IPsec
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[ネットワーク用語]] > IPsec
* IPsec [#sef930df]
IPsec = Internet Protocol Security (Security Architecture...
[[IPsec - Wikipedia>http://ja.wikipedia.org/wiki/IPsec]]
>IPsec(Security Architecture for Internet Protocol、アイ...
これによって、暗号化をサポートしていない[[トランスポート...
>IPsecは[[AH]] (Authentication Header) による完全性、認証...
>IPv4, IPv6両者で利用できる。
IPv6では専用の拡張ヘッダが定義されているが、IPv4ではIPヘ...
>IPsecの動作モードにはパケットデータ部のみを暗号化(ないし...
トンネルモードは主として[[VPN]]で使用される。
** 通信モード [#w46e240b]
[[トランスポートモード/トンネルモード - マルチメディア振...
>''IPsecの通信モード''
IPsecの通信モードには、データ部分のみの認証/暗号化を行い...
トランスポートモードはエンド・ツー・エンドで認証や暗号化...
CENTER:&ref(mode01.gif);
** トランスポートモード [#e257275c]
CENTER:&ref(mode02.gif);
** トンネルモード [#p4bd984b]
CENTER:&ref(mode03.gif);
----
[[IPsecらくらくマスター:ITpro>http://itpro.nikkeibp.co.j...
** 定番のケースに絞って攻略 [#o11e5d21]
IPsecが使われている典型的なケースを取り上げ,そのケースの...
&color(red){IPsecが実際に使われているパターンは,ルーター...
こうした定番のケースだけを集中的に理解することが,IPsecを...
CENTER:&ref(zu2s.jpg);
>●IPsecを理解するためのアプローチ
最初から勉強していくとなかなか理解が進まない。
そこで最初に,通信の全体像をざっくり把握する。
その上でIPsecの最終目的を押さえ,その目的を実現するために...
** 全体をつかんでから逆にたどる [#w20eb4d6]
IPsecのやりとりの流れは,
+ 情報を安全にやりとりするための土台作り(フェーズ1),
+ IPsecの暗号通信をするための準備(フェーズ2),
+ 実際のIPsecの暗号通信
──という3段階の流れになっている。
CENTER:http://program.sagasite.info/wiki/index.php?plugin...
最初に,この流れの全体像をつかむ。
全体像がわかったうえで個々を読み進めていけば,どこの部分...
続いて,通信の流れとは逆に,IPsecの暗号通信,フェーズ2,...
まずIPsecの暗号通信のしくみを見ることで,IPsecの最終目的...
またそこで同時に「IPsecの暗号通信を実現するために必要なも...
すると,その次に見るフェーズ2がその答えになる。
次のフェーズ2でも,フェーズ2の流れを見ながら「フェーズ2の...
するとその答えが次のフェーズ1を見ればわかるようになってい...
こうして,最終的にIPsecに関するやりとり全体を網羅する。
** ウォームアップ:全体像 [#dd7f2d18]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
やりとりは3段階に分かれる。まずは全体の流れをつかもう。
*** IPsecの処理は大きく三つ [#z69b5197]
IPsecの通信では10個のパケットをやりとりしている。
この10個のパケットは大きく,
フェーズ1((1)~(6)),
フェーズ2((7)~(9)),
IPsecの暗号通信((10)以降)
──の三つの部分に分かれている(図1-1)。
この三つは,最初の準備の部分ほどやりとりや処理が複雑で,I...
IPsecの暗号通信,フェーズ2,フェーズ1の順番に見ていく。
CENTER:&ref(zu11s.jpg);
>図1-1●IPsecの通信の全体像
最初に,鍵交換のためのプロトコルであるIKEが実行される。
IKEのやりとりが終わったあとにIPsecの通信が実行される。
実際にIPパケットを安全にやりとりしているのが,(10)以降...
この状態がIPsecの本来の目的とする通信となる。
上り通信用と下り通信用のトンネル(通信用トンネル)を使っ...
このIPsecの暗号通信で使うトンネルを作るための準備をするの...
フェーズ2では,暗号通信をするために必要な情報を交換する。
ただし,そこでやりとりしている情報が,他人に知られてしま...
そこで,このフェーズ2のやりとりに関しても暗号化したトンネ...
そして,この制御用トンネルを作るのが最初の「フェーズ1」で...
フェーズ1では,そもそも通信相手が正しい相手かどうかも検証...
*** 暗号通信を始めるまでの準備が主 [#v28c78dd]
つまり,本番のIPsecの暗号通信をするための準備がフェーズ2...
結局フェーズ1とフェーズ2は,IPsecによって暗号通信するため...
ここが押さえられれば,IPsecの全体像はつかめたも同然だ。
なお,IPsecで使う通信用トンネルと,フェーズ2で使う制御用...
それぞれのトンネルの寿命が切れそうになると新しいトンネル...
IPsecの暗号通信で使っている通信用トンネルの寿命が切れそう...
また,フェーズ2で使っている制御用トンネルの寿命が切れそう...
IPsecではこのように,使うトンネルを定期的に更新して,やり...
*** お互いが秘密に同じ鍵を共有したい [#qaa59918]
IPsecの暗号通信に先立って処理されるフェーズ1とフェーズ2の...
[[IKE]]は,internet key exchangeの略。日本語に訳すと「イ...
IPsecを理解するうえでのポイントが,この「鍵交換」である。
IPsecで暗号通信をするときは,通信する両者で同じ鍵を使う。
トンネルの両端に同じ鍵を用意して,トンネルの入口でパケッ...
このIPsecの暗号化した通信を実現するための鍵を共有するのが...
