もうちょっとやろうと思ったけど半沢直樹始まるから18時でやめた
・CHAP
チャレンジレスポンス方式の認証
・EAP
いろんなプロトコルをカプセル化できる認証プロトコル
認証そのものはTLSとかPEAPとかの認証方式を使う
・認証スイッチ
ポートに接続するとIEEE802.1Xの認証をまず行って、成功したら通信できるようにする(VLANを切り替える)かしこいスイッチ
・IEEE802.1XのEAP-TLS
サーバとクライアント両方に証明書をインストールして相互認証を行う
・IEEE802.1XのEAP-PEAP
TLSでサーバ認証のみ行ってTLSで張った暗号経路上でクライアントとサーバ上のパスワード認証を行う
・アイソレーション
端末とアクセスポイントが無線LAN通信を介しするまでの流れ
・EAP-TLSのシーケンス
①端末とアクセスポイントははアイソレーションを確立する。
②IEEE802.1XのEAP-TLSで認証を行う。このとき、PMKという暗号化通信のもととなる情報をサーバとクライアント間で交換
③PMKを使って暗号鍵(共通鍵)を生成し暗号化通信を開始する。
・GRE
ネットワーク層のプロトコルパケットをカプセル化するトンネリングプロトコル
マルチキャストパケットもカプセル化できる→GRE over IPsec
・IPsecのトランスポートモード
End to Endすべてをカプセル化する。
・IPsecのトンネルモード
ゲートウェイとなるルータ同士などEnd to Endの一部区間だけカプセル化する。
・SA(Security Association)
IPsecはISAKMP SAとIP sec SAの2種類のコネクションを生成する。
・ISAKMP SA(IKE SA)
IPsec SAを生成するためのデータ交換を行う
・IPsec SA
実際のデータ通信に使うトンネルで上り・下りの2つが生成される。
1組だけでなく、元先IPアドレス・ポート番号・プロトコルごとに別のIPsec SAが生成される。
・リキー
SAには生存期間があり、満了するたびに暗号鍵を作り変えること。
満了するタイミングで作り変えてると通信断が発生するので、生存期間ちょい手前でリキーする
・SPI
IPsec通信を行う両ノードがSAを識別するために用いる識別子
IPsecヘッダに格納される。
・IKEのメインモード
相手のIPアドレスを元に事前共有鍵を選ぶ、両ノード固定IPである必要がある。
・IKEのアグレッシブモード
送信元のIPアドレスは固定じゃなくてよく、メインモードより簡略化されている。(IKEバージョン2で廃止された。)
・IKEフェーズ1の処理
①パラメタ(②、③で使う情報)を交換
②IPsec通信で使う秘密鍵生成→DH鍵交換により乱数を交換する。
③事前共有鍵を用いて両ノードの機器を認証する。
→ISAKMP SAの確率完了
・IKEフェーズ2の処理
IPsec SAを確立する。(ISAKMP SAのコネクションを使うので、セキュア)
・AH
IPsecパケットに付与されるセキュリティプロトコルの一つ
認証のみ行い、外側IPヘッダ(新たに付与したIPアドレス)も含めて認証を行う。
・ESP
IPsecパケットに付与されるセキュリティプロトコルの一つ
認証と暗号化を行う。外側IPヘッダまでチェックしない
・IPsecの使いみち
LAN間接続:ゲートウェイ同士でSAを生成するのでIPアドレスが固定のためIKEのメインモードを使う。
ゲートウェイ間だけなのでIPsecのトンネルモードを使う。
リモートアクセス:端末側にVPNクライアントソフトをインストールしておく。(IPsecゲートウェイの役割を持つ)
端末側はIPアドレスが固定されないため、IKEのアグレッシブモードを使う。
・XAUTH
IPsecでユーザ認証を行う技術。ISAKMP SAの確立後に認証を行う。
・NATトラバーサル
NATトラバーサルに対応したVPNクライアントソフトが必要。新IPヘッダとESPヘッダの間にUDPヘッダを挿入してNAPT変換を実現
・VPNパススルー
プライベートIPのまま対向のゲートウェイにパケット転送する技術。ESPヘッダのSPIを元に識別する。
ごちゃごちゃ師杉屋で
