• ベストアンサー

IPSecのフェーズ2におけるSA交換の中身

IPSec のフェーズ2(クイックモード)において、一方のエンティティと 他方のエンティティが IPSec SA を作る為、ネゴシエーションをしますが、 この時実際にやり取りされるSAの中身は何でしょうか? RFC2409の5.5章では ヘッダー[(以下暗号化で)ハッシュ,SA,ナンス,鍵交換,] となっており、ナンスペイロード等があることは分かっています。 この中で、(あえてRFCで)SA と書いている点で、その中身が何なのか、 分かる方がいらっしゃいましたらお教えください。 個人的にはSAペイロードのみなのかと思っていますが、 本当は何が入っているのでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
  • iyokiti
  • ベストアンサー率55% (11/20)
回答No.1

こんにちは伊与と申します。外していたらすいません。 ISAKMPでSAの中身を定義していると思います。 RFC2407においてISAKMPは "インターネットにおけるSA(Security Association)管理と暗号化キー確立を 定義している。" とあります。 ISAKMP DOIのフレームワークに従えば任意のものが定義できると、私は勝手に思い込んでます(とっても怪しい(^_^;)。 SAのペイロードは RFC2407 4.6.1に記されています。 参考になれば幸いです。

参考URL:
http://www.ipa.go.jp/security/rfc/RFC2407JA.html
user1000
質問者

お礼

お答えありがとうございます。 自己フォローになりますが、先のRFCにおけるアスキーアートでの図中 での”SA"はSAペイロードそのものであるということが分かりました。 構造はRFC2407に掲載されています。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • IPsec と PKI の違いについて

    IPsec と PKI の違いについて教えて頂きたいのですが、 IPsec はフェーズ1, フェーズ2 で鍵の元の情報や利用技術の相談をし暗号通信を行う PKIは認証局が公開鍵について保証し, 公開鍵を利用した暗号通信を行う という風に捉えているのですが、 いまいちこの二つの技術を理解してなく違いがわかりません。 またVPNもよく聞きますが、これはIPsecの利用技術の中にVPNという技術があるということでしょうか? PKIの利用技術としてSSLがあるように。 よろしくお願いいたします。

  • FortiGate50B VPN-IPSECの接続について

     FortiGate50Bで拠点間VPNの接続設定しているのですが、VRN>IPSEC>モニタ にて、各接続先の「トンネルがアップ状態」=「↑」(緑色)になっているのですが、各拠点先のルーターへpingが通りません。 設定内容が足りないのか・・・、ヒントになるような内容でも教えていただければと思います。 ■VPN>IPSEC>AutoKey(IKE) ・暗号化:AES 認証:SHA1 ・リプレイ検知を有効 ・PFSを有効にする ・DHグループ:"2" ・自動鍵キープアライブ:有効 ・Quick Mode Selector ※下記の各拠点ごとに送信元アドレス、宛先アドレスを設定 <A拠点アドレス> 172.26.12.0/24 <B拠点アドレス> 192.168.11.1/24 ■ファイアウォール>ポリシー>Internal>wan1 ・IPSECにて設定済み よろしくお願いします。

