所と設定例は以下となります。
Q&A¶
通信断は発生しますか?¶
メンテナンス時のファイアウォール機器のフェールオーバーに伴い、数秒の通信遅延が1度発生する可能性がございます。
ファームウェアアップデートメンテナンスの日時が変更される場合はありますか?¶
クリティカルな脆弱性が報告された場合など、事前に告知を行った上で緊急で実施する場合はございます。
VPN 設定を行っていません。事前に対応すべきことはありますか?¶
いいえ。いくつかの変更点はございますが VPN 設定を行っていないのであれば特に対応は不要です。