4.4.3.4. PAD の使用方法
初期 IKE 交換
初期 IKE 交換中、イニシエータとレスポンダはそれぞれ IKE ID ペイロードを介して自分のアイデンティティをアサートし、アサートされたアイデンティティを検証するために AUTH ペイロードを送信します。1 つ以上の CERT ペイロードが送信され、各アサートされたアイデンティティの検証を容易にします。
IKE エンティティが IKE ID ペイロードを受信すると、上記のマッチングルールを使用して、アサートされた ID を使用して PAD 内のエントリを見つけます。PAD エントリは、識別されたピアに対して使用される認証方法を指定します。これにより、各ピアに対して正しい方法が使用され、異なるピアに対して異なる方法を使用できます。エントリはまた、アサートされたアイデンティティを検証するために使用される認証データも指定します。このデータは、子 SA が作成される前に、指定された方法と組み合わせてピアを認証するために使用されます。
子 SA の作成
子 SA は、初期 IKE 交換の最後または後続の CREATE_CHILD_SA 交換でトラフィックセレクタペイロードの交換に基づいて作成されます。(現在認証された)IKE ピアの PAD エントリは、子 SA の作成を制約するために使用されます。具体的には、PAD エントリは、ピアからのトラフィックセレクタ提案を使用して SPD を検索する方法を指定します。
2 つの選択肢があります:
- ピアによってアサートされた IKE ID を使用して、そのシンボリック名を介して SPD エントリを見つける、または
- トラフィックセレクタペイロードでアサートされたピア IP アドレスを使用して、SPD エントリのリモート IP アドレスフィールド部分に基づいて SPD ルックアップを実行する
認証されたピアが他の正当なピアに関連付けられた ID をスプーフィングすることを防ぐために、子 SA の作成にこれらの制約を課すことが必要です。
スプーフィングに対する保護
PAD が SPD エントリを検索する前にチェックされるため、この保護措置はイニシエータをスプーフィング攻撃から保護します。
例:IKE A が、セキュリティゲートウェイによってサービスされるホストである IP アドレス X 宛ての発信パケットを受信すると仮定します。RFC 2401 [RFC2401] およびこの文書は、A が X にサービスを提供する IKE ピアのアドレスを決定する方法を指定していません。ただし、X の推定代表として A が接触するピアは、IKE 交換が認証されるようにするために PAD に登録されている必要があります。さらに、認証されたピアがそのトラフィックセレクタ交換で X を代表すると主張する場合、問題のピアが X を代表することを承認されているかどうかを判断するために PAD が参照されます。
したがって、PAD は、このような攻撃に対抗するために、アドレス範囲(または名前のサブスペース)のピアへのバインディングを提供します。