CENTER:&ref(zu12s.jpg);
>図1-2●「鍵交換」とは?
IPsecでは,暗号化と認証の鍵を使ってやりとりする。
通信する両者でこの鍵を共有するのが鍵交換である。
フェーズ1でフェーズ2で使う鍵を作り,フェーズ2でIPsecの暗...
***「鍵交換」ではなく「鍵共有」 [#p6042674]
「鍵交換」というと,鍵そのものを交換しているようにとらえ...
実際は,鍵を作るのに必要な情報の一部をネットワーク上で交...
仮にやりとりした情報が漏れても,お互い以外には同じ鍵を作...
ここでは,フェーズ1とフェーズ2のやりとりで,鍵そのもので...
つまり,「鍵交換」ではなく「鍵共有」と捉えた方が,実際の...
** ホップ:IPsecの暗号通信(パケット(10)以降) [#he3921...
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
*** トンネルの出入口でパケットを処理,暗号化と改ざん確認...
ここから先は,IPsecの暗号通信,フェーズ2,フェーズ1の順に...
*** 決められた形にパケットを格納 [#td8c9e1b]
最初は,IPsecの最終目的である「IPsecの暗号通信」だ。
IPsecによってルーター同士で最終的にどのようなやりとりがな...
さらに,IPsecの暗号通信をするために必要なものも確認しよう。
IPsecの暗号通信では,上り通信用と下り通信用の二つの通信用...
そもそもトンネルというのは,あくまで仮想的なもの。
「外から中を流れる内容がわからない」ようにしたデータを「...
両者のルーターは,この二つの性質を備えたパケットを作る。...
CENTER:&ref(zu21_600.jpg);
>図2-1●IPsecの暗号通信
IPパケットを暗号化して,さらに改ざんをチェックできるよう...
やりとりでは暗号/認証アルゴリズムと鍵が必要になるが,これ...
ルーターAにIPパケットが入ってきたら,ルーターAは,そのIP...
ESPヘッダーにはトンネルの識別番号であるSPI値が入っており...
この暗号化パケットはIPヘッダーの情報を基にインターネット...
暗号化パケットを受け取ったルーターBは,ESPヘッダーに記述...
その後で,改ざん検証用のデータをチェックしてIPパケットの...
*** 同じ鍵を使ってパケットを復号 [#uedcca97]
IPsecを理解するうえで,暗号化と認証(改ざんチェック)の理...
しくみを押さえよう(図2-2)。
CENTER:&ref(zu22.jpg);
>図2-2●データの暗号化と認証のしくみ
暗号化では,両者が同じ暗号アルゴリズムと暗号鍵を使う。
データ認証でも通信する両者で共通する認証アルゴリズムと認...
暗号化は,暗号化したい対象(データ)を特定の暗号アルゴリ...
このとき,暗号データを作成するために暗号鍵を使う。
暗号鍵の実体は,特定のビットが並んだものである。
この暗号鍵のビット情報を使ってデータを演算して,暗号デー...
IPsecではデータの暗号化に共通鍵暗号方式を使う。
これは,データの暗号化と復号に同じ鍵を使う方式である。
つまり,暗号化されたデータを復号するには,暗号化したとき...
こうしてはじめて,お互いで暗号通信ができるようになるわけ...
*** 鍵付きハッシュでパケットを認証 [#wf513825]
次に,改ざんをチェックするデータ認証のしくみを見てみよう。
データ認証とは,データが通信途中で改ざんされていないかを...
IPsecでは,データ認証にハッシュを使うのが一般的である。
あるデータをハッシュすると,どんな大きさのデータでも一定...
入力データが同じなら,出力データ(ハッシュ値)は必ず同じ...
つまり,受信側で受け取ったデータをハッシュし,そのハッシ...
なお,IPsecで使うハッシュは,入力データに「認証鍵」を組み...
ハッシュする際にお互いしか知らない情報を加えることで,お...
つまり,IPsecの暗号通信で使うデータ認証のためのアルゴリズ...
*** 「アルゴリズム」と「鍵」が必要 [#w46f6925]
まとめると,IPsecで暗号通信をするためには,パケットを暗号...
いろいろ解説してきたが,要はIPsecで使うこれらアルゴリズム...
なお,トンネルは上り通信用と下り通信用の二つに分かれてい...
これらを決めるのが,一つ前の段階であるフェーズ2になる。
** ステップ:フェーズ2(パケット(7)~(9)) [#o0070f0a]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
*** IPsecで使うトンネル情報はすべてここで決めておく [#u23...
続いて,IPsecの暗号通信に必要な準備をするフェーズ2を見て...
フェーズ2では,IPsecの暗号通信で使う暗号/認証アルゴリズム...
このフェーズ2のやりとりは,10個のパケットのうちの(7)~...
これも暗号化されたトンネル内でやりとりされる。
CENTER:&ref(zu31_600.jpg);
>図3-1●フェーズ2のやりとり
IPsecの暗号通信で使う暗号/認証アルゴリズムとこれらの鍵を...
ただ,ここでのやりとりは安全に実行する必要がある。
そのための鍵情報などを一つ前の段階のフェーズ1で決める。
*** IPsecで使う鍵はここで作る [#y4598ec7]
具体的には,(7)でルーターAが暗号/認証アルゴリズムをルー...
このとき,鍵の基となる情報(乱数とSPI値)も同時に送信する。
SPI値とは,トンネルを識別するためのもの。
ルーターが自分あてに通信するためのトンネル番号として通知...
鍵の基となる乱数とSPI値を受け取ったルーターBは,送られて...
ここで決めたアルゴリズムを,ルーターAに返信する(8)。
このときも同様に鍵の基となる情報(ルーターBで発生させた乱...
