- ベストアンサー
IPSecのAHとESPについて
インターネット層で暗号化する為にIPSecを使う場合、 AHとESPのプロトコル?があるかと思います。 教科書では、AHは通信データの認証のみで暗号化しないとあり、 ESPでは、通信データの認証と暗号があると書いていますが、 AHの場合を採用するとした場合、IPSecの目的(暗号化通信)が達成できるのでしょうか? たぶん、私は何か勘違いしていると思いますので、ご教授いただけると嬉しいです。 よろしくお願いいたします。
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
IPsecの目的が何なのかを実際にRFCを当たってみてみましょう。 http://www.ietf.org/rfc/rfc4301.txt 2.1. Goals/Objectives/Requirements/Problem Description | IPsec is designed to provide interoperable, high quality, | cryptographically-based security for IPv4 and IPv6. The set of | security services offered includes access control, connectionless | integrity, data origin authentication, detection and rejection of | replays (a form of partial sequence integrity), confidentiality (via | encryption), and limited traffic flow confidentiality. These | services are provided at the IP layer, offering protection in a | standard fashion for all protocols that may be carried over IP | (including IP itself). IPsecはIPv4とIPv6に相互運用できて、高品質な、暗号化技術に基づくセキュリティを提供するために作られているとまず書いてあります。ここでいうセキュリティに暗号化を使った機密性の提供は当然含まれていますが、その他にアクセス制限、コネクションレスな完全性、データの送信元の認証、再送信の検出なども含まれています。 こうして見ると、IPsecの目的は暗号化通信だけではないようです。それどころか、「3.1. What IPsec Does」なんかを見ると、アクセス制御の側面が大きいように感じるのですがいかがでしょうか。 ちなみに、AHについての説明は3.2に次のように書いてあります。 3.2. How IPsec Works | o The IP Authentication Header (AH) [Ken05b] offers integrity and | data origin authentication, with optional (at the discretion of | the receiver) anti-replay features. おっしゃるとおり、AHでは完全性と送信元の認証はしますが、暗号化はしません。しかし、これだけでも正当でない送信元からやってくるデータや誰かによって改ざんされたデータを検出することができるのでアクセス制御としては役に立つと思います。 セキュリティについて考えるときは、機密性、完全性、可用性の観点で見ますが、AHがあると完全性を保証できるので暗号化の必要はないが内容が正確である必要があるデータのやり取りには使えるように思います。たとえば、暗号化せず電子署名をつけただけのメールは銀行からのメールに使われたりしますが、復号の必要がないので電子署名に対応していないメーラーでも読めます。同様に考えると、AHを使えばIPsec非対応機器でちょっとしたヘッダの書き換えで読めるようにでき、完全性のチェックをしたい場合もちゃんと出来るというところで用途はあると思います。
関連するQ&A
- IPSecでの暗号化について
WindowsXP Proを使用しています。 そこで、wwwサーバをたててインターネット上にHPを公開しながら特定の人にしか見れないようなシステムを構築したいと考えています。 そこで、方法についての相談です。 WWWサーバのみの公開で、さらに閲覧するユーザは数名であるため、VPNを構築するほどの必要性は感じません。 認証に関しては、最悪HP上でのID、パスワード認証のみでよいとして、インターネット上で生のデータをやり取りするのはさすがに問題があります。 そこで、暗号化を行いたいと考えています。 実験的なものであり、コストはあまりかけれません。 WindowsXPなので、IPSecで通信を暗号化する方法を調べているのですがよくわからず困っています。 どなたか詳しい方、教えていただきたいのですが。 また、IPSecをこのように使用するというのは正しいのでしょうか?
- 締切済み
- Windows系OS
- IPsec と PKI の違いについて
IPsec と PKI の違いについて教えて頂きたいのですが、 IPsec はフェーズ1, フェーズ2 で鍵の元の情報や利用技術の相談をし暗号通信を行う PKIは認証局が公開鍵について保証し, 公開鍵を利用した暗号通信を行う という風に捉えているのですが、 いまいちこの二つの技術を理解してなく違いがわかりません。 またVPNもよく聞きますが、これはIPsecの利用技術の中にVPNという技術があるということでしょうか? PKIの利用技術としてSSLがあるように。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- PPP接続に関する用語について
最近PPP接続に関する用語について勉強しています。 自分の認識で間違っている所を教えて頂けると助かります。 PPP…2つの機器の間に仮想的な通信路を確立させるためのプロトコル。VPNの一種? PPP接続…PPPプロトコルを用いて2機器間に仮想的な通信路を確立させて行う通信方法。暗号化の機能は無いため別のプロトコルで暗号化する必要がある。 VPN…通信会社の回線上に仮想的なネットワークを設ける仕組み。遠方の拠点にある機器でも直接繋がっているかのように扱える。セキュリティの保護に別途暗号化を施す必要がある。 IPsec…OSI参照モデル第3層のプロトコル。IPパケット自体を丸々暗号化する事も可能である。 第3層で暗号化を施すためルーターでIPsecが対応していれば通信できる為クライアントはIPsecに対応していなくとも通信可能である。 CHAP…PPP接続で用いられる暗号化プロトコルの一つ。通信自体に暗号化は施さず、通信のなりすましを防ぐ為に用いられる。 L2TP…PPP接続を行う際に仮想的な通信路を構築する為のプロトコル。第2層で構築する為その中に 様々な通信を乗せる事ができる。 このプロトコル自体にセキュリティの機能は無いためIPsecなどで暗号化する必要がある。PPPプロトコルとの違いは? 以上自分の認識を挙げてみましたが一部不確かな所がありますので、ネットワークセキュリティに詳しい方は教えて頂けるとうれしいです。
- ベストアンサー
- ネットワーク
- IPSecをかけると通信量はどれだけ増えるの?
IPSecをかけると通信量はどれだけ増えるの? 2拠点間を広域イーサで接続し、Webやメールなどの通常の通信を暗号化なしで 行っている場合と比較して、 両拠点間をIPSec(AES255)で暗号化を掛けたときには、 一般的に通信量はどれだけ増えるものなのでしょうか? また、帯域設計はどのようにするものなのでしょうか? VoIPなどの極端なショートパケットが無い場合を想定しております。 抽象的な質問で申し訳ありませんがよろしくお願いします。
- ベストアンサー
- ネットワーク
- 認証方法として証明書を使用したIPsec通信について
認証方法として証明書を使用したIPsec通信がうまくいかないので質問させていただきます。 現在IPsecの動作確認として以下のような環境で確認を行っています。 ・ハブを挟んだ2台のPC間でのトランスポートモードによるIPsec通信 ・2台のPCのOSはWindowsXP Proffessionalでそれぞれに固定IPアドレスを割り振る ・相手PCに対してのpingで通信を確認 互いのPCでIPセキュリティーポリシーを作成し、認証方法に事前共有キーを指定した場合には正常に暗号化した通信が行えています。 しかし、その状態で認証方法を証明書使用に変更した場合、通信ができなくなってしまいます。 (使用する証明書はPCにデフォルトで入っているものを何種類か指定してみましたがダメでした) 認証に使用する証明書はデフォルトでPCに入っているものではダメなのでしょうか?それとも何か設定が足りないのでしょうか? ご教授よろしくお願いします。
- 締切済み
- ネットワーク
- IPsecをサブネットの内部及び外側に適用する方法
IPsecをサブネットの内部及び外側に適用する方法 添付図のようなネットワークを想定します。 あるイントラネットの中に、サブネットが2つ、独立して接続されているクライアントが2つあります。 このとき、IPsecを使用して 薄い水色で囲んだ範囲内のクライアントは相互に暗号化通信をできるようにしたいと考えています。 ここで、例えば[192.168.2.12]と[192.168.3.1]の通信においては、ルータ[192.168.2.1]と[192.168.3.1]の間でトンネルモードを使用することでIPsec通信が可能となります。 では、Subnet_1 内にある[192.168.1.12]がルータ[192.168.2.1]や[192.168.3.1]とIPsec通信を行う場合、どういった設定を行えば良いのでしょうか? [192.168.1.12]はサブネット内にありますが、この場合は直接 [192.168.2.1]とのトンネルモード、あるいは直接 [192.168.3.1]とのトランスポートモードの通信は可能なのでしょうか? ただし、水色枠の範囲外にある[192.168.1.11]は他のクライアントとIPsec通信は行わないようにします。 宜しくお願いします。
- 締切済み
- ネットワーク
- WindowsファイアウォールのESP開放とVPN
