|
◆ IPsec と NAT/NAPTが共存できない理由
NAT/NAPTデバイスを経由した通常のIPsecの通信はAH、 ESP、IKE のどれにおいても問題が発生します。
| 各プロトコルの問題 |
説明 |
| AHにおける問題 |
トランスポートモード、トンネルモードともにIPヘッダが認証の対象となるため、NATまたはNAPTで
そのIPアドレス情報が書き換えられると改ざんされたパケットとみなされ認証エラーが発生してしまう。
|
| ESPにおける問題 |
どちらのモードでもESPの場合は認証の対象にIPヘッダが含まれないためAHのような問題は発生しない。
しかし、どちらのモードも暗号化の対象にTCP/UDPヘッダが含まれているため、NAPTによりポート番号
の変更を行うにもTCP/UDPのポート番号フィールドが暗号化されているためポート番号を読み取れない。
これによりESPでカプセル化されたパケットはNAPTを実装したネットワーク機器を通過する事ができない。
|
| IKEにおける問題 |
ISAKMPメッセージは、送信元ポートも宛先ポートもUDP500番を使用するとRFC2408で定められている。
従ってNAPTを実装したネットワーク機器でポート番号500を変換してパケットを転送することはできない。
|
◆ IPsec - NAT/NAPT通信時の問題点
下図のように、AHが使用された場合は「送信元IPアドレスの情報が改ざん」された認識されることになり、
ESPが使用された場合は「暗号化されてポート番号が読み取れない」という問題が発生し、IKEの場合には、
UDPポート番号500を変換して、パケットを転送することができないという問題が発生します。
このようにAH、ESP、IKEともに問題が発生するため、IPsecのパケットはNAT/NAPTデバイスを通過させる
ためには、NAT Traversalという技術を実装させる必要があります。次回はそのNAT Traversalを解説します。
|