...

546KB - Japan Network Information Center

by user

on
Category: Documents
13

views

Report

Comments

Transcript

546KB - Japan Network Information Center
1
T20 : IPSec~
IPSec~技術概要とセキュアなネットワークの実現手法~
第1部 IPsec
部 IPsecの概要
IPsecの概要
Secure Virtual Private Network
2002/12/20
株式会社ディアイティ
山田 英史
Copyright (C) 2002 All rights reserved , by Eiji Yamada
2
内容
1. SVPNとは
SVPNとは
2. IPsecによる
IPsecによるSVPN
によるSVPNの構築事例
SVPNの構築事例
3. IPsecの技術概要
IPsecの技術概要
Copyright (C) 2002 All rights reserved , by Eiji Yamada
3
1. 1. SVPNとは
SVPNとは
Copyright (C) 2002 All rights reserved , by Eiji Yamada
4
ネットワークに対する脅威と防御法
攻 撃
不正アクセス 盗 聴
なりすまし
改ざん
ウィルス
防御策
アクセスログ・Firewall
アクセスログ・Firewall・
Firewall・Onetime Password
暗号化
認 証
電子署名
ウィルスチェックソフト
Copyright (C) 2002 All rights reserved , by Eiji Yamada
5
SVPN = 通信経路上のデータを守る技術
– ファイアウォールは侵入を防御できても、
通信経路上のデータは守れません。
– ユーザの手許を離れて通信経路上を飛び
交うデータを保護するのがSVPN
交うデータを保護するのがSVPNの役目で
SVPNの役目で
す。
Copyright (C) 2002 All rights reserved , by Eiji Yamada
6
通信経路上におけるアタック
• 盗 聴
• なりすまし
• 改ざん
Copyright (C) 2002 All rights reserved , by Eiji Yamada
7
通信経路上におけるアタック(1)
• 盗 聴
Attacker
パケットモニタリング
ソフトを使用しデータ
を収集
HUB
Copyright (C) 2002 All rights reserved , by Eiji Yamada
8
通信経路上におけるアタック(1)
• 盗聴(続き)モニタリングソフトで収集したデータ
Copyright (C) 2002 All rights reserved , by Eiji Yamada
9
通信経路上におけるアタック(1)
• 盗聴(続き)モニタリングソフトで解析したパケット
Copyright (C) 2002 All rights reserved , by Eiji Yamada
10
暗号化されたデータ
• 暗号化されたパケットのサンプル
Copyright (C) 2002 All rights reserved , by Eiji Yamada
11
通信経路上におけるアタック(1)
• 盗聴(続き)
– スニファーソフト、パケットモニタリングソフ
ト、監視ソフト
– 社内LAN
社内LAN上
LAN上
– ISP内の設備上
ISP内の設備上
– ルーティング設定ミスによる漏洩:社内
LAN、
LAN、ISP
Copyright (C) 2002 All rights reserved , by Eiji Yamada
12
通信経路上におけるアタック(2)
• なりすまし
Attacker
百貨店などの名前をかたって
クレジットカード番号を収集
Internet
Copyright (C) 2002 All rights reserved , by Eiji Yamada
13
通信経路上におけるアタック(2)
• なりすまし(続き)
– パソコン通信の架空登録による、アカウン
ト/パスワードの収集
– 偽った電子メールの送信元
Copyright (C) 2002 All rights reserved , by Eiji Yamada
14
通信経路上におけるアタック(3)
• 改ざん
Peter
Attacker
ハチ公前で
待ってます
Mary
モヤイ前で
待ってます
Copyright (C) 2002 All rights reserved , by Eiji Yamada
15
通信経路上におけるアタック(3)
• 改ざん(続き)
– 振込先/振込金額の書き替え
– ブロック暗号では、提携フォームの各項目
が予想可能? 金額欄、振込先欄
Copyright (C) 2002 All rights reserved , by Eiji Yamada
16
SVPNの基礎技術
SVPNの基礎技術
• トンネリング
– 仮想的な専用経路の構築
• 暗号技術
– 通信データの秘匿
• 電子署名による認証
– 身元保証
– 完全性
• 認証局 (PKI)
PKI)
– 第三者による身元保証
– 否認防止
Copyright (C) 2002 All rights reserved , by Eiji Yamada
17
SVPNのニーズ
SVPNのニーズ
• コスト削減
– 専用線 → 安価なインターネットへ
– 用途別の配線 → VPN
用途別の配線 → VPNで1本に統括
VPNで1本に統括
• 情報の守秘
–
–
–
–
取引先との電子決済
CAD/CAMデータ等製造データ
CAD/CAMデータ等製造データ
人事データ、経理データその他
個人データ
• 銀行・証券の顧客データ
• 病院の患者データ
• 行政などの住民データ
Copyright (C) 2002 All rights reserved , by Eiji Yamada
18
2. 2. IPsecによる
IPsecによるSVPN
によるSVPNの構築事例
SVPNの構築事例
Copyright (C) 2002 All rights reserved , by Eiji Yamada
19
IPsecIPsec-VPNの構成
VPNの構成
IPsec gateway
IPsec gateway
BackBone
Hub
Hub
IPsec client
Copyright (C) 2002 All rights reserved , by Eiji Yamada
20
O社海外拠点とのインターネットVPN
社海外拠点とのインターネットVPNの事例
VPNの事例
Copyright (C) 2002 All rights reserved , by Eiji Yamada
21
システム概要
• 国内と米国の研究所をインターネットで接続。
• 従来の専用線に比較して年間約1500
従来の専用線に比較して年間約1500万円の
1500万円の
通信費用を削減。
• 同様の事例で弊社が納入した実績のある国
は以下の通り。
– 北米、カナダ、英国、アイルランド、オランダ、フランス、ドイツ、タイ、
シンガポール、マレーシア、フィリピン、韓国、香港、台北、韓国、
インド(注)、中国(注)
(注)輸出規制有り
Copyright (C) 2002 All rights reserved , by Eiji Yamada
22
構成
東京研究所
事業所LAN
事業所LAN
IPsec
gateway
FIREWALL
Router
Internet
米国研究所
Router
事業所LAN
事業所LAN
IPsec gateway
Router
IPsec
gateway
FIREWALL
事業所LAN
事業所LAN
京都研究所
Copyright (C) 2002 All rights reserved , by Eiji Yamada
23
N社直営店ネットワークのVPN
社直営店ネットワークのVPN事例
VPN事例
Copyright (C) 2002 All rights reserved , by Eiji Yamada
24
概要
• 250
250店舗の直営店とセンターをインターネットで接続。
店舗の直営店とセンターをインターネットで接続。
• 各店舗にはADSL
各店舗にはADSLを敷設し、情報保護のために店
ADSLを敷設し、情報保護のために店
舗端末にはIPsec
舗端末にはIPsec clinetを実装。
clinetを実装。NAT
を実装。NATルータを超え