■自宅環境(VPN接続先) サーバ : WindowsHomeServer 2011 VPNのために稼働中のサービス : ルーティングとリモート アクセス サービス ■実家環境(接続元・クライアント) 使用OS(実家) : WindowsXP sp3 ウイルス対策ソフト : Microsoft Security Essentials VPN方式 : L2TP/IPSEC (事前共有キー) Windowsファイアーウォール : 入 Windowsファイアーウォールで許可したポート : UDP 500 / UDP4500 ■WindowsXPのVPN設定(OS標準機能『職場へ接続する』にて作成したもの) VPNの方式 : L2TP/IPSEC 認証の事前共有キー : 設定済 半角24文字 データの暗号化 : 暗号化が必要(サーバーが拒否する場合は切断) お世話になります。 WindowsXPを使用し、実家の無線LAN → 自宅のWHS2011へVPN接続を試みています。 接続方式はL2TP/IPSECでして、iPhone(3G回線)・iPad(WiFi回線)からは正常にVPN接続できます。 しかし、iPhone・iPadと同じ設定なのにWindowsXPからは失敗となり接続できません。 その際に表示された具体的なメッセージは以下のとおりです。 792 セキュリティ ネゴシエーションがタイムアウトしたため、L2TP 接続に失敗しました。 同じ無線LAN、同じルーター、おなじネットワーク内なのにWindowsXPだけ繋がらない理由がわかりません。 個人的な推測ですが、Windowsファイアーウォールにて『プロトコル番号50 ESPプロトコル』の透過設定が出来ない事が気がかりです。 現在帰宅してしまったためこれ以上の情報は持っておりません。 現時点で何かチェックポイントなどありましたらご指摘頂けると大変助かります。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- 片側非固定IPアドレス時のIPsec
以下のような条件でLINUXサーバをルータがわりに使って拠点1-2間でIPsec VPN通信をしたいと思っています。 ・(拠点1ネットワーク)---LINUXサーバ---(インターネット)---LINUXサーバ---(拠点2ネットワーク) ・グローバルIPアドレスは拠点1では非固定、拠点2では固定。 まずは、拠点1側のLinuxにipsec-toolsをインストールして以下のように設定しました。 ・IKE使用 ・セキュリティプロトコルはESP ・カプセル化モードはトンネルモード。 ・phase1の鍵交換タイプはagressiveモード。 ここでSPDの設定時についてお聞きしたいことがあります。 SPDの設定時に spdadd B.B.B.B/24 A.A.A.A/24 any -P out ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X//require; spdadd A.A.A.A/24 B.B.B.B/24 any -P in ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require; というコマンドを打つ必要があるようなのですが、拠点1では非固定IPアドレスなので、X.X.X.Xの部分を指定できません。ipsec-toolsを使う場合は両側固定グローバルアドレスがないどいけないのでしょうか? ただし、A.A.A.A/24が拠点1ネットワークアドレス、B.B.B.B/24が拠点2ネットワークアドレス、Y.Y.Y.Yを拠点B側の固定グローバルアドレスとします。 わかりにくい説明で申し訳ないのですが、何卒よろしくお願いいたします。
- 締切済み
- ネットワーク
- TCP/IPにおけるデータリンク層の役割について
はじめまして。 現在TCP/IPについて学習している者ですが、わからないことが あり、混乱しています。質問させてください。 参考書には、データリンク層の役割とは、 「機器どうしをつなぐにはいくつかの方法があり、同一の方法でつなげたひとかたまりをデータリンクといいます。データリンクどうしの違いを吸収し、ネットワーク層より上の層が違いを意識せずに働けるようにすること。」であると、解説されているのですが、なにかあたかも データリンク層のプロトコルが異なっていてもデータのやり取りが 出来るかのように解釈できてしまいます。例えば、Ethernetを採用しているデータリンクのノードが、FDDIを採用しているデータリンクの ノードと、データのやりとりができてしまうということを言っている ように解釈できてしまいます。プロトコルとは、通信元と、通信先 の同一層でのデータのやり取りを規定したものですよね。それなのに プロトコルが異なるものどうしが、データのやりとりができてしまう とは、いったいどういうことなのでしょうか?どうかご教授 お願いします。なにぶんネットワークの知識がまだ浅いので 初心者でもわかるようにご教授していただけませんでしょうか。 よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
お礼
ご回答ありがとうございました。 IPSecの目的も今より理解が深まり満足しました。
補足
英語が苦手で勉強中ですが、いつかこうした英語ドキュメントも読めるようになれればと思います。 ちなみに、hanabutako様は英語が出来るようになるまでにどのような勉強をされたのでしょうか?参考にさせていただけると嬉しいです。 よろしくお願いいたします。