猿に文明を与えるな

個人的な勝手なまとめ。

IPsecの勉強

network protocol

構成するプロトコル

  • IKE

  • AH

  • ESP

IKE

安全な鍵交換を行うために使われる。UDPポート500番を使う(なぜか6000を使うと覚えてた。あほか)。動的IPアドレスを持つ側がイニシエータとなる場合には アグレッシブモード を使う。そうでない場合は メインモード となる。

AH

  • IP層から見ると上位プロトコルとなるヘッダを付加する

  • 改ざん防止と認証機能

  • シーケンス番号を用いたリプレイ攻撃の防御

ESP

  • AHでできること

  • データの暗号化

IPsecの動作モード

  • トランスポートモード

    • IPペイロード(オリジナルパケットのデータ部分)のみを暗号化。オリジナルパケットのIPヘッダとIPペイロードの間にAHまたはESPヘッダが付く。

    • ESPの場合、オリジナルIPペイロードが暗号化される。

  • トンネルモード

    • オリジナルパケット全体を暗号化。新IPヘッダとAHまたはESPヘッダが付く。

    • ESPの場合、オリジナルIPヘッダとIPペイロードの両方が暗号化される。

IPsecの利用例

LAN間接続

インターネットを挟んだゲートウェイ間でIPsecを使う例。ゲートウェイ間はIPsecでのやりとり。ゲートウェイからマシン間は通常のIPパケット。暗号化するのが普通なのでESPが使われる。

PC起点で遠隔地のゲートウェイへリモートアクセス

苦しい表現だが NATトラバーサル を使うような状況を指す。ESP(インターネットを流れる = 暗号化必須)ヘッダはポート番号を持たないのでNATP対応ルータを超えるときに不都合。そのためにESPヘッダと新IPヘッダの間へUDPヘッダを挿入する。NAPTはこのUDPヘッダに対して行われる。

IKEでUDPポート500番以外からの通信であればNATトラバーサルが必要と判断できる

所感: 少しずつ自分の中で整理できてきた気がする