そして最後の(9)で,これまでのフェーズ2の通信((7)と(...
ルーターAは(7)と(8)でやりとりした両者の乱数を自分でハ...
ルーターBでも(7)と(8)で受け取った乱数をハッシュし,受...
*** 上り用と下り用の四つの鍵を作る [#r180a520]
これで,両者がそれぞれ作成した乱数とSPI値を共有できた。
両ルーターはこれらの情報を使ってIPsecで使う共通の鍵を作る。
具体的には,フェーズ1で作成した鍵を使って,SPI値と両者の...
その一方を暗号鍵として使い,もう一方を認証鍵として使うの...
暗号鍵と認証鍵はトンネルごとに作るので,上りトンネル用と...
つまりトンネル用の鍵は,両ルーターが宣言したSPI値ごとに作...
フェーズ2でやりとりした暗号アルゴリズムと認証アルゴリズム...
実践編でルーターに設定した内容を確認してみると,認証アル...
この設定項目がフェーズ2でやりとりされたわけだ(図3-2)。
CENTER:&ref(zu32_600.jpg);
>図3-2●ユーザーが設定した内容
ルーターに設定した暗号アルゴリズムや認証アルゴリズムはフ...
ちょっと複雑に思えたかもしれないが,フェーズ2では,IPsec...
*** トンネルの寿命も決めておく [#r3b30867]
これ以外にフェーズ2でやりとりする情報についても確認してお...
フェーズ2では,セキュリティ・プロトコル(パケット・フォー...
誌上体験で使ったヤマハのルーター「RT107e」では,これらは...
具体的には,セキュリティ・プロトコルはESPで,ライフタイム...
前の「IPsecの暗号通信」で解説した「暗号化したパケットにES...
トンネルの寿命を示すライフタイム値を決めるのは,IPsecでず...
このときに乱数の値が変わるので,鍵も全く別のものになる。
*** 安全にやりとりするしくみが必要 [#if8dbf73]
フェーズ2でやりとりする情報は,最終的にIPsecの暗号通信で...
そのため,これらの情報が他人に見られてしまうと,暗号通信...
そこで,フェーズ2のやりとり自体を安全に実行する別の暗号通...
この制御トンネルを使って(7)~(9)のパケットをやりとり...
トンネル通信を実現するための要素は,基本的にIPsecの暗号通...
やりとりする内容を暗号化するための「暗号アルゴリズム」と...
フェーズ2を始めるにあたって,これらをフェーズ1で決めてお...
** ジャンプ:フェーズ1(パケット(1)~(6)) [#h3001e72]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
*** 安全にやりとりする準備をする,接続相手はここで認証> [...
ここではIPsecで最初に実行するフェーズ1を見てみよう。
フェーズ1の目的は,フェーズ2を暗号化して安全にやりとりす...
どうやって実現しているのかを見てみよう。
*** 鍵の基を“不思議な計算”で作る [#o821d0be]
フェーズ1のやりとりは,IPsecでやりとりされる10個のパケッ...
一つの処理が一往復のやりとりになり,
(1)~(2)がフェーズ1とフェーズ2で使う暗号/認証アルゴリ...
(3)~(4)がフェーズ2で使う鍵の基となる情報の交換,
(5)~(6)が通信相手の認証
──である(図4-1)。
CENTER:&ref(zu41.jpg);
>図4-1●フェーズ1のやりとり
フェーズ2のやりとりをする制御用トンネルのための鍵を安全に...
また,以降の通信で使う暗号/認証アルゴリズムを決めたり,通...
(1)~(2)では,暗号/認証アルゴリズムやライフタイム(ト...
決め方はフェーズ2と同じ。
ルーターAが提案して,ルーターBが自分の設定と一致するもの...
フェーズ1のポイントとなるのは(3)~(4)のやりとりである。
ここでは,Diffie-Hellmanと呼ばれる計算を使って,フェーズ2...
この計算は,ネットワーク上で通信して両者しか知らない秘密...
IPsecを使う上でこの計算式を覚える必要はない。この特徴だけ...
念のために,Diffie-Hellmanの計算を簡単に説明しておく。
両ルーターは,公開値と秘密値と呼ぶ二つの値を作る。
そして,このうち公開値だけをお互いに交換する。
それから,それぞれが相手の公開値,自分の秘密値,事前に決...
つまり,四つの値のうち二つの公開値だけをやりとりすれば,...
仮にネットワーク上で交換した二つの公開値を第三者に盗まれ...
こうして,両者にしかわからない値を安全に共有するのだ。
両ルーターは,このDiffie-Hellmanの計算で共有した秘密の値...
具体的にはまず,事前共有鍵とお互いの乱数から鍵の基となる...
この鍵素材とDiffie-Hellmanの共有値を使ってハッシュし,3個...
これらの鍵は,Diffie-Hellmanの計算で算出した秘密の値がわ...
このため,両方のルーターだけがこれらの鍵を持っていること...
フェーズ1では,(5)~(6)で通信相手の検証もする。
ここでは,ユーザーがルーターに設定した「事前共有鍵」の情...
「自分の接続相手が自分と同じ事前共有鍵を持っているか」で...
IPsecを使うだけなら「事前共有鍵は両者に値を設定する」とだ...
ここでは理解を深めたい人のために,相手認証のしくみを紹介...
*** 事前共有鍵で通信相手を確かめる [#af78572e]
今回のケースは,両ルーターに事前共有鍵として「nikkei1」と...
ルーターAがルーターBに送るのは,自分のIPアドレスと,これ...
具体的には,(1)のペイロードと,(3)~(4)でやりとりし...
