##今回やること
セキュリティについて勉強をしている中で、VPNを構築したいと思っていたので
その中でも一般的に使われているIPsecを構築してみようと思います。
ただ構築したことがないので、完全手探りです。
いきなり構築は無謀なので、まずは事前知識を補完していこうと思います。
##使用ツール
GNS3
IOS: c2600-adventerprisek9-mz.124-17
##用語集(備忘録)
※自分用にざっくりまとめてます(しっかりまとめたら長すぎるため)
| 用語 | 概要 |
|---|---|
| AH | IPパケットを認証するプロトコル。暗号化はしない。 |
| ESP | 認証と暗号化両方する。 |
| IKE | セキュア環境じゃないネットワークで秘密鍵を交換するプロトコル。 |
| SA | IPsec-VPNで使用されるコネクションのこと。 |
| ISAKMP SA | 接続相手を認証して共通秘密鍵を共有するSA。 |
##構築の流れ(ざっくり)
IPsecやること多くて難しいので、ざっくりまとめます。
IKEにフェーズ1とか2というのがあるらしく、先に簡単にまとめ。
###フェーズ1
ISAKMP SAを確立するのが。
接続相手を認証する際、認証に使われる暗号化の有無でモードが分かれる。
| IKEフェーズ1 | 概要 |
|---|---|
| メインモード | 暗号化するほう。 |
| アグレッシブモード | 暗号化しないほう。 |
###フェーズ2
IPsec SAを確立するための情報交換を行う。
色々な情報を交換したあとにIPsec SAが確立する。
・暗号アルゴリズム
・ハッシュアルゴリズム
・IPsec SAの寿命
・DHグループ
・ID(ESP、AHを識別するためのもの)
・PFS(IPsec SAで使用する共通秘密鍵を安全に作成するための情報)
では流れのまとめ。
###大体の流れ
1、IKEのポリシー定義(ISAKMP)
2、事前共有鍵の設定(pre-share)
3、SA確立のためにIPsecトランスフォームセットに正義 ※1
4、IPsecの対象トラフィック定義
5、暗号マップ定義
※1
IPsec SAを確立するためにトランスフォームセットを必ず設定することになるらしい。
トランスフォームの種類も複数あるみたい。
・ESP
暗号化トランスフォーム
認証トランスフォーム
・AH
認証トランスフォーム
##コマンド集(備忘録)
コマンドが多くて訳が分からなくなるので、まとめます。
###フェーズ1
| コマンド | 説明 |
|---|---|
| crypto isakmp policy [priority] | ISAKMPポリシーの設定。数字が低いほど優先度が高い。 |
| encryption [暗号化の値] | 暗号化アルゴリズムの設定。デフォルトはdesになる。 |
| authentication [ pre-share ] | 認証方式の設定コマンド。3種類ある。 |
| crypto isakmp key [pass] address [ip] | 事前鍵の設定。 |
まだまだありますが、フェーズ1で使いそうなのをまとめてみました。
##まとめ
やはりセキュリティの技術なだけあって、かなり難しいです。
コマンドも多いし、暗号化の種類も色々あるしで結構骨が折れます。
まだまだ調べることが多いですが、ある程度まとめられたら実際に構築してみようと思います。
以上です。