IPsec例のバックアップ(No.2)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
IPsec例へ行く。
- 1 (2013-07-14 (日) 00:11:35)
- 2 (2013-07-14 (日) 02:45:05)
- 3 (2013-07-14 (日) 13:49:50)
- 4 (2013-07-15 (月) 13:22:32)

CISCO入門

Moroha's Wikiに戻る

バージョン： 1.5.3

オンラインユーザー数： 25
閲覧数表示本日/トータル： 1 / 2855

最終更新：2014-12-04 (木) 01:18:07

IPsec †

機密性
暗号化によってデータの機密性を確保すうる。
仮に攻撃者にデータが傍受されても内容が解読されるのを防ぐ

整合性
データが伝送中に改ざんされていないことを保証する

認証
認証によって通信相手を相互に証明し、信頼する正しい
相手から送られてきたデータであることを保証する

リプレイ攻撃防止
リプレイ攻撃から自身(受信側)を防御する

↑

IPSecフレームワーク †

IPsecプロトコル	AH	EPS	EPS+AH
暗号化	DES	3DES	AES
認証	MD5	SHA
交換鍵(DH)	DH1	DH2	DH3

↑

IPSecのセキュリティプロトコル †

ESP(Encapsulationg Security payload:暗号化ペイロード)

機密性(暗号化)、整合性、認証、リプレイ攻撃防止のセキュリティ機能を提供
プロトコル番号50番を使用

AH(Authentication Header:認証ヘッダ)

整合性、認証、リプレイ攻撃防止のセキュリティを提供
プロトコル番号51番を使用

↑

IPsecのカプセル化モード †

↑

トンネルモード †

IPパケット全体をカプセル化し、新しくIPヘッダを付加する。
ESPによる暗号化の対象は元のIPヘッダとデータ部分両方。
サイト間VPNでは一般的にEPSトンネルモードが利用されます。

AHトンネルモード

新IPヘッダ AHヘッダ IPヘッダデータ

認証対象認証対象認証対象認証対象

ESPトンネルモード

新IPヘッダ ESPヘッダ IPヘッダデータ ESPトレーラ ESP認証データ

認証対象認証・暗号化対象認証・暗号化対象認証・暗号化対象

↑

トランスポートモード †

IPヘッダの後ろにESPヘッダ又はAHヘッダを挿入します。
オリジナルのIPヘッダをそのまま使用し、ESPによる暗号化
の対象はデータ部分だけです。(但しESPトレーラは含まれる)
ユーザのPCで直接IPSec化するリモートアクセスVPNで
トランスポートモードが利用されます。

AHトランスポートモード

IPヘッダ AHヘッダデータ

認証対象認証対象認証対象

ESPトランスポートモード

IPヘッダ ESPヘッダデータ ESPトレーラ ESP認証データ

認証対象認証・暗号化対象認証・暗号化対象

↑

SA(Security Association) †

SPI(Security Parameters Index):SAの識別子
セキュリティ:ESPまたはAH
暗号化アルゴリズム
暗号化キー:共有秘密鍵
認証アルゴリズム(ハッシュ)
認証キー:共有秘密鍵

↑

SA(トンネル)の種類 †

ISAKMP SA：IPSec SAで使用する暗号鍵の配送及び更新を行う為のトンネル
IPSec SA：IPSec対象パケットを暗号化して転送する為のトンネル

ISAKMP SAはIKEメッセージを安全に情報交換するために使用されるため、
IKE SAとも呼ばれている。ISAKMP SAは双方向のSAであり、VPNゲートウェイ間で一つです。
IPSec SAは単方向の通信で使用するため送信用と受信用の二つのSAを生成する。

全てのSAはSAデータベース（SAD)に格納される。
対象パケットに運用するセキュリティパラメータは
SPD(Security Policy Database)に格納されます。

IKE(Internet Key Exchange)
SAの自動生成/管理プロトコルを標準サポート
IKEはフェーズ1とフェーズ2の二段階によってピア間に安全なコネクションを確立します。

①IKEフェーズ1開始

ISAKMP SAのセキュリティパラメータ(設定情報の合意)
ISAKMP SAで使用する鍵情報の生成
ピアの認証
②ISAKMP SAの生成
③IKEフェーズ2開始
IPSec SAのセキュリティパラメータの合意
IPSec SAで使用する鍵情報の生成
④IPSec SAの生成