そして,このハッシュ値と自分のIPアドレスを暗号化してルー...
CENTER:&ref(zu42_600.jpg);
>図4-2●通信相手を認証するしくみ
接続相手のIPアドレスが自分と同じ事前共有鍵を持っているか...
接続相手が確かにこれまでやりとりしてきた相手かどうかもわ...
以下は,(5)の内容を詳しく紹介したもの。
(6)では認証する側とされる側を入れ替えて同様の処理をする。
暗号データを受け取ったルーターBは,暗号部分を復号すると,...
まずはIPアドレスをチェックして,なりすましがないことを確...
次に,ルーターB側でもルーターAと同じハッシュ計算をして,...
一致したら,通信相手は確かにこれまで(1)~(4)のやりと...
これでルーターBは,接続相手であるルーターAを認証できた。
このあと認証する側と認証される側を入れ替えて同様の処理を...
*** 必要な値はすべて決めておく [#sb5080f0]
フェーズ1の通信をするために必要な暗号/認証アルゴリズムな...
誌上体験で使ったヤマハの「RT107e」では,これらの値はすべ...
それもそのはず,フェーズ1はIPsecの暗号通信をするためのス...
暗号アルゴリズムや認証アルゴリズムもあらかじめすべて決め...
なお,フェーズ1で決めたフェーズ1と2で使う暗号/認証アルゴ...
ここのフェーズ1で決めた暗号/認証アルゴリズムは,あくまで...
** クールダウン:まとめ [#r40d0251]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
*** ここまでわかれば大丈夫,もうIPsecは怖くない [#pf9b3f60]
これまでの説明で,IPsecの重要なポイントはすべて押さえた。
最後にまとめとして,IPsecの全体像を見ておこう。
*** 三つの技術がIPsecの定番 [#q25de731]
IPsecはさまざまな技術が使えるようになっており,そのカバー...
そのため,本特集で紹介した内容は,IPsecの仕様の中の一部の...
しかし,このケースが,現在一般的に使われているIPsecの通信...
このことをもう少し具体的に見てみる。
本特集で説明したIPsecは,パケット・フォーマット(セキュリ...
CENTER:&ref(zu51.jpg);
>図5-1●本特集で取り上げたIPsec(現在一般的に使われている...
これまで見てきたのは,ESP(パケットの仕様),トンネル・モ...
IPsecでは,ほぼこの組み合わせが使われている。
ほかにさまざまな組み合わせがあるが,いずれもあまり使われ...
例えば,セキュリティ・プロトコルは,ESPのほかにAHというも...
ただしAHは暗号化機能を持っていないので,ほとんど使われて...
また,通信のモードにはマシン対マシンの1対1通信で使われる...
また,フェーズ1のやりとりを簡略化した「アグレッシブ・モー...
つまり,これまで解説してきたESP,トンネル・モード,アグレ...
ただ,フェーズ1の「アグレッシブ・モード」は,インターネッ...
これは,実践編の図の下側で紹介した通信である。
*** リモート接続用のモードがある [#e3035fd8]
メイン・モードでは,通信途中のフェーズ1の(5)と(6)で通...
それまでの間に通信相手を識別する情報は,通信相手のIPアド...
これに対して,接続する側のマシンのIPアドレスが変わるリモ...
アグレッシブ・モードでは,やりとりの最初で認証情報(ID情...
通信の最初に身元情報を交換するので,ID情報にIPアドレス以...
IPアドレスを使わないので,接続してくるマシンのIPアドレス...
CENTER:&ref(zu52s.jpg);
>図5-2●メイン・モードがわかればアグレッシブ・モードもわかる
リモート・アクセスが使われる環境では,フェーズ1のやりとり...
やりとりする内容は,両モードとも同じである。
[[実践編>http://itpro.nikkeibp.co.jp/article/COLUMN/20071...
ルーターAは,ID情報としてこの「PC1」という名前をルーターB...
認証にIPアドレスではなく文字列を使っているので,パソコン...
CENTER:&ref(zu1.jpg);
>http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/2843...
図の上側にあるのが,インターネットにつながっている拠点Aと...
図の下側は,パソコンが拠点BのルーターにIPsecでアクセスす...
*** やりとりしている内容は同じ [#iccc1373]
メイン・モードでは,フェーズ1で6個のパケットをやりとりす...
一方のアグレッシブ・モードは3個のパケットをやりとりする。
そのため両モードは全く別のもののように思えるかもしないが...
アグレッシブ・モードは,メイン・モードで3回に分けて送って...
やりとりする内容は,両モードで同じである。
アグレッシブ・モードを使っても,両者がやりとりした情報を...
メイン・モードを押さえればアグレッシブ・モードも押さえら...
つまり,本特集の内容で,現場で使われている大半のIPsecはカ...
もうIPsecは怖くない。(キリッ)
**これで完璧! IPsecのやりとり完全版 [#qcdc1c4c]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284403/
*** IKE フェーズ1 [#jd6aa996]
CENTER:&ref(matome_zu1.jpg);
*** IKE フェーズ2 [#c429ddbd]
CENTER:&ref(matome_zu2.jpg);
** リンク [#l8d0a713]
[[VPN]]
[[トランスポートモード]]
[[トンネルモード]]
IPsec - トランスポートモード・トンネルモード -
http://www.infraexpert.com/study/ipsec6.html
IPsecの仕組み:ITpro
http://itpro.nikkeibp.co.jp/article/lecture/20070419/2689...
IPsecらくらくマスター:ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20071002/283514/
技術解説:IT管理者のためのIPSec講座
http://www.atmarkit.co.jp/fpc/kaisetsu/ipsec/index.html
終了行:
[[ネットワーク用語]] > IPsec
* IPsec [#sef930df]
IPsec = Internet Protocol Security (Security Architecture...
