watanabe lab. -...
TRANSCRIPT
![Page 1: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/1.jpg)
本資料について
本資料は下記書籍を基にして作成されたものです。
文章の内容の正確さは保障できないため、正確な知識を求める方は原文を参照してください。
書籍名:IPsec徹底入門
著者:小早川知明
発行日:2002年8月6日発売元:翔泳社
1
![Page 2: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/2.jpg)
IPsec徹底入門
名城大学理工学部
渡邊研究室
村橋 孝謙2
![Page 3: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/3.jpg)
目次
第1章 IPsecアーキテクチャ
第2章 IPsec Security Association
第3章 Internet Key Exchange
3
![Page 4: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/4.jpg)
第1章
IPsecアーキテクチャ
4
![Page 5: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/5.jpg)
はじめに
現在、どこからでもインターネットに接続可能になっている
さまざまなセキュリティ機能が必要
5
![Page 6: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/6.jpg)
身を守るべき攻撃
受動的な攻撃盗聴
トラフィック解析
能動的な攻撃なりすまし
リプレイ攻撃
メッセージの改ざん
DoS攻撃
6
![Page 7: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/7.jpg)
IPsecとは
現在使用されているアプリケーション全てに個別にセキュリティ機能を実現することは不可能
IPsec
IPレイヤにおいて、全てのIPパケットにセキュリティを提供
7
![Page 8: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/8.jpg)
必要なセキュリティ機能(1/3)秘密性
認証(本人性確認)
認証(完全性保証)
否認不能性
アクセス制御
可用性
IPsecは安全なVPNの実現するための解決策
8
![Page 9: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/9.jpg)
必要なセキュリティ機能(2/3)
秘密性
盗聴・トラフィック解析からの保護
認証(本人性確認)
表示されたメッセージ送信元の保証
意図した通信相手であることの保証
認証(完全性保証)
メッセージが改ざんされていないことの保証
9
![Page 10: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/10.jpg)
必要なセキュリティ機能(3/3)
否認不能性
送信者が確かにメッセージを送信したことや、受信者が確かにメッセージを受信したことを証明
アクセス制御
通信を行う相手やプロトコルなどによって、通信の通過・遮断を制御する
可用性
システムが常に使用できる
10
![Page 11: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/11.jpg)
IPsecのメリット
VPNの各拠点にIPsec装置を置くだけで良い
アプリケーションに変更を加える必要がない
LAN内部の機器に暗号化等の負荷がかからない
11
![Page 12: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/12.jpg)
IPsecの実現要素
パケットのカプセル化(セキュリティそのものを提供)
パケットの暗号化(秘密対称鍵・IPsecコネクションの生成、管理)
12
![Page 13: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/13.jpg)
IPsecの動作イメージ
IPsec装置Aの設定
PC1からPC2向けのパケットをIPsec化してIPsec装置Bに転送
13
![Page 14: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/14.jpg)
IPsecの動作イメージ
PC1からPC2向けのパケットをIPsec装置Aに送信
ペイロード IPヘッダ
14
![Page 15: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/15.jpg)
IPsecの動作イメージ
IPsecトンネルの生成、または既存のトンネルの使用
ペイロード IPヘッダ
15
![Page 16: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/16.jpg)
IPsecの動作イメージ
パケットのIPsec化
ペイロード IPヘッダ
暗号化された元のパケット IPsecヘッダ IPヘッダ
16
![Page 17: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/17.jpg)
IPsecの動作イメージ
IPsec化されたパケットをルータAに転送
普通のパケットとしてIPsec装置Bへ送信。
暗号化された元のパケット IPsecヘッダ IPヘッダ
17
![Page 18: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/18.jpg)
IPsecの動作イメージ
パケットの復号化
暗号化された元のパケット IPsecヘッダ IPヘッダ
ペイロード IPヘッダ
18
![Page 19: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/19.jpg)
IPsecの動作イメージ
PC2はPC1より送信されたパケットを受信
ペイロード IPヘッダ
19
![Page 20: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/20.jpg)
SA (Security Association)とは (1/3)
IPsecトンネルを正式にはSAと呼ぶ
IPsec装置間で生成される
すべてのIPパケットは、いずれかのSAに所属して送り出される
IPsecのセキュリティ機能はSAによって実現される
20
![Page 21: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/21.jpg)
SA (Security Association)とは (2/3)
ユニディレクションである
SAごとに独立したアルゴリズム・鍵などを持つ
SA1
SA2
IPsec装置1 Ipsec装置2
21
![Page 22: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/22.jpg)
SA (Security Association)とは (3/3)
2種類のプロトコルを持つ
ESP (Encapsulating Security Payload)パケットの暗号化機能
AH (Authentication Header)パケットの改ざん検知機能
パケットのIPsec化 パケットのESP/AH化
22
![Page 23: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/23.jpg)
ESPの提供するセキュリティ機能
秘密性
パケットの暗号化
認証(本人性確認)
