退職まで後49日。ネットワーク学習6日目。VPNについて

スポンサードリンク

太郎です。

昨日勉強できなかった分、本日はChapter2つ分進めました。そのうちの1つでもあり今回の勉強でいちばん重要なVPN!!

一回読むだけだと理解ができないポイントもあったので、最低でも3週はしたいと思いました。。(汗)

ということで、とりあえずメモ書き程度にVPNまとめます。

VPNとは?

仮想的な専用線のこと。拠点間を繋いだり、社内のネットワークに外部から安全にアクセスするための技術。やり取りする情報を他人に盗聴されないための技術。

IPsecとは?

よく使われているインターネットVPN。IPパケットの完全性機密性を保証します。IPパケットが保護されるのでトランスポート層以上のレイヤではIPsecのことを気にする必要がない。

IPsecを構成するプロトコルにはAH、ESP、IKEがある。

AHとは?

IPパケットを認証するためのプロトコル。送信元の認証、改ざん検出、リプレイアタックの防止を提供する。データの暗号化は行わない。

ESPとは?

認証機能と暗号化機能を備えたIPプロトコル。

IKEとは?

秘密鍵を交換するプロトコル。UDPの500番ポートを用いる。

IPsecでのデータのやり取り

IPsec SAと呼ばれるコネクションを事前に確立する。送受信の場合は2つ必要。IPsec SAを確立するためにはIKEを使って必要な情報を交換する。

フェーズ1:ISAKMP SAの確立

接続相手の認証を行い、IPsec SAごとの共通秘密鍵を安全に共有するためのSA。メインモードとアグレッシブモードがあり、認証に使われるID情報の暗号化の有無による違いがある。拠点間接続の場合は一般的にメインモードでID情報を暗号化する。

フェース2:IPsec SAを確立するための情報を交換

交換する情報はフェーズ1で確立したISAKMP SA上で行われる。これが終わるとIPsec SAが確立され、IPsecの通信が開始する。データの暗号対象の違いでトンネルモードとトランスポートモードの2つのモードがある。

トンネルモード

もとのIPパケット全体を新たなIPヘッダでカプセリングする方式。新たに追加したIPヘッダは転送用として使われる。

トランスポートモード

もとのIPパケットを使って転送を行う。データの暗号化と認証の範囲がトンネルモードと変わる。

両モードの違いはすごくわかりやすい図があったのでこちらのページを参考にしてください。

NATトラバーサルとは?

IPsecを設定するときにはNAT(IPマスカレード)に注意する必要がある。AHではパケット全体を認証するのでアドレス変換されると受信側で認証エラーとなってしまう。ESPではトランスポート層より上の層が暗号化されてしまい、IPマスカレードによるポート番号の変換ができない。これらの問題を解決するのがNATトラバーサルである。

ESPヘッダの前に新たなUDPヘッダを付加することでポート番号の変換ができるようにする。

IKEキープアライブとは?

IPsecトンネルがダウンしているかどうかを定期的にチェックし、ダウンしていたら自動的に再接続する機能。

PPTPとは?

Microsoft社が提案したL2トンネリングプロトコル。IPsecほどセキュリティ強度はないが、設定は比較的簡単。

PAC(発信元)とPNS(受信側)の間で仮想トンネル(PPTP)を構築するVPN技術。PPPフレームワークを使ってデータの送受信を行う。PPPフレームにGREヘッダを付与することで仮想トンネルを形成している。GREは、任意のネットワーク層のプロトコルのパケットを別のネットワーク層のプロトコルのパケットにカプセリングする。

PPTPトンネルを確立する前にPPTP制御コネクションの確立が必要となる。

PPTP制御コネクション

PACからPNSのTCP1723ポートにたいして確立要求メッセージを送信する。PNSは受信したら確立応答メッセージを返す。これでPPTP制御コネクションが確立する。

PPTPトンネル

PPTP制御コネクションが確立したら、それを用いてPPTPトンネルを確立するための発呼要求メッセージを送信する。PNSは受け取ったらPACに発呼応答メッセージを返す。これでPPTPトンネルが確立してPPPフレームを送受信できるようになる。

IPIPとは?

IPパケットをIPパケットでカプセリングする。認証と暗号機能のない簡易なVPNです。一部のネットワーク機器にIPv6のガイオウがしていない場合などにIPv6通信のためのIPv6パケットをIPv4でカプセリングしてIPIPトンネルを設定する。

L2TPv3とは?

さまざまなデータリンク層プロトコルをカプセリングし、同一セグメントの複数の拠点を仮想的に接続するL2VPNです。PPP、VLAN、HDCL、フレームリレー、ATMなどをカプセリングできる

かんたんに複数の拠点で同一セグメントのネットワーク構築ができる。

ヤマハルーターでブリッジインターフェースを使用する。

使われる例として、同一セグメントが物理的に分断されたネットワークにおいて、仮想的にLANを構築する場合に利用される。

 

・・・難しいので、日をおいてまた学習します!

スポンサードリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です