見出し画像

データ通信用のトンネルを2本作れ!IPsecのIKEフェーズ2

こんにちは!VPNの方式の一つ「IPsec」についてご紹介しております。前回は、通信開始手順の冒頭、「IKEフェーズ1」の概要についてお話ししました。

IKEフェーズ1のシーケンス図
  1. パラメータ(暗号化アルゴリズム、認証方式など)を交換

  2. 続いて制御用の鍵を共有

  3. さらに暗号化された状態のもと相互に認証

するのでした。実際にはいろいろ複雑なのですが、IKEフェーズ1については、この3点だけ抑えればとりあえずいいでしょう。

そして、今回は、次のステップ「IKEフェーズ2」について、お話しします。このフェーズを完了させることで、次の「IPsecフェーズ」で実際にデータを送受信することができるようになります。

いったいどんな下準備をするのでしょうか?

さっそく行ってみましょう!

制御用トンネルで安全に手続き

IKEフェーズ2の話に入る前に、もうちょっと「IKEフェーズ1」の話を続けさせてください。

「IKEフェーズ1」の一番の目的はいったい何でしょうか。そうです、制御用の鍵を交換することです(IKEは「インターネット鍵交換」という意味ですからね)。

では、その暗号鍵で何をするかというと「制御用のトンネル」を作ります。この「トンネル」を通じてデータを送受信します。IPsecでは、このトンネルのことを「SA(Security Association)」と呼びます。

そして、IKEフェーズ1で作られる「制御用トンネル」のことを特に、「ISAKMP(アイサキャンプ) SA」といいます。このトンネル一つで双方向な送受信が可能です。

しかし、覚えにくいな、この単語…。でも、覚えやすいよう分解してみましょう。

  • Internet(専用線でなく公衆回線を利用して、)

  • Security Association(IPsecでの「トンネル」を作って、)

  • and Key Managemet(鍵を管理する)

  • Protocol(取決め)

てな感じでしょうか。

このISAKMP SAを通じて、「IKEフェーズ2」では手続きを進めます。

データ送受信用のトンネルを2本作れ!

では、「IKEフェーズ2」は一体何を目的としてるのでしょうか。実際にデータを送受信するための暗号鍵を作り交換することです。

またしても、暗号鍵を作るんでね~。しかも、「上り用の暗号鍵」と「下り用の暗号鍵」の2種類を作ります。これらを使って、「IPsec SA」と呼ばれれるトンネルをそれぞれ作ります

何ですって?という感じですね…。何で2本かといえば、それらのトンネルは、一方通行だからです(ISAKMP SAは双方向)。

かくして、IPsecでは、

  • 制御用のトンネル(ISAKMP SA)「トンネルを作るためのトンネル」

  • 上り用のトンネル(IPsec SA)「A→Bにデータを送るためのトンネル」

  • 下り用のトンネル(IPsec SA)「B→Aにデータを送るためのトンネル」

の3本を使うのですね~。

ということで、IKEフェーズ2では、「暗号鍵を交換して、2本のトンネルを作る」ことがミッションであることが確認できました。

IKEフェーズ2の流れはこうだ

IKEフェーズ2での手順は、「クイックモード」と呼ばれる簡略化されたものです(これまでの「IKEフェーズ1」は、「メインモード」を前提にしています。「アグレッシブモード」というものもあります)。

絵にしましょう。

IKEフェーズ2の概念図

IKEフェーズ1と同じように、最初にパラメータを共有し、次に鍵交換(正確には鍵共有)を行っています。

すみません。もっと詳しく書きたかったのですが、勉強不足です…。


はい、本日はここまで!本日は、IKEフェーズ1をもう少し深く解説しつつ、IKEフェーズ2の解説をしました。次回は、紹介し損ねた、メインモードとアグレッシブモードの違いをご紹介しましょう。

では!

いいなと思ったら応援しよう!