基本的なのipsec

のipsec 、もともとのrfc 2401で定義され更新されるのrfc 4301は、両方のバージョンを記述するためのセキュリティアーキテクチャのipをipv4とipv6ます。

要素は、以下の枠組みのipsec団体名：

• 全般的な説明の要件とセキュリティのメカニズムは、ネットワーク層

• 暗号化のためのプロトコル（カプセル化セキュリティペイロード、 esp ）と

• 認証用のプロトコル（認証ヘッダー、ああ）

• 定義を使用するための暗号化アルゴリズムを暗号化および認証

• セキュリティポリシーの定義とセキュリティの組合間のピア通信

• 鍵の管理

ipsecの境界の設定を作成すると、無防備地域の間で保護されます。 付近の境界することができ、 1つのホストまたはネットワークにします。 指定されたアクセス制御ルールの決定は、管理者に何が起ころうパケットの境界線を横断します。 セキュリティ要件が定義され、データベースのセキュリティポリシー（ spd ）のです。 通常、各パケットは、いずれかのipsecセキュリティ保護サービスを使って、廃棄され、許可するかどうかをバイパスのipsecを保護するため、ポリシーに基づいて、該当するドイツ社会民主党セレクターによって識別されます。 セレクターには、特定のトラフィックを基準に定義されてマッチするadministratorforの例では、特定のアプリケーションから送信されたサブネットを特定のエンドホストします。

リスティングセクションのrfc 4301が含まれて以来すべての変更内容のrfc 2401です。 基本的な概念のipsec同じ状態のままでいます。 新しいアドレスに変更されていたipsecシナリオ、パフォーマンスを向上させる、との実装を簡略化します。

セキュリティ協会

セキュリティ組合（のsa ）は、協定の間で通信ピアリングします。 3つの要素は、団体の合意：キーは、暗号化または認証メカニズムには、追加のパラメータのためのアルゴリズムとします。 スカンジナビア航空は、単方向で、各個別のセキュリティサービスを必要とするsaます。 これは、 2つのピアの通信を暗号化したい方は、双方向通信の認証に必要な4つのスカンジナビア航空（ 1つのペアを1つの暗号化と認証用のペア）します。 双方向アプリケーションtrafficforの例では、双方向のtelnet connectionalso必要な4つのスカンジナビア航空の各ピアで通信します。 ピアのトラフィックを保護する必要があり、それを開始してからのトラフィックを返すことも必要ピアbの2つのことを確認した場合の追加スカンジナビア航空ピアbのtelnetセッションを開始する、両方の帰還してから、このシナリオでは、トラフィックを保護します。

differentiates ipsecの2つのモードの交通機関：

輸送モード

前のsaの間には、 2つのエンドノードを定義して、暗号化や認証のためのすべてのipパケットのペイロードを接続しています。 ヘッダーのipではありません暗号化されます。

トンネルモード

その前には、通常のsaの間に2つのセキュリティゲートウェイです。 パケット全体を含めて、元のipヘッダーは暗号化または認証されて新しいヘッダーをカプセル化しています。 これは、財団は、仮想プライベートネットワーク（のvpn ）します。

鍵の管理

ほとんどのセキュリティ機構から提供されたipsec暗号化キーを使用する必要があります。 を個別に設定するためのメカニズムが定義されて、キーパットの代わりにします。 マニュアルおよび自動化の両方をサポートするためには、キーを配布する必要はあります。 のrfc 4301を指定しikev2として自動鍵配布メカニズムです。 他のメカニズムを使用される可能性があります。

を確立するためにはセキュリティ協会（のsa ）は、ピア通信に同意しなければ交渉の暗号化アルゴリズムとキーがあります。 ありがちなことだが、交渉のsaやり直す不安パスします。 インターネット鍵交換プロトコル（アイク）を指定することができるため、取引所との交渉のためのパラメータのsaます。

5.3.2.1ます。 ikev1

これは、さまざまなプロトコルを選択した3つの関数から：

のisakmp （インターネットセキュリティアソシエーションと鍵管理プロトコル）

のisakmpを指定するための枠組みを管理するための鍵交換sasとせずに、プロセスを詳細に記述します。 したがって別の鍵交換のメカニズムをサポートしています。 それは指定さのrfc 2408 、不要だったのrfc 4206です。

