情報処理関連まとめ
情報処理関連まとめ

IPsec

「IPsec」の編集履歴(バックアップ)一覧はこちら

IPsec」(2012/07/27 (金) 11:25:49) の最新版変更点

追加された行は緑色になります。

削除された行は赤色になります。

<p><u>・IPsecとは<br /></u>インターネット上でVPNを構築する際に使う。<br /> 共通鍵暗号化方式を用いて元のパケットを暗号化する。</p> <p><u>・SA(Security Association)<br /></u>個人同士がIPsecでやり取りするためのセキュリティ条件のこと。<br /> 相手を確認する符丁や鍵などを決めておく事。</p> <p> <u>・トランスポートモードとトンネルモード</u><u><br /></u>-トランスポートモード:トランスポート層以上のデータを暗号化する。(IPヘッダは暗号化されない)<br /> -トンネルモード:ネットワーク層以上のデータを暗号化する。(IPヘッダも暗号化され、新しいIPヘッダが付加される)<br /><br /> ・<u>IKE(Internet key Exchange)<br /></u>SAを決定する仕組み。<u><br /></u>相手を認証し、自動で暗号鍵を渡す仕組み。<br /> -メインモード:IPSECを行う両者のIPアドレスが固定されている必要がある。<br /> -アグレッシブモード:IPSECを行う両者のIPアドレスが固定されている必要が無い。手順が簡略化されている。<br /><br /> ※具体的なIKEとしてISAKMPがある。<br /> ※メインモードでIPアドレスが固定さていいなければならない理由。<br /><br />  1、相手の認証フェーズではIPアドレスがIDに使われる。<br />  2、メインモードではID(=IPアドレス)は暗号化される。<br />  3、暗号化の為には事前共有鍵が必要。<br />  4、事前共有鍵の入手には相手のIPアドレスで相手(VPN装置とPSkeyの対応)を識別しないといけない。<br />  <br />  以上から、メインモードでは事前に相手のIPアドレスを知っている必要がある。<br />  アグレッシブモードではそもそもIDを暗号化しないのでこのような事は発生しない。 </p> <p><u>・XAUTH(Extended Authentication witihin IKE)</u><br /> ユーザー認証の仕組みをIKEに取り込んだもの。<br /> フェーズ1の後でIDとパスワードによるユーザー認証を行う。</p> <p> <u>・IKEでのNAPTが経路上にある場合の問題<br /></u>IKEではUDP500番ポートを使うが、途中でNAPTがある場合ポート番号が変更されてしまう為、正常な通信が出来ない。<br /><br /><u>・NATトラバーサル<br /></u>ESPでトランスポート層が暗号化されるとポート番号が読めない為、通信ができなくなる問題を解決する。<br /> 方法:新しいUDPヘッダをつける事で解決。<br />  </p>
<p><u>・IPsecとは<br /></u>インターネット上でVPNを構築する際に使う。<br /> 共通鍵暗号化方式を用いて元のパケットを暗号化する。</p> <p><u>・SA(Security Association)<br /></u>個人同士がIPsecでやり取りするためのセキュリティ条件のこと。<br /> 相手を確認する符丁や鍵などを決めておく事。</p> <p> <u>・トランスポートモードとトンネルモード</u><u><br /></u>-トランスポートモード:トランスポート層以上のデータを暗号化する。(IPヘッダは暗号化されない)<br /> -トンネルモード:ネットワーク層以上のデータを暗号化する。(IPヘッダも暗号化され、新しいIPヘッダが付加される)<br /><br /> ・<u>IKE(Internet key Exchange)<br /></u>SAを決定する仕組み。<u><br /></u>相手を認証し、自動で暗号鍵を渡す仕組み。<br /> -メインモード:IPSECを行う両者のIPアドレスが固定されている必要がある。<br /> -アグレッシブモード:IPSECを行う両者のIPアドレスが固定されている必要が無い。手順が簡略化されている。<br /><br /> ※具体的なIKEとしてISAKMPがある。<br /> ※メインモードでIPアドレスが固定さていいなければならない理由。<br /><br />  1、相手の認証フェーズではIPアドレスがIDに使われる。<br />  2、メインモードではID(=IPアドレス)は暗号化される。<br />  3、暗号化の為には事前共有鍵が必要。<br />  4、事前共有鍵の入手には相手のIPアドレスで相手(VPN装置とPSkeyの対応)を識別しないといけない。<br />  <br />  以上から、メインモードでは事前に相手のIPアドレスを知っている必要がある。<br />  アグレッシブモードではそもそもIDを暗号化しないのでこのような事は発生しない。 </p> <p><u>・XAUTH(Extended Authentication witihin IKE)</u><br /> ユーザー認証の仕組みをIKEに取り込んだもの。<br /> フェーズ1の後でIDとパスワードによるユーザー認証を行う。</p> <p> <u>・IKEでのNAPTが経路上にある場合の問題<br /></u>IKEではUDP500番ポートを使うが、途中でNAPTがある場合ポート番号が変更されてしまう為、鍵交換が出来ない。<br /><br /><u>・NATトラバーサル<br /></u>ESPでトランスポート層が暗号化されるとポート番号が読めない為、通信ができなくなる問題を解決する。<br /> 方法:新しいUDPヘッダをつける事で解決。<br />  </p>

表示オプション

横に並べて表示:
変化行の前後のみ表示: