VPN(IKE・フェーズ1・フェーズ2)

 VPNで、実際にパケットをやり取りする前に、VPN装置間でコネクションを「SA」と呼ばれるトンネルで確立する必要があります。IPSec で通信行う場合、すべて、この「SA」というトンネルを経由してパケットを送受信します。

 「SA」を生成するためにIPSecでは、IKE(インターネット鍵交換プロトコル)を使用してIPSec においてセッションとも言える「SA」を制御しています。

 IKEのコネクションは、安全性を高めるためにフェーズ1とフェーズ2の2つの段階を経て「SA」が構築されます。フェーズ1は、「SA」を生成するための下準備になります。

フェーズ1の役割

  • SAを確立する相手の認証
  • フェーズ2の通信を安全に行う為の共有秘密鍵の生成
  • ISAKMP SAの確立

フェーズ2の役割

  • IPsecで通信時に使用する秘密鍵の生成
  • IPsec SAの確立

フェーズ1(ISAKMP SA)

それでは、フェーズ1から、何が行われるかを解説していきます。

 「ISAKMP」と書いて「アイサキャンプ」と読みます。フェーズ1には、「メインモード」と「アグレッシブモード」の2種類があります。この2つのモードの大きな違いは、接続先相手の認証で交換されるID情報が暗号化されるかどうかです。

 メインモードは、ID情報を暗号化して送信するのに対して、アグレッシブモードでは、暗号化されず、平文のままで送信されます。

 IKEでは、対になるVPN装置ごとに秘密鍵を設定するようになっています。アグレッシブモードでは、ID情報が暗号化されないため、IPアドレスで相手を特定する必要がありません。メインモードでは、送信元IPアドレスをIDとして使用する実装になっています。

メインモード

 アグレッシブモードよりセキュリティの高いネゴシエーション方法です。IPSec を張る側装置のIPアドレスは、固定でなければなりません。ISPより不定期にIPアドレスが切り替わってしまうインターネット環境で、利用するのは困難な方法です。

セッションは、「固定IP+固定IP」になります。

アグレッシブモード

 メインモードよりもセキュリティが低いネゴシエーション方法です。IPSec を張る側装置のIPアドレスは、動的に変化しても利用可能です。ISPより不定期にIPアドレスが切り替わってしまうインターネット環境では、こちらのモードが利用されます。

セッションは、「動的IP+固定IP」になります。

Diffie-Hellman交換

 安全でない通信経路上で秘密鍵を安全に送受信するための鍵交換方式で、「離数対数」という計算方式で得られる乱数を使用する。

 「Group1(768bit)」、「Group2(1,024bit)」、「Group5(1,536bit)」などがあり、数値の大きい方が暗号化強度が高い。ただし、暗号化強度が高