送信元の保証(ペイロードの改ざん防止のみ)
認証(完全性保証)
パケットが改ざんされていないことの保証
アクセス制御
パケットのフィルタリング
23
![Page 24: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/24.jpg)
AHの提供するセキュリティ機能
認証(本人製確認)
リプレイ攻撃の防止
パケット送信元を完全に保証( IPヘッダまで含めて認証 ESPより強力)
認証(完全性保証)
パケットが改ざんされていないことの保証
アクセス制御
パケットのフィルタリング
24
![Page 25: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/25.jpg)
カプセル化モード
トンネルモード実際に通信するホスト以外がパケットをIPsec化エンドツーエンドでの認証・暗号化に使用
トランスポートモード通信するホスト同士が自身のパケットをIPsec化ネットワーク間の通信に対して認証や暗号化を行う場合に使用
25
![Page 26: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/26.jpg)
パケットのIPsec化(ESP)宛先送信元 TCPヘッダ データ
IPヘッダ元のパケット
宛先送信元 ESPヘッダ TCPヘッダ データ
ESPトレイラ
ESP認証値
暗号化される範囲元のパケットのペイロード部分
認証(完全性保証)の対象範囲
元のIPヘッダ
元のパケット
トンネルモードでIPsec (ESP)化されたパケット
トランスポートモードでIPsec (ESP)化されたパケット
宛先送信元 ESPヘッダ
宛先送信元 TCPヘッダ データ
ESPトレイラ
ESP認証値
暗号化される範囲元のパケット
認証(完全性保証)の対象範囲
元のIPヘッダ新しいIPヘッダ
26
![Page 27: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/27.jpg)
パケットのIPsec化(AH)宛先送信元 TCPヘッダ データ
IPヘッダ元のパケット
元のパケット
宛先送信元 AH
宛先送信元 TCPヘッダ データ
新しいIPヘッダ 元のIPヘッダ
認証(完全性保証)の対象範囲ただしIPヘッダの一部転送中可変フィールドは除く
宛先送信元 AH TCPヘッダ データ元のIPヘッダ
認証(完全性保証)の対象範囲ただしIPヘッダの一部転送中可変フィールドは除く
元のパケットのペイロード部分
トンネルモードでIPsec (AH)化されたパケット
トランスポートモードでIPsec (AH)化されたパケット
27
![Page 28: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/28.jpg)
カプセル化モードとプロトコル
カプセル化モード
トランスポートモード
トンネルモード
プロトコル
ESPAH
組み合わせは自由
)
)
28
![Page 29: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/29.jpg)
カプセル化モードとプロトコル
ESP単体では転送用IPヘッダの改ざんは検知不可能
不要ならESPのみで十分
ESPで暗号化→ AHで認証
ESPに認証(完全性保証)機能を提供
AHの必要性の減少
宛先送信元 ESPヘッダ TCPヘッダ データ
ESPトレイラ
ESP認証値
暗号化される範囲元のパケットのペイロード部分
認証(完全性保証)の対象範囲
宛先送信元 ESPヘッダ
宛先送信元 TCPヘッダ データ
ESPトレイラ
ESP認証値
暗号化される範囲元のパケット
認証(完全性保証)の対象範囲
元のIPヘッダ
元のIPヘッダ
トンネルモードでIPsec (ESP)化されたパケット
トランスポートモードでIPsec (ESP)化されたパケット
新しいIPヘッダ
29
![Page 30: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/30.jpg)
第2章
IPsec Security Association
30
![Page 31: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/31.jpg)
SAの属性
セキュリティプロトコルESPまたはAH
カプセル化モードトンネルモードまたはトランスポートモード
Security Parameters Index (SPI)SAを識別するための識別子通信相手のアドレス等と組み合わせて使用
暗号化・認証アルゴリズム3DES,MD5など
セレクタSAに流すパケットの指定
31
![Page 32: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/32.jpg)
暗号化アルゴリズム
IPsecでは、同じ秘密鍵を送信者と受信者で共有する(秘密対象鍵)
DES,3DESが多く使用される
ブロック暗号
決められた長さのブロック単位に暗号化を行う
CBCモード
暗号化するブロックの平文と,1つ前のブロックの暗号化結果とのXOR値を暗号化する
32
![Page 33: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/33.jpg)
認証アルゴリズム
認証(完全性保証)
認証(本人性確認)
一方向性ハッシュ関数により確認
MD5SHA-1HMAC (鍵付きハッシュ関数)
33
![Page 34: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/34.jpg)
セレクタ
パケットをIPsec化するルールを決定
宛先IPアドレス
送信元IPアドレス
トランスポートレイヤプロトコル(TCP,UDPなど)
送信元ポート,宛先ポート
ユーザ名,ホスト名
34
![Page 35: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/35.jpg)
第3章
Internet Key Exchange
35
![Page 36: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/36.jpg)
IKE (Internet Key Exchange)とは
SAの自動生成・管理プロトコル
SA自動生成
IPsec通信が必要になると、オンデマンドで生成
SAの管理
SAが生成されてからの期間や使用状況を監視
SAを秘密対象鍵ごと作り直す
36
![Page 37: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/37.jpg)
IKEの基本機能
Proposal(SA生成の要求)交換
生成するSAのパラメータをネゴシエートして決定
Diffie-Hellman交換
生成するSAの秘密対象鍵を安全に自動生成
IKE相手の認証(本人性確認)
通信相手が偽者でないことを確認
37
![Page 38: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/38.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
• PC1がPC2へpingを打つSG: セキュリティゲートウェイ
R:ルータ
38
![Page 39: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/39.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
• パケットをSG1に向けて送信(SG1: PC1のデフォルトゲートウェイ)
パケット
39
![Page 40: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/40.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•SG1のセキュリティポリシーを参照し、IPsec化
