【前編】ネットワーク構築(IPsec)
今回やること
セキュリティについて勉強をしている中で、VPNを構築したいと思っていたので
その中でも一般的に使われているIPsecを構築してみようと思います。
ただ構築したことがないので、完全手探りです。
いきなり構築は無謀なので、まずは事前知識を補完していこうと思います。
使用ツール
GNS3
IOS: c2600-adventerprisek9-mz.124-17
用語集(備忘録)
※自分用にざっくりまとめてます(しっかりまとめたら長すぎるため)
用語 | 概要 |
---|---|
AH | IPパケットを認証するプロトコル。暗号化はしない。 |
ESP | 認証と暗号化両方する。 |
IKE | セキュア環境じゃないネットワークで秘密鍵を交換するプロトコル。 |
SA | IPsec-VPNで使用されるコネクションのこと。 |
ISAKMP SA | 接続相手を認証して共通秘密鍵を共有するSA。 |
構築の流れ(ざっくり)
IPsecやること多くて難しいので、ざっくりまとめます。
IKEにフェーズ1とか2というのがあるらしく、先に簡単にまとめ。
フェーズ1
ISAKMP SAを確立するのが。
接続相手を認証する際、認証に使われる暗号化の有無でモードが分かれる。
IKEフェーズ1 | 概要 |
---|---|
メインモード | 暗号化するほう。 |
アグレッシブモード | 暗号化しないほう。 |
フェーズ2
IPsec SAを確立するための情報交換を行う。
色々な情報を交換したあとにIPsec SAが確立する。
・暗号アルゴリズム
・ハッシュアルゴリズム
・IPsec SAの寿命
・DHグループ
・ID(ESP、AHを識別するためのもの)
・PFS(IPsec SAで使用する共通秘密鍵を安全に作成するための情報)
では流れのまとめ。
大体の流れ
1、IKEのポリシー定義(ISAKMP)
2、事前共有鍵の設定(pre-share)
3、SA確立のためにIPsecトランスフォームセットに正義 ※1
4、IPsecの対象トラフィック定義
5、暗号マップ定義
※1
IPsec SAを確立するためにトランスフォームセットを必ず設定することになるらしい。
トランスフォームの種類も複数あるみたい。
・ESP
暗号化トランスフォーム
認証トランスフォーム
・AH
認証トランスフォーム
コマンド集(備忘録)
コマンドが多くて訳が分からなくなるので、まとめます。
フェーズ1
コマンド | 説明 |
---|---|
crypto isakmp policy [priority] | ISAKMPポリシーの設定。数字が低いほど優先度が高い。 |
encryption [暗号化の値] | 暗号化アルゴリズムの設定。デフォルトはdesになる。 |
authentication [ pre-share ] | 認証方式の設定コマンド。3種類ある。 |
crypto isakmp key [pass] address [ip] | 事前鍵の設定。 |
まだまだありますが、フェーズ1で使いそうなのをまとめてみました。
まとめ
やはりセキュリティの技術なだけあって、かなり難しいです。
コマンドも多いし、暗号化の種類も色々あるしで結構骨が折れます。
まだまだ調べることが多いですが、ある程度まとめられたら実際に構築してみようと思います。
以上です。
Author And Source
この問題について(【前編】ネットワーク構築(IPsec)), 我々は、より多くの情報をここで見つけました https://qiita.com/nishi-infr/items/9e3bd5bcd67750aab711著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .