IPsec
2022-09-19 (月) 10:19:31
IPsec とは †
名称 †
- IP security protocol
概要 †
- IETF で標準化が行われている
- VPNで使われる。
IPsec が提供する機能 †
- アクセス制御
- IPアドレス、ポート番号、プロトコル種別による制御
- メッセージ認証
- メッセージ認証コード(MAC)を用いた改ざん検知
- 送信元の認証
- メッセージ認証コード(MAC)を用いた送信元の正当性の確認
- 通信データの重複検知
- リプレイ攻撃の防止
- 通信データの暗号化
- 暗号化のモードには、トランスポートモードとトンネルモードがある
IPsec を構成するプロトコル・機能:AHとESP †
ESP †
- Encapsulating Security Payload
- 暗号化ペイロード
- メッセージ認証と通信データの暗号化をするプロトコル
- 元のパケットにESPヘッダ、ESPトレーラ、ESP認証データ(ICV)を追加する
- 元のパケット全体から生成したメッセージ認証コード:ICV(Integrity Check Value)をESPトレーラの後ろのESP認証データにセットする
AH †
- Authentication Header
- 認証ヘッダ
- メッセージ認証のために使用するプロトコル ※通信データの暗号化はしない
- 通信データを暗号化する為にESPを使う場合はAHを使う必要ない
- 元のパケットにAHヘッダを追加する
- 元のパケット全体から生成したメッセージ認証コード:ICV(Integrity Check Value)をAHヘッダの認証データにセットする
IPsec を構成するプロトコル・機能:その他 †
SPD †
- Security Policy Database
- パケットの処理の制御に関するルール(セレクタ)を登録するデータベース
- 設定情報
- IPsec適用の要否
- 使用するプロトコル(AH, ESP)
- 使用する転送モード(トランスポートモード, トンネルモード)
- 暗号アルゴリズム
- メッセージ認証のアルゴリズム
SA †
- Security Association
- 論理的なトンネル
- IKEv1 によるSAの作成と鍵交換
- ISAKMP SA ※制御用
- Internet Security Association and Key Management Protocol
- IPsec SA ※データ送信用
- ISAKMP SA ※制御用
IKE †
- Internet Key Exchange
- SAの作成や、暗号化で使う鍵の交換に使用するプロトコル
- バージョン
- IKEv1
- IKEv2
- バージョン間の互換性はない(異なるバージョン間での通信ができない)
IKEv1 †
- ポート番号:500/UDP
- SAと鍵管理の仕様を規定したプロトコル
- ISAKMP/Oakley の実装プロトコル
- SAの作成と鍵交換
- ISAKMP SA ※制御用
- SAの作成:メインモード/アグレッシブモード
- IPsec SA ※データ送信用
- SAの作成:クイックモード
- ISAKMP SA ※制御用
- 通信相手の認証方式
- 事前共有鍵
- デジタル署名
- 公開鍵暗号
- 改良型公開鍵暗号
IKEv2 †
- SAの作成と鍵交換
- IKE_SA ※制御用
- CHILD_SA ※データ送信用
- exchange:イニシエータとレスポンダのメッセージ交換の単位
- IKE_SA_INIT
- IKE_AUTH
- CREATE_CHILD_SA
- INFORMSTIONAL
XAUTH †
- ユーザ認証
- ISAKMP SAの作成時のデバイス認証が行われた後に行う
- ユーザIDとパスワード方式、ワンタイムパスワード方式などが選択可能
IPsec VPN †
- IPsec を使ったインターネットVPN
接続の種類 †
- 拠点間接続
- 各拠点に設置するVPNゲートウェイ装置同士でIPsecによる暗号化通信を行う
- 拠点対端末接続
- ISPに接続したPC等がVPNゲートウェイ装置が設置された拠点とIPsecによる暗号化通信を行う
- PC等にインストールされているVPNクライアントソフトウェアを使って接続する
転送モード(暗号化モード) †
トンネルモード †
- VPNゲートウェイ装置を使った拠点間接続、拠点対端末接続で使われるモード
- パケットの暗号化
- IPヘッダ(追加) ※元のパケットのカプセル化
- IPヘッダ、TCPヘッダ、データ部 ※暗号化する
トランスポートモード †
- IPsecに対応したホスト同士がEnd to Endで暗号化通信を行うモード
- IPパケットのデータ部(TCPヘッダとデータ部)を暗号化する
- パケットの暗号化
- IPヘッダ ※暗号化しない
- TCPヘッダ、データ部 ※暗号化する