IPSec(Security Architecture for IP) とは暗号化技術となります。
VPNの構築に使われ、ネットワーク層で機能します。
事前共有キー (Pre-Shared Key)での認証を実施するのでSSLVPNより処理が速いとされています。
通信モード
モードには、トランスポートモードとトンネルモードの2つのモードがあります。
トンネルモード:NW機器同士 (サイト間 VPN)で暗号化・復号化を行う
NW機器で新たにIPアドレスとESPのヘッダなどを付与してルータ間のパケットを暗号化する
トランスポートモード:エンドポイント同士が直接暗号化・復号化を行う
データ部分を暗号化してエンド間のパケットを暗号化する
プロトコル
主にESPとAHの2種類のプロトコルがありますが、AHの方は使用しているところ見たことがないです。
ESP(IP暗号化ペイロード[IP Encapsulating Security Payload] )
・改ざん検知/暗号化する
・認証
・IPプロトコル番号 50
AH(IP認証ヘッダIP Authentication Header)
・改ざん検知/暗号化はしない
・認証
・IPプロトコル番号 51
鍵交換(IKE)
IKEは秘密鍵情報の交換を安全に行う。
交換にはUDP:500番を使用します。
IKEフェーズ1とIKEフェーズ2でSAを構築して、VPNを設立します。
SA(Security Association)
VPN設立間で確立するコネクションの事。
SAは送信用トンネルと受信用トンネルの2つのコネクションを張ります。
SAにはISAKMP SAとIPSEC SAの2種類があります。
ISAKMP SA=IKEフェーズ1
・ISKAMP SAを構築するための暗号方針などを確定するパラメータを交換
・DHを使用して鍵を交換する
IPSEC SA=IKEフェーズ2
・IPSEC SAを構築するための暗号アルゴリズムなどのパラメータを交換
・通信はISAKMP SAで暗号化される
| ISAKMP SA(フェーズ1)のパラメータ | |
| 暗号アルゴリズム | DES・3DES・AES(128/192/256bit)から選択 |
| ハッシュアルゴリズム | md5・sha(256・384・512)から選択 |
| 認証方式 | rsa-sig:RSA署名 rsa-encr:RSA暗号化ナンス pre-share:事前共有鍵 |
| DHグループ | グループ番号を指定 |
| ライフタイム | ISAKMP SAの有効時間を指定 |
| IPSEC SA(フェーズ2)のパラメータ | |
| セキュリティプロトコル | ESP/AH から選択 |
| 暗号アルゴリズム | DES・3DES・AES(128/192/256bit)から選択 |
| 認証アルゴリズム | HMAC-(MD5・SHA1・SHA2(256/384/512))から選択 |
| ライフタイム | IPSEC SAの有効時間を指定 |
| モード | トンネルモード・トランスポートモードから選択 |
※各種アルゴリズムの細かい説明はこちらを参照→「暗号アルゴリズムについて」
DPD(Dead Peer Detection)とは
IPsecのDownをリアルタイムに検出するため、ルータ間でお互いの死活監視のためにKeepaliveを実行する。
検出にかかる時間は、 DPDメッセージの送信間隔と送信回数の設定次第となります。
コメント