IPsec - IKE : ISAKMP Message



 ◆ IKE( Internet Key Exchange )

 SAを生成するために、
IKEという鍵交換プロトコルを使用できます。認証用のセッション鍵( HMAC )と
 暗号化用のセッション鍵のこれら両方の鍵の生成、交換、更新がIKEにより自動で行われることになります。
 IKEによるSAの生成はフェーズ1とフェーズ2のステップがあります。フェーズ1では各種パラメータを交換し
 ISAKMP SAを生成します。フェーズ2ではそのISAKMP SA上で各種パラメータを交換してIPsec SAを生成。



 ◆ ISAKMPメッセージのフォーマット

 ISAKMPメッセージは、IKE phase1、phase2 のメッセージ交換の際に送受信されます。このメッセージは
 ISAKMPヘッダとISAKMPペイロードで構成され、送信元、宛先ともUDPポート500を使用して伝送します。
 ISAKMPヘッダには、クッキー値やモードを示す値 (Mainモード or Aggressiveモード) が含まれています。
 ISAKMPペイロードには、IPsecでのSAのパラメータ、鍵計算のパラメータ、自身のIDの情報が含まれます。


      


 これはIPsec-VPNの通信を確立するための全ての始まりとなるパケット。このメッセージがやり取りされた後
 IPsecのパラメータが決定されて、例えばESPによる暗号化・認証が行われることが決定すると、ESPヘッダが
 付加されたいわゆるIPsecパケットがネットワーク上に流れるようになります。これが Peer 間の全ての始まり。


 ◆ ISAKMPヘッダ

 ここでは、ISAKMPメッセージを構成する1つであるISAKMPヘッダの詳細なフォーマットについて説明します。


        

ISAKMPヘッダの項目 説明
Initiator Cookie  ISAKMP_SAのネゴシエーションの開始側が生成するクッキー値を示すフィールド。
Responder Cookie  ISAKMP_SAのネゴシエーションの応答側が生成するクッキー値を示すフィールド。
Next Payload  ISAKMPヘッダの後にくるISAKMPペイロードのタイプを示すフィールド。
MjVer  ISAKMPプロトコルのメジャーバージョン番号を示すフィールド。値は 「1」
MnVer  ISAKMPプロトコルのマイナーバージョン番号を示すフィールド。値は 「0」
Exchange Type

 モードを示すフィールド。具体的な値としては次の通り。IKE Phase1のMainモード 「2」
  IKE Phase1のAggresiveモード「4」IKE Phase2のQuickモード「32」Transaction交換 「6」

Flags

 フラグを示すフィールド。上位5ビットは「0」と示される。下位3ビットは最下位から順番に
 A bit、C bit、E bitと呼ばれる。メッセージが暗号化されている場合は「E bit」が立っている。

Message ID  IKE Phase 2で交換されるメッセージを識別するためのメッセージIDを示すフィールド。
Length  ISAKMPメッセージ (ISAKMPヘッダ及びISAKMPペイロード)の長さを示すフィールド。




 ◆ ISAKMPペイロード

 ここでは、ISAKMPメッセージを構成するもう1つであるISAKMPペイロードのタイプについて説明します。
 ISAKMPペイロードは、モード(Main, Aggressive, Quickなど)によりペイロードのタイプの組み合わせが
 異なります。例えば、ISAKMPメッセージのMainモードの第一メッセージは以下のペイロードタイプが組み
 合わさることになります。ペイロードタイプはタイプ値で表されます。そのタイプには以下の値があります。


   


ペイロードのタイプ値 ペイロードのタイプ名
0 ペイロードなし
1 SA ( Security Association )
2 P ( Proposal )
3 T ( Transform )
4 KE ( KeyExchange )
5 ID ( Identification )
6 CERT ( Certificate )
7 CR ( CertificateRequest )
8 HASH ( Hash )
9 SIG ( Signature )
10 NONCE ( Nonce )
11 N ( Notification )
12 D ( Delete )
13 VID ( VendorID )
20 NAT-D ( NAT discovery )
21 NAT-OA ( NAT Original Address )



IPsec、IPsec-VPN、リモートアクセスVPN

ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.