NATルータを超え
るために専用BOX
るために専用BOX(
BOX(弊社製品)を設置。
• 店舗からのアクセスを受けるセンター側にはIPsec
店舗からのアクセスを受けるセンター側にはIPsec
gatewayを設置しインターネット上の情報を保護。
gatewayを設置しインターネット上の情報を保護。
• 既存のFR
既存のFRからインターネットへ置き換えることで、
FRからインターネットへ置き換えることで、
年間通信費が数千万円削減できる。
Copyright (C) 2002 All rights reserved , by Eiji Yamada
25
構成
店舗(250
店舗(250箇所)
250箇所)
センター
IPsec
gateway
IPsec
client
Router
Internet
ADSL
NAT
Router
NAT 越え
専用BOX
専用BOX
IPsec
client
サーバ類
IPsec
client
複数設置による
リダンダンシーと
負荷分散
Copyright (C) 2002 All rights reserved , by Eiji Yamada
26
B社ADSLによるリモートオフィスの事例
ADSLによるリモートオフィスの事例
Copyright (C) 2002 All rights reserved , by Eiji Yamada
27
概要
• 本社と各ブランチ間をインターネット接
続。
• 本社側には高パフォーマンスでセキュ
アトンネル(SA
アトンネル(SA)
SA)のキャパの大きいIPsec
のキャパの大きいIPsec
専用 gatewayを設置し、規模の小さい
gatewayを設置し、規模の小さい
ブランチには安価なIPSec
ブランチには安価なIPSecルータを設置。
IPSecルータを設置。
• ブランチ側はフレッツADSL
ブランチ側はフレッツADSLで接続し、通
ADSLで接続し、通
信コストの削減を狙う。
Copyright (C) 2002 All rights reserved , by Eiji Yamada
28
構成
ブランチ(20
ブランチ(20箇所)
20箇所)
本社
IPsec
gateway
Router
Internet
ADSL
IPsec
Router
サーバ類
Copyright (C) 2002 All rights reserved , by Eiji Yamada
29
T社POS端末系インターネット
POS端末系インターネットVPN
端末系インターネットVPNの事例
VPNの事例
Copyright (C) 2002 All rights reserved , by Eiji Yamada
30
システム概要
• T社の1200
社の1200店舗に配置する
1200店舗に配置するPOS
店舗に配置するPOS端末に
POS端末に
IPsec clientを実装。
clientを実装。POS
を実装。POS端末が
POS端末が
Windowsベースのため、大きな変更無く
Windowsベースのため、大きな変更無く
IPsec clientが適用可能。
clientが適用可能。
• T社の本部にはIPsec
社の本部にはIPsec gatewayを設置し
gatewayを設置し
各店舗からのアクセスを受ける。セキュ
アなトンネル(SA
アなトンネル(SA)
SA)の数が多いため、
Copyright (C) 2002 All rights reserved , by Eiji Yamada
31
構成
センター
IPsec
gateway
店舗1200
店舗1200箇所)
1200箇所)
POS端末
POS端末
Router
Internet
フレッツ
ISDN
Router
IPsec
client
サーバ類
複数設置による
リダンダンシーと
負荷分散
Copyright (C) 2002 All rights reserved , by Eiji Yamada
32
S社モバイルVPN
社モバイルVPNの事例
VPNの事例
Copyright (C) 2002 All rights reserved , by Eiji Yamada
33
サービスの目的と特徴
• モバイル環境の有効活用により営業活
動のスピード化。
• 開発 ⇔ 営業 相互の情報をリアルタイ
ムに交換。
• 指紋認証とPKI
指紋認証とPKIによる高度な認証。
PKIによる高度な認証。
• IPSecIPSec-VPNによる通信データの暗号化。
VPNによる通信データの暗号化。
PKI:
PKI: Public Key Infrastructure
Copyright (C) 2002 All rights reserved , by Eiji Yamada
34
構成
営業端末+PHS
営業端末+PHS
Entrust/client
IPsec client
Puppy
暗号化
営業端末+PHS
営業端末+PHS
Entrust/client
IPsec client
Puppy
公衆回線
Router
暗号化
IPsec gateway
(リダンダント)
Entrust/PKI
営業用ナレッジデータベース
社内LAN
社内LAN
Copyright (C) 2002 All rights reserved , by Eiji Yamada
35
Puppyの特徴
Puppyの特徴
• 指紋認証と電子証明書の併用
• 各種プログラムの提供
– シングルサインオン
– アプリケーションの自動起動
Copyright (C) 2002 All rights reserved , by Eiji Yamada
36
多重認証
Entrust/PKI
営業端末
Entrust/client
IPsec client
Puppy
IPsec
gateway
DB
公衆回線
指紋認証とPKI
指紋認証とPKIによるサイト間認証
PKIによるサイト間認証
指紋認証とPKI
指紋認証とPKIによるアプリケーション間認証
PKIによるアプリケーション間認証
※ アプリケーションの作り方によってはシングルサインオンも可能
Copyright (C) 2002 All rights reserved , by Eiji Yamada
37
S社モバイル環境での社内情報
へのアクセス事例
へのアクセス事例
Copyright (C) 2002 All rights reserved , by Eiji Yamada
38
システム概要
• 海外出張者がインターネット経由で、安価に
安全に日本社内のイントラサーバにアクセス。
• 社内サーバへアクセスし、メールの利用、ス
ケジュール管理などが可能。
• 日本側のIPsec
日本側のIPsec gatewayから出張者の端末
gatewayから出張者の端末
に社内LAN
に社内LANのプライベートアドレスを割り振
LANのプライベートアドレスを割り振
ることで(PAR
ることで(PAR機能)、出張者はあたかも社内
PAR機能)、出張者はあたかも社内
LANに存在するかのように、各種サーバへ
LANに存在するかのように、各種サーバへ
のアクセスが可能。
Copyright (C) 2002 All rights reserved , by Eiji Yamada
39
構成
IPsec client
出張者
端末
Internet
出張者
端末
IPsec client
Router
IPsec
gateway
FIREWALL
イントラサーバ
メールサーバ
RADIUSサーバ
RADIUSサーバ
日本拠点
Copyright (C) 2002 All rights reserved , by Eiji Yamada
40
D社リモートメンテナンスの事例
Copyright (C) 2002 All rights reserved , by Eiji Yamada
41
システム概要
• D社がお客様先に納めたシステム(DB
社がお客様先に納めたシステム(DBなど)
DBなど)
を遠隔からメンテナンス。
• お客様先にIPsec
お客様先にIPsec gatewayを設置してもらうこ
gatewayを設置してもらうこ
とで、D
とで、D社のサポート担当者はどこにいようと
もインターネット経由で安全にお客様のシス
テムにリモート接続。
• サポート担当者の移動時間を削減し、メンテ
ナンス費用を低減。
Copyright (C) 2002 All rights reserved , by Eiji Yamada
42
構成
D社サポート担当
IPsec client
Internet
Router
FIREWALL
IPsec
gateway
DBサーバ等
