ユーザ用ツール

サイト用ツール


protocol:ipsec.html


ホーム#プロトコル に戻る

IPsecを使って、IPsec VPN(インターネットVPN)

IPsecとは

暗号技術を用いることで、IP パケット単位で改竄検知や秘匿機能を提供するプロトコルである。これによって、暗号化をサポートしていないトランスポート層やアプリケーションを用いても、通信路の途中で、通信内容を覗き見られたり改竄されることを防止できる。

https://ja.wikipedia.org/wiki/IPsec

パラメータ

フェーズ1
設定 設定値 備考
実行モード メインモード
アグレッシブモード
固定IPアドレス同士の接続はメイン
暗号化アルゴリズム DES
3DES
AES
フェーズ2で使用する暗号鍵を交換するときに
使用する暗号化アルゴリズム
DES < 3DES < AES
ハッシュアルゴリズム MD5
SHA-1
SHA-2
フェーズ2で使用する暗号鍵を交換するときに使用するハッシュアルゴリズム
認証方式 Pre-Shared Key
デジタル証明書
公開鍵暗号
改良型公開鍵暗号
DH Group
(Diffie-Hellman)
DH Group 1
DH Group 2
DH Group 5
DH Group 7
フェーズ2で使用する暗号鍵を生成、交換するための設定
値が大きいほどセキュリティ強度が高いが、処理負荷が大きい。
ライフタイム 制御用トンネル(IKE トンネル)の生存時間
86400秒=1440分=24時間
43200秒=720分=12時間
21600秒=360分=6時間
フェーズ2
設定 設定値 備考
セキュリティプロトコル AH (Authentication Header)
ESP (Encapsulating Security Payload)
IPsecトンネルで使用するセキュリティプロトコル
AHは認証機能のみ備えていて、暗号化機能を備えていない
ESPは認証機能と暗号化機能を備えている。
日本ではESPを使用する場合がほとんど
動作モード トンネルモード
トランスポートモード
IPsecトンネルの動作モード
トンネルモードは、新しいヘッダでパケットをカプセリングする。
トランスポートモードは、新しいヘッダを挿入するだけ。
トンネルモードを使用する場合がほどんど
暗号化プロトコル DES
3DES
AES
ハッシュアルゴリズム HMAC-MD5
HMAC=SHA1
PFS Group
(Perfect Forward Secrecy)
PFS Group 1
PFS Group 2
ライフタイム


参考

  • インフラ/ネットワークエンジニアのためのネットワーク・デザインパターン P.305





ホーム#プロトコル に戻る


protocol/ipsec.html.txt · 最終更新: 2019/02/18 01:48 by kurihara

ページ用ツール