SVPNSVPN

SVPN SVPN SVPN

64 64 64 64

IPsec IPsec IPsec

IPsecにおける における における におけるSA SA SA SA （（ （Security Association （ Security Association Security Association Security Association） ）） ）

Phase 2 SA Phase 2 SA Phase 2 SA

Phase 2 SAはプロトコル（

はプロトコル（はプロトコル（はプロトコル（AH, ESP

AH, ESP AH, ESP） AH, ESP

）））毎に両方向に毎に両方向に毎に両方向に2毎に両方向に

22 2本確立。

本確立。本確立。本確立。

65 65 65 65

Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by EijiEijiEijiEiji YamadaYamadaYamadaYamada

SA SA SA SAとは とは とは とは

• IPsec IPsec標準では通信する IPsec IPsec

標準では通信する標準では通信するIPsec標準では通信する

IPsec IPsec製品間で IPsec

製品間で製品間でSA製品間で

SA SA（ SA

（（（Security

Security Security Security Association

Association Association

Association）

）））というセキュアなトンネルを生成。というセキュアなトンネルを生成。というセキュアなトンネルを生成。というセキュアなトンネルを生成。

• SA SAは定期的に更新され再構築されます。再認証による身 SA SA

は定期的に更新され再構築されます。再認証による身は定期的に更新され再構築されます。再認証による身は定期的に更新され再構築されます。再認証による身 元の確認と暗号鍵の更新（

元の確認と暗号鍵の更新（元の確認と暗号鍵の更新（

元の確認と暗号鍵の更新（Re

Re Re Re- -- -key key key） key

）））による安全性の向上がによる安全性の向上がによる安全性の向上がによる安全性の向上が その目的です。

その目的です。その目的です。

その目的です。

• SA SAの再構築には SA SA

の再構築にはの再構築にはの再構築にはIKE

IKE IKE（ IKE

（（（

Internet Key Exchange Internet Key Exchange） Internet Key Exchange Internet Key Exchange

）））という手順がという手順がという手順がという手順が 用いられます。

用いられます。用いられます。

用いられます。IKE

IKE IKEは IKE

はははISAKMP/Oakley

ISAKMP/Oakley ISAKMP/Oakley ISAKMP/Oakleyを基にしています。

を基にしています。を基にしています。を基にしています。

UDP500 UDP500 UDP500

UDP500が割り当てられています。

が割り当てられています。が割り当てられています。が割り当てられています。

• IKE IKEには以下のような役割があります。 IKE IKE

には以下のような役割があります。には以下のような役割があります。には以下のような役割があります。

–

ポリシーやアルゴリズムのネゴポリシーやアルゴリズムのネゴポリシーやアルゴリズムのネゴポリシーやアルゴリズムのネゴ

– Diffie Diffie Diffie Diffie- -- -Hellman Hellman Hellmanによる暗号鍵の交換 Hellman

による暗号鍵の交換による暗号鍵の交換による暗号鍵の交換

–

相互認証相互認証相互認証相互認証

• IKE IKEは IKE IKE

はははPhase 1

Phase 1 Phase 1 Phase 1と

ととPhase 2と

Phase 2 Phase 2という段階を経て確立します。 Phase 2

という段階を経て確立します。という段階を経て確立します。という段階を経て確立します。

66 66 66 66

IKE Phase 1 IKE Phase 1 IKE Phase 1 IKE Phase 1

• Phase 1 Phase 1は安全に Phase 1 Phase 1

は安全には安全には安全に

IKE IKE IKE IKE のコミュニケーションを確立するための手順です。

のコミュニケーションを確立するための手順です。のコミュニケーションを確立するための手順です。のコミュニケーションを確立するための手順です。

• Main Mode Main Modeと Main Mode Main Mode

とととAggressive Mode

Aggressive Mode Aggressive Mode Aggressive Mode – Main Mode Main Mode Main Mode Main Mode

(1) (1) (1)

(1)暗号化アルゴリズムやハッシュアルゴリズム等のネゴ

暗号化アルゴリズムやハッシュアルゴリズム等のネゴ暗号化アルゴリズムやハッシュアルゴリズム等のネゴ暗号化アルゴリズムやハッシュアルゴリズム等のネゴ

(2) (2) (2) (2)DH DH DH DHによる鍵

による鍵による鍵による鍵

(3)

(3) (3)