[[IPsec - Wikipedia>http://ja.wikipedia.org/wiki/IPsec]]
>IPsec(Security Architecture for Internet Protocol、アイ...
これによって、暗号化をサポートしていない[[トランスポート...
>IPsecは[[AH]] (Authentication Header) による完全性、認証...
>IPv4, IPv6両者で利用できる。
IPv6では専用の拡張ヘッダが定義されているが、IPv4ではIPヘ...
>IPsecの動作モードにはパケットデータ部のみを暗号化(ないし...
トンネルモードは主として[[VPN]]で使用される。
** 通信モード [#w46e240b]
[[トランスポートモード/トンネルモード - マルチメディア振...
>''IPsecの通信モード''
IPsecの通信モードには、データ部分のみの認証/暗号化を行い...
トランスポートモードはエンド・ツー・エンドで認証や暗号化...
CENTER:&ref(mode01.gif);
** トランスポートモード [#e257275c]
CENTER:&ref(mode02.gif);
** トンネルモード [#p4bd984b]
CENTER:&ref(mode03.gif);
----
[[IPsecらくらくマスター:ITpro>http://itpro.nikkeibp.co.j...
** 定番のケースに絞って攻略 [#o11e5d21]
IPsecが使われている典型的なケースを取り上げ,そのケースの...
&color(red){IPsecが実際に使われているパターンは,ルーター...
こうした定番のケースだけを集中的に理解することが,IPsecを...
CENTER:&ref(zu2s.jpg);
>●IPsecを理解するためのアプローチ
最初から勉強していくとなかなか理解が進まない。
そこで最初に,通信の全体像をざっくり把握する。
その上でIPsecの最終目的を押さえ,その目的を実現するために...
** 全体をつかんでから逆にたどる [#w20eb4d6]
IPsecのやりとりの流れは,
+ 情報を安全にやりとりするための土台作り(フェーズ1),
+ IPsecの暗号通信をするための準備(フェーズ2),
+ 実際のIPsecの暗号通信
──という3段階の流れになっている。
CENTER:http://program.sagasite.info/wiki/index.php?plugin...
最初に,この流れの全体像をつかむ。
全体像がわかったうえで個々を読み進めていけば,どこの部分...
続いて,通信の流れとは逆に,IPsecの暗号通信,フェーズ2,...
まずIPsecの暗号通信のしくみを見ることで,IPsecの最終目的...
またそこで同時に「IPsecの暗号通信を実現するために必要なも...
すると,その次に見るフェーズ2がその答えになる。
次のフェーズ2でも,フェーズ2の流れを見ながら「フェーズ2の...
するとその答えが次のフェーズ1を見ればわかるようになってい...
こうして,最終的にIPsecに関するやりとり全体を網羅する。
** ウォームアップ:全体像 [#dd7f2d18]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
やりとりは3段階に分かれる。まずは全体の流れをつかもう。
*** IPsecの処理は大きく三つ [#z69b5197]
IPsecの通信では10個のパケットをやりとりしている。
この10個のパケットは大きく,
フェーズ1((1)~(6)),
フェーズ2((7)~(9)),
IPsecの暗号通信((10)以降)
──の三つの部分に分かれている(図1-1)。
この三つは,最初の準備の部分ほどやりとりや処理が複雑で,I...
IPsecの暗号通信,フェーズ2,フェーズ1の順番に見ていく。
CENTER:&ref(zu11s.jpg);
>図1-1●IPsecの通信の全体像
最初に,鍵交換のためのプロトコルであるIKEが実行される。
IKEのやりとりが終わったあとにIPsecの通信が実行される。
実際にIPパケットを安全にやりとりしているのが,(10)以降...
この状態がIPsecの本来の目的とする通信となる。
上り通信用と下り通信用のトンネル(通信用トンネル)を使っ...
このIPsecの暗号通信で使うトンネルを作るための準備をするの...
フェーズ2では,暗号通信をするために必要な情報を交換する。
ただし,そこでやりとりしている情報が,他人に知られてしま...
そこで,このフェーズ2のやりとりに関しても暗号化したトンネ...
そして,この制御用トンネルを作るのが最初の「フェーズ1」で...
フェーズ1では,そもそも通信相手が正しい相手かどうかも検証...
*** 暗号通信を始めるまでの準備が主 [#v28c78dd]
つまり,本番のIPsecの暗号通信をするための準備がフェーズ2...
結局フェーズ1とフェーズ2は,IPsecによって暗号通信するため...
ここが押さえられれば,IPsecの全体像はつかめたも同然だ。
なお,IPsecで使う通信用トンネルと,フェーズ2で使う制御用...
それぞれのトンネルの寿命が切れそうになると新しいトンネル...
IPsecの暗号通信で使っている通信用トンネルの寿命が切れそう...
また,フェーズ2で使っている制御用トンネルの寿命が切れそう...
IPsecではこのように,使うトンネルを定期的に更新して,やり...
*** お互いが秘密に同じ鍵を共有したい [#qaa59918]
IPsecの暗号通信に先立って処理されるフェーズ1とフェーズ2の...
[[IKE]]は,internet key exchangeの略。日本語に訳すと「イ...
IPsecを理解するうえでのポイントが,この「鍵交換」である。
IPsecで暗号通信をするときは,通信する両者で同じ鍵を使う。
トンネルの両端に同じ鍵を用意して,トンネルの入口でパケッ...
このIPsecの暗号化した通信を実現するための鍵を共有するのが...
CENTER:&ref(zu12s.jpg);
>図1-2●「鍵交換」とは?
