BETA

IPSec周りの知識(書きかけ)

投稿日:2020-05-22
最終更新:2020-05-22

IPSecとは

IP通信を暗号化し、パケット単位で改竄検知や暗号化を提供できる

GREとは

レイヤ2で動作するトンネリングプロトコル
Generic Routing Encapsulation
GREトンネルは上位レイヤからは見えず、直接接続されているように見える
暗号化機能は備わっていない

IPSec over GREとは

GREとIPSecを組み合わせることで、暗号化された拠点間接続を実現する

トンネリングプロトコルとは

ネットワーク間を名前の通りトンネルのようにつなぐためのプロトコル
Layer2ではL2TP L2F PPTPがある
Layer3ではGRE IPSecがある

IPSecの動作モード

  • トランスポートモード
    元のIPヘッダは変更されない、L4以上のデータのみ暗号化する
    パケット元のIPヘッダに基づいてパケットが転送される

  • トンネルモード
    元のIPヘッダごと暗号化される
    新たなIPヘッダをが加えられ、それに基づいて転送される

IPSecの暗号化を支えるプロトコル

SA

Security Association
ピアを確立し、暗号化通信をする
SAによる暗号化は片方向であるため、通信の時は双方向のSAを確立する
IPSecではIKEを使用し鍵交換を行いESPで暗号化を行う
認証と改竄防止にはAHが使用される

[次の情報が含まれる]

  • 暗号化や認証に必要なキー情報
  • 使用できるアルゴリズム
  • エンドポイントの識別情報
  • システムによって使用されるその他のパラメータ

IKE

Internet Key Exchange protocol
ここでは、SAを管理するプロトコルv1,v2がある
IKEは二種類のデータベースを管理する

  • SPD(Security Policy Database)
    着信したパケットをIPSecとして扱うかどうかの情報を格納する
  • SAD(Security Association Database)
    共通鍵と暗号化スイートを格納する

    IKEは2つのフェーズでSAのコネクションを確立させる
    それぞれのフェーズでは以下のパラメータを確定させる

  • フェーズ1
    IKEで使用する暗号化アルゴリズム(DES or 3DES or AES)
    IKEで使用するハッシュアルゴリズム(MD5 or SHA-1)
    SAのライフタイム
    IKEピアを認証する認証方式
    DH鍵計算のための

AH

Authentication Header
HMACを用いて改竄検知を行う

ESP

Encapsulated Security Payload
HMACを用いて改竄検知を行う
ペイロード部の暗号化を行う
(IPヘッダ、経路ヘッダ、ポップバイポップオプションヘッダ以外)

HMAC(プロトコルではない?)

2者間でメッセージを送信する際に、本文と暗号鍵の改竄検知を行う

IPSecのコネクション確立の流れ

SAを確立したのち、いずれかのプロトコルを使用して通信をおこなう
使用する共通鍵はSAの確立時に生成される。

暗号化方式

.

技術ブログをはじめよう Qrunch(クランチ)は、プログラマの技術アプトプットに特化したブログサービスです
駆け出しエンジニアからエキスパートまで全ての方々のアウトプットを歓迎しております!
or 外部アカウントで 登録 / ログイン する
クランチについてもっと詳しく

この記事が掲載されているブログ

よく一緒に読まれる記事

0件のコメント

ブログ開設 or ログイン してコメントを送ってみよう