  • NEC IXとSonicWALLのVPN設定方法

    下記のナレッジベースを参考にして、サイト間VPN構成を行おうとしていますが、"Received notify. NO_PROPOSAL_CHOSEN"がTZ100に出力されており、VPN接続ができません。 イニシエータがTZ100で、レスポンダがIX2015になっています。 ご教示頂けますようお願い致します。 ----------------------------------------------------------------------------------- UTM - VPN: SonicOS Enhancedを稼働するSonicWALL UTM装置とNEC社製IX シリーズ ルータとのサイト間VPNの構成 http://www.fuzeqna.com/sonicwalljp/consumer/kbdetail.asp?kbid=4192 ----------------------------------------------------------------------------------- 【構成】 192.168.3.0/24 <--> (X0:LAN) TZ100 (X1:WAN) <--> (FE0/1) IX 2015 (FE0/0) <--> 192.168.4.0/24 【機器情報】 SonicWALL TZ100 ファームウェア:SonicOS Enhanced 5.8.1.13-1o.00.jpn (1)インターフェイス (X0:LAN) 192.168.3.254/24 (X1:WAN) 192.168.1.50/24 (2) VPN ポリシー種別:サイト間 認証種別: IKE(事前共有鍵を使用) プライマリ IPSec ゲートウェイ名またはアドレス: 192.168.1.60 事前共有鍵:password  IKE(フェーズ1)プロポーザル  鍵交換モード: メインモード  DH グループ: グループ2  暗号化:3DES  認証:SHA1  存続期間 (秒): 28800 Ipsec (フェーズ 2) プロポーザル プロトコル: ESP 暗号化: 3DES  認証:SHA1  存続期間 (秒): 28800 NEC IX 2015 ファームウェア:8.3.48 Router# enable-config Router(config)# ip route 192.168.3.0/24 Tunnel0.0 Router(config)# ip route default 192.168.1.1 Router(config)# ip access-list sonicwall-list permit ip src any dest any Router(config)# ike proposal ike-prop encryption 3des hash sha group 1024-bit Router(config)# ike policy ike-sonciwall peer 192.168.3.254 key password ike-prop Router(config)# ipsec autokey-proposal ipsec-prop esp-3des esp-sha Router(config)# ipsec autokey-map ipsec-sonicwall sonicwall-list peer 192.168.1.50 ipsec-prop Router(config)# ipsec local-id ipsec-sonicwall 192.168.4.0/24 Router(config)# ipsec remote-id ipsec-sonicwall 192.168.3.0/24 Router(config)# interface FastEthernet0/0.0 Router(config-FastEthernet0/0.0)# ip address 192.168.4.254/24 Router(config-FastEthernet0/0.0)# no shutdown Router(config-FastEthernet0/0.0)# interface FastEthernet0/1.0 Router(config-FastEthernet0/1.0)# ip address 192.168.1.60/24 Router(config-FastEthernet0/1.0)# ip napt static FastEthernet0/1.0 udp 500 Router(config-FastEthernet0/1.0)# ip napt enable Router(config-FastEthernet0/1.0)# ip tcp adjust-mss auto Router(config-FastEthernet0/1.0)# no shutdown Router(config-FastEthernet0/1.0)# interface Tunnel0.0 Router(config-Tunnel0.0)# tunnel mode ipsec Router(config-Tunnel0.0)# ipsec policy tunnel ipsec-sonicwall Router(config-Tunnel0.0)# ip unnumbered FastEthernet0/0.0 Router(config-Tunnel0.0)# no shutdown

  • 「フェーズ」とは

    私はvbaが多少できるので、転職しようと思ってるのですが 転職サイトの仕事内容に 「主にVBAを使用し、企画・設計・開発・導入までのフェーズを担当致します。」 と書いてあるのですが、「フェーズ」とはどういう意味でしょうか? 「段階」という意味でしょうか? ようは「企画・設計・開発・導入」を一つの段階として、すべて行うのが仕事内容ということでしょうか?

  • フェーズ5は正しいとおもいますか?

     新型インフルエンザ問題が取りざたされてますが、日がたつにつれ「日本は騒ぎすぎ」「マスクしてるのは日本人だけ」という話もよく耳にします。  罹患して亡くなる方もいますが、治る人が圧倒的に多いし、何より感染が脅威的に広がっているとは思えません。  WHOがいう警戒レベル6段階のうちの5段階まできているとは思えないんですが・・・  フェーズ5は誤りだったと見解を改めることはありうるのでしょうか?日本の厚生労働省あたりは何も動かないんでしょうか?    

  • IPsecについて

    凄い初歩的なことで申し訳ないのですがIPsecを使用する場合は双方に固定IPアドレスが必要なのでしょうか? ご回答お願いします。

  • IPsec

    server 2003 standard edition でIPsecを使用する際の設定方法(設定箇所?)について教えてください。 PPTP接続でのVPNはできたのですがIPsecでの接続がどうしてもできません><  また参考になるサイトがあったら教えてください。 よろしくお願いします。

  • IPSecについて

    IPSecはAHとESPで構成されていて、AHはデータインテグリティとデータ起点認証を提供します。とネットワーク本に記載されてますけれども、 データインテグリティ(整合性)とは、どのような意味なんでしょうか?教えてください。 あと、可用性と冗長性は同じ意味なんでしょうか?それとも可用性(壊れにくい)を保つために冗長性を提供するのでしょうか? 併せてお願いいたします。

  • IPsecってなんですか?

    IPsecの言葉自体がわからないので、教えてください。(詳細に」)

  • 中身を交換

    メーカー製のPCがあります。 マザーボードとCPUを買ってきて、それらを交換したら普通に動きますか? 質問がわかりにくくてすいません。。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する