IPsecでは,暗号化と認証の鍵を使ってやりとりする。
通信する両者でこの鍵を共有するのが鍵交換である。
フェーズ1でフェーズ2で使う鍵を作り,フェーズ2でIPsecの暗...
***「鍵交換」ではなく「鍵共有」 [#p6042674]
「鍵交換」というと,鍵そのものを交換しているようにとらえ...
実際は,鍵を作るのに必要な情報の一部をネットワーク上で交...
仮にやりとりした情報が漏れても,お互い以外には同じ鍵を作...
ここでは,フェーズ1とフェーズ2のやりとりで,鍵そのもので...
つまり,「鍵交換」ではなく「鍵共有」と捉えた方が,実際の...
** ホップ:IPsecの暗号通信(パケット(10)以降) [#he3921...
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
*** トンネルの出入口でパケットを処理,暗号化と改ざん確認...
ここから先は,IPsecの暗号通信,フェーズ2,フェーズ1の順に...
*** 決められた形にパケットを格納 [#td8c9e1b]
最初は,IPsecの最終目的である「IPsecの暗号通信」だ。
IPsecによってルーター同士で最終的にどのようなやりとりがな...
さらに,IPsecの暗号通信をするために必要なものも確認しよう。
IPsecの暗号通信では,上り通信用と下り通信用の二つの通信用...
そもそもトンネルというのは,あくまで仮想的なもの。
「外から中を流れる内容がわからない」ようにしたデータを「...
両者のルーターは,この二つの性質を備えたパケットを作る。...
CENTER:&ref(zu21_600.jpg);
>図2-1●IPsecの暗号通信
IPパケットを暗号化して,さらに改ざんをチェックできるよう...
やりとりでは暗号/認証アルゴリズムと鍵が必要になるが,これ...
ルーターAにIPパケットが入ってきたら,ルーターAは,そのIP...
ESPヘッダーにはトンネルの識別番号であるSPI値が入っており...
この暗号化パケットはIPヘッダーの情報を基にインターネット...
暗号化パケットを受け取ったルーターBは,ESPヘッダーに記述...
その後で,改ざん検証用のデータをチェックしてIPパケットの...
*** 同じ鍵を使ってパケットを復号 [#uedcca97]
IPsecを理解するうえで,暗号化と認証(改ざんチェック)の理...
しくみを押さえよう(図2-2)。
CENTER:&ref(zu22.jpg);
>図2-2●データの暗号化と認証のしくみ
暗号化では,両者が同じ暗号アルゴリズムと暗号鍵を使う。
データ認証でも通信する両者で共通する認証アルゴリズムと認...
暗号化は,暗号化したい対象(データ)を特定の暗号アルゴリ...
このとき,暗号データを作成するために暗号鍵を使う。
暗号鍵の実体は,特定のビットが並んだものである。
この暗号鍵のビット情報を使ってデータを演算して,暗号デー...
IPsecではデータの暗号化に共通鍵暗号方式を使う。
これは,データの暗号化と復号に同じ鍵を使う方式である。
つまり,暗号化されたデータを復号するには,暗号化したとき...
こうしてはじめて,お互いで暗号通信ができるようになるわけ...
*** 鍵付きハッシュでパケットを認証 [#wf513825]
次に,改ざんをチェックするデータ認証のしくみを見てみよう。
データ認証とは,データが通信途中で改ざんされていないかを...
IPsecでは,データ認証にハッシュを使うのが一般的である。
あるデータをハッシュすると,どんな大きさのデータでも一定...
入力データが同じなら,出力データ(ハッシュ値)は必ず同じ...
つまり,受信側で受け取ったデータをハッシュし,そのハッシ...
なお,IPsecで使うハッシュは,入力データに「認証鍵」を組み...
ハッシュする際にお互いしか知らない情報を加えることで,お...
つまり,IPsecの暗号通信で使うデータ認証のためのアルゴリズ...
*** 「アルゴリズム」と「鍵」が必要 [#w46f6925]
まとめると,IPsecで暗号通信をするためには,パケットを暗号...
いろいろ解説してきたが,要はIPsecで使うこれらアルゴリズム...
なお,トンネルは上り通信用と下り通信用の二つに分かれてい...
これらを決めるのが,一つ前の段階であるフェーズ2になる。
** ステップ:フェーズ2(パケット(7)~(9)) [#o0070f0a]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
*** IPsecで使うトンネル情報はすべてここで決めておく [#u23...
続いて,IPsecの暗号通信に必要な準備をするフェーズ2を見て...
フェーズ2では,IPsecの暗号通信で使う暗号/認証アルゴリズム...
このフェーズ2のやりとりは,10個のパケットのうちの(7)~...
これも暗号化されたトンネル内でやりとりされる。
CENTER:&ref(zu31_600.jpg);
>図3-1●フェーズ2のやりとり
IPsecの暗号通信で使う暗号/認証アルゴリズムとこれらの鍵を...
ただ,ここでのやりとりは安全に実行する必要がある。
そのための鍵情報などを一つ前の段階のフェーズ1で決める。
*** IPsecで使う鍵はここで作る [#y4598ec7]
具体的には,(7)でルーターAが暗号/認証アルゴリズムをルー...
このとき,鍵の基となる情報(乱数とSPI値)も同時に送信する。
SPI値とは,トンネルを識別するためのもの。
ルーターが自分あてに通信するためのトンネル番号として通知...
鍵の基となる乱数とSPI値を受け取ったルーターBは,送られて...
ここで決めたアルゴリズムを,ルーターAに返信する(8)。
このときも同様に鍵の基となる情報(ルーターBで発生させた乱...
