IPsec
•  Virtual Private Network
–  公開ネットワーク上で仮想的な専用線
–  データ改ざん防止
•  AH: Authentication Header
–  認証機構
–  盗聴防止
•  ESP: Encapsulating Security Payload
–  認証機構＋暗号化
–  暗号処理による通信性能の劣化
–  トランスポートモード
•  送信・受信ホストの両方が直接通信
–  トンネルモード
•  直接通信不能→中継用のゲートウェイ必須
4通りの通信方式
•  トランスポートモード
1500Byte
1500Byte
図13.3
•  トンネルモード
1500Byte
1500Byte
図13.4
ファイアウォール
•  ネットワーク層型
–  Layer 3と4でパケットフィルタリング
•  送信元IPアドレス、送信先IPアドレス
•  TCP/UDP
•  送信元ポート番号、送信先ポート番号
通過する情報の 中身は見ない
図13.5
ファイアウォール
•  トランスポート層型
–  Layer4(トランスポート層で制御）
•  送信元IPアドレス、送信先IPアドレス
•  TCP/UDP
•  送信元ポート番号、送信先ポート番号
6.91.40
送信先：１33. 通過する情報の 中身は見ない
IPアドレスの付け替え 送信先：１92.168.1.1
192.168.1.1
送信先：１33. 6.91.40
IPアドレスの付け替え 送信先：１92.168.1.1
192.168.1.1
ファイアウォール
•  アプリケーション層型
–  アプリケーションに依存した情報
•  IPアドレス、ポート番号
•  パケットの中身
通過する情報の 中身を見る 規格外の通信 を拒否
図13.5
規格外の通信 を拒否
ステートフルパケットインスペクション
•  パケットの詳細情報に基づいてフィルタリング
図13.6
3-­‐way handshake
無しのTCP　ACK
は仕様外
通信拒否
NAT(Network Address TranslaDon
•  プライベートIPアドレスでインターネットのサーバと通信
–  送信時：
•  送信元プライベートIPアドレスをグローバルIPアドレス
に変換
–  受信時：
•  送信先グローバルIPアドレスをプライベートIPアドレス
に変換
–  同時に使用できるプライベートIPアドレスは一つ
図13.7
NAPT(Network Address Port TranslaDon)
•  プライベートIPアドレス側ポート番号を変換
•  NAPTは変換情報を保持
–  同時に複数台のプライベートIPアドレスで通信可能
図13.8
ポート番号変換が必須な理由
•  プライベートIPアドレス側の複数の機器
–  使用する送信元ポート番号はそれぞれが独立に決定
–  同じ番号となる可能性あり
→どの機器かを識別するために必要
図13.9