DBサーバ等
お客様
Copyright (C) 2002 All rights reserved , by Eiji Yamada
43
3. 3. IPsecの技術概要
IPsecの技術概要
Copyright (C) 2002 All rights reserved , by Eiji Yamada
44
IPsecの基本技術
IPsecの基本技術
Copyright (C) 2002 All rights reserved , by Eiji Yamada
45
IPsecの概要
IPsecの概要
• IPsec(
IPsec(IP Security Protocol)
Protocol)
– IETF(
IETF(Internet Engineering Task Force)
Force)が標準化をすす
めている、IP
めている、IPトラフィックを安全に保つための技術です。
IPトラフィックを安全に保つための技術です。
– 認証ヘッダ(AH
認証ヘッダ(AH)、
AH)、IP
)、IPカプセル化(
IPカプセル化(ESP
カプセル化(ESP)、
ESP)、鍵の交換と管理
)、鍵の交換と管理
の方式(IKE
の方式(IKE )などの技術です。
アプリケーション層
プレゼンテーション層
アプリケーション
アプリケーション
(TELNET,FTP・・・)
TELNET,FTP・・・)
セッション層
トランスポート層
TCP/UDP
ネットワーク層
IP
TCP/UDP
IPsec
Media Access
データリンク層
メディア
物理層
OSI参照モデル
OSI参照モデル
IP
(Ethernet, Token Ring
etc.)
IPsec
Copyright (C) 2002 All rights reserved , by Eiji Yamada
46
IPsecに関連する
IPsecに関連するRFC
に関連するRFC
•
Proposed Standardとして
StandardとしてRFC
としてRFC番号が与えられました。
RFC番号が与えられました。
–
–
–
–
–
–
–
–
–
–
–
–
–
–
RFC 2401: Security Architecture for the Internet Protocol
RFC 2402: IP Authentication header
RFC 2403: The Use of HMACHMAC-MD5MD5-96 within ESP and AH
RFC 2404: The Use of HMACHMAC-SHASHA-1-96 within ESP and AH
RFC 2405: The ESP DESDES-CBC Cipher Algorithm With Explicit IV
RFC 2406: IP Encapsulating Security Payload (ESP)
RFC 2407: The Internet IP Security Domain of Interpretation for ISAKMP
RFC 2408: Internet Security Association and Key Management Protocol
Protocol
(ISAKMP)
RFC 2409: The Internet Key Exchange (IKE)
RFC 2410: The NULL Encryption Algorithm and Its Use With IPsec
RFC 2411: IP Security Document Roadmap
RFC 2412: The OAKLEY Key Determination Protocol
RFC 2451: The ESP CBCCBC-Mode Cipher Algorithms
RFC 2457: The Use of HMACHMAC-RIPEMDRIPEMD-160160-96 with ESP and AH
Copyright (C) 2002 All rights reserved , by Eiji Yamada
47
IPsecに関連する
IPsecに関連するRFC
に関連するRFC
• IP Compressionについて
Compressionについて
– IPsecの技術を応用したもの
IPsecの技術を応用したもの
• RFC 2393: IP Payload Compression Protocol
(IPComp)
IPComp)
• RFC 2394: IP Payload Compression Using DEFLATE
• RFC 2395: IP Payload Compression Using LZS
• RFC 3051: IP Payload Compression Using ITUITU-T
V.44 Packet Method
Copyright (C) 2002 All rights reserved , by Eiji Yamada
48
IPsecの基本技術
IPsecの基本技術
• 暗号技術
• 認証技術
• 鍵交換、管理技術
Copyright (C) 2002 All rights reserved , by Eiji Yamada
49
暗号化技術
• 暗号化の考え方
– デジタルデータの暗号化技術は純粋に数学の問題。
– 強度の向上
• 鍵長の増長、アルゴリズムの強化、定期的な鍵を変更(ReRe-key)
key)
平文
I like
you
暗号化
暗号文
Rミミ
ミタ卒
暗号化鍵
復号化
平文
I like
you
復号化鍵
Copyright (C) 2002 All rights reserved , by Eiji Yamada
50
暗号化技術
• 共通鍵暗号方式(対称暗号)
– 暗号化鍵と復号化鍵が同じ
– 暗号化処理が高速
– 通信相手毎に異なった鍵を生成するので、鍵の管理が
繁雑
– 復号化鍵がばれると暗号化鍵もばれる「どうやって相手
に届けるか?」
– DES, 33-DES, RC5, IDEA, FEAL, MISTY
Copyright (C) 2002 All rights reserved , by Eiji Yamada
51
暗号化技術
• 共通鍵暗号方式(対称暗号)
A さん
化
号
暗
有
共
の
化
鍵
号
暗
傍受
B さん
C さん
Copyright (C) 2002 All rights reserved , by Eiji Yamada
52
暗号化技術
• 公開鍵暗号方式(非対称暗号)
– 暗号化鍵と復号化鍵が異なる
– 自分の所持する非公開の鍵をプライベート鍵、相手に配
布する鍵を公開鍵という
– 公開鍵からプライベート鍵を予測するのは数学的に困
難なので配布の方法は気にする必要なし
– すべての通信相手に同じ鍵(公開鍵)を配布できるので
鍵の管理が容易
– 暗号化と認証(電子署名)の機能を持つ
– 暗号化処理が遅い
– RSA
Copyright (C) 2002 All rights reserved , by Eiji Yamada
53
暗号化技術
• 公開鍵暗号方式(非対称暗号)
A さん
A-公
A-Pr
A-公
B さん
化
号
暗
送
配
の
鍵
化
開
号
公
暗
A-公
C さん
Copyright (C) 2002 All rights reserved , by Eiji Yamada
54
IPsecで使用する暗号
IPsecで使用する暗号
• 標準としては共通鍵暗号方式を使用
標準としては共通鍵暗号方式を使用
– DES, TripleTriple-DES, AES
• 公開鍵暗号は認証用に使用
– 公開鍵認証,
公開鍵認証, PKI
Copyright (C) 2002 All rights reserved , by Eiji Yamada
55
IPsecにおける鍵の交換方式: IPsecにおける鍵の交換方式: Diffie
における鍵の交換方式: DiffieDiffie-Hellman
一郎
Ix:
Ix:一郎の秘密鍵
Iy:
Iy:一郎の公開鍵
Ix
花子
Iy
Hy
Hx
Hx:
Hx:花子の秘密鍵
Hy:
:花子の公開鍵
Hy
DH
DH
暗号鍵
暗号鍵
・秘密鍵から公開鍵を導き出す。
Copyright (C) 2002 All rights reserved , by Eiji Yamada
56
ハッシュによるメッセージ認証
• HMAC(
HMAC(HashHash-Message Authentication Code)
Code)
一郎
平文
MD5, SHASHA-1
花子
暗号文
DESによる
DESによる
暗号化
?
