2022-09-19 (月) 10:19:31

IPsec とは †

名称 †

• IP security protocol

概要 †

• IP通信を暗号化して転送するプロトコル。
  • インターネット層でカプセル化して暗号化する
  • OSI参照モデルのネットワーク層で暗号化する

• IETF で標準化が行われている

• VPNで使われる。

• IPv4とIPv6の両方で利用できる
  • IPv6はIPsecの実装を必須としている

IPsec が提供する機能 †

• アクセス制御
  • IPアドレス、ポート番号、プロトコル種別による制御

• メッセージ認証
  • メッセージ認証コード(MAC)を用いた改ざん検知

• 送信元の認証
  • メッセージ認証コード(MAC)を用いた送信元の正当性の確認

• 通信データの重複検知
  • リプレイ攻撃の防止

• 通信データの暗号化
  • 暗号化のモードには、トランスポートモードとトンネルモードがある

IPsec を構成するプロトコル・機能：AHとESP †

ESP †

• Encapsulating Security Payload
• 暗号化ペイロード
• メッセージ認証と通信データの暗号化をするプロトコル
• 元のパケットにESPヘッダ、ESPトレーラ、ESP認証データ(ICV)を追加する
  • 元のパケット全体から生成したメッセージ認証コード：ICV(Integrity Check Value)をESPトレーラの後ろのESP認証データにセットする

AH †

• Authentication Header
• 認証ヘッダ
• メッセージ認証のために使用するプロトコル　※通信データの暗号化はしない
  • 通信データを暗号化する為にESPを使う場合はAHを使う必要ない
• 元のパケットにAHヘッダを追加する
  • 元のパケット全体から生成したメッセージ認証コード：ICV(Integrity Check Value)をAHヘッダの認証データにセットする

IPsec を構成するプロトコル・機能：その他 †

SPD †

• Security Policy Database
• パケットの処理の制御に関するルール（セレクタ）を登録するデータベース
• 設定情報
  • IPsec適用の要否
  • 使用するプロトコル(AH, ESP)
  • 使用する転送モード(トランスポートモード, トンネルモード)
  • 暗号アルゴリズム
  • メッセージ認証のアルゴリズム

SA †

• Security Association
• 論理的なトンネル

• IKEv1 によるSAの作成と鍵交換
  1. ISAKMP SA　※制御用
     • Internet Security Association and Key Management Protocol
  2. IPsec SA　※データ送信用

IKE †

• Internet Key Exchange
• SAの作成や、暗号化で使う鍵の交換に使用するプロトコル
• バージョン
  • IKEv1
  • IKEv2
• バージョン間の互換性はない（異なるバージョン間での通信ができない）

IKEv1 †

• ポート番号：500/UDP
• SAと鍵管理の仕様を規定したプロトコル
• ISAKMP/Oakley の実装プロトコル

• SAの作成と鍵交換
  1. ISAKMP SA　※制御用
     • SAの作成：メインモード／アグレッシブモード
  2. IPsec SA　※データ送信用
     • SAの作成：クイックモード

• 通信相手の認証方式
  • 事前共有鍵
  • デジタル署名
  • 公開鍵暗号
  • 改良型公開鍵暗号

IKEv2 †

• SAの作成と鍵交換
  1. IKE_SA　※制御用
  2. CHILD_SA　※データ送信用

• exchange：イニシエータとレスポンダのメッセージ交換の単位
  • IKE_SA_INIT
  • IKE_AUTH
  • CREATE_CHILD_SA
  • INFORMSTIONAL

• 通信相手の認証方式
  • 事前共有鍵
  • RSAデジタル署名
  • DSSデジタル署名
  • EAP

XAUTH †

• ユーザ認証
• ISAKMP SAの作成時のデバイス認証が行われた後に行う
• ユーザIDとパスワード方式、ワンタイムパスワード方式などが選択可能

IPsec VPN †

• IPsec を使ったインターネットVPN

接続の種類 †

• 拠点間接続
  • 各拠点に設置するVPNゲートウェイ装置同士でIPsecによる暗号化通信を行う

• 拠点対端末接続
  • ISPに接続したPC等がVPNゲートウェイ装置が設置された拠点とIPsecによる暗号化通信を行う
  • PC等にインストールされているVPNクライアントソフトウェアを使って接続する

転送モード（暗号化モード） †

トンネルモード †

• VPNゲートウェイ装置を使った拠点間接続、拠点対端末接続で使われるモード
• パケットの暗号化
  • IPヘッダ(追加)　※元のパケットのカプセル化
  • IPヘッダ、TCPヘッダ、データ部　※暗号化する

トランスポートモード †

• IPsecに対応したホスト同士がEnd to Endで暗号化通信を行うモード
• IPパケットのデータ部（TCPヘッダとデータ部）を暗号化する
• パケットの暗号化
  • IPヘッダ　※暗号化しない
  • TCPヘッダ、データ部　※暗号化する

関連用語 †

• VPN
• 暗号化
• IPv6
• SSL/TLS
• L2TP