そして最後の(9)で,これまでのフェーズ2の通信((7)と(...
ルーターAは(7)と(8)でやりとりした両者の乱数を自分でハ...
ルーターBでも(7)と(8)で受け取った乱数をハッシュし,受...
*** 上り用と下り用の四つの鍵を作る [#r180a520]
これで,両者がそれぞれ作成した乱数とSPI値を共有できた。
両ルーターはこれらの情報を使ってIPsecで使う共通の鍵を作る。
具体的には,フェーズ1で作成した鍵を使って,SPI値と両者の...
その一方を暗号鍵として使い,もう一方を認証鍵として使うの...
暗号鍵と認証鍵はトンネルごとに作るので,上りトンネル用と...
つまりトンネル用の鍵は,両ルーターが宣言したSPI値ごとに作...
フェーズ2でやりとりした暗号アルゴリズムと認証アルゴリズム...
実践編でルーターに設定した内容を確認してみると,認証アル...
この設定項目がフェーズ2でやりとりされたわけだ(図3-2)。
CENTER:&ref(zu32_600.jpg);
>図3-2●ユーザーが設定した内容
ルーターに設定した暗号アルゴリズムや認証アルゴリズムはフ...
ちょっと複雑に思えたかもしれないが,フェーズ2では,IPsec...
*** トンネルの寿命も決めておく [#r3b30867]
これ以外にフェーズ2でやりとりする情報についても確認してお...
フェーズ2では,セキュリティ・プロトコル(パケット・フォー...
誌上体験で使ったヤマハのルーター「RT107e」では,これらは...
具体的には,セキュリティ・プロトコルはESPで,ライフタイム...
前の「IPsecの暗号通信」で解説した「暗号化したパケットにES...
トンネルの寿命を示すライフタイム値を決めるのは,IPsecでず...
このときに乱数の値が変わるので,鍵も全く別のものになる。
*** 安全にやりとりするしくみが必要 [#if8dbf73]
フェーズ2でやりとりする情報は,最終的にIPsecの暗号通信で...
そのため,これらの情報が他人に見られてしまうと,暗号通信...
そこで,フェーズ2のやりとり自体を安全に実行する別の暗号通...
この制御トンネルを使って(7)~(9)のパケットをやりとり...
トンネル通信を実現するための要素は,基本的にIPsecの暗号通...
やりとりする内容を暗号化するための「暗号アルゴリズム」と...
フェーズ2を始めるにあたって,これらをフェーズ1で決めてお...
** ジャンプ:フェーズ1(パケット(1)~(6)) [#h3001e72]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
*** 安全にやりとりする準備をする,接続相手はここで認証> [...
ここではIPsecで最初に実行するフェーズ1を見てみよう。
フェーズ1の目的は,フェーズ2を暗号化して安全にやりとりす...
どうやって実現しているのかを見てみよう。
*** 鍵の基を“不思議な計算”で作る [#o821d0be]
フェーズ1のやりとりは,IPsecでやりとりされる10個のパケッ...
一つの処理が一往復のやりとりになり,
(1)~(2)がフェーズ1とフェーズ2で使う暗号/認証アルゴリ...
(3)~(4)がフェーズ2で使う鍵の基となる情報の交換,
(5)~(6)が通信相手の認証
──である(図4-1)。
CENTER:&ref(zu41.jpg);
>図4-1●フェーズ1のやりとり
フェーズ2のやりとりをする制御用トンネルのための鍵を安全に...
また,以降の通信で使う暗号/認証アルゴリズムを決めたり,通...
(1)~(2)では,暗号/認証アルゴリズムやライフタイム(ト...
決め方はフェーズ2と同じ。
ルーターAが提案して,ルーターBが自分の設定と一致するもの...
フェーズ1のポイントとなるのは(3)~(4)のやりとりである。
ここでは,Diffie-Hellmanと呼ばれる計算を使って,フェーズ2...
この計算は,ネットワーク上で通信して両者しか知らない秘密...
IPsecを使う上でこの計算式を覚える必要はない。この特徴だけ...
念のために,Diffie-Hellmanの計算を簡単に説明しておく。
両ルーターは,公開値と秘密値と呼ぶ二つの値を作る。
そして,このうち公開値だけをお互いに交換する。
それから,それぞれが相手の公開値,自分の秘密値,事前に決...
つまり,四つの値のうち二つの公開値だけをやりとりすれば,...
仮にネットワーク上で交換した二つの公開値を第三者に盗まれ...
こうして,両者にしかわからない値を安全に共有するのだ。
両ルーターは,このDiffie-Hellmanの計算で共有した秘密の値...
具体的にはまず,事前共有鍵とお互いの乱数から鍵の基となる...
この鍵素材とDiffie-Hellmanの共有値を使ってハッシュし,3個...
これらの鍵は,Diffie-Hellmanの計算で算出した秘密の値がわ...
このため,両方のルーターだけがこれらの鍵を持っていること...
フェーズ1では,(5)~(6)で通信相手の検証もする。
ここでは,ユーザーがルーターに設定した「事前共有鍵」の情...
「自分の接続相手が自分と同じ事前共有鍵を持っているか」で...
IPsecを使うだけなら「事前共有鍵は両者に値を設定する」とだ...
ここでは理解を深めたい人のために,相手認証のしくみを紹介...
*** 事前共有鍵で通信相手を確かめる [#af78572e]
今回のケースは,両ルーターに事前共有鍵として「nikkei1」と...
ルーターAがルーターBに送るのは,自分のIPアドレスと,これ...
具体的には,(1)のペイロードと,(3)~(4)でやりとりし...