DESによる
DESによる
復号化
HASH
平文
HASH
DES鍵
DES鍵
DES鍵
DES鍵
比較
MAC
MAC
送信者の身元確認と改ざんの検出
Copyright (C) 2002 All rights reserved , by Eiji Yamada
57
IPv4における
IPv4におけるIPsec
におけるIPsecヘッダー
IPsecヘッダー
Authentication header(AH)
Encapsulating Security Payload (ESP)
32ビット
32ビット
8ビット
32ビット
32ビット
8ビット
IPヘッダー
IPヘッダー
Next Header
Payload length
IPヘッダー
IPヘッダー
Reserved
Security Parameters Index (SPI)
Sequence number
Security Parameters Index (SPI)
Sequence number
Payload data (variable length)
Authenticated
Authentication data (variable length)
Encrypted
Padding (0 – 255 bytes)
Pad length
Next header
Authentication data (variable length)
TCP/UDP
data
Copyright (C) 2002 All rights reserved , by Eiji Yamada
58
AHと
AHとESP
• AH
– パケットの改ざんの検出
– 発信元のなりすましの回避
– リプライ攻撃への対処
• ESP
–
–
–
–
–
データ部の暗号化
IPアドレスの秘匿
IPアドレスの秘匿
パケットの改ざんの検出
発信元のなりすましの回避
リプライ攻撃への対処
認証範囲
Copyright (C) 2002 All rights reserved , by Eiji Yamada
59
AHと
AHとESPの暗号化・認証の範囲
ESPの暗号化・認証の範囲
• AH
AH Transport Mode
IP
AH
AH Tunnel Mode
TCP
data
IP’
IP’
認証範囲
AH
IP
TCP
data
認証範囲
• ESP
ESP Transport Mode
ESP T Tunnel Mode
IP ESP TCP data
ESP
パディング
ESP
認証データ
IP’
IP ESP IP TCP data
暗号化範囲
ESP
パディング
ESP
認証データ
暗号化範囲
認証範囲
認証範囲
Copyright (C) 2002 All rights reserved , by Eiji Yamada
60
トンネリング
• トンネルモード
PC2
PC1
GW1
GW2
Internet
destination source
data
PC2
PC1
destination source
data
PC2
PC1
GW2
destination source
GW1
data
PC2
PC1
暗号化
Private
address
global
address
Private
address
Copyright (C) 2002 All rights reserved , by Eiji Yamada
61
身元確認の強化の必要性
• 鍵情報交換時のなりすまし
一郎
Ix
Attacker
Iy
DH
Ay1
Ay2
Ax1
Ax2
DH
花子
Hy
Hx
DH
Copyright (C) 2002 All rights reserved , by Eiji Yamada
62
PrePre-Sharedによる認証
Sharedによる認証
• PrePre-Shared
– IPsec標準認証機能。
IPsec標準認証機能。
– ノード同士が秘密を共有(Shared
ノード同士が秘密を共有(SharedShared-Secret)
Secret)
し直接認証
• 設定が容易
• 分散管理のため大規模VPN
分散管理のため大規模VPNには向かな
VPNには向かな
い
Copyright (C) 2002 All rights reserved , by Eiji Yamada
63
PrePre-Shared
ノード
Shared Secret
VPN装置
装置aiue#25
VPN
装置-B VPN装置
7651ASD
VPN装置装置-C
VPN装置
VPN装置装置-A
ノード
Shared Secret
VPN装置
装置aiue#25
VPN
装置-A VPN装置
Yd579aQ
VPN装置装置-C
SVPN
ノード
Shared Secret
VPN装置
装置7651ASD
VPN
装置-A VPN装置
Yd579aQ
VPN装置装置-B
VPN装置
VPN装置装置-B
VPN装置
VPN装置装置-C
Copyright (C) 2002 All rights reserved , by Eiji Yamada
64
IPsecにおける
IPsecにおけるSA
におけるSA(Security Association)
Association)
Phase 2 SAはプロトコル(
SAはプロトコル(AH,
はプロトコル(AH, ESP)
ESP)毎に両方向に2
毎に両方向に2本確立。
Phase 1 SA
Phase 2 SA
Copyright (C) 2002 All rights reserved , by Eiji Yamada
65
SAとは
SAとは
• IPsec標準では通信する
IPsec標準では通信するIPsec
標準では通信するIPsec製品間で
IPsec製品間でSA
製品間でSA(
SA(Security
Association)
Association)というセキュアなトンネルを生成。
• SAは定期的に更新され再構築されます。再認証による身
SAは定期的に更新され再構築されます。再認証による身
元の確認と暗号鍵の更新(Re
元の確認と暗号鍵の更新(ReRe-key)
key)による安全性の向上が
その目的です。
• SAの再構築には
SAの再構築にはIKE
の再構築にはIKE(
IKE( Internet Key Exchange)
Exchange)という手順が
用いられます。IKE
用いられます。IKEは
IKEはISAKMP/Oakleyを基にしています。
ISAKMP/Oakleyを基にしています。
UDP500が割り当てられています。
UDP500が割り当てられています。
• IKEには以下のような役割があります。
IKEには以下のような役割があります。
– ポリシーやアルゴリズムのネゴ
– DiffieDiffie-Hellmanによる暗号鍵の交換
Hellmanによる暗号鍵の交換
– 相互認証
• IKEは
IKEはPhase 1と
