IPSecまとめ
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
] [
Twitter
]
開始行:
→VPNまとめ
→IPSecで使うプロトコル
→[[暗号化]]
#contents
*特徴 [#y5a64ba4]
-暗号化をレイヤ3=ネットワーク層=IP(Internet Protocol...
--IP層レベルで自動的に暗号化された通信を行うので、上位の...
-IETF(Internet Engineering Task Force)による暗号化通信方...
-現在の主流暗号化技術である
*IPSecによるVPNの問題点 [#l450319c]
**ファイアーウォールとの併用 [#i8476e10]
-暗号化されている通信であるため、やりとりしているデータの...
-VPNを介して不正プログラムが侵入してしまう可能性
**NAT,IPマスカレードとの併用の問題 [#xba330f6]
-NATとVPNは通常のままでは併用できない。VPNパススルーとい...
-[[NATトラバーサル---端末を識別可能にする「NAT越え」,実...
-制約:パケット内のデータが暗号化されるため、ポート番号が...
--参考:[[NATトラバーサル>http://www.infraexpert.com/stud...
-NATトラバーサルはIPsecの拡張機能。VPNパススルーはIPsecに...
--[[How NAT traversal works · Tailscale>https://tail...
**アクセス制御 [#ea165114]
-VPN装置の背後に別途ファイアウォール配置して、再度アクセ...
-運用面などを考えると現実的ではない。
*2つの動作モード [#s7c7d184]
-''トランスポート・モード''~
IPパケットで運ぶデータ部分のみを暗号化し、これにあて先な...
-''トンネル・モード''~
ほかのホストからいったん受信したIPへッダとデータ部分を合...
*プロトコル [#a3470ca0]
IPSecでは3種類のプロトコルを使用:IKE, AH, ESP
-IPSecは、暗号化方式として共有鍵暗号方式が採用されている
-暗号化に使うアルゴリズムは複数から選択可
|種類|実装|h
|DES-CBC|実装が必須とされている|
|3DES-CBC|実装はオプション(多くのIPSec製品が実装)|
|CAST-128|実装はオプション|
|RC-5|実装はオプション|
|IDEA|実装はオプション|
|Blowfish|実装はオプション|
*SA(Security Association) [#jb9533c5]
-一連のネゴシエーションの結果として、お互いの間で得られた...
-VPNによってできる接続をSAと呼ぶイメージ
*SPI(Security Pointer Index) [#re9adf1f]
-SAの確定と同時に、SAと関連付けされたSPIと呼ばれる32ビッ...
-暗号化通信で各パケット中(ESPヘッダ内)に挿入され、パケッ...
- 同時に複数の相手と通信する場合、相手によってSPIが変わる
*参考URL [#aa0f1ea7]
-[[IT管理者のためのIPSec講座:技術解説(1/3 ページ) - @...
終了行:
→VPNまとめ
→IPSecで使うプロトコル
→[[暗号化]]
#contents
*特徴 [#y5a64ba4]
-暗号化をレイヤ3=ネットワーク層=IP(Internet Protocol...
--IP層レベルで自動的に暗号化された通信を行うので、上位の...
-IETF(Internet Engineering Task Force)による暗号化通信方...
-現在の主流暗号化技術である
*IPSecによるVPNの問題点 [#l450319c]
**ファイアーウォールとの併用 [#i8476e10]
-暗号化されている通信であるため、やりとりしているデータの...
-VPNを介して不正プログラムが侵入してしまう可能性
**NAT,IPマスカレードとの併用の問題 [#xba330f6]
-NATとVPNは通常のままでは併用できない。VPNパススルーとい...
-[[NATトラバーサル---端末を識別可能にする「NAT越え」,実...
-制約:パケット内のデータが暗号化されるため、ポート番号が...
--参考:[[NATトラバーサル>http://www.infraexpert.com/stud...
-NATトラバーサルはIPsecの拡張機能。VPNパススルーはIPsecに...
--[[How NAT traversal works · Tailscale>https://tail...
**アクセス制御 [#ea165114]
-VPN装置の背後に別途ファイアウォール配置して、再度アクセ...
-運用面などを考えると現実的ではない。
*2つの動作モード [#s7c7d184]
-''トランスポート・モード''~
IPパケットで運ぶデータ部分のみを暗号化し、これにあて先な...
-''トンネル・モード''~
ほかのホストからいったん受信したIPへッダとデータ部分を合...
*プロトコル [#a3470ca0]
IPSecでは3種類のプロトコルを使用:IKE, AH, ESP
-IPSecは、暗号化方式として共有鍵暗号方式が採用されている
-暗号化に使うアルゴリズムは複数から選択可
|種類|実装|h
|DES-CBC|実装が必須とされている|
|3DES-CBC|実装はオプション(多くのIPSec製品が実装)|
|CAST-128|実装はオプション|
|RC-5|実装はオプション|
|IDEA|実装はオプション|
|Blowfish|実装はオプション|
*SA(Security Association) [#jb9533c5]
-一連のネゴシエーションの結果として、お互いの間で得られた...
-VPNによってできる接続をSAと呼ぶイメージ
*SPI(Security Pointer Index) [#re9adf1f]
-SAの確定と同時に、SAと関連付けされたSPIと呼ばれる32ビッ...
-暗号化通信で各パケット中(ESPヘッダ内)に挿入され、パケッ...
- 同時に複数の相手と通信する場合、相手によってSPIが変わる
*参考URL [#aa0f1ea7]
-[[IT管理者のためのIPSec講座:技術解説(1/3 ページ) - @...
ページ名: