IPsecの勉強
構成するプロトコル
IKE
AH
ESP
IKE
安全な鍵交換を行うために使われる。UDPポート500番を使う(なぜか6000を使うと覚えてた。あほか)。動的IPアドレスを持つ側がイニシエータとなる場合には アグレッシブモード を使う。そうでない場合は メインモード となる。
AH
ESP
AHでできること
データの暗号化
IPsecの動作モード
トランスポートモード
トンネルモード
オリジナルパケット全体を暗号化。新IPヘッダとAHまたはESPヘッダが付く。
ESPの場合、オリジナルIPヘッダとIPペイロードの両方が暗号化される。
IPsecの利用例
LAN間接続
PC起点で遠隔地のゲートウェイへリモートアクセス
LAN間接続
インターネットを挟んだゲートウェイ間でIPsecを使う例。ゲートウェイ間はIPsecでのやりとり。ゲートウェイからマシン間は通常のIPパケット。暗号化するのが普通なのでESPが使われる。
PC起点で遠隔地のゲートウェイへリモートアクセス
苦しい表現だが NATトラバーサル を使うような状況を指す。ESP(インターネットを流れる = 暗号化必須)ヘッダはポート番号を持たないのでNATP対応ルータを超えるときに不都合。そのためにESPヘッダと新IPヘッダの間へUDPヘッダを挿入する。NAPTはこのUDPヘッダに対して行われる。
IKEでUDPポート500番以外からの通信であればNATトラバーサルが必要と判断できる
所感: 少しずつ自分の中で整理できてきた気がする