1とPhase 2という段階を経て確立します。
2という段階を経て確立します。
Copyright (C) 2002 All rights reserved , by Eiji Yamada
66
IKE Phase 1
•
•
Phase 1は安全に
1は安全に IKE のコミュニケーションを確立するための手順です。
Main Modeと
ModeとAggressive Mode
– Main Mode
(1)暗号化アルゴリズムやハッシュアルゴリズム等のネゴ
(1)暗号化アルゴリズムやハッシュアルゴリズム等のネゴ (2)DH
(2)DHによる鍵
DHによる鍵
(3)情報の交換相互認証
(3)情報の交換相互認証
• 3往復のメッセージ交換で確立
– Aggressive Mode
• アルゴリズムなどの提案、DH
アルゴリズムなどの提案、DH公開値、身元情報を1メッセージで送信
DH公開値、身元情報を1メッセージで送信
• 1.5往復のメッセージ交換で確立
1.5往復のメッセージ交換で確立
• リモートアクセスなど、選択オプションが予めわかっている場合に適用
•
認証方式
– Pre
Pre-Shared
– 公開鍵認証
– 拡張(RADIUS
RADIUS、
、PKI ・・・)
拡張(RADIUS
Copyright (C) 2002 All rights reserved , by Eiji Yamada
67
IKE Phase 1のフロー
1のフロー
Initiator
Responder
各種アルゴリズムの提案
各種アルゴリズムの指定
DHによる鍵交換
DHによる鍵交換
DHによる鍵交換
DHによる鍵交換
認証
認証
フェーズ2
フェーズ2のための安全なトンネル確立
Copyright (C) 2002 All rights reserved , by Eiji Yamada
68
IKE Phase 2
• IPsec
IPsecの
の ESP & AHを確立するための手順です。
AHを確立するための手順です。
• Quick Mode
– 暗号化アルゴリズムやハッシュアルゴリズム等のネゴと
鍵の生成
– Phase 1(
1(IKE SA)
SA)で保護された通信。
• Perfect Forward Secrecy (PFS)
PFS)のサポート
– PFS = off: off: Phase 1で生成した鍵をそのまま利用
1で生成した鍵をそのまま利用
– PFS = on: on: 再度DH
再度DHにより新たな鍵の共有を行ない、
DHにより新たな鍵の共有を行ない、
Phase 1で生成した鍵を廃棄
1で生成した鍵を廃棄
Copyright (C) 2002 All rights reserved , by Eiji Yamada
69
IKE Phase 2のフロー
2のフロー
Initiator
Responder
各種アルゴリズムの提案とDH
各種アルゴリズムの提案とDHによる鍵の交換
DHによる鍵の交換
各種アルゴリズムの提案とDH
各種アルゴリズムの提案とDHによる鍵の交換
DHによる鍵の交換
接続了承
SAの確立
SAの確立
Copyright (C) 2002 All rights reserved , by Eiji Yamada
70
SAと
SAとSPI
HOSTHOST-AのSAテーブル
SAテーブル
HOSTHOST-BのSAテーブル
SAテーブル
送信先 暗号化 認証 鍵情報 ・・・
送信先 暗号化 認証 鍵情報 ・・・
アルゴリズム アルゴリズム
アルゴリズム アルゴリズム
HOSTHOST-B IDEA
IDEA IDEA MD5
MD5 MD5 Kb
Kb ・・・
Kb ・・・
HOSTHOST-A DES
DES DES MD5 MD5 Ka
Ka ・・・
Ka ・・・
HOSTHOST-C 3
3-DES DES SHA
SHA SHA Kc
Kc Kc ・・・
・・・
HOST DES
DES SHA Kd
Kd ・・・
HOST
-D DES
SHA
Kd
・・・
HOSTHOST-B 3
3-DES DES SHA
SHA SHA Kc2
Kc2 Kc2 ・・・
HOST DES
DES SHA Kd2
Kd2 HOST
-C DES
SHA
Kd2
・・・
HOSTHOST-A
HOSTHOST-A
SPI for HOSTHOST-A
DES, MD5, Kaを
Kaを
使用した暗号化通信
HOSTHOST-B
HOSTHOST-B
Copyright (C) 2002 All rights reserved , by Eiji Yamada
71
ReRe-Key
• SAの更新
SAの更新
– フェーズ1、フェーズ2それぞれに
フェーズ1、フェーズ2それぞれにLifeTime
LifeTimeを設定
LifeTimeを設定
– LifeTime: LifeTime: 時間単位、パケット数単位
: 時間単位、パケット数単位
フェーズ2
フェーズ2 Life Time
10分
10分
(7分)
10分
10分
7分経過後次の
セッション開始
10分
10分
10分
10分
この間SA
この間SAを二重に保持
SAを二重に保持
※フェーズ1
※フェーズ1はLife Timeの時点でいきなり
Timeの時点でいきなりRe
の時点でいきなりReRe-Key
Copyright (C) 2002 All rights reserved , by Eiji Yamada
72
Secure Mapによるルール設定
Mapによるルール設定
Version 1
begin staticstatic-map
Name"Lab station"
Target"192.169.211.[1Target"192.169.211.[1-10]"
Mode"ISAKMPMode"ISAKMP-Cert"
ID "CN=yamada,OU=sales,O=dit,C=JAPAN"
end
begin staticstatic-map
Name"Sales Laptop"
Target"207.181.174.2"
Mode"ISAKMPMode"ISAKMP-Shared"
end
begin staticstatic-map
Name"Support"
Target"155.194.204.3"
Tunnel"192.169.211.14"
Mode"ISAKMPMode"ISAKMP-Shared"
end
Copyright (C) 2002 All rights reserved , by Eiji Yamada
73
IPsecの拡張機能
IPsecの拡張機能
Copyright (C) 2002 All rights reserved , by Eiji Yamada
74
認証の強化
• RSA電子署名による認証
RSA電子署名による認証
一郎
花子
DESによる
DESによる
暗号化
?
