IPsec

2005年11月27日

IP-Secの記事一覧

【午前問題】
平成18年度　午前　問52　通信の暗号化
 平成17年度　午前　問40　インターネットVPN
（SV)平成19年度　午前　問12　

以下の本を参考にしてます。
IPsec徹底入門 (単行本)
出版社：株式会社翔泳社

１．SA（Security　Association)
２．セキュリティプロトコル
３．カプセル化モード
４．IKE(Internet Key Excange)
５．セレクタ
（詳細は後ほど）

この記事のURL │Comments(0) │Q&A掲示板

2005年11月26日

IP-Sec関連の午後問題

平成18年　PM1-1

この記事のURL │Comments(0) │Q&A掲示板

2005年11月25日

IPsecの仕組み

神様普通

（マルコポーロ）
IPsecは難しいが、一回理解してしまえば簡単である。
単に「トンネル」という概念で覚えるのではなく、パケットレベルでどうなるかを理解してほしい。
本質を理解することが、合格の近道である。

以下はIPsecの図であるが、通常のルーティングの場合との違い、パケット構造を理解しながら見てほしい。

IP-SEｃ

質問①
ルーティングのときは、どのような動きになるか？パケット構造を含めて示してほしい。
質問②
IPsecのときのパケット構造をPC1を出た直後とIPsecトンネルの間、PC2の直前の3パターンで示してほしい。
質問③
NATトラバーサルについて詳しく説明してほしい。

質問④
そもそも、IPsecが必要になった経緯を考えましょう。
IP-VPNサービスや広域イーササービスではなく、IPsecが求められたのはなぜか？

この記事のURL │Comments(0) │Q&A掲示板

2005年11月23日

IPsecはトンネルではありません

IPsecは難しい。
難しくしているのが、各書が「トンネル」という表現を使っているからだ。
トンネルという概念は捨てましょう。なぜなら、IPsecの通信において、トンネルは
構築されていないからです。そもそも、インターネットの世界でトンネルって何？
トンネルという説明をするから、
「トンネルを作れば、その中はセキュリティが保たれているんですよね。」・・・トンネルの中って何？
「通信用のフェーズ２のトンネルの中にデータを通せばいいんじゃないですか？」・・・
フェーズ２にトンネルはできていません。
といった、違う疑問や矛盾がでてきます。
トンネルは捨ててください。

◆次の解説で理解してください。
１．鍵交換　・・・UDPのIKEパケットを交換。トンネルはできません。
インターネット上で安全に通信をするために、お互いを認証したり、暗号方式を決めます。
フェーズ１とフェーズ２に分かれます。
フェーズは１つでもいいのですが、より高速にするために分けてます。（このレベルで止めておきます。）

２．IPsecの通信・・・ESPのパケット。通常のプロトコルがTCPやUDPではなくESPのパケットです。
当然、トンネルはできません。
鍵交換のフェーズ２で決めた暗号化や認証の方式でIPsecの通信をします。

◆用語
試験対策として、いくつか覚えましょう。
（１）SA（Security Assosiation)
フェーズ１：ISAKMP　SA、つまり制御用のSAを作る。・・・このSAをフェーズ２が利用する。
フェーズ２：IPsec　SA、つまり通信用のSAを作る。・・・このSAをIPsec通信が使用する。

（２）IKE(Internet Key Excange)
IKEは必須ではない。しかし、使う場合が多い。
要は、IPsec通信のための鍵が適切になされればよい。

２つのフェーズでカギ交換をする。

（３）プロトコル
①ESP(Encapsulating Security Payload)：暗号化＋認証・・・こっちを覚えればよい。
②AH(Authentication Header)：認証のみ・・・こっちは使われない。

（４）モード
①トランスポートモード：端末間
②トンネルモード：VPN装置間・・・こっちが主流。なぜか。
ルータに設定すれば、PCすべてに設定する必要がないから。

この記事のURL │Comments(2) │Q&A掲示板

2005年11月22日

IKE(Internet Key Excange)

フェーズ１でISAKAMP　SA用の鍵交換を実施する。
安全に秘密鍵を交換するために「Diffie-Hellman（ディフィーヘルマン）」という技術を利用している。
※私は数学好きの人間であったため、Diffie-Hellmamの
仕組みは涙が出るほど感動した。

フェーズ２では
フェーズ１で作成したSAの中で鍵を作成する。

この記事のURL │Comments(0) │Q&A掲示板

2005年11月21日

Aggressive（アグレッシブ）モード

コロンブス普通（コロンブス）
リモートアクセス型VPNの場合にも、サイト間接続と同じように各クライアントのIPアドレスを固定にできるが、一般的ではない。
そこで、XAUTH（eXtended AUTHentication）というIKEの拡張機能で認証を強化する。

・認証にはVPN装置内部のDBを利用してもいいし、RADIUSも利用可能。

■再度質問
なぜ、リモートアクセスの場合だけ、Xauthが必要なのか？

■理由
・Mainモードの場合、Preshared-Keyに加え、両者のIPアドレスも認証の一つである。
・Aggressiveモード（リモートアクセスの形態）を考えると、クライアントのIPアドレスによる認証は困難。
・そうするとPreshared-Keyなど（IPアドレスに比べて）盗まれやすい認証になってしまう。よって認証を強化するためにXauthを利用する。

この記事のURL │Comments(0) │Q&A掲示板

2005年11月11日

IPsecの問題

①IP-secのパケット構造をかけ
②IKEのパケット構造を書け
③IP-secのカプセル化の2つのモードを述べよ。
④暗号化アルゴリズムを３つ以上述べよ。
⑤認証アルゴリズムを２つ以上述べよ。
⑥SAとは何か？２０字で述べよ。
⑦SAを選定する判断基準であり、フィルタとして機能するものは何か？
⑧ISAKMP SAとIPsec SAをわける理由は？続きを読む

この記事のURL │Comments(1) │Q&A掲示板

2005年11月10日

平成18年度　午前　問52　通信の暗号化

通信の暗号化に関する記述のうち、適切なものはどれか。

ア　IPsecのトランスポートモードでは、ゲートウェイ間の通信経路上だけではなく、発信側システムと受信側システムとの間の全経路上でメッセージが暗号化される。

イ　LADPクライアントがLDAPサーバに接続するとき、その通信内容は暗号化することができない。

ウ　S/MIMEで暗号化した電子メールは、受信側のメールサーバ内に格納されている間は、メール管理者が平文として見ることができる。

エ　SSLを使用して接続したとき、暗号化されたHTML文書はブラウザでキャッシュの有無が設定できずディスク内に必ず保存される。

この記事のURL │Comments(1) │Q&A掲示板

2005年11月09日