そして,このハッシュ値と自分のIPアドレスを暗号化してルー...
CENTER:&ref(zu42_600.jpg);
>図4-2●通信相手を認証するしくみ
接続相手のIPアドレスが自分と同じ事前共有鍵を持っているか...
接続相手が確かにこれまでやりとりしてきた相手かどうかもわ...
以下は,(5)の内容を詳しく紹介したもの。
(6)では認証する側とされる側を入れ替えて同様の処理をする。
暗号データを受け取ったルーターBは,暗号部分を復号すると,...
まずはIPアドレスをチェックして,なりすましがないことを確...
次に,ルーターB側でもルーターAと同じハッシュ計算をして,...
一致したら,通信相手は確かにこれまで(1)~(4)のやりと...
これでルーターBは,接続相手であるルーターAを認証できた。
このあと認証する側と認証される側を入れ替えて同様の処理を...
*** 必要な値はすべて決めておく [#sb5080f0]
フェーズ1の通信をするために必要な暗号/認証アルゴリズムな...
誌上体験で使ったヤマハの「RT107e」では,これらの値はすべ...
それもそのはず,フェーズ1はIPsecの暗号通信をするためのス...
暗号アルゴリズムや認証アルゴリズムもあらかじめすべて決め...
なお,フェーズ1で決めたフェーズ1と2で使う暗号/認証アルゴ...
ここのフェーズ1で決めた暗号/認証アルゴリズムは,あくまで...
** クールダウン:まとめ [#r40d0251]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/28416...
*** ここまでわかれば大丈夫,もうIPsecは怖くない [#pf9b3f60]
これまでの説明で,IPsecの重要なポイントはすべて押さえた。
最後にまとめとして,IPsecの全体像を見ておこう。
*** 三つの技術がIPsecの定番 [#q25de731]
IPsecはさまざまな技術が使えるようになっており,そのカバー...
そのため,本特集で紹介した内容は,IPsecの仕様の中の一部の...
しかし,このケースが,現在一般的に使われているIPsecの通信...
このことをもう少し具体的に見てみる。
本特集で説明したIPsecは,パケット・フォーマット(セキュリ...
CENTER:&ref(zu51.jpg);
>図5-1●本特集で取り上げたIPsec(現在一般的に使われている...
これまで見てきたのは,ESP(パケットの仕様),トンネル・モ...
IPsecでは,ほぼこの組み合わせが使われている。
ほかにさまざまな組み合わせがあるが,いずれもあまり使われ...
例えば,セキュリティ・プロトコルは,ESPのほかにAHというも...
ただしAHは暗号化機能を持っていないので,ほとんど使われて...
また,通信のモードにはマシン対マシンの1対1通信で使われる...
また,フェーズ1のやりとりを簡略化した「アグレッシブ・モー...
つまり,これまで解説してきたESP,トンネル・モード,アグレ...
ただ,フェーズ1の「アグレッシブ・モード」は,インターネッ...
これは,実践編の図の下側で紹介した通信である。
*** リモート接続用のモードがある [#e3035fd8]
メイン・モードでは,通信途中のフェーズ1の(5)と(6)で通...
それまでの間に通信相手を識別する情報は,通信相手のIPアド...
これに対して,接続する側のマシンのIPアドレスが変わるリモ...
アグレッシブ・モードでは,やりとりの最初で認証情報(ID情...
通信の最初に身元情報を交換するので,ID情報にIPアドレス以...
IPアドレスを使わないので,接続してくるマシンのIPアドレス...
CENTER:&ref(zu52s.jpg);
>図5-2●メイン・モードがわかればアグレッシブ・モードもわかる
リモート・アクセスが使われる環境では,フェーズ1のやりとり...
やりとりする内容は,両モードとも同じである。
[[実践編>http://itpro.nikkeibp.co.jp/article/COLUMN/20071...
ルーターAは,ID情報としてこの「PC1」という名前をルーターB...
認証にIPアドレスではなく文字列を使っているので,パソコン...
CENTER:&ref(zu1.jpg);
>http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/2843...
図の上側にあるのが,インターネットにつながっている拠点Aと...
図の下側は,パソコンが拠点BのルーターにIPsecでアクセスす...
*** やりとりしている内容は同じ [#iccc1373]
メイン・モードでは,フェーズ1で6個のパケットをやりとりす...
一方のアグレッシブ・モードは3個のパケットをやりとりする。
そのため両モードは全く別のもののように思えるかもしないが...
アグレッシブ・モードは,メイン・モードで3回に分けて送って...
やりとりする内容は,両モードで同じである。
アグレッシブ・モードを使っても,両者がやりとりした情報を...
メイン・モードを押さえればアグレッシブ・モードも押さえら...
つまり,本特集の内容で,現場で使われている大半のIPsecはカ...
もうIPsecは怖くない。(キリッ)
**これで完璧! IPsecのやりとり完全版 [#qcdc1c4c]
http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284403/
*** IKE フェーズ1 [#jd6aa996]
CENTER:&ref(matome_zu1.jpg);
*** IKE フェーズ2 [#c429ddbd]
CENTER:&ref(matome_zu2.jpg);
** リンク [#l8d0a713]
[[VPN]]
[[トランスポートモード]]
[[トンネルモード]]
IPsec - トランスポートモード・トンネルモード -
http://www.infraexpert.com/study/ipsec6.html
IPsecの仕組み:ITpro
http://itpro.nikkeibp.co.jp/article/lecture/20070419/2689...
IPsecらくらくマスター:ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20071002/283514/
技術解説:IT管理者のためのIPSec講座
http://www.atmarkit.co.jp/fpc/kaisetsu/ipsec/index.html
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
