Chapter 10 Security Protcol

• この辺は重要なので、二週目にもう一回まとめ直すべし。

• IPsec
  • ESP + AH
    • ESP: Encapsulating Security Payload
      • IPのペイロード部分の暗号化
      • HMAC-MD5, HMAC-SHA-1
      • ICV (Integrity Check Value)による完全性確保
    • AH: Authentication Header
      • IPパケット全体の完全性確保
  • カプセル化モード
    • Transport Mode
      • HostがIPパケット送信時に使用するモード
      • End to Endで利用する
    • Tunnel Mode
      • 転送するIPパケットをESPペイロードとしてカプセル化するモード
      • IPsecによる新しいIPヘッダをつける
      • 主にVPNで使用
  • IKE（自動鍵交換）
    • 目的：機密性、完全性、送信者の認証強化
    • Phase1
      • Main Mode
      • Aggressive Mode
        • 効率がよいが、メッセージ交換中にID情報が保証されない
        • 鍵生成遅延によるDoS攻撃があり得る
    • Phase2 (Quick Mode)
    • IKEの相互接続製に問題がある -> IKEv2
• IPinIP
  • IP in IP Tunneling
    • IPパケットをカプセル化することで、ネットワークを越えられるらしい。
  • IP Encapsulation within IP
  • Minimal Encapsulation within IP
  • Generic Routing Encapsulation (GRE)
  • 多分、GREだけ抑えておけば大丈夫。
• L2TP (Layer2 Tunneling Protcol)
  • L2F(Cisco) + PPTP(Microsoft)の統合
  • ユーザ認証：PAP or CHAP
  • PPP over IP -> IP、IPX、Apple Talk等も通せる
• PPTP (Point-to-Point Tunneling Protcol)
  • PPPをIPでカプセル化する。Windowsに標準で実装。
  • GREによるIPのカプセル化。
  • 暗号化：MPPE(Microsoft Point-to-Point Encryption Protcol)
  • 認証：MS-CHAP(Microsoft PPP CHAP Extensions)
• MPLS(Multi-Protocol Label Switch)
  • パケット転送を、宛先IPアドレスではなく、パケットに付加したタグで行う。
  • ラベルのテーブル管理はアプリケーションで行う。
    • VPNにおけるTraffic Engineering
    • QoS
  • MPLSによるVPNのセキュリティの信頼性は、通信網と提供するサービスに依存する。
  • ATM技術によるIP通信の実現を目指したもの。
  • 最近はTraffic Engineeringが主目的。Layer-3 Switchの発展のため。
    • コンテンツ配信などに利用される。
    • CDNの競合(?)技術