IPsec
- IPを拡張してセキュリティ的にいい感じにしようぜ的な
- IPv4でもIPv6でもいける。IPv6では実装が必須
- 実装が必須って何?
- IPv6に対応してるって書いてある機器ではIPsecが使えないと駄目みたいな?
- アクセス制御できる
- MACで改ざんを検知できる
- 送信元を認証できる
- リプレイアタックを防げる(通信の重複を検知できる)
- データを暗号化出来る
トランスポートモード
トンネルモード
SPD(Security Policy Database)
SA(Security Association)
AH(Authentication Header)
- 認証のヘッダ
- 暗号化機能はない
- 認証できる・暗号化できない
- トランスポートモードの時はIPヘッダとTCPヘッダの間にAHがねじこまれる感じ
- トンネルモードの時は新しいIPと一緒にくっつける感じ
- ICVの計算にIPを含める
- NAT,NAPTを使ってるとICV計算につかったIPと通信につかうIPが変わっちゃうからICVが一致しなくなる
ICV(Integrity Check Value)
- HMACだって
ESP(Encapsulating Security Payload)
- 認証できる
- 暗号化できる
- ヘッダとトレーラ(けつ)がくっつく
- トレーラはペイロードのあとにつく
- そのうしろにさらにICVがつく
- ICVの計算にIPを含めない
- NATでもいいけどNAPTだとポートが変わる、ポートがかわるとICVが一致しなくなる
IKE(Internet Key Exchange)
IKEによるISAKMP SAの作成
メインモード
アグレッシブモード
アグレッシブモード - プログラミング探して! * とりあえずIDが動的に変わる環境でも使えるらしい * IDはFQDNとか使うとかなんとか
IKEによるIPsec SAの作成
クイックモード
留意点
- 機器をぱくられたりすると不正なとこから正常にIPsecでの通信ができちゃう
- ユーザ認証しようぜ
- XAUTHをつかうとか
XAUTHのユーザ認証はISAKMP SAを使って行われる
ISAKMP SAってなまえはクソだな、と思った