6/2にIPsec SAコネクション確立に関しての概要を投稿しました。
(投稿)IPsec SAのコネクションの確立(IKEv1)の概要について【IPsec】 (miraclejob.com)
そこではSAコネクションを確立するには、フェーズ1とフェーズ2の2段階があることを紹介しました。
今回はその中で、フェーズ1について紹介していきます。
以下は、フェーズ1とフェーズ2のざっくりした内容
//////////////////////////////////////////////////////////
フェーズ1:IKEによって各種パラメータを交換し合い、ISAKMP SAを生成する
フェーズ2 : フェーズ1で生成されたISAKMP SAで、さらに各種パラメータを交換し合うことによりSAを生成
これによってSAが生成され、コネクションが確立します。
//////////////////////////////////////////////////////////
ではフェーズ1の内容になります。
”各種パラメータを交換し合い”
とありますが、何を交換してISAKMPを生成するのか?それは以下になります。
交換するパラメータの内容 |
ISAKMPメッセージの暗号化のアルゴリズム |
ISAKMPメッセージの認証と鍵交換で使用するハッシュ方式 |
生成されるISAKMP SAのライフタイムなど |
IPsecピア(VPNゲートウェイなど)との機器の認証方式 |
鍵交換を行うためのパラメータであるDHグループ |
ピア(VPNゲートウェイなど)間で、これらを交換することによりISAKMP SAというものを生成できる。
似たような用語が多いので、少し整理してみる。
・ISAKMPメッセージはISAKMP SAを生成するために必要なもの
・ISAKMP SAは最終的IPsec SAを生成するために必要なもの
※フェーズ2は、ISAKMP SA上でIPSec SAを生成する
どうやってISAKMPメッセージをしあうかにも2種類の方があります。※Oakley(オークレイ)と呼ぶ
①Mainモード
6回のメッセージの送受信でフェーズ1を行う。
1・2回目のメッセージでパラメータを交換
3・4回目のメッセージで鍵交換のパラメータと鍵計算を行う
5・6回目のメッセージでピアとの認証
②Aggressiveモード
3つのISAKMPメッセージの送受信でフェーズ1を行う。
これらの一連の流れを通して、最終的にISAKMP SAが生成されて、
以後のIKEv1のやり取りは暗号化されます。