DESによる
DESによる
復号化
DES鍵
DES鍵
一郎の公開鍵は
本当に一郎から
送られてきたのか
DES鍵
DES鍵
HASH
RSAで
RSAで
暗号化
MAC
?
HASH
比較
RSAで
RSAで
復号化
暗号データ
一郎の
プライベート鍵
MAC
一郎の
公開鍵
Copyright (C) 2002 All rights reserved , by Eiji Yamada
75
CAの必要性
CAの必要性
• 認証サーバ(CA
認証サーバ(CAサーバ)による認証
CAサーバ)による認証
– CA
CA(
(Certification Authority:
Authority:認証機関)
– 端末が発行する電子署名だけでは認証が不十分:なり
すまし・改ざんの危険性
– 信用がおけ、かつ中立な立場の認証機関を設置。
– 認証機関から各ユーザへ証明書(RSA
認証機関から各ユーザへ証明書(RSAなどで署名された)
RSAなどで署名された)
を発行し身元を保証。
• RSA電子署名、
RSA電子署名、X.509
電子署名、X.509公開鍵証明書による強力な認
X.509公開鍵証明書による強力な認
証。
• 第三者(CA
第三者(CA)
CA)による確かな身元保証。
• 集中管理。大規模VPN
集中管理。大規模VPN向き。
VPN向き。
– PKI(
PKI(Public Key Infrastructure)
Infrastructure)として標準化中
Copyright (C) 2002 All rights reserved , by Eiji Yamada
76
X.509証明書
X.509証明書
• ISO/IEC DIS9594DIS9594-8 X.509
• 証明書の管理・配布の標準的な構造について定義されてい
ます。
– 以下の様な情報を含みます。
•
•
•
•
•
•
•
•
•
•
•
ユーザID
ユーザID
ユーザIP
IPアドレス
ユーザ
IPアドレス
証明書の発行日
証明書の期限
ユーザの公開鍵
CAの電子署名
CAの電子署名
証明書のシリアル番号
CAの
CAのIPアドレス
IPアドレス
CAの認証シリアル番号
CAの認証シリアル番号
認証機構のバージョン
各アルゴリズム(ハッシュや電子署名)のバージョン
Copyright (C) 2002 All rights reserved , by Eiji Yamada
77
PKIによる認証
PKIによる認証
認証局
CA
X.500
録
登
を
鍵
開
公
た
Aの
し
名 行
①
署 発
で を
鍵 書
密 明
秘 証
の 鍵
CA 開
② の公
A
VPN装置
VPN装置装置-A
①
Bの
公
開
鍵
②
を
登
Aの CA
の
録
公 秘
開 密
鍵 鍵
証 で
明 署
書 名
を し
発 た
行
③ 公開鍵証明書の交換
④ CAの公開鍵で認証
CAの公開鍵で認証
VPN装置
VPN装置装置-B
④ CAの公開鍵で認証
CAの公開鍵で認証
Copyright (C) 2002 All rights reserved , by Eiji Yamada
78
PKIによる認証
PKIによる認証
• PKIサポート
PKIサポート
– 標準的なPKI
標準的なPKIに対応
PKIに対応
•
•
•
Verisign,
Verisign, Entrust、
Entrust、BALTIMORE、
BALTIMORE、SSH、
SSH、Netscape
PKCS 10/7 オフライン認証 (gateway)
PKCS 12 認証、プライベート鍵の組み込みと管理
(client)
• SCEP (Simple Certificate Enrolment
Protocol) : Webベースの証明書要求プロトコ
Webベースの証明書要求プロトコ
ル
Copyright (C) 2002 All rights reserved , by Eiji Yamada
79
その他 認証機能の拡張
• Hibrid Auth / XAuth
– 拡張された
拡張されたIKE
IKE認証
IKE認証
– PKIより安価で簡易、
PKIより安価で簡易、PKI
より安価で簡易、PKIに至る前段階
PKIに至る前段階
– リモートアクセスに適する
• RADIUS認証による個人認証とアクセス制御
RADIUS認証による個人認証とアクセス制御
– ACE/SecurID
のサポー
ACE/SecurID,
SecurID, SafeWord,
SafeWord, NT Domain, …のサポー
ト
• 容易な証明書の運用
RADIUSなど
RADIUSなど
認証サーバ
Internet
IPsec client
IPsec gateway
Copyright (C) 2002 All rights reserved , by Eiji Yamada
80
個人認証デバイス
•
•
•
•
ワンタイムパスワード
ICカード
ICカード
i-key
バイオメトリックス
– 指紋認証
ワンタイムパスワード
i-key
PUPPY (指紋認証)
Copyright (C) 2002 All rights reserved , by Eiji Yamada
81
ポリシー管理機能の拡張
• ポリシー サーバの運用
– SSP(Security Policy Protocol): 接続先Gate
接続先Gateの発見とセキュリティポ
Gateの発見とセキュリティポ
リシーの取得
– IPsecデバイス側:
IPsecデバイス側: IPsec PIB(
PIB(Policy Information Language)
Language)の実装
– ポリシーサーバ側: COPSCOPS-PR(
PR(Common Open Policy Service
Protocol and Support of policy provisioning)
provisioning)の実装
ポリシーサーバ
Directory
LDAP
COPSCOPS-PR
IPsec client
IPsec client
IPsec gateway
Copyright (C) 2002 All rights reserved , by Eiji Yamada
82
アドレス管理機能の拡張
• ダイナミックリモート管理
– IKE Configuration
– Private address request (PAR)
クライアントクライアント-サーバ間はPrivate
サーバ間はPrivateアドレスで通信
Privateアドレスで通信
192.168.16.13
プールしているPrivate
プールしているPrivateアドレスを付与
Privateアドレスを付与
Globalアドレスで
GlobalアドレスでSA
アドレスでSAを確立
SAを確立
Globalアドレスを付与
Globalアドレスを付与
サーバ
Internet
IPsec client
IPsec gateway
プール
192.168.16.[10-20]
192.168.16.[10
192.168.16.0
Copyright (C) 2002 All rights reserved , by Eiji Yamada
83
アドレス管理機能の拡張
• ISAKMPISAKMP-Config
– リモート端末に対し、社内アドレスの割り
当て、ネットマスク、内部DNS
当て、ネットマスク、内部DNSサーバアドレ
DNSサーバアドレ
スなどを知らせる
• IPsecIPsec-DHCP
– 社内DHCP
社内DHCPサーバから社内アドレスの割り
DHCPサーバから社内アドレスの割り
当て
Copyright (C) 2002 All rights reserved , by Eiji Yamada
84
トンネル技術の拡張
•
NAT Traversal(
Traversal(NATを超える取り組み)
NATを超える取り組み)
–
NATNAT-Tヘッダ
IKEによるネゴ
IKEによるネゴ
1.
