- 作者:ランディス
- 発売日: 2004/06/08
- メディア: 単行本
・TLS(Transport Layer Security)
トランスポート層でTCPを用いるアプリケーション通信のセキュリティを確保するプロトコル
・MAC
TLSのメッセージ認証でパケットごとに付与するペイロードのメッセージダイジェスト
・TLS通信の手順
①:セッションの確立(ハンドシェークプロトコル)
②:暗号化通信(アプリケーションデータプロトコル)
・Helloメッセージ
ハンドシェークプロトコルの最初にサーバ・クライアント双方で暗号スイート(暗号アルゴリズム・鍵交換方式 )と鍵交換用乱数をやりとりするメッセージ
・プリマスターシークレット
ハンドシェークプロトコルの途中でサーバの公開鍵で暗号化して送るマスタシークレットの基となるデータ
・マスターシークレット
プリマスターシークレットとHelloメッセージ内の乱数を用いて生成するサーバ・クライアント双方で共有する共通鍵
これがTLS通信で仕様する鍵
・SSL-VPNのリバースプロキシ方式
ブラウザで動くAPでしか使えないが、専用モジュールなしでSSL-VPN接続できる。
※APサーバと直結ではなく、直前にVPN装置があり、VPN装置がリバースプロキシとして動作する。
・SSL-VPNのポートフォワーディング方式
①:専用モジュールをインストールするとクライアントのHostsファイルにAPサーバのホスト名に対応するIPアドレスとしてループバックアドレスを登録する。
②:APサーバ宛の通信は一旦専用モジュールが受け取り、専用モジュールがTLSでカプセル化して、APサーバ側にあるVPN装置に送る。
③:VPN装置で復号してAPサーバに転送する。
制限として、APサーバのAP通信ポートが使用中変更されてはならない。
・ポートフォワーディング
一旦ポートを書き換えてデータ転送を中継する動きのこと。
・SSL-VPNのL2フォワーディング方式
①:クライアントがSSL-VPN装置に接続すると、専用モジュールによって仮想NICがクライアントに生成される。
②:VPN装置から仮想NICにVPN装置とL2通信可能なIPアドレスが割り当てられる。
③:APサーバ宛の通信はすべて仮想NICを経由して専用モジュールがTLSで暗号化する。
④:VPN装置で復号してイーサネットフレームをAPサーバにわたす。
★L2フォワーディング方式のVPN装置はL2スイッチであったり、ルータとしてデフォルトゲートウェイにもなる。
L2フォワーディング方式ってのが最近ちょっと話題になったSoftEtherって奴らしいね
ソフトイーサ開発者って確か最近IPAのリモートデスクトップシステム構築してたと思うし要チェックワードやな