2011/04/11

IKEv2 は Windows 7 SP1 の新機能なんかじゃない

IKEv2 は SP1 の新機能? SP1 がまた誤解か? それとも 私の誤解か!? 」の投稿で触れた、IKEv2 が、Windows 7 SP1 および Windows Server 2008 R2 SP1 の新機能として誤解されているようだの件の続報です。例えば、次のような IT メディアの記事があります。

“一方企業ユーザー向けでは、リモートアクセスの時に使用する「IPSec」で、新たに「IKEv2認証プロトコル」がサポートされたことが挙げられるが...”(ASCII.jp)

“三つめはリモートアクセス時に使用するIPSecでIKEv2認証プロトコルが使用可能になりました。エンドユーザー向け改良点とは言い切れませんが、外出先から社内のサーバーにアクセスする際のセキュリティ強化につながるでしょう。”(マイコミジャーナル)



情報ソースはおそらく、「Notable Changes in Windows 7 and Windows Server 2008 R2 Service Pack 1 (Windows 7 および Windows Server 2008 R2 の Service Pack 1 での重要な変更)」(http://go.microsoft.com/fwlink/?LinkId=194725) の「Enhanced support for additional identities in RRAS and IPsec」のトピックと思われます。

Enhanced support for additional identities in RRAS and IPsecSupport for additional identification types has been added to the Identification field in the IKEv2 authentication protocol. This allows for a variety of additional forms of identification (such as E-mail ID or Certificate Subject) to be used when performing authentication using the IKEv2 protocol. 

ですが、以下の記事にあるように、IKEv2 は Windows 7 および Windows Server 2008 R2 RTM で追加された VPN および IPSec 用のトンネリング プロトコルです。モビリティとマルチホームの強化が特長です。

COMPUTERWORLD.JP > [特集] Windows 7 > 出張に必須!Windows 7で安全・快適モバイル通信 

前回の投稿では、Notable Changes... ドキュメントの「the Identification field in the IKEv2 authentication protocol. 」は、IKEv2 メッセージの ID ペイロード フィールドのことではないかと言いました。IKEv2 標準を定義している RFC 4360 (http://www.ietf.org/rfc/rfc4306.txt) を見てみると、ID ペイロードについて次のように記述されています。簡単に言うと、ID ペイロードは、トンネルの両端のピア (イニシエーター側の IDi とレスポンダーの IDr)を相互に識別するために使用されるものです。そして、IDi と IDr のフィールドの使われ方は、実装に依存します。

3.5.  Identification Payloads
The Identification Payloads, denoted IDi and IDr in this memo, allow peers to assert an identity to one another.  This identity may be used for policy lookup, but does not necessarily have to match anything in the CERT payload; both fields may be used by an implementation to perform access control decisions.




サポート技術情報 KB975488 (A Cisco VPN server does not provide differential services if you connect to the VPN server through a VPN connection that is based on the IKEv2 protocol from a computer) によると、(SP1 前の) Windows 7 および Windows Server 2008 R2 の VPN クライアントが、ID ペイロード (IDi) にクライアントの IP アドレスしか送信しない仕様となっていました。KB975488 の Hotfix をインストールすると、IDi として E-mail アドレスを送信できるようになります (Cisco の情報はこちら)。そして、Windows 7 SP1 および Windows Server 2008 R2 SP1 の修正一覧には、KB975488 が含まれています。SP1 の新機能「Enhanced support for additional identities in RRAS and IPsec」とは、Cisco VPN サーバーやその他のサードパーティ製品が要求する ID タイプに対応できるようになったということのようです。

実際のところ、IKEv2 の VPN 接続でどのようなメッセージがやり取りされているかどうかを、ネットワーク モニター(Microsoft Network Monitor 3.4) を使用してキャプチャしてみました。Windows 7 SP1 から Windows Server 2008 R2 SP1 の RRAS に VPN 接続した場合、クライアントからサーバーに 3 つのIDi (IdentificationPayloadTDi) が送信され、サーバーからも 3 つの IDr(IdentificationPayloadTDr) が送信されているのがわかります(IDi : Frame Number 303, 305, 327 IDr : Frame Number 328, 330, 332)。残念ながら、どのようなデータがやり取りされているのかは、データ部分が暗号化されている (EncryptedData) ので知ることはできません。

<Windows 7 SP1 から Windows Server 2008 R2 SP1 RRAS への VPN 接続>

Windows 7 RTM クライアントから同じサーバーに VPN 接続した場合、IDi (Frame Number 381) と IDr (Frame Number 382) は 1 つづつの送信になっています。おそらく、この IDi のデータは、クライアントの IP アドレスなのだと思います。

<Windows 7 RTM から Windows Server 2008 R2 SP1 RRAS への VPN 接続>

0 件のコメント: