web-dev-qa-db-ja.com

ISAKMPおよびOSIレイヤー

ISAKMPプロトコルが常駐しているOSIレイヤーを確認しようとしていますか? wikiのネットワークプロトコルのリスト の下にはリストされていません。インターネットでは、トランスポート層、ネットワーク層、またはアプリケーション層のいずれかにあると記載されています。

tcpモデル のどこにあるかはわかりましたが、それでも、OSIモデルについて知る必要があります。

1
RunoTheDog

this および Wikipedia によると、OSIセッション層は、あらゆる種類の会話/ダイアログのセットアップを担当します。

ISAKMPはUDP(ポート500)の上で実行され、通信用に安全で認証されたチャネルを設定するため、OSIセッションレイヤーの一部であると言えます。

1
DarkLighting

ISAKMPは、キー交換のフレームワークほどプロトコルではありません(名前にプロトコルがあることは知っています)。フレームワークの実装には、 インターネットキーエクスチェンジ(IKE) および キーのKerberosインターネットネゴシエーション(KINK) が含まれます。

ISAKMP RFC(RFC2408)を読むと、ISAKMPがネットワークスタックのどこにあるかを示すナイスダイアグラムがあります。

RFC2408セクション2.2 ISAKMP配置

 +------------+        +--------+                +--------------+
 !     DOI    !        !        !                !  Application !
 ! Definition ! <----> ! ISAKMP !                !    Process   !
 +------------+    --> !        !                !--------------!
+--------------+   !   +--------+                ! Appl Protocol!
! Key Exchange !   !     ^  ^                    +--------------+
!  Definition  !<--      !  !                           ^
+--------------+         !  !                           !
                         !  !                           !
        !----------------!  !                           !
        v                   !                           !
    +-------+               v                           v
    !  API  !        +---------------------------------------------+
    +-------+        !                Socket Layer                 !
        !            !---------------------------------------------!
        v            !        Transport Protocol (TCP / UDP)       !
 +----------+        !---------------------------------------------!
 ! Security ! <----> !                     IP                      !
 ! Protocol !        !---------------------------------------------!
 +----------+        !             Link Layer Protocol             !
                     +---------------------------------------------+


                 Figure 1:  ISAKMP Relationships

これはIP層を保護する必要があるため、少しあいまいですが、カプセル化の前に2つのIP間のネゴシエーションも実行する必要があります。ただし、 セクション2.5.1 では、次のように述べられています。

ISAKMPは、任意のトランスポートプロトコルまたはIP自体に実装できます。実装には、ポート500でユーザーデータグラムプロトコル(UDP)を使用するISAKMPの送受信機能を含める必要があります。UDPポート500は、インターネット割り当て番号局(IANA)によってISAKMPに割り当てられています。実装は、他のトランスポートプロトコルまたはIP自体を介してISAKMPをさらにサポートする場合があります。

ISAKMP canレイヤー3(IP)またはレイヤー4(トランスポート)のいずれかで実装されます。実装はトランスポート層をサポートする必要があり、オプションでIP実装をサポートします。

IKEは、IPSecキーのネゴシエーションに使用される最も一般的なプロトコルの1つです。ただし、KINK( RFC4430セクション9 )とIKEの両方がUDPパケットを使用して、2つのピア間での鍵の交換を実行します。

ISAKMPはIPまたはトランスポートで発生する可能性がありますが、最も一般的にはトランスポート上に実装され、レイヤー5(セッション)に配置されますが、レイヤー2に実装されている場合はレイヤー4(トランスポート)に配置できます。

0
RoraΖ