ネットワーク関連試験対策ノート（IPsec)

Tomのネットワーク勉強ノート
	Homeに戻る （Tomのネットワーク勉強ノート）
	サイトマップ
	iTAC テクニカルエンジニア （ネットワーク）塾講義ノート
	過去問題（午後）
	テクニカルエンジニア （ネットワーク）
	情報セキュリティ アドミニストレータ
	テクニカルエンジニア （情報セキュリティ）（午前・午後）
	基本情報技術者（午前・午後）
	ネットワーク関連試験対策ノート
	情報セキュリティ関連験対策ノート
	情報処理用語辞書
	自宅で出来るネットワーク簡易実習
	私の勉強法
	情報処理試験勉強に役立った本たち
	更新履歴
	リンク集
	プロフィール
	国内旅行の下調べ ---Tomのトラベルオンラインリンク （新幹線、時刻表、金券ショップ、 格安航空券など）
	mail
ショッピング
Powered By 楽天市場

スポンサー：
月刊仕事とパソコン
株式会社ハイパーボックス
kakaku FX
競馬サーチ.com
初心者でも安心の専用サーバーはこちら！
オンライン予約：割引きあります。・・・ホテル４８９ネット
通貨オプションなら＜kakaku FX＞
ロリポップ！レンタルサーバー

　他

Tomのネットワーク勉強ノート

ネットワーク関連試験対策ノート

ネットワーク関連試験対策ノート（IPSec)

index
　　.IPSec（Internet Protocol Security）
　　　　2つのヘッダ
　　　　　�@「AH(Authentication Header：認証ヘッダ)」
　　　　　�A「ESP(Encapsulating Security Payload)」
　　　　　　暗号方式　
　　　　　　暗号化Algorithm
　　　　　　SA （Security Association）
　　　　　　　　SAには2つのPhase
　　　　　　　　SPI(Security Pointer Index)
                   認証Algorithm
　　　　2つの暗号化モード
　　　　　�@「トンネルモード」
　　　　　�A「トランスポートモード」
  　　　IPsecの落とし穴
参考資料/ページ

IPsecに出てくる単語（すべてわかりますか？）

AH (Authentication Header：認証ヘッダ)
ESP (Encapsulating Security Payload)
IPSec （Internet Protocol Security）
SA （Security Association）
SPI(Security Pointer Index)
トランスポートモード
トンネルモード

　IPSec（Internet Protocol Security）
　　　パケットの暗号化と認証技術が標準化されている。
　　　IPSecをサポートしたVPN装置であれば、互いに通信が可能。

　　　　L2TPなどのデータリンク層などのトンネリングプロトコルと異なり、
　　　　ネットワーク層で動作。

　　　　IPsecの仕組み  (詳細：古河電工VPNソリューション「VPNガイダンス：IPsecとは？」)
　　　　　下記2つのヘッダを、それぞれVPN装置によって追加することにより、パケットの暗号化
　　　　　と認証を行っている。
　　　　　　�@「AH(Authentication Header：認証ヘッダ)」
　　　　　　　　　パケット内のデータの改竄を防止するためのパケット認証するヘッダ
　　　　　　�A「ESP(Encapsulating Security Payload)」
　　　　　　　　　認証と暗号化まで行なうというヘッダ

                   旧Version(ver1.0)では、ESPでの認証は規定されていないため、�@、�A両方を適用。
               　　ver2.0で、規定されたため、�Aのみで認証/暗号化を適用できる。

　　　　　　暗号方式　　　　：共通かぎ暗号方式。
　　　　　　暗号化Algorithm：DES(Data Encryption Standard)、3DES(Triple Data Encryption Standard)
　　　　　　　　共通鍵暗号方式は鍵と暗号方式をあらかじめ決めておく必要がある。
　　　　　　　　　決定方法として、
　　　　　　　　　　(イ)事前に両者で鍵と暗号方式を決めておく
　　　　　　　　　　(ロ)通信に先立って（その都度）鍵、暗号方式を決める
　　　　　　　　　があるが、共通鍵の問題点は鍵の管理（配送）

