IPsec


※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

・IPsecとは
インターネット上でVPNを構築する際に使う。
共通鍵暗号化方式を用いて元のパケットを暗号化する。

・SA(Security Association)
個人同士がIPsecでやり取りするためのセキュリティ条件のこと。
相手を確認する符丁や鍵などを決めておく事。

・トランスポートモードとトンネルモード
-トランスポートモード:トランスポート層以上のデータを暗号化する。(IPヘッダは暗号化されない)
-トンネルモード:ネットワーク層以上のデータを暗号化する。(IPヘッダも暗号化され、新しいIPヘッダが付加される)

IKE(Internet key Exchange)
SAを決定する仕組み。
相手を認証し、自動で暗号鍵を渡す仕組み。
-メインモード:IPSECを行う両者のIPアドレスが固定されている必要がある。
-アグレッシブモード:IPSECを行う両者のIPアドレスが固定されている必要が無い。手順が簡略化されている。

※具体的なIKEとしてISAKMPがある。
※メインモードでIPアドレスが固定さていいなければならない理由。

 1、相手の認証フェーズではIPアドレスがIDに使われる。
 2、メインモードではID(=IPアドレス)は暗号化される。
 3、暗号化の為には事前共有鍵が必要。
 4、事前共有鍵の入手には相手のIPアドレスで相手(VPN装置とPSkeyの対応)を識別しないといけない。
 
 以上から、メインモードでは事前に相手のIPアドレスを知っている必要がある。
 アグレッシブモードではそもそもIDを暗号化しないのでこのような事は発生しない。 

・XAUTH(Extended Authentication witihin IKE)
ユーザー認証の仕組みをIKEに取り込んだもの。
フェーズ1の後でIDとパスワードによるユーザー認証を行う。

・IKEでのNAPTが経路上にある場合の問題
IKEではUDP500番ポートを使うが、途中でNAPTがある場合ポート番号が変更されてしまう為、鍵交換が出来ない。

・NATトラバーサル
ESPでトランスポート層が暗号化されるとポート番号が読めない為、通信ができなくなる問題を解決する。
方法:新しいUDPヘッダをつける事で解決。