(3)情報の交換相互認証

情報の交換相互認証情報の交換相互認証情報の交換相互認証

•

３往復のメッセージ交換で確立３往復のメッセージ交換で確立３往復のメッセージ交換で確立３往復のメッセージ交換で確立

– Aggressive Mode Aggressive Mode Aggressive Mode Aggressive Mode

•

アルゴリズムなどの提案、アルゴリズムなどの提案、DHアルゴリズムなどの提案、アルゴリズムなどの提案、

DH DH DH公開値、身元情報を１メッセージで送信

公開値、身元情報を１メッセージで送信公開値、身元情報を１メッセージで送信公開値、身元情報を１メッセージで送信

• 1.5 1.5往復のメッセージ交換で確立 1.5 1.5

往復のメッセージ交換で確立往復のメッセージ交換で確立往復のメッセージ交換で確立

•

リモートアクセスなど、選択オプションが予めわかっている場合に適用リモートアクセスなど、選択オプションが予めわかっている場合に適用リモートアクセスなど、選択オプションが予めわかっている場合に適用リモートアクセスなど、選択オプションが予めわかっている場合に適用

•

認証方式認証方式認証方式認証方式

– Pre Pre Pre Pre- -- -Shared Shared Shared Shared –

公開鍵認証公開鍵認証公開鍵認証公開鍵認証

–

拡張（拡張（拡張（拡張（RADIUS

RADIUS RADIUS RADIUS、

、、、PKI

PKI PKI PKI ・・・）

・・・）・・・）・・・）

67 67 67 67

Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by EijiEijiEijiEiji YamadaYamadaYamadaYamada

IKE Phase 1 IKE Phase 1 IKE Phase 1

IKE Phase 1のフロー のフロー のフロー のフロー

Initiator Initiator Initiator

Initiator Responder Responder Responder Responder

各種アルゴリズムの提案 各種アルゴリズムの提案各種アルゴリズムの提案 各種アルゴリズムの提案

DHDH

DHDHによる鍵交換による鍵交換による鍵交換による鍵交換

DHDHDH

DHによる鍵交換による鍵交換による鍵交換による鍵交換 認証

認証 認証 認証

認証 認証 認証 認証

フェーズ フェーズ フェーズ

フェーズ2222のための安全なトンネル確立のための安全なトンネル確立のための安全なトンネル確立のための安全なトンネル確立

各種アルゴリズムの指定 各種アルゴリズムの指定 各種アルゴリズムの指定 各種アルゴリズムの指定

68 68 68 68

IKE Phase 2 IKE Phase 2 IKE Phase 2 IKE Phase 2

• IPsec IPsecの IPsec IPsec の の の ESP & AH ESP & AH ESP & AH ESP & AHを確立するための手順です。 を確立するための手順です。 を確立するための手順です。 を確立するための手順です。

• Quick Mode Quick Mode Quick Mode Quick Mode

–

暗号化アルゴリズムやハッシュアルゴリズム等のネゴと暗号化アルゴリズムやハッシュアルゴリズム等のネゴと暗号化アルゴリズムやハッシュアルゴリズム等のネゴと暗号化アルゴリズムやハッシュアルゴリズム等のネゴと 鍵の生成

鍵の生成 鍵の生成 鍵の生成

– Phase 1 Phase 1 Phase 1 Phase 1（

（（（IKE SA

IKE SA IKE SA） IKE SA

）））で保護された通信。で保護された通信。で保護された通信。で保護された通信。

• Perfect Forward Secrecy Perfect Forward Secrecy （ Perfect Forward Secrecy Perfect Forward Secrecy （（ （PFS PFS PFS PFS） ）） ）のサポート のサポート のサポート のサポート

– PFS = off PFS = off PFS = off PFS = off：　

：　：　：　

Phase 1 Phase 1 Phase 1 Phase 1で生成した鍵をそのまま利用

で生成した鍵をそのまま利用で生成した鍵をそのまま利用で生成した鍵をそのまま利用

– PFS = on PFS = on PFS = on PFS = on：　

：　：　：　 再度再度再度再度DH

DH DH DHにより新たな鍵の共有を行ない、

により新たな鍵の共有を行ない、により新たな鍵の共有を行ない、により新たな鍵の共有を行ない、

Phase 1 Phase 1 Phase 1

Phase 1で生成した鍵を廃棄

で生成した鍵を廃棄で生成した鍵を廃棄で生成した鍵を廃棄

69 69 69 69

Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by Copyright (C) 2002 All rights reserved , by EijiEijiEijiEiji YamadaYamadaYamadaYamada

IKE Phase 2 IKE Phase 2 IKE Phase 2

IKE Phase 2のフロー のフロー のフロー のフロー

Initiator Initiator Initiator

Initiator Responder Responder Responder Responder

各種アルゴリズムの提案と 各種アルゴリズムの提案と 各種アルゴリズムの提案と

各種アルゴリズムの提案とDHDHDHDHによる鍵の交換による鍵の交換による鍵の交換による鍵の交換

ドキュメント内 3 1. SVPN とは ネットワークに対する脅威と防御法 4 攻撃防御策 不正アクセス盗聴なりすまし改ざんウィルス 不正アクセスアクセスログ Firewall Onetime Password 暗号化認証電子署名ウィルスチェックソフト (ページ 32-35)