- - PR -
すべてが暗号化されたパケットのフラグメンテーション
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-07-26 17:50
トーヤです。たびたびゴメンナサイ!
IPsecのトンネルモードでIPパケットが暗号化+カプセル化され、結果 1パケットのサイズがMTUである1500バイトをこえました。 これにより、途中のルータでフラグメンテーションが発生すると 思います。 ここで質問させてください! フラグメンテーションにより通常はIPパケットのデータ部のみが分割 され、ヘッダ部は分割されたパケットすべてにコピーされると思うのですが、 暗号化されたヘッダ部もそうなのでしょうか? パケットキャプチャして確認したいのですが、現在はそういったテストを 実施できる環境がなく、Webで調べても都合のよい情報が見つかりませんでした。 (見つからないのは努力不足もあると思います、すみません・・・) ご存知の方、ご教示のほどよろしくお願いします。 | ||||||||
|
投稿日時: 2004-07-27 13:09
IPSecで暗号化を行った場合、データが暗号化されるわけではなく、ヘッダを含めた
全てが暗号化されるはずです。 新しいパケットはこの暗号化されたパケット全体がデータ部になります。 それに新たにトンネル間で使用しているIPがヘッダとして付加されます。 その為、トータル1500バイトのパケットは追加される新しいヘッダ分、サイズが 大きくなります。 フラグメントされた場合は、追加された新しいヘッダで処理されると思います。 手元にある機材で調べましたが、フラグメントは起きなかったので確認は出来ていません。 構成 YAMAHA RTX1000−Catalyst3550−YAMAHA RTX1000 YAMAHA RTX1000間でVPNトンネルモード使用。Catalyst3550は単に通過させるだけ。 この状態で30MのファイルをFTPして、Catalyst3550にミラーポートの設定を行い Snifferを使ってパケットをみましたがフラグメントされていませんでした。 多分、YAMAHA RTX1000の設定が問題? | ||||||||
|
投稿日時: 2004-07-27 14:33
重複につき削除しました。[ メッセージ編集済み 編集者: でくのぼう 編集日時 2004-07-27 14:39 ] | ||||||||
|
投稿日時: 2004-07-27 14:38
>トーヤさん
トンネルモードでは、元パケットのヘッダを含めた全てを暗号化し カプセル化を行うわけですから、暗号化された元パケットのヘッダも この外側のパケットからしてみれば、単なるデータ部です。 仮にフラグメンテーションが発生すれば、それは単なるデータの分割と 同様にデータ部を分割して送信する事になるでしょう。 >くおんさん
トンネルモードではなくトランスポートモードの場合、そうではありません。 以下に解説が載っていますので、参考までにどうぞ。 http://www.ipa.go.jp/security/awareness/administrator/remote/capter7/7.html | ||||||||
|
投稿日時: 2004-07-27 20:02
トンネルモードとはIPをヘッダごと包み込んでデータとして別のIPパケットで送る為、データとして分割されます。 VPNを行う装置で最初にMTUを決めておけば暗号化前に分割されると思うので、設定によっては1500バイトを越えてもヘッダはそれぞれのパケットに存在する状態で分割されているかもかもしれないですけど。 [ メッセージ編集済み 編集者: きょ〜じゅ 編集日時 2004-07-27 20:05 ] | ||||||||
|
投稿日時: 2004-07-28 15:24
スレッドをあげたわけではないので恐縮ですが、
でくのぼうさん ありがとうございます。いい勉強になりました。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。