【前編】ネットワーク構築(IPsec)


今回やること

セキュリティについて勉強をしている中で、VPNを構築したいと思っていたので
その中でも一般的に使われているIPsecを構築してみようと思います。
ただ構築したことがないので、完全手探りです。
いきなり構築は無謀なので、まずは事前知識を補完していこうと思います。

使用ツール

GNS3
IOS: c2600-adventerprisek9-mz.124-17

用語集(備忘録)

※自分用にざっくりまとめてます(しっかりまとめたら長すぎるため)

用語 概要
AH IPパケットを認証するプロトコル。暗号化はしない。
ESP 認証と暗号化両方する。
IKE セキュア環境じゃないネットワークで秘密鍵を交換するプロトコル。
SA IPsec-VPNで使用されるコネクションのこと。
ISAKMP SA 接続相手を認証して共通秘密鍵を共有するSA。

構築の流れ(ざっくり)

IPsecやること多くて難しいので、ざっくりまとめます。
IKEにフェーズ1とか2というのがあるらしく、先に簡単にまとめ。

フェーズ1

ISAKMP SAを確立するのが。
接続相手を認証する際、認証に使われる暗号化の有無でモードが分かれる。

IKEフェーズ1 概要
メインモード 暗号化するほう。
アグレッシブモード 暗号化しないほう。

フェーズ2

IPsec SAを確立するための情報交換を行う。
色々な情報を交換したあとにIPsec SAが確立する。

・暗号アルゴリズム
・ハッシュアルゴリズム
・IPsec SAの寿命
・DHグループ
・ID(ESP、AHを識別するためのもの)
・PFS(IPsec SAで使用する共通秘密鍵を安全に作成するための情報)

では流れのまとめ。

大体の流れ

1、IKEのポリシー定義(ISAKMP)
2、事前共有鍵の設定(pre-share)
3、SA確立のためにIPsecトランスフォームセットに正義 ※1
4、IPsecの対象トラフィック定義
5、暗号マップ定義

※1
IPsec SAを確立するためにトランスフォームセットを必ず設定することになるらしい。
トランスフォームの種類も複数あるみたい。

・ESP
暗号化トランスフォーム
認証トランスフォーム

・AH
認証トランスフォーム

コマンド集(備忘録)

コマンドが多くて訳が分からなくなるので、まとめます。

フェーズ1

コマンド 説明
crypto isakmp policy [priority] ISAKMPポリシーの設定。数字が低いほど優先度が高い。
encryption [暗号化の値] 暗号化アルゴリズムの設定。デフォルトはdesになる。
authentication [ pre-share ] 認証方式の設定コマンド。3種類ある。
crypto isakmp key [pass] address [ip] 事前鍵の設定。

まだまだありますが、フェーズ1で使いそうなのをまとめてみました。

まとめ

やはりセキュリティの技術なだけあって、かなり難しいです。
コマンドも多いし、暗号化の種類も色々あるしで結構骨が折れます。
まだまだ調べることが多いですが、ある程度まとめられたら実際に構築してみようと思います。

以上です。