![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
yENTeJ <a href="http://zjctbayagslc.com/">zjctbayagslc</a>, [url=http://rgsjmguaggqr.com/]rgsjmguaggqr[/url], [link=http://bqawqjcmqblf.com/]bqawqjcmqblf[/link], http://laitvshgthml.com/ [[CISCO入門]] #setlinebreak(on) *用語 [#g8794828] ,''AH(Authentication Header)'',認証ヘッダ ,''ESP(Encapsulating Securit''y Protocol),暗号化ヘッダ ,''SA(Security Association)'',鍵交換と暗号化通信に用いられる暗号化通信路をSAと呼ぶ。 ,''IKE(Internet Key Exchange)'',鍵交換の準備プロセス ,''ISAKMP(Internet Security Association and Key Management Protocol)'',鍵交換用暗号化通信路 ,''&ruby(アイサキャンプ:エスエー){ISAKMP SA};'',鍵交換に使用する暗号化された通信路。IKEによって生成・維持する。1回線のISAKMP SAで双方向通信を可能にする。 ,''&ruby(アイピーセック・エスエー){IPsec SA};'',本番の暗号化通信で使用する暗号化通信路。ISAKMP SAと違って片方向通信なので、双方向の通信には二本のIPSecSAが必要になる。またIPsecSAには有効期限があり、最初に設定した有効期限が近づくと自動的に新しい鍵とIPsecSAを生成して、そちらに処理を移すようになっている。これをre-keyという。 ,''プロポーザル'',IPsec通信で使用する暗号化通信や認証アルゴリズムを相手側に提示すること。複数のアルゴリズムから任意のものを選択して利用できる為こうした手続きが必要になる。 ,''イニシエータ'',製品によっては『起動者』ともいう。プロポーザルを送りつけてIPsec通信の開始要求を受け付ける側のこと。アグレッシブモ-ドを使用する場合に限りイニシエータ側のIPは固定にしなくて良い。 ,''レスポンダ'',製品によっては『応答者』ともいう。プロポーザルに応答して、IPsec通信の開始要求を受け付ける側の事。アグレッシブモードでもアグレッシブモードでも、レスポンダは固定IPアドレスを持っている必要がある。 ,''DES/3DES/AES'',いずれもIPsecによる暗号化通信で使用する共通鍵暗号アルゴリズムの名称。3DESはDESを三段構えで使用することで暗号強度を高めた方式。AESは次世代の共通あのグかアルゴリズムでEDSよりも安全性が高い。 ,''一方向ハッシュ関数'',あるビット列を入力すると、別のビット列を出力する関数。生成した値(ハッシュ値)から元の値を逆算出来ない為、『一方向』という名称がある。元のビット列が1ビットでも変化すると、生成されるビット列がまったく異なった内容になる特徴がある為、送信側と受信側でそれぞれハッシュ関数を適用してみて、生成した値が異なっていると『改ざんがあった』と判断できる。 ,''MD5、SHA-1'',いずれもIPsecで通信内容の改竄検出や出自の証明などに使用する一方向ハッシュ関数アルゴリズム。SHA-1の方が強度が強い。 ,''HMAC(Hashed Vased Message Authentication Code)'',一方向ハッシュ関数でハッシュ値を求める際に、双方の当事者だけが持っている(ことになっている)暗号化用の秘密鍵の情報を加味する手法のこと。通信毛色の途上でデータを傍受してハッシュ値計算しても、それは秘密鍵の情報を含んでいない為、生成されるハッシュ値は本来の値と異なったものになる点がミソ。HMACは、MD5とSHA-1のいずれに対しても適用可能だが、正常に機能するには双方が安全な形で同じ秘密鍵を共有している必要がある。 ,''Diffie-Hellman'',双方の当事者が本来の鍵情報をやり取りせず、鍵情報生成の基になる乱数をやり取りする事で、安全に共通鍵を生成する手法。 ,''PFS(Perfect Forward Secrecy)'',Diffie-Hellmanアルゴリズムを利用するIPsecオプション。 IPsecにおける 非カプセル化通信をトランスポートモード カプセル化通信をトンネルモード 一般的にはトンネルモード+暗号化(ESP)の組み合わせが標準となる。 IPsecでは最初にIKE(Internet Key Exchange)プロセスを利用して通信相手の確認と暗号化に必要な鍵情報の交換に必要な通信路を確保する。 ***IKEメインモードの動き [#ad578fd2] +プロポーザルの送信 +利用するアルゴリズムの選択 +ISAKMP SAで使用する暗号化用の鍵生成 +接続相手の認証 +ISAKMP SAの確立 ***IKEアグレッシブモードの動き(フェーズ1) [#t5e206d7] +プロポーザルの送信 +利用するアルゴリズムの選択 +ISAKMP SAの確立 ***IKEアグレッシブモードの動き(フェーズ2) [#t19330cc] +IPsecの動作内容を指定する +提出内容の受諾と鍵生成 +IPsec用の共通鍵生成 +IPsec SAの確立 +IPsec SA確立後のre-key ***ネットボランチDNSサービス [#yd71113c] ネットボランチDNSサービスはIPアドレスの変動に対応する為の機能で、 YAMAHAルータは****.***.netvolante.jpというホスト名を割り当てる IPアドレスが変更されても変わりにホスト名で指定出来るようになります。 ネットボランチ対応機種:RT58i(PPTPのみ)、RT107e(IP Secのみ)、RTX1100、1500、3000(PPTP&IP Sec)他 ***トンネル数の上限 [#be88b92b] PPTPの上限は4対地、IPsecの上限は30対地。 ,機器名,PPTP,IPsec,PPTP・IPsec併用時の合計 ,RT58i,4,-,- ,RTV700,4,30,30 ,RTX1100,4,30,30 ,RTX1500,-,100,- ***RTX1100-3000の設定方法 [#l586c788] ルータを出荷時設定する -管理者パスワードの設定 login password administrator password -LAN側TCP/IP設定 ip lan1 address 192.168.0.1/24 -LAN側のDHCPクライアント設定(オプション) dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.99/24 -WAN側のDNSサーバとDNSリレー設定 --手動設定 dns server 10.0.0.1 dns private address spoof on --自動取得(PPPoEでPP1の場合) dns server pp 1 dns private address spoof on --インターネット接続設定①PPPoE ,pp select 1 ,管理番号 ,pppoe auto connect on ,自動接続 ,pppoe auto disconnect off ,自動切断 ,pppoe use lan2 ,接続port ,pp auth accept pap chap ,認証形式 ,pp auth myname pp auth myname access system ,ID&PASSWORD設定 ,pp always-on on ,常時接続 ,ppp lcp mru on 1454 ,MRU設定 ,ppp ccp type none ,圧縮/暗号方法 ,ip pp address 192.168.0.1/24 ,IFのアドレス ,ppp ipcp msext on ,MS拡張IPCPオプション ,ip pp mtu 1454 ,MTU値 ,ip pp nat descriptor 1 ,NAT適用 ,pp enable 1 ,フィルタ設定 ,ip route default gateway pp 1 ,静的経路設定 --WAN側IPアドレス自動取得 ,pp select 1 ,管理番号 ,pppoe auto connect on ,自動接続 ,pppoe auto disconnect off ,自動切断 ,pppoe use lan2 ,接続port ,pp auth accept pap chap ,認証形式 ,pp auth myname pp auth myname access system ,ID&PASSWORD設定 ,pp always-on on ,常時接続 ,ppp lcp mru on 1454 ,MRU設定 ,ppp ccp type none ,圧縮/暗号方法 ,ppp ipcp ipaddress on ,IP ADDRESS自動取得 ,ppp ipcp msext on ,MS拡張IPCPオプション ,ip pp mtu 1454 ,MTU値 ,ip pp nat descriptor 1 ,NAT適用 ,pp enable 1 ,PP1の有効化 ,ip route default gateway pp 1 ,静的経路設定GW指定 -インターネット接続設定②Not PPPoE IPアドレスを手作業で設定する ip lan2 address 172.16.0.2/24 ip route default gateway 172.16.0.1 ip lan2 nat descriptor1 DHCPで自動設定 ip lan2 address dhcp ip lan2 nat descriptor 1 -NATディスクリプタ設定 --PPPoEを使用する場合のNATディスクリプタ設定 nat descriptor type 1 masquerade nat descriptor address inner 1 192.168.0.1-192.168.0.254 nat descriptor address outer 1 ipcp nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp --PPPoEを使用しない場合のNATディスクリプタ設定 nat descriptor type 1 masquerade nat descriptor address inner 1 192.168.0.1-192.168.0.254 nat descriptor address outer 1 primary nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp 下から二つはIPsecの為にUDP 500 と ESPの穴あけ作業になります。 一つ目の1はNAT識別番号の1、二つ目の1と2は個々の静的IPマスカレード設定番号になります。 従って『1 1』『1 2』『1 3』と番号が続きます。 -ファイアーウォール設定①静的フィルタ ip filter 1000 reject 192.168.0.0/24 * udp,tcp * 135 送信元 送信先 [tcp/udp/icmp/gre/esp] 送信元ポート番号 宛先ポート番号 通常TCP/IP通信では送信元が使うポートは不明(エフェメラル・ポートと)で 宛先のポートはアプリケーション毎に固定のポート(ウェルノウン・ポート)を利用する。 その為、設定方法は上記のようにするのが一般的である。 逆に135番ポートの通信を遮断するには『135 *』と逆に書くと良い。 --IPsecを通すフィルタ例 ip fillter 1071 pass 相手IP 自分IP udp * 500 ip fillter 1072 pass 相手IP 自分IP esp * * ip fillter 1073 pass 自分IP 相手IP udp * 500 ip fillter 1074 pass 自分IP 相手IP udp * * ip lan2 secure filter in 1071 1072 ip lan2 secure filter out 1073 1074 -ファイアーウォール設定②動的フィルタ -ファイアーウォール設定③フィルタ適用 -ファイアーウォール設定④不正アクセス検知 -PPTP設定(PPTP使用時のみ) -log設定 -インターネット接続設定
