「IPsec」の編集履歴(バックアップ)一覧はこちら
「IPsec」(2012/07/27 (金) 11:25:49) の最新版変更点
追加された行は緑色になります。
削除された行は赤色になります。
<p><u>・IPsecとは<br /></u>インターネット上でVPNを構築する際に使う。<br />
共通鍵暗号化方式を用いて元のパケットを暗号化する。</p>
<p><u>・SA(Security Association)<br /></u>個人同士がIPsecでやり取りするためのセキュリティ条件のこと。<br />
相手を確認する符丁や鍵などを決めておく事。</p>
<p>
<u>・トランスポートモードとトンネルモード</u><u><br /></u>-トランスポートモード:トランスポート層以上のデータを暗号化する。(IPヘッダは暗号化されない)<br />
-トンネルモード:ネットワーク層以上のデータを暗号化する。(IPヘッダも暗号化され、新しいIPヘッダが付加される)<br /><br />
・<u>IKE(Internet key
Exchange)<br /></u>SAを決定する仕組み。<u><br /></u>相手を認証し、自動で暗号鍵を渡す仕組み。<br />
-メインモード:IPSECを行う両者のIPアドレスが固定されている必要がある。<br />
-アグレッシブモード:IPSECを行う両者のIPアドレスが固定されている必要が無い。手順が簡略化されている。<br /><br />
※具体的なIKEとしてISAKMPがある。<br />
※メインモードでIPアドレスが固定さていいなければならない理由。<br /><br />
1、相手の認証フェーズではIPアドレスがIDに使われる。<br />
2、メインモードではID(=IPアドレス)は暗号化される。<br />
3、暗号化の為には事前共有鍵が必要。<br />
4、事前共有鍵の入手には相手のIPアドレスで相手(VPN装置とPSkeyの対応)を識別しないといけない。<br />
<br />
以上から、メインモードでは事前に相手のIPアドレスを知っている必要がある。<br />
アグレッシブモードではそもそもIDを暗号化しないのでこのような事は発生しない。 </p>
<p><u>・XAUTH(Extended Authentication witihin IKE)</u><br />
ユーザー認証の仕組みをIKEに取り込んだもの。<br />
フェーズ1の後でIDとパスワードによるユーザー認証を行う。</p>
<p>
<u>・IKEでのNAPTが経路上にある場合の問題<br /></u>IKEではUDP500番ポートを使うが、途中でNAPTがある場合ポート番号が変更されてしまう為、正常な通信が出来ない。<br /><br /><u>・NATトラバーサル<br /></u>ESPでトランスポート層が暗号化されるとポート番号が読めない為、通信ができなくなる問題を解決する。<br />
方法:新しいUDPヘッダをつける事で解決。<br />
</p>
<p><u>・IPsecとは<br /></u>インターネット上でVPNを構築する際に使う。<br />
共通鍵暗号化方式を用いて元のパケットを暗号化する。</p>
<p><u>・SA(Security Association)<br /></u>個人同士がIPsecでやり取りするためのセキュリティ条件のこと。<br />
相手を確認する符丁や鍵などを決めておく事。</p>
<p>
<u>・トランスポートモードとトンネルモード</u><u><br /></u>-トランスポートモード:トランスポート層以上のデータを暗号化する。(IPヘッダは暗号化されない)<br />
-トンネルモード:ネットワーク層以上のデータを暗号化する。(IPヘッダも暗号化され、新しいIPヘッダが付加される)<br /><br />
・<u>IKE(Internet key
Exchange)<br /></u>SAを決定する仕組み。<u><br /></u>相手を認証し、自動で暗号鍵を渡す仕組み。<br />
-メインモード:IPSECを行う両者のIPアドレスが固定されている必要がある。<br />
-アグレッシブモード:IPSECを行う両者のIPアドレスが固定されている必要が無い。手順が簡略化されている。<br /><br />
※具体的なIKEとしてISAKMPがある。<br />
※メインモードでIPアドレスが固定さていいなければならない理由。<br /><br />
1、相手の認証フェーズではIPアドレスがIDに使われる。<br />
2、メインモードではID(=IPアドレス)は暗号化される。<br />
3、暗号化の為には事前共有鍵が必要。<br />
4、事前共有鍵の入手には相手のIPアドレスで相手(VPN装置とPSkeyの対応)を識別しないといけない。<br />
<br />
以上から、メインモードでは事前に相手のIPアドレスを知っている必要がある。<br />
アグレッシブモードではそもそもIDを暗号化しないのでこのような事は発生しない。 </p>
<p><u>・XAUTH(Extended Authentication witihin IKE)</u><br />
ユーザー認証の仕組みをIKEに取り込んだもの。<br />
フェーズ1の後でIDとパスワードによるユーザー認証を行う。</p>
<p>
<u>・IKEでのNAPTが経路上にある場合の問題<br /></u>IKEではUDP500番ポートを使うが、途中でNAPTがある場合ポート番号が変更されてしまう為、鍵交換が出来ない。<br /><br /><u>・NATトラバーサル<br /></u>ESPでトランスポート層が暗号化されるとポート番号が読めない為、通信ができなくなる問題を解決する。<br />
方法:新しいUDPヘッダをつける事で解決。<br />
</p>