オークリーキー決定プロトコル

オークレーのプロトコルが使用されるキーを決定キーとの交換が指定さはrfc 2412です。 それは、拡張子のdiffie /ヘルマンアルゴリズムます。 それだけで関数のサブセットを使用し、オークレーのプロトコルです。

skeme （万能鍵交換を確保するための仕組み、インターネット）

skemeは高速な鍵交換技法"で説明されskeme ：鍵交換を確保するための仕組みで、万能、 "インターネットieeeから議事の1996年のシンポジウムや分散システムのネットワークセキュリティh. krawczykされました。 アイク目的にのみ使用する関数のサブセットを定義するためskemeのプロトコルです。

ikev1使用して、ポート500およびudpの中を通って2つのフェーズ：

1つの段階では、通信のisakmpピアリングの交渉をする保護するには、認証と呼ばれる通信チャネルのセキュリティ協会のisakmpます。 いくつかの実装に注意して使用して用語"アイクのsa 、 "これは同義でのisakmpのsaしています。 取引所は、 1つの段階に基づいて、 diffie /ヘルマントークンに身分証明書の暗号化アルゴリズムとします。 認証で保護されたのいずれかpresharedキーをすることができ、 rsaのチェックサムの秘密鍵で暗号化し、送信者、または受信者の公開鍵です。

2つの段階では、暗号化アルゴリズムとキーを他のプロトコル（例えば、 espおよび/またはあぁ）と交換することができ、通信チャネルを確保する1つの段階に設立されました。 アイク相の結果は、 2つの検索結果のipsecのsaます。 スカンジナビア航空のipsecを定義し、これらのサービスのセキュリティを保護するために使われるのトラフィックを通過します。 スカンジナビア航空のipsecすることができ、複数の交渉を確保するチャネルを経由して1つの段階に設置されました。 これにより、より詳細なセキュリティサービスをより柔軟に交渉します。 両方のipsec sasとスカンジナビア航空のisakmp新しい暗号化キーの生成を定期的に提供するより安全保障します。 通常、スカンジナビア航空は、 rekeyedでのipsecよりも速い速度で、スカンジナビア航空のisakmpます。

オリジナル仕様のrfc 4109を更新しました。 この変更を行ったことを確認して、必要なアルゴリズムを提案し、現在の市場の状況を反映します。 配備されることを意図して、変更内容はすべてのikev1実装します。

以下の表にリストとして提示して、変更内容のrfc

すべてのアルゴリズムでは"すべき"または"しなければ"新たなレベルでの勧告を見たが安全であり、かつ堅牢な書いている時点でいます。

見つけることができすべてのikev1と関連性の高い数字とコードでhttp://www.iana.org/assignments/ipsec-registry更新します。

ikev2

ikev2が指定さはrfc 4306 、廃止を組み合わせて、そのためのrfc 2407 "と、インターネットセキュリティのipのドメイン名を解釈のisakmp "のrfc 2408 、 "インターネットセキュリティ協会とキー管理プロトコル（のisakmp ）は、 "およびrfc 2409 、 "インターネット鍵交換（アイク）します。 " ikev2をもたらす、ほかのものの間で、拡張機能を使用するためのipsec natトラバーサルと組み合わせて、拡張認証、およびリモートアドレスを取得します。

ikev2失点以上udpポート500および4500 、およびすべてのポートからのパケットを受け入れる必要があり、それらに対応するポートと同じです。

最初の取引所（と呼ばれる1つの段階でikev1用語）は、 2つのペアを通常のメッセージです。 最初のメッセージのペアnegotiates暗号化アルゴリズム、交流nonces 、そしてどのdiffie -ヘルマン交換します。 2番目のメッセージを認証し、前のメッセージのペア、および証明書の身元の交流、そして確立の最初のchild_saます。