↑

IKEフェーズ1 †

フェーズ1はISAKMPの生成、ピア認証を行います。
フェーズ1でISAKMP SAを確率するためにネゴシエートされるパラメータは次の通り。

暗号化アルゴリズム(DES,3DES,AES)
ハッシュアルゴリズム(MD5,SHA-1)
認証方式(事前共通鍵,RSA署名)
Diffie-Hellmanグループ(DHグループ1,2,5)
ISAKMP SAライフタイム(有効期限)

IKE通信の発信側をイニシエータ、
応答側をレスポンダと呼びます。

↑

IKEフェーズ1のやり取り †

→イニシエータからISAKMP SAパラメータの提案
←レスポンダからISAKMP SAパラメータの合意
→DH公開鍵の送信
←DH公開鍵の送信
→認証情報の送信
←認証情報の送信
IKEフェーズ2へ

↑

IKEフェーズ2 †

フェーズ2ではIPSec SAを生成する。
IPSec SAを確立するためにネゴシエートされるパラメータは次の通りです。

セキュリティプロトコル(ESP、AH)
暗号化アルゴリズム(DES,３DES,AES)
認証アルゴリズム(HMAC-MD5,HMAC-SHA1)
Diddw-Hellmanグループ(DHグループ1,2,5)
IPSec SAのライフタイム(時間、バイトカウント)
カプセル化モード(トンネルモード、トランスポートモード)

ネゴシエーションが完了するとIPSec SA用の暗号鍵をお生成します。
暗号鍵の生成が完了するとIPSec SAが確立しIPSec化されたパケットを転送出来るようになります。

↑

IKEフェーズ2のやり取り †

→イニシエータよりIPSec SAパラメータの提案
←レスポンダよりIPSec SAパラメータの合意
→IPSec SA確立の確認
IPSec通信の開始

↑

IKEフェーズの動作モード †

メインモード
フェーズ1
6つのメッセージを交換、ISAKMP SAを確立ためのネゴシエーションを行う。
IKE通信自体を暗号化するため、セキュリティレベルが高いが、
IPSecトンネル双方に固定でIPアドレスを割り当てる必要がある
一般的にサイト間VPNで使用される。

アグレッシブモード
フェーズ1
３つのメッセージを交換、ISAKMP SAを確立するためのネゴシエーションを行う。
IKE通信の暗号化を行わず、そのまま平文送信するためセキュリティレベルが低い。
動的なアドレス環境をサポートしているため、一般的にリモートアクセスVPNで使用される。

クイックモード
フェーズ2
ISAKMP SAを利用し、IPSec SAを確立するためのネゴシエーションを行う。

↑

IPSecのコマンド †

ISAKMPポリシー(IKEトランスフォームセット)を設定
IPSecトランスフォームセットを設定
暗号化ACLを設定
暗号マップ(クリプトマップ)を設定
インターフェースに暗号マップを適用
IPSecトラフィックを許可するためにACLを修正(オプション)

↑

ISKMPポリシーの設定 †

IKEフェーズ1のISAKP SAを確立するにはISAKMPポリシ(IKEトランスフォームセット)を設定する必要がある。

Router(config)#crypto isakmp policy 100
Router(config-isakmp)#

config-isakmpの初期値

暗号化アルゴリズム(DES)
ハッシュアルゴリズム(SHA-1)
ピア認証方式(RSA署名)
Diffie-Hellmanグループ(グループ1)
ISAKMP SAライフタイム(86400秒：24時間)

Router(config-isakmp)#encryption des
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#encryption aes 128
Router(config-isakmp)#encryption aes 192
Router(config-isakmp)#encryption aes 256
最後の数字は鍵の長さ(単位:ビット)

↑

ハッシュアルゴリズムの設定 †

Router(config-isakmp)#hash md5

 md5     Message Digest 5
 sha     Secure Hash Standard
 sha256  Secure Hash Standard 2 (256 bit)
 sha384  Secure Hash Standard 2 (384 bit)
 sha512  Secure Hash Standard 2 (512 bit)

↑

認証方式の指定 †

Router(config-isakmp)#authentication rsa-sig

 pre-share  Pre-Shared Key
 rsa-encr   Rivest-Shamir-Adleman Encryption
 rsa-sig    Rivest-Shamir-Adleman Signature (デフォルト)

