- - PR -
Windows2000のIPSec通信とデジタル証明書について
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2002-11-07 09:03
IPSecの認証方式に関してお教え下さい。
IPSecでは、通信相手を認証する方法として複数の方法がありますが、 現在、X.509デジタル証明書を使う方法を検討しています。 そして、Windows2000によるエンドツーエンドIPSec通信で 実験しているのですが、疑問が発生しました。 Windows2000では、デジタル証明書による通信相手認証を行なう場合、 認証方法として証明機関CAを指定するようになっていると思います。 CA.1 ... デジタル証明書を発行。ID.a→PC.a, ID.b→PC.b, ID.c→PC.c PC.a:ID.a ... 認証方法:CA.1を信頼 | | IPSec通信 | PC.b:ID.b ... 認証方法:CA.1を信頼 しかし、この形態だと、PC.cの持つデジタル証明書ID.cも CA.1から発行されているため、PC.cによる中継攻撃(man in the middle) が可能なのではないでしょうか?。 PC.a:ID.a ... 認証方法:CA.1を信頼 | | IPSec通信 | | PC.c:ID.c | | IPSec通信 | PC.b:ID.b ... 認証方法:CA.1を信頼 他のOSでのIPSecは調査を開始したばかりでわからないのですが、 この問題はWindows2000に限らず、IPSec全般に起こりそうに 思えるのですが、私は何か勘違いしているのでしょうか?。 アドバイス、よろしくお願いします。 |
|
投稿日時: 2002-11-07 23:56
横山です。
IPSecで通信する場合SA(Security Association)を作成します。 ここにIPアドレスが入っているので、予想した通信相手とは異なる IPアドレスのホストが答えたらエラーになりませんか? (NATが使えないのも同じ理由です) そういう意味ではなくって? _________________ Global Knowledge Network |
|
投稿日時: 2002-11-08 10:40
横山様、コメントありがとうございます。
おっしゃる通り、通信しようとするIPアドレスと異なる 相手との通信はIPSecの認証機能で防げると思います。 しかし、問題は『通信したい相手』と『実際に通信している 相手のIPアドレス』の一致を保証する方法が無い、という 点だと思うのです。 私は中継攻撃の具体的な方法は存じないのですが、 PC.a が PC.b と通信したい時に、なんらかの方法で PC.a に対して PC.b のIPアドレスとして PC.c の IPアドレスを教え込む事が出来れば、中継攻撃が 実現出来るように思います。(DNSやWINSに なりすますとか、PC.a 内のネームキャッシュを騙すとか。) あるいは、中継攻撃でなくても、通信相手へのなりすましに よる攻撃は可能だと思います。すなわち、PC.b を何らかの 方法でダウン(あるいはネットワークから切断)させて、 その間に PC.b のIPアドレスを PC.c が奪い、PC.b の 行なっているサービスを PC.c 上で行なえば、IPSec 的には ごく自然に PC.a と PC.c がつながってしまうと思います。 IPSecにおいて、通信相手へのなりすましを防御する目的で 用いられるのがデジタル証明書だと思っていたのですが、 (少なくともWindows2000のIPセキュリティでは)上記のような 攻撃を防ぐことは出来ないように思えるのです。 これでは、デジタル証明書を使ったところで、pre shared key 方式を使った場合と比べて、セキュリティ強度は変わらないように 思えます。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。