*IPsecとは?-その2-*

引き続き、IPsecの基本的な話について紹介します。
以下、2人の会話をご覧ください。

後輩 せんぱ~い (^ー^;)
先輩 ど、どうした~!?
後輩 借りた本を途中まで読んだんですけど、ほとんど理解できませ~ん!(>_<。)
先輩 しまった、、、
いきなりオライリーから入るのは無理があったか。(;´ー`)
後輩 (・ε・。)
先輩 ヨシヨシ。(・ε・。)ヾ(^ー^;)
まぁ、本格的なセキュリティ用途のプロトコルなので概念が複雑だし、専門用語がたくさん出てくるし、最初はそんなもんだろ。
後輩 ホ、ホントですか?
てっきり、私のおつむがダメなのかと、、、(ー'`ー;)
先輩 いや、そんなことはないぞ。
分からない中でも、少しは記憶に残った部分もあるでショ?
後輩 はい、ありますよ。
まず、IPパケットをIPヘッダで包むんですよね?
先輩 ん、そうそう。
後輩 で、トンネルを接続するまでに色々な手順が必要なんですよね?
先輩 おっ、そうそうそう。(*´ω`*)
他には?
後輩 トンネルが構築できれば、あとはVPN装置間の接続性が続く限りは内部ネットワーク同士の通信も可能、というわけですね?
先輩 なんだ、ちゃんと理解できてるじゃん。ヽ(´▽`)
それだけ分かれば何の問題もないぞ。
後輩 いえ、トンネルの概念に関連する部分は以前に教えてもらったから分かるんですけど、、、
IPsecの仕様の部分については、各手順の必要性とか具体的なイメージが浮かばないんですよ~(×_×;)
先輩 なんだ、そういうことか。
それなら話は早そうだから、分かる範囲で教えてあげるよ。
後輩 ホントですか?
でも、忙しいんじゃ、、、?(_ _;)
先輩 いやいや、理解してもらって案件を担当できるようになってくれるほうが助かるし。
後輩 分かりました。
頑張ります!
先輩 まず、トンネルを接続するために大きく分けて2つの手順があるのは覚えてる?
後輩 えっと、「フェーズ」っていうんでしたっけ?
「フェーズ1」と「フェーズ2」があったと思います。
先輩 そうだね。
で、各フェーズの役割とか内容が分かりにくいと。
後輩 はい、その辺から怪しくなっちゃいます。
なんとなく、認証みたいなことをやってるのかな~、みたいな。(^-^;
先輩 うーん、すんごく大雑把に言えばハズレではないかな、、、(;´ー`)
じゃあ、認証が必要な理由は何だろう?
後輩 えっと、トンネルを掘ったら入り口に入ったデータは全て相手の出口から出るわけだから、、、
トンネルを受ける相手はそれなりの権限を持っていることを示す必要がありますよね?
先輩 そうだね。
付け加えるなら、今の話の条件は相手にも当てはまるはずなので、双方向で認証できるような仕組みが必要だ、ということになる。
後輩 はい。
相手はインターネットのような公衆網の向こう側にいるし、認証は絶対に必要ですよね。
先輩 この仕組みは、主にフェーズ1で実装されているんだ。
フェーズ1が終わらないと、フェーズ2には進めない。
後輩 フェーズ1が認証っていうことは、実際にトンネルを掘る処理はフェーズ2でやるってことですか。
先輩 まぁ、そんなとこだ。
実際はもっと複雑なんだけど、ここまではOK?
後輩 はい、だいじょぶです。d(>_< )
でも、何でわざわざ2つのフェーズに分けているんでしょうか?
先輩 ほぉ、いい質問だね。(o・ω・o)b
でも、それを説明するには暗号と鍵の話をしないといけない。
後輩 なんか、先は長そうですね、、、ε=(´∇`;)
あることを説明するには、それを説明するために必要な別の何かを先に説明しないといけない、みたいな。
先輩 IPsecでは、信頼されない経路を使って機密情報を交換するという目的を果たすために、色々な技術を使っているんだよ。
逆に言えば、セキュリティの勉強には最適の教材かもしれないね。
後輩 なるへそ。
暗号と鍵の話も、その一環というわけですか。
先輩 そう。
ここから先は長そうだから、また明日にしようか?
後輩 了解です。∠(・_・)
帰りに、本屋でセキュリティ関係の本を物色してみます。

以下、「IPsecとは?-その3-」につづく。。。

ネットワークセキュリティ関係者の部屋 > ネットワークセキュリティ実践劇場 > IPsecとは?-その2-