2017年07月17日

VPNまわりのIT用語集

SDM

Ciscoの提供するSecurity Device Managementのこと。
SDMテンプレートのSDMとは別物である。

IPSec

参加者間のデータ機密性、データの完全性、データ認証を提供するオープンスタンダードの枠組み。 IPSecは、1対のホスト間、1組のセキュリティゲートウェイ間、またはセキュリティゲートウェイとホスト間の1つ以上のデータフローを保護するために使用できます。
IPSecはIKEを使用して、IPSecで使用される暗号化キーと認証キーを生成します。

IPSecポリシー

SDMでは、IPSecポリシーは、VPN接続に関連付けられた名前付きの暗号マップセットです。

インターネットキー交換(IKE)

インターネット鍵交換(IKE)は、安全で認証された通信を行うための標準的な方法です。 IKEは、ネットワーク上の2つのホスト間でセッションキー(および関連する暗号化およびネットワーク構成)を確立します。

Cisco SDMでは、認証中にピアのIDを保護するIKEポリシーを作成できます。 Cisco SDMを使用すると、交換するピアリングされた事前共有キーを作成することもできます。

IKEポリシー

IKE交渉は保護されなければならない。 したがって、各IKEネゴシエーションは、共通(共有)IKEポリシーに同意する各ピアによって開始されます。 このポリシーは、後続のIKEネゴシエーションを保護するために使用されるセキュリティパラメータを示します。 このウィンドウには、ルータに設定されているIKEポリシーが表示され、ルータの設定からIKEポリシーを追加、編集、または削除できます。 ルータにIKEポリシーが設定されていない場合、このウィンドウにはデフォルトのIKEポリシーが表示されます。

2つのピアがポリシーに同意すると、ポリシーのセキュリティパラメータは、各ピアで確立されたセキュリティアソシエーションによって識別されます。 これらのセキュリティアソシエーションは、ネゴシエーション中に続くすべてのIKEトラフィックに適用されます。

ハッシュ

ネゴシエーションのための認証アルゴリズム。 可能な値は2つあります。
+セキュアハッシュアルゴリズム(SHA)
+メッセージダイジェスト5(MD5)

認証

使用する認証方法。
+ Pre-SHARE:事前共有キーを使用して認証が実行されます。
+ RSA_SIG:デジタル署名を使用して認証が実行されます。

DHグループ

Diffie-Hellman(DH)グループ。 Diffie-Hellmanは、2台のルータが安全でない通信チャネルで共有秘密を確立できるようにする公開鍵暗号プロトコルです。 オプションは次のとおりです。
+ group1 - 768-bit DH Group。 DHグループ1。
+ group2 - 1024ビットDHグループ。 DHグループ2.このグループは、グループ1よりもセキュリティが高くなりますが、処理時間が長くかかります。
+グループ5 - 1536ビットDHグループ。 DHグループ5.このグループは、グループ2よりもセキュリティが強化されていますが、処理時間が長くかかります。

AH

認証ヘッダー。 これは、ESPよりもほとんどのネットワークでそれほど重要ではない古いIPSecプロトコルです。 AHは認証サービスを提供しますが、暗号化サービスは提供しません。 認証と暗号化の両方を提供するESPをサポートしていないIPSecピアとの互換性を保証するために提供されています。

AH-MD5-HMAC:MD5(HMACバリアント)ハッシュアルゴリズムによる認証ヘッダー。
AH-SHA-HMAC:SHA(HMACバリアント)ハッシュアルゴリズムによる認証ヘッダー。

DES

データ暗号化標準。 米国標準技術研究所(NIST)によって開発され、標準化された標準的な暗号アルゴリズム。 秘密の56ビット暗号化キーを使用します。 DESアルゴリズムは、多くの暗号化標準に含まれています。

3DES

トリプルDES。 3つの56ビットDES暗号化キー(実質的に168ビット)を迅速に使用する暗号化アルゴリズム。 代替の3DESバージョンでは、2つの56ビットDESキーを2つ使用しますが、そのうちの2つを使用して、効果的に112ビットのキー長になります。 米国でのみ使用するための法律。

