2005-06-16 SECUAD 6/16 secuad Chapter 10 Security Protcol この辺は重要なので、二週目にもう一回まとめ直すべし。 IPsec ESP + AH ESP: Encapsulating Security Payload IPのペイロード部分の暗号化 HMAC-MD5, HMAC-SHA-1 ICV (Integrity Check Value)による完全性確保 AH: Authentication Header IPパケット全体の完全性確保 カプセル化モード Transport Mode HostがIPパケット送信時に使用するモード End to Endで利用する Tunnel Mode 転送するIPパケットをESPペイロードとしてカプセル化するモード IPsecによる新しいIPヘッダをつける 主にVPNで使用 IKE(自動鍵交換) 目的:機密性、完全性、送信者の認証強化 Phase1 Main Mode Aggressive Mode 効率がよいが、メッセージ交換中にID情報が保証されない 鍵生成遅延によるDoS攻撃があり得る Phase2 (Quick Mode) IKEの相互接続製に問題がある -> IKEv2 IPinIP IP in IP Tunneling IPパケットをカプセル化することで、ネットワークを越えられるらしい。 IP Encapsulation within IP Minimal Encapsulation within IP Generic Routing Encapsulation (GRE) 多分、GREだけ抑えておけば大丈夫。 L2TP (Layer2 Tunneling Protcol) L2F(Cisco) + PPTP(Microsoft)の統合 ユーザ認証:PAP or CHAP PPP over IP -> IP、IPX、Apple Talk等も通せる PPTP (Point-to-Point Tunneling Protcol) PPPをIPでカプセル化する。Windowsに標準で実装。 GREによるIPのカプセル化。 暗号化:MPPE(Microsoft Point-to-Point Encryption Protcol) 認証:MS-CHAP(Microsoft PPP CHAP Extensions) MPLS(Multi-Protocol Label Switch) パケット転送を、宛先IPアドレスではなく、パケットに付加したタグで行う。 ラベルのテーブル管理はアプリケーションで行う。 VPNにおけるTraffic Engineering QoS MPLSによるVPNのセキュリティの信頼性は、通信網と提供するサービスに依存する。 ATM技術によるIP通信の実現を目指したもの。 最近はTraffic Engineeringが主目的。Layer-3 Switchの発展のため。 コンテンツ配信などに利用される。 CDNの競合(?)技術