「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。 目次 †概要 †
機能 †アクセス制御 †
送信元の認証 †
メッセージ認証 †
受信データ重複検知 †
通信データの暗号化 †構成 †ピア †
SPD(Security Policy Database) †セキュリティポリシーのデータベース
SAD(Security Association Database) †コネクション †SA(Security Association) †
SPI(Security Pointer Index) †
プロトコル †フロー †
中核 †中核をなす以下の3つのプロトコルがある。 鍵共有プロトコル †暗号通信プロトコル †鍵共有プロトコル †IKE(Internet Key Exchange)という鍵交換プロトコルを使用する。
ISAKMP/Oakley †
IKEv1 †Internet Key Exchange protocol version 1 ISAKMP †
フェーズ †
ISAKMP SAパラメタのネゴシエーション †
メッセージの交換手順 †ISAKMP SAを確立するまでの、
として2つの交換タイプがある。
デバイスの認証方式 †通信相手(IPsec機器)との認証を行う認証方式
これにより、ISAKMP SAが確立する。 ※ 仕組み(シーケンスやペイロードなど)が不明。 IPsec SAパラメタのネゴシエーション †
IKEv2 †Internet Key Exchange protocol version 2
SA †
Exchange †イニシエータとレスポンダの通信
暗号通信プロトコル †動作モード †トランスポート・モード †
トンネル・モード †
暗号化、メッセージ認証 †
AH (Authentication Header) †
ESP (Encapsulated Security Payload) †
※ ESP認証データは、認証&暗号化対象外。 復号化、メッセージ認証の検証 †フィルタリング †復号(化) †
留意点と対策 †端末の不正使用 †
IPアドレスの動的割当 †
NAT / NAPT利用時の留意点 †NAT †IPの変換なので、IPヘッダにだけ影響する。
※ IKE + ESPで処理可能。 NAPT †IPとポート番号の変換なので、IPヘッダとTCPヘッダに影響する。
※ 処理不可能なのでUDP encapsulation of IPSec ESP packetsを使用する。 UDP encapsulation of IPSec ESP packets †
参考 †
Tags: :IT国際標準, :インフラストラクチャ, :セキュリティ, :暗号化, :通信技術 |