IPsec とは†
- IP security protocol
- IP通信を暗号化して転送するプロトコル。
- インターネット層でカプセル化して暗号化する
- OSI参照モデルのネットワーク層で暗号化する
IPsec が提供する機能†
- アクセス制御
- IPアドレス、ポート番号、プロトコル種別による制御
- 通信データの暗号化
- 暗号化のモードには、トランスポートモードとトンネルモードがある
IPsec を構成するプロトコル・機能:AHとESP†
- Authentication Header
- 認証ヘッダ
- メッセージ認証のために使用するプロトコル ※通信データの暗号化はしない
- 通信データを暗号化する為にESPを使う場合はAHを使う必要ない
- 元のパケットにAHヘッダを追加する
- 元のパケット全体から生成したメッセージ認証コード:ICV(Integrity Check Value)をAHヘッダの認証データにセットする
ESP†
- Encapsulating Security Payload
- 暗号化ペイロード
- メッセージ認証と通信データの暗号化をするプロトコル
- 元のパケットにESPヘッダ、ESPトレーラ、ESP認証データ(ICV)を追加する
- 元のパケット全体から生成したメッセージ認証コード:ICV(Integrity Check Value)をESPトレーラの後ろのESP認証データにセットする
IPsec を構成するプロトコル・機能:その他†
SPD†
- Security Policy Database
- パケットの処理の制御に関するルール(セレクタ)を登録するデータベース
- 設定情報
- IPsec適用の要否
- 使用するプロトコル(AH, ESP)
- 使用する転送モード(トランスポートモード, トンネルモード)
- 暗号アルゴリズム
- メッセージ認証のアルゴリズム
- Security Association
- 論理的なトンネル
- IKEv1 によるSAの作成と鍵交換
- ISAKMP SA ※制御用
- Internet Security Association and Key Management Protocol
- IPsec SA ※データ送信用
IKE†
- Internet Key Exchange
- SAの作成や、暗号化で使う鍵の交換に使用するプロトコル
- バージョン
- バージョン間の互換性はない(異なるバージョン間での通信ができない)
IKEv1†
- ポート番号:500/UDP
- SAと鍵管理の仕様を規定したプロトコル
- ISAKMP/Oakley の実装プロトコル
- SAの作成と鍵交換
- ISAKMP SA ※制御用
- IPsec SA ※データ送信用
- 通信相手の認証方式
- 事前共有鍵
- デジタル署名
- 公開鍵暗号
- 改良型公開鍵暗号
IKEv2†
- SAの作成と鍵交換
- IKE_SA ※制御用
- CHILD_SA ※データ送信用
- exchange:イニシエータとレスポンダのメッセージ交換の単位
- IKE_SA_INIT
- IKE_AUTH
- CREATE_CHILD_SA
- INFORMSTIONAL
XAUTH†
- ユーザ認証
- ISAKMP SAの作成時のデバイス認証が行われた後に行う
- ユーザIDとパスワード方式、ワンタイムパスワード方式などが選択可能
IPsec VPN†
接続の種類†
- 拠点間接続
- 各拠点に設置するVPNゲートウェイ装置同士でIPsecによる暗号化通信を行う
- 拠点対端末接続
- ISPに接続したPC等がVPNゲートウェイ装置が設置された拠点とIPsecによる暗号化通信を行う
- PC等にインストールされているVPNクライアントソフトウェアを使って接続する
転送モード(暗号化モード)†
- トランスポートモード
- IPsecに対応したホスト同士がEnd to Endで暗号化通信を行うモード
- パケットの暗号化
- IPヘッダ ※暗号化しない
- TCPヘッダ、データ部 ※暗号化する
- トンネルモード
- VPNゲートウェイ装置を使った拠点間接続、拠点対端末接続で使われるモード
- パケットの暗号化
- IPヘッダ(追加) ※元のパケットのカプセル化
- IPヘッダ、TCPヘッダ、データ部 ※暗号化する
関連用語†