でikev1 、交渉のsaが生きています。 でikev2 、それぞれの最後のsaの執行責任を負うのは、独自の政策は、生涯のsa saで、必要に応じて再キーイングします。 短い生涯の終わりには再キーイングを要請した場合、生涯の政策は異なっています。 別の違いは2つのバージョンでは、アイクと平行してikev2により、スカンジナビア航空と同じ共通のエンドポイント間でのトラフィックセレクターます。 この違いは、ほかのものの間では、トラフィックをサポートし、さまざまなサービス品質（ qosの）の要件のうち、スカンジナビア航空ます。 これとは違って、 ikev1 、エンドポイントと組み合わせることで、トラフィックを識別するのかもしれませんセレクターのsaの間にこれらのエンドポイントします。 したがって、 ikev2 、スカンジナビア航空に基づいて削除することができなくなります交通セレクター重複します。

開口部を介して接続するのipsec natを作成するいくつかの特別な問題があります。 ipアドレスの変更のチェックサムを変更しますので、彼らは失敗することはできません添削してnatのため、彼らは暗号化保護されます。 ikev2は、そのような状況の改善のサポートをされるとの交渉udpのアイクのespパケットをカプセル化します。 ポート4500が確保のためにカプセル化espとudpのアイク。 頻繁に翻訳するためnats tcpとudpのポート番号は、 ipsecのパケットを受け入れなければならないから任意のポートと同じポートして返送します。

見つけることができ、関連するすべてのコードを更新ikev2数字とはhttp://www.iana.org/assignments/ikev2-parametersます。

概要の変更のためのrfc 4306することができ、目標のrfcから取られました。 ここではいくつかの主要なポイント（のためのrfcを参照して全体のリスト） ：

• 全体のアイクのプロトコルを定義するため、 1つの文書には、交換のrfc 2407 、 2408 、 2409 、および組み込みnatトラバーサルその後の変更をサポートし、拡張認証、およびリモートのアドレスを取得します。

• アイクの交換を簡素化され、 8つの異なった初期の交流を、 1つのメッセージ交換4 -ました。

• アイクでの待ち時間を減らすことによって、共通の場合、最初の2つの往復取引所（ 4つのメッセージ）や能力をピギーバックできるようにセットアップするchild_saを交換しています。

• エラーが発生する可能性の州の数を減らすことによって、信頼性のプロトコルです。 この処理が行われるすべてのメッセージを必要とされることを認め順とします。 これにより、 3つの短縮create_child_sa交流から2つのメッセージをします。

• 既存の構文と魔法の数字を維持している可能性が可能な範囲内にすることの実装ikev1することができ強化を支援するikev2を最小努力します。

のリストに使われるアルゴリズムをikev2として指定を実装する義務はrfc 4307 "暗号アルゴリズムを使用するために、インターネット鍵交換バージョン2 （ ikev2 ） "と述べた。 これは別の間での相互運用性を確保するために実装します。

データベースのipsec

そこには、 3つの重要なデータベースと、 ipsecモデル：

セキュリティポリシー（ spd ）のデータベース

処分を決定するポリシーを指定したipのすべてのトラフィック（インバウンドまたはアウトバウンド）より、ホストまたはセキュリティゲートウェイです。 そこには、 3つのルールを処理可能なアプリケーションの後にドイツ社会民主党ポリシー：破棄し、バイパス、または保護します。

データベースのセキュリティ協会（悲しい）

saでのエントリが含まれ、各パラメータに関連付けられています。

ピアの認証データベース（パッド）

間のリンクを提供するのsa管理プロトコル（アイクなど）と、ドイツ社会民主党ます。

ピアの認証データベースは、新しい仕様はrfc 4301です。 その主な機能はピアまたはグループを識別するの同僚とコミュニケーションをする権限をエンティティのipsec 、プロトコルを指定すると、各ピアの認証に使用する方法、および認証を含むデータを各ピアします。

パフォーマンスのipsec

そこは、作業が進行中のipsecのパフォーマンスを確認して対処懸念は健全なので、ベンダーの実装を作成することができます。 この作業は、作業部会ベンチマーク方法論（ bmwg ）します。 興味がある場合は、この作業には、 bmwgでhttp://www.ietf.org/html.charters/bmwg-charter.htmlまたはを参照して下書き：下書きのietf - bmwg - - -用語のipsec - 08 。 txtと入稿のietf - bmwg - - -メタンフェタミンのipsec - 01.txtます。