↑

事前共通鍵の設定 †

認証方式に事前共通鍵(PSK)を利用する場合は次のコマンドを使用してピアのIPアドレスとパスワード（鍵）を設定する必要があります。

Router(config)#crypto isakmp key cisco address 10.1.1.2

※ciscoはピアと共通のパスワード、10.1.1.2はピアのIPアドレス

↑

Diffie-Hellmanグループ指定 †

Router(config-isakmp)#group 5

 1   Diffie-Hellman group 1 (768 bit/デフォルト)
 14  Diffie-Hellman group 14 (2048 bit)
 15  Diffie-Hellman group 15 (3072 bit)
 16  Diffie-Hellman group 16 (4096 bit)
 19  Diffie-Hellman group 19 (256 bit ecp)
 2   Diffie-Hellman group 2 (1024 bit)
 20  Diffie-Hellman group 20 (384 bit ecp)
 24  Diffie-Hellman group 24 (2048 bit, 256 bit subgroup)
 5   Diffie-Hellman group 5 (1536 bit)

↑

ISAKMP SAのライフタイムの指定 †

Router(config-isakmp)#lifetime 86400

 <60-86400>  lifetime in seconds　(Default:86400/24時間)

↑

IPsecトランスフォームセットの設定 †

フェーズ2

Router(config)#crypto ipsec transform-set test-name esp-aes 256
Router(cfg-crypto-trans)#

 ah-sha-hmac      AH-HMAC-SHA transform
 ah-sha256-hmac   AH-HMAC-SHA256 transform
 ah-sha384-hmac   AH-HMAC-SHA384 transform
 ah-sha512-hmac   AH-HMAC-SHA512 transform
 comp-lzs         IP Compression using the LZS compression algorithm
 esp-3des         ESP transform using 3DES(EDE) cipher (168 bits)
 esp-aes          ESP transform using AES cipher
 esp-des          ESP transform using DES cipher (56 bits)
 esp-gcm          ESP transform using GCM cipher
 esp-gmac         ESP transform using GMAC cipher
 esp-md5-hmac     ESP transform using HMAC-MD5 auth
 esp-null         ESP transform w/o cipher
 esp-seal         ESP transform using SEAL cipher (160 bits)
 esp-sha-hmac     ESP transform using HMAC-SHA auth
 esp-sha256-hmac  ESP transform using HMAC-SHA256 auth
 esp-sha384-hmac  ESP transform using HMAC-SHA384 auth
 esp-sha512-hmac  ESP transform using HMAC-SHA512 auth

↑

IPSecカプセル化方式の設定 †

Router(cfg-crypto-trans)#mode tunnel

 transport  transport (payload encapsulation) mode
 tunnel     tunnel (datagram encapsulation) mode

↑

IPSec SAライフタイムの設定 †

Router(config)#crypto ipsec security-association lifetime seconds 3600

 kilobytes  Volume-based key duration (転送トラフィック量指定：Def4608000)
 seconds    Time-based key duration (有効時間指定：単位 秒 Def3600秒)

↑

暗号ACLの設定 †

R1(config)#　access-list 100 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

                       左右対象で指定              ↑　　　　　　　　　　　　　　↓

R2(config)#　access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

↑

暗号マップ(crypto map)の定義 †

Router(config)#crypto map test-name 100 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer

       and a valid access list have been configured.

Router(config-crypto-map)#

※test-name：暗号マップ名を指定
※100：シーケンス番号を1-65525で指定

↑

暗号化マップにパラメータを関連付ける †

Router(config-crypto-map)#match address 100	暗号ACL番号を指定
Router(config-crypto-map)#set transform-set test-name	トランスフォームセット名を指定
Router(config-crypto-map)#set peer 10.1.1.2	IPSecピア(対抗のゲートウェイ)のIPアドレス指定

↑

インターフェースに暗号マップを適応する †

Router(config)#interface fastEthernet 1
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#crypto map test-name

↑

IPSec VPN検証コマンド †

Router#show crypto isakmp policy

Global IKE policy
Protection suite of priority 100
       encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
       hash algorithm:         Message Digest 5
       authentication method:  Rivest-Shamir-Adleman Signature
       Diffie-Hellman group:   #5 (1536 bit)
       lifetime:               86400 seconds, no volume limit

Router#show crypto isakmp key
Keyring      Hostname/Address                            Preshared Key

default      10.1.1.2                                    cisco

新IPヘッダ	AHヘッダ	IPヘッダ	データ
認証対象	認証対象	認証対象	認証対象

新IPヘッダ	ESPヘッダ	IPヘッダ	データ	ESPトレーラ	ESP認証データ
	認証対象	認証・暗号化対象	認証・暗号化対象	認証・暗号化対象

IPsec例 のバックアップ(No.2)