　　　　　　SA （Security Association）
　　　　　　　　　IPsecでは、共通鍵で配送する前の手続きとして、論理的コネクションをはる。
　　　　　　　　　これをSA （Security Association）という。
　　　　　　　　SAには2つのPhase
　　　　　　　　　　�@IKE（Internet Key Exchange) SA <Phase �T>：　鍵交換プロトコル
　　　　　　　　　　　　・それぞれが使える鍵の情報を交換し合い、暗号化方式の決定
　　　　　　　　　　　　・IKEで使用する鍵の生成
　　　　　　　　　　�AIP sec SAの確立<Phase �U>：　データ通信プロトコル
　　　　　　　　　　　　・IPsecで使用する鍵の生成/暗号化方式の決定
　　　　　　　　SPI(Security Pointer Index)・・・SAにつけられた番号
　　　　　　　　　　　その1つSAに対して、番号(ID)を付与。
　　　　　　　　　　　これをSPI(Security Pointer Index)という。
　　　　　　　　　　　
　　　　　　　　　　　(平成13年 午後�U　問1　図3)

　　　　　　　　　　　 これはトンネルモード。
　　　　　　　　　　　　ESPヘッダの中に、SPIが4オクテット、シーケンス番号が4オクテット入っている。

                   認証Algorithm：MD5(Message Digest Five)、SHA-1(Secure Hash Algorithm)

　　　　暗号化には2つのモードがあり、選択できる。
　　　　　�@「トンネルモード」
　　　　　　　　　IPパケット全体を暗号化
　　　　　�A「トランスポートモード」
　　　　　　　　　データ部分だけを暗号化

         IPsecの落とし穴---データ部を暗号化することによる問題(アドレス変換問題)
　　　　　　　　　　　　　　　　　　　　(日経ネットワーク2002年9月号にて特集 P.051〜)
　
　　　　　トンネリング機能はSecurity的にはデータ部を暗号化することにより隠蔽できるので、有効。

　　　　　しかしながら、問題点もある。=>アドレス変換問題。

　　　　　会社などのLANでプライベートアドレスを使用している場合、　ルータやファイアウォールで、IPヘッダのIPアドレスを
　　　　　　プライベート => グローバル
　　　　　に変換してInternetに送信。

　　　　　IPアドレスがIPヘッダにだけ使用されていれば、問題ないのだが、FTPやpingなどでは、データ内部でもIPアドレスを使用。

　　　　　そのデータ内部のIPアドレスも正常に変換されないと通信は確立されない。
　　　　　それらは、下記によって問題を解決している。
　　　　　　�@ルータで解決する
　　　　　　�A通信ソフトで解決する
　　　　　　�B静的IPマスカレードを利用する
　　　　　　�CGapNAT
　　　　　　�DNATS（参考：NATS Project TOP(Japanese)：「NATSとは」）

　　　　　もしそのデータ部が暗号化されていたら？
　　　　　　　=> データ内部のIPアドレスが解読できないので変換が不可能。

　　　　　VPNを使用していて、
　　　　　　・FTPでの通信が出来ない。
　　　　　　・pingを打ったけど返ってこない
　　　　　などの問題点が発生（試験で出題）されたら、この辺りを意識すべき。

参考資料/ページ

IPv6styleIPv6セキュリティを支えるIPsec（後編）
IPnet基礎技術講座シリーズ Vol.3 IP-VPNを利用した企業内ネットワーク構築ポイント
古河電工VPNソリューション「VPNガイダンス：VPNってなんだろう？」
標準ＬＡＮ教科書（上）改訂３版(4-7561-1797-X)
マスタリングTCP/IP 入門編　第3版(4-274-06453-0)
通信・ネットワーク用語ハンドブック（２００２年度版） (4-8222-1388-9)
アスキー デジタル用語辞典
日経ネットワーク2002年9月号

Tomのネットワーク勉強ノート

ネットワーク関連試験対策ノート

ネットワーク関連試験対策ノート（IPSec)

秋に向けて！

送料無料！