【ネスペ対策】【IKE】IKEの概要について理解する
はじめに
お世話になります、hosochinです
今回はIPAのネットワークスペシャリスト対策ってことでIKEについてです
IPsecで使われる鍵交換プロトコルのやつですね、概要について理解していきたいと思います
IKEとは
IKE = Internet Key Exchange はIPsec通信のための鍵交換を安全に行うプロトコルです
IKEにはバージョン1とバージョン2があり、バージョン1の方が仕様が複雑なため試験で問われやすいです
ということでこの記事ではIKEのバージョン1について取り扱います(以降「IKE」とはバージョン1のことを指します)
IKEのモードについて
IKEの実行モードにはメインモードとアグレッシブモードの2種類があります
・メインモード ・・・ IPsecのトンネルモード(拠点間VPNなど)
・アグレッシブモード ・・・ IPsecのトランスポートモード(リモートアクセスVPNなど)
で使い分けられます
IPsecのモードについては以下の記事でまとめているのでよかったら参照してみてください
メインモード
IPsec接続先のIPアドレスを認証情報として利用するモードです
そのため接続する両者に固定のグローバルIPアドレスが必要となります
IPsecのトンネルモードで利用されます
アグレッシブモード
IPsec接続先のIPアドレスが動的IPアドレスでも使用できるモードです
IPsecのトランスポートモード(例えばリモートワークといった自宅のIPアドレスが動的に変わってしまう環境)でも利用可能です
メインモードに対しセキュリティ強度は劣ります(IPアドレスは偽装が難しい点などから)
IKEを使った鍵交換の流れ
IKEの鍵交換はフェーズ1とフェーズ2の2つのステップに分かれます
大まかには各フェーズには以下の役割があります
・フェーズ1 ・・・「 ISAKMP SA」と呼ばれる制御用のSAを生成
・フェーズ2 ・・・ 「IPsec SA」と呼ばれる実際のデータ通信用のSAを生成
SA = Security AssociationとはVPN装置間で確立するコネクションのことです
ここらへんのIPsecで登場する用語などについては以下の記事にまとめています
フェーズ1
ISAKMP SAと呼ばれる制御用のSAを生成します
アイサキャンプエスエー, アイサカンプエスエーって発音するらしいっす(僕はイサクエムピーって読んでました…🍺)
フェーズ1では、相手方の認証、暗号化アルゴリズム、鍵交換方式、鍵長などが決定され、その結果、双方で共通の秘密鍵が生成されます
実際のIPsecのデータ通信に利用するSAは後述するフェーズ2で生成されます
フェーズ2
IPsec SAとよばれる実際のデータ通信用のSAが生成されます
この際にフェーズ1で生成されたISAKMP SAが使用され、暗号化アルゴリズム, ハッシュアルゴリズム, 認証アルゴリズム, 暗号鍵などが交換されます
ちなみにIPsec SAは双方向の通信を実現するため2つ確立されます
IPsec SAは一方通行のトンネルのため、送信用と受信用で2つ必要になるためです(ISAKMP SAは双方向のやりとりが可能なためコネクションは1つですむ)
また、フェーズ2ではESP, AHの2つのプロトコルに対応しています