ESP

セキュリティペイロードのカプセル化。 データの整合性と機密性の両方を提供するIPSecプロトコル。 カプセル化セキュリティペイロードとも呼ばれるESPは、機密性、データ発信元認証、再生検出、コネクションレス型の完全性、部分的なシーケンスの完全性、限られたトラフィックフローの機密性を提供します。

+ ESP-MD5-HMAC:MD5-SHA認証アルゴリズムを使用したESP(Encapsulating Security Payload)変換。
+ ESP-SHA-HMAC:HMAC-バリアントSHA認証アルゴリズムを使用したESP(カプセル化セキュリティペイロード)変換。

GRE

汎用ルーティングカプセル化。 シスコが開発したトンネリングプロトコルで、さまざまなプロトコルパケットタイプをIPトンネル内にカプセル化し、IPインターネットワーク上のリモートポイントでシスコルータへの仮想ポイントツーポイントリンクを作成します。 単一プロトコルバックボーン環境でマルチプロトコルサブネットワークを接続することにより、GREを使用するIPトンネリングは、単一プロトコルバックボーン環境全体でネットワークを拡張することができます。

HMAC

ハッシュベースのメッセージ認証コード。 HMACは、暗号化ハッシュ関数を使用したメッセージ認証のメカニズムです。 HMACは、任意の反復暗号ハッシュ関数(例えば、MD5、SHA-1)を秘密の共有鍵と組み合わせて使用​​することができる。 HMACの暗号強度は、基礎をなすハッシュ関数の特性に依存する。

MD5

Message Digest 5. 128ビットハッシュを生成する一方向ハッシュ関数。 MD5とSHA(Secure Hashing Algorithm)はどちらもMD4のバリエーションであり、MD4ハッシュアルゴリズムのセキュリティを強化するように設計されています。 シスコでは、IPSecフレームワーク内での認証にハッシュを使用しています。 MD5は、整合性を検証し、通信の発信元を認証します。

SHA

一部の暗号化システムでは、MD5の代わりにセキュアハッシュアルゴリズムを使用してデジタル署名を生成します。

ISAKMP

インターネットセキュリティアソシエーション鍵管理プロトコルは、IKEの基礎となります。 ISAKMPは、ピアの通信を認証し、セキュリティアソシエーションを作成および管理し、キー生成テクニックを定義します。

Pre-shared Key

IPSecで提供される3つの認証方法のうちの1つで、他の2つの方法はRSA暗号化されたnonceとRSA署名です。 事前共有鍵により、1つ以上のクライアントが個別の共有秘密鍵を使用して、IKEを使用してゲートウェイへの暗号化トンネルを認証できます。 事前共有鍵は、最大10クライアントの小規模ネットワークで一般的に使用されます。 事前共有キーを使用すると、セキュリティのためにCAを含める必要はありません。

デジタル認証およびワイルドカード事前共有鍵(1つまたは複数のクライアントが共有秘密鍵を使用してゲートウェイへの暗号化トンネルを認証できるようにする)は、事前共有鍵の代替手段です。 デジタル証明書とワイルドカードの事前共有鍵は、事前共有鍵よりも拡張性があります。


同じカテゴリー(210-260)の記事
 RADIUS vs.TACACS+ (2017-07-27 03:42)
 Firewall proxyはなにを防御するか (2017-07-24 09:51)
 不完全なTCPハンドシェイクを検出するのはどれですか? (2017-07-20 16:53)
 emcryption technorogyの持つブロードキャストプラットフォームはどのレイヤレベルか? (2017-07-20 15:37)
 インターネットキーエクスチェンジ (2017-07-20 13:00)
 Unicasi revers path forwatding definitionとはなにか (2017-07-20 11:36)

Posted by oodai2s  at 19:32 │Comments(0)210-260

上の画像に書かれている文字を入力して下さい
<ご注意>
書き込まれた内容は公開され、ブログの持ち主だけが削除できます。