2.
3.
4.
IP
対向でNAT
対向でNAT Traversalを持つかの確認
Traversalを持つかの確認
NAT Traversalでカプセリング
Traversalでカプセリング
ハートビートでとら
ハートビートでとらフィックを維持
相互でプライベートアドレスの重複も回避
NATNAT-T
8byte
NATNAT-T
12byte
12byte
AH
UDP
Payload
NATNAT-T
NAT
IPsec client
(NATNAT-T対応)
UDP
サーバ
Internet
IPsec gateway
(NATNAT-T対応)
※ SSH社の資料を参照
SSH社の資料を参照
IPsec client
(NATNAT-T対応)
Copyright (C) 2002 All rights reserved , by Eiji Yamada
85
他のVPN
他のVPN技術と
VPN技術とIPsec
技術とIPsecの比較
IPsecの比較
Copyright (C) 2002 All rights reserved , by Eiji Yamada
86
各種VPN
各種VPNの比較 VPNの比較 (一部はデータ暗号技術)
L2TP
IPSec
MPLS
SSL
実装レイヤ
レイヤ2
レイヤ2
レイヤ3
レイヤ3
レイヤ2,3
レイヤ2,3
レイヤ4,5
レイヤ4,5
対応プロトコル
マルチプロトコル
IP
マルチプロトコル
HTTP、
HTTP、FTP 等
適用範囲
End to End
認証機能
あり
あり
なし
あり
暗号機能
VPN機能
VPN
機能
オプション
あり
なし
あり
認証
トラフィックの
分離
+暗号化
End to End
トンネリングトンネリング
トンネリングトンネリングラベルによる
トンネリングラベルによる
+認証
+認証
+暗号化
キャリア網内
End to End
L2TP :Layer 2 Tunneling Protocol
IPSec:
IPSec:IP Security Protocol
MPLS:
MPLS:MultiMulti-Protocol Label Switching
SSL:
SSL:Secure Sockets Layer
Copyright (C) 2002 All rights reserved , by Eiji Yamada
87
IPsecが普及した理由
IPsecが普及した理由
• 通信データの暗号化、送受信相互の認証といった
セキュリティ機能が標準実装
• 企業ネットワークが内外ともIP
企業ネットワークが内外ともIP系で設計されること
IP系で設計されること
が多くIP
が多くIPのみに対応していれば十分である
IPのみに対応していれば十分である
• 専用ゲートウェイ、ルータ、ファイアウォール、クライ
アントソフトといった様々な製品バリエーションがあ
り使用目的や予算に合わせて製品が選択できる
• キャリアを選ばない
• 異機種間相互接続が可能
Copyright (C) 2002 All rights reserved , by Eiji Yamada
88
L2TPによる
L2TPによるVPN
によるVPN
• L2TP(
L2TP( Layer 2 Tunneling Protocol)
Protocol)
–
–
–
–
–
–
PPTPと
PPTPとL2Fの統合
L2Fの統合
IETF RFC2661
マルチプロトコル対応
PPPの拡張機能
PPPの拡張機能
リモート端末 - LAN間
LAN間
コネクション型トンネリング プロトコル
– 暗号機能は
暗号機能はオプション
オプション
– パケット形態が若干複雑
Copyright (C) 2002 All rights reserved , by Eiji Yamada
89
L2TPによる
L2TPによるVPN
によるVPNの構成
VPNの構成
L2TP Tunnel
LNS
(ルータ等)
Internet
PPP
LAC
(ルータ等)
モバイル端末
社内サーバ
公衆回線
社内
ISP
– LAC(
LAC(L2TP Access Concentrator)
Concentrator)
• モバイル端末からアクセスを受ける装置。一般的にはISP
モバイル端末からアクセスを受ける装置。一般的にはISP内に設置されるリモー
ISP内に設置されるリモー
トルータ(アクセスサーバ)がLAC
トルータ(アクセスサーバ)がLAC機能を実装。
LAC機能を実装。
– LNS(
LNS(L2TP Network Server)
Server)
• LACとの間に
LACとの間にL2TP
との間にL2TPトンネルを確立する装置。受信した
L2TPトンネルを確立する装置。受信したL2TP
トンネルを確立する装置。受信したL2TPカプセルを解きアク
L2TPカプセルを解きアク
セスサーバとしてPPP
セスサーバとしてPPPの確立を行なう。
PPPの確立を行なう。
Copyright (C) 2002 All rights reserved , by Eiji Yamada
90
L2TPのパケット構造
L2TPのパケット構造
• Windows 2000の
2000のL2TP
– LAC
LAC機能と
機能とL2TP
機能とL2TPクライアント機能
L2TPクライアント機能
– IPSecとの併用による暗号機能の実現
IPSecとの併用による暗号機能の実現
暗号化
IP(g)
IPSec UDP L2TP PPP IP(p)
TCP/UDP
data
L2TP over IPSec
Copyright (C) 2002 All rights reserved , by Eiji Yamada
91
IPSecのパケット構造
IPSecのパケット構造
• AHと
AHとESP
Authentication header(AH)
AHは認証機能のみ
AHは認証機能のみ
IP
AH
TCP/UDP
data
Encapsulating Security Payload (ESP)
ESPは認証機能と暗号機能を実装
ESPは認証機能と暗号機能を実装
IP
ESP
TCP/UDP
data
ESP
トレーラ
ESP
認証
暗号化
※上図AH,ESP
※上図AH,ESPともトランスポートモードの場合
AH,ESPともトランスポートモードの場合
Copyright (C) 2002 All rights reserved , by Eiji Yamada
92
MPLSによる
MPLSによるVPN
によるVPN
• MPLS(
MPLS( MultiMulti-Protocol Label Switching )
– キャリアの
キャリアのIP
IPIP-VPNサービスで使用
VPNサービスで使用
– レイヤ3
レイヤ3のルーティングとレイヤ2
のルーティングとレイヤ2のスイッチング
の統合
– マルチプロトコル
– キャリア網内(交換機間)に適用
– ラベルによるトラフィックの分離
– 高品質なサービス
• レイヤ3
レイヤ3ルーティングのオーバヘッドを軽減
• QoS
Copyright (C) 2002 All rights reserved , by Eiji Yamada