パケット
トンネルモードESP
宛先:SG2
40
![Page 41: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/41.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•SG1がISAKMP SAの生成要求をSG2に送信
パケット
ISAKMP SAの生成要求
ISAKMP SA:IKEによりSAを自動生成する際にIKE自身が制御信号をやり取りする制御用チャネル
(Proposal)
41
![Page 42: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/42.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•SG1がISAKMP SAの生成要求をSG2に送信
パケット
ISAKMP SAの生成要求
(Proposal)
トンネルモードESP
宛先:SG2 トンネルモードESP
宛先:SG1
このパラメータでOK
ISAKMP SAの生成受諾
42
![Page 43: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/43.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•Diffie-Hellman交換により秘密対象鍵を生成
パケット
乱数
乱数
Diffie-Hellman交換
43
![Page 44: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/44.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•IKE相手が本物かどうかの確認
•認証(本人性確認)値の交換
パケット
ハッシュ値の交換
ISAKMP SAが確立
44
![Page 45: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/45.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•SG1はパケットをIPsec化するためのSAのProposalをセキュリティポリシーに従ってSG2に送信
•暗号化に使用する鍵を作るための乱数も同時に送る
•ISAKMP SAを通じているため暗号化されている
パケット
IPsec SAの提案
45
![Page 46: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/46.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
• 受諾したSAと、暗号化に使用する鍵を作るための乱数を返信
パケット
IPsec SAの提案
提案(Proposal)の受諾
46
![Page 47: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/47.jpg)
IKE動作の典型例
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
• SG1よりSG2へ IPsec SA確立の通知
パケット
IPsec SA確立通知
IPsec SA (SG1→SG2)
IPsec SA (SG2→SG1)
47
![Page 48: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/48.jpg)
IKE動作の典型例 (パケットのIPsec化)
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
• パケットをESP化
ISAKMP SA
IPsec SA (SG1→SG2)
IPsec SA (SG2→SG1)
ESP パケット
48
![Page 49: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/49.jpg)
IKE動作の典型例 (パケットのIPsec化)
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
• SG1よりSG2へ ESP化されたパケットを送信
ISAKMP SA
IPsec SA (SG1→SG2)
IPsec SA (SG2→SG1)
ESP パケット
49
![Page 50: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/50.jpg)
IKE動作の典型例 (パケットのIPsec化)
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
• 秘密対象鍵を用いて復号化
ISAKMP SA
IPsec SA (SG1→SG2)
IPsec SA (SG2→SG1)
ESP パケット
50
![Page 51: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/51.jpg)
IKE動作の典型例 (PC2からの応答)
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•SG1はPC2へ復号化されたパケットを送信
ISAKMP SA
IPsec SA (SG1→SG2)
IPsec SA (SG2→SG1)
パケット
51
![Page 52: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/52.jpg)
IKE動作の典型例 (PC2からの応答)
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•同様に、SG2でESP化、SG1へ送信SG2で復号化、PC1へ転送
ISAKMP SA
IPsec SA (SG1→SG2)
IPsec SA (SG2→SG1)
ESP パケット
52
![Page 53: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/53.jpg)
IKE動作の典型例 (PC2からの応答)
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•同様に、SG2でESP化、SG1へ送信SG2で復号化、PC1へ転送
ISAKMP SA
IPsec SA (SG1→SG2)
IPsec SA (SG2→SG1)
ESP パケット
53
![Page 54: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/54.jpg)
IKE動作の典型例 (PC2からの応答)
PC1 PC2
インターネット
SG1 R1 R2 R3 SG2
•同様に、SG2でESP化、SG1へ送信SG2で復号化、PC1へ転送
ISAKMP SA
IPsec SA (SG1→SG2)
IPsec SA (SG2→SG1)
ESP パケット
54
![Page 55: Watanabe Lab. - 本資料についてwata-lab.meijo-u.ac.jp/file/seminar/2009/2009-Semi1...本資料について 本資料は下記書籍を基にして作成されたものです。文章の内容の正確さは保障できないため、正確な](https://reader033.vdocuments.net/reader033/viewer/2022041515/5e2ab1375939c029d857ec07/html5/thumbnails/55.jpg)
最後に
IPsecとは
SA(ESP,AH)の概要
IKEの動作例
55