NAT traversalとIPsec
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2017/06/17 13:30 UTC 版)
「NAT traversal」の記事における「NAT traversalとIPsec」の解説
IPsecが、NATを通過し正常に機能するためには、以下がファイアウォール上で許可される必要がある。 Internet Key Exchange (IKE) - User Datagram Protocol (UDP) ポート500 Encapsulating Security Payload (ESP) - Internet Protocol (IP) 50 IPsec NAT-T - UDP ポート4500 多くの家庭用ルータでは、IPsecパススルーを有効とすることによりこれらが実現される。 議論の余地のあるセキュリティ問題のために、Windows XP SP2 は、初期設定ではNAT-Tを無効とするよう変更された。 このため、家庭でPCを使用するほとんどのユーザは、PC環境の設定変更を行わない限り、IPsecを使用することができない。 NATを使用したシステム同士が通信を行うためにNAT-Tを有効とするには、以下のレジストリキーを追加し、値AssumeUDPEncapsulationContextOnSendRuleを2に設定する必要がある。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec (Windows XP) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent (Windows Vista以降) IPsec NAT-Tパッチは、Windows 2000、Windows NT、Windows 98でも利用できる。 NAT-TとIPsecとの使用は、システム間で日和見暗号化(en:Opportunistic encryption)を可能とする。それにより、NATの内側にあるシステムが随時安全な接続を要求し確立することを、NAT-Tは可能にする。 ローカルIPアドレスを払い出すNAT実装装置がパススルー可能なIPsecの本数はそのNAT実装装置が持つグローバルIPアドレスの数と同数である(例えばグローバルIPアドレスを一つしかもたない家庭用ブロードバンドルータは一つのIPsecしかパススルーできない)。これはローカルIPアドレス用のヘッダ自体がIPsecで暗号化されるためである。
※この「NAT traversalとIPsec」の解説は、「NAT traversal」の解説の一部です。
「NAT traversalとIPsec」を含む「NAT traversal」の記事については、「NAT traversal」の概要を参照ください。
- NAT traversalとIPsecのページへのリンク