93
MPLSによる
MPLSによるVPN
によるVPNの構成
VPNの構成
Label Switch Router
ユーザ
LSR
キャリア
Edge Router
LSR
LSR
Edge Router
L3
L3
L3
L3
L2
L2
L2
L2
L2
L1
L1
L1
L1
L1
ATM
L3
ATM
ユーザ
Copyright (C) 2002 All rights reserved , by Eiji Yamada
94
IPsecの
IPsecのEnd to End トンネリング
東京本社
IPSEC
G/W
ル
ネ
ン
ト
ア
ュ
キ
セ
A-ISP
Internet
B-ISP
セ
キ
ュ
ア
ト
ン
ネ
ル
C-ISP
D-ISP
IPSEC
G/W
IPSEC
G/W
海外拠点
大阪支社
Copyright (C) 2002 All rights reserved , by Eiji Yamada
95
SSLによる
SSLによるVPN
によるVPN
• SSL(
SSL(Secure Sockets Layer)
Layer)
– HTTP、
HTTP、TELNET、
TELNET、SMTP、
SMTP、FTP等特定のアプリケー
FTP等特定のアプリケー
ションの安全性
– IETF RFC 2246
– End to Endの認証機能、暗号機能
Endの認証機能、暗号機能
– Webブラウザ等に標準装備
Webブラウザ等に標準装備
– BtoCで普及
BtoCで普及
– UDPは扱えない
UDPは扱えない
Copyright (C) 2002 All rights reserved , by Eiji Yamada
96
SSLによる
SSLによるVPN
によるVPNの構成
VPNの構成
SSL対応
SSL対応Web
対応Webサーバ
Webサーバ
(IISや
IISやNetscape Server)
Server)
事業者内
SSL機能付ブラウザ
SSL機能付ブラウザ
(IEや
IEやNetscape)
Netscape)
Firewall
Internet
ユーザ端末
N
A
L
認証と暗号化
Copyright (C) 2002 All rights reserved , by Eiji Yamada
97
その他アプリケーションレベルのVPN
その他アプリケーションレベルのVPN
• PGP、
PGP、SMIME
– メールの暗号化、認証機能
– PGPはフリーソフトとして普及
PGPはフリーソフトとして普及
• SSH セキュアシェル
– TELNET、
TELNET、FTPなどリモートコマンドベースの通信
FTPなどリモートコマンドベースの通信
を暗号化
– フリーソフトとして普及したが市販版により企業
向けの展開
Copyright (C) 2002 All rights reserved , by Eiji Yamada
98
SSLと
SSLとIPsecの比較
IPsecの比較
• アプリケーションレベルとIPSec
アプリケーションレベルとIPSecの比較
IPSecの比較
TCP/UDP
mail
Notes
アプリケーション
Web
– PGP・
PGP・SSLはアプリケーションに実装
SSLはアプリケーションに実装
• 適用サービスが限定される
• サーバ側の作りこみが必要
– SSLと
SSLとIPSecの共存
IPSecの共存
• インフラはIPSec
インフラはIPSecで保護、サービスのセキュリティを
IPSecで保護、サービスのセキュリティをSSL
で保護、サービスのセキュリティをSSLで向上
SSLで向上
TCP/UDP
IPsec
IP
Media Access
Media Access
(Ethernet, Token Ring
etc.)
(Ethernet, Token Ring
etc.)
IPSEC
PGP, SSLなど
SSLなど
Copyright (C) 2002 All rights reserved , by Eiji Yamada
99
付録
Copyright (C) 2002 All rights reserved , by Eiji Yamada
100
主なIPsec
主なIPsec製品一覧
IPsec製品一覧
カテゴリ
専用gate way
ファイアウォール
ルータ
OS
メーカ
製品
Alcatel
Alc ate l Se cu reVPN シリーズ
AVAYA
VPN ware シリーズ
Nokia
IPシリーズ
Note l Ne tworks
Contivity Extran e t Switc h
Che c kpoint
VPN- 1
NetScre e n
Ne tSc ree n シリーズ
Symante c
Syman te c Gateway Sec u rity
Watc hGu ard
FIREB OX VCLASS
Allie d Te lesis
Ce ntre CO M AR7 4 0 他
Cisc o
VPNシリーズ
古河電工
MUCHOシリーズ、FITELn e tシリーズ
ヤマハ
RTシリーズ
Mic rosoft
Win dows 2 00 0 , XP
KAME for BSD UNIX
S- WAN for Linu x
Copyright (C) 2002 All rights reserved , by Eiji Yamada
101
参考文献
Internet Week 2000 セミナー資料
IPsecによる
IPsecによるVPN
によるVPN構築
VPN構築
ネットワンシステムズ(株) 白橋 明弘 著
マスタリング IPsec
馬場 達也 著
オライリー・ジャパン
ネットワークセキュリティ
チャーリー・カウフマン、ラディア・パールマン、マイク・スペシナー 著
石橋 啓一郎、菊池 浩明、松井 彩、土井 裕介 訳
株式会社プレンティスホール出版
ポイント図解式 VPN/VLAN
ポイント図解式 VPN/VLAN教科書
VPN/VLAN教科書
是友 春樹 監修
マルチメディア通信研究会
アスキー出版局
IPsec導入の手引き
IPsec導入の手引き
Elizabeth Kaufman, Andrew Newman 著
SE編集部 訳
SE編集部 訳
笠野 英松 監修
翔泳社
オープンデザイン 1996
オープンデザイン 1996年
1996年6月号
特集 最新の暗号技術によるセキュリティの実現
CQ出版社
CQ出版社
日経コミュニケーションズ 1998
日経コミュニケーションズ 1998年
1998年6月15日号
15日号
検証テクノロジ IPSEC IPSEC インターネットVPN
インターネットVPNの基本技術
VPNの基本技術 既設機器との相互運用が課題
Copyright (C) 2002 All rights reserved , by Eiji Yamada
102
IPSec~
IPSec~技術概要とセキュアなネットワークの実現手法~
第1
第1部 おわり
株式会社ディアイティ
山田 英史
[email protected]
Copyright (C) 2002 All rights reserved , by Eiji Yamada
Fly UP