IPsec - IKE XAUTH



 ◆ XAUTH(eXtended AUTHentication)

 XAUTHは、Mode Configと同様にリモートアクセスVPNの際に使用するIPsecの拡張技術です。XAUTHは
 IKEのメッセージ交換時にVPNサーバとVPNクライアント間で、ユーザ認証に必要な情報をやりとりします。
 XAUTHは、Mode Configと同様にIKEフェーズ1が終了した後にやりとりされるので、ユーザ認証に必要な
 情報はISAKMP SA上で暗号化してやりとりされるため、ユーザ名やパスワードは安全にやりとりされます。



 ◆ なぜ XAUTH が必要なのか

 例えばサイト間VPNのIPsec-VPNの場合、IPsecのピアをはる機器がともにラックなどに設置されたNW機器
 であることから、IKE Phase 1の機器認証 (Pre-Shared Key) などで、セキュリティ的に十分と言えますが
 リモートアクセスVPNの場合には、IPsecのピアとなる機器はVPNサーバと「VPNクライアント」となります。

 VPNクライアントは持ち運びが可能なPCであることが多く、PCを紛失してしまうと不正にVPN接続されて
 しまいます。このような事態を回避するために、IKE Phase 1による機器認証に加えてその機器の使用者が
 正当であるか確認するために、ユーザ名とパスワード認証する
XAUTHの実装でセキュリティが高められます。



 ◆ XAUTH を使用するかどうかの判断は誰が行うのか

 それはIKEが自動的に行います。ISAKMPメッセージをやりとりする際にペイロード値:13 (Vendor ID) が
 含まれたメッセージを受け取り双方にXAUTHをサポートとしていることを確認します。またそのタイミングで
 XAUTHを使用することに関するネゴシエーションを行います。次に、実際のユーザ認証情報の送受信、および
 認証結果の通知を行います。これらの情報はIKE Mode Configで利用するRequest, Reply, Set, Acknowledge
 の各メッセージに設定して送受信します。XAUTHは、IKE Phase 1 と Phase 2 の間に、この認証を行います。

Step ネゴシエーション 説明
@ IKE Phase 1の拡張機能


 ・ VPNサーバとVPNクライアントとの間で、XAUTHがサポートしていることを示す
   ペイロードタイプ値:13 (Vendor ID) が含まれたISAKMPメッセージをやりとりし、
   双方にてXAUTHをサポートしていることを確認する。

 ・ IKE Phase 1 の終了直後に行うXAUTH認証に必要なネゴシエーションを実行する。
   例 : IKE Phase 1 認証をPre-Shared Keyで行った後、イニシエータ側をXAUTHで
   ユーザ認する。例では属性値「65001」としてTransformペイロードで送信される。

A Transaction交換
( 認証情報の送受信 )


 ・ VPNサーバからVPNクライアントにRequest (認証に必要な情報を要求) の送信
 ・ VPNクライアントからVPNサーバにReply (ユーザ名とパスワードの情報) の送信

B Transaction交換
( 認証結果の通知 )


 ・ VPNサーバからVPNクライアントにSet (認証成功のメッセージ) の送信
 ・ VPNクライアントからVPNサーバにAcknowledge (認証結果の受信を示す) の送信



   


 
※ XAUTHではユーザ/パスワード情報のやりとりをIKE mode configurationの「Request/Reply/Set/Acknowledge」で送受信。
 
※ IPsec通信を開始するまでの正確なフローは、IKE Phase1 → XAUTH (4-way) → mode-config (2way) → IKE Phase2 です。



IPsec、IPsec-VPN、リモートアクセスVPN

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.