#author("2022-09-19T10:15:14+09:00","default:k1rou","k1rou")
#author("2022-09-19T10:19:31+09:00","default:k1rou","k1rou")
*IPsec とは [#cae9e54d]
**名称 [#jafa03cc]
-IP security protocol
**概要 [#zef5e422]
-IP通信を[[暗号化]]して転送するプロトコル。
--インターネット層でカプセル化して暗号化する
--[[OSI参照モデル]]のネットワーク層で暗号化する
-[[IETF]] で標準化が行われている
-[[VPN]]で使われる。
-[[IPv4]]と[[IPv6]]の両方で利用できる
--[[IPv6]]はIPsecの実装を必須としている
*IPsec が提供する機能 [#p505fca6]
-アクセス制御
--IPアドレス、ポート番号、プロトコル種別による制御
-メッセージ認証
--[[メッセージ認証コード]](MAC)を用いた[[改ざん]]検知
-送信元の認証
--[[メッセージ認証コード]](MAC)を用いた送信元の正当性の確認
--[[メッセージ認証コード]](MAC)を用いた送信元の[[正当性]]の確認
-通信データの重複検知
--[[リプレイ攻撃]]の防止
-通信データの暗号化
--[[暗号化]]のモードには、トランスポートモードとトンネルモードがある
*IPsec を構成するプロトコル・機能:AHとESP [#decd808e]
**ESP [#t94c40ba]
-Encapsulating Security Payload
-暗号化ペイロード
-[[メッセージ認証]]と通信データの[[暗号化]]をするプロトコル
-元のパケットにESPヘッダ、ESPトレーラ、ESP認証データ([[ICV]])を追加する
--元のパケット全体から生成したメッセージ認証コード:[[ICV]](Integrity Check Value)をESPトレーラの後ろのESP認証データにセットする
**AH [#k4c0eef5]
-Authentication Header
-認証ヘッダ
-[[メッセージ認証]]のために使用するプロトコル ※通信データの暗号化はしない
--通信データを暗号化する為にESPを使う場合はAHを使う必要ない
-元のパケットにAHヘッダを追加する
--元のパケット全体から生成したメッセージ認証コード:[[ICV]](Integrity Check Value)をAHヘッダの認証データにセットする
*IPsec を構成するプロトコル・機能:その他 [#eb2cf91c]
**SPD [#b391105e]
-Security Policy Database
-パケットの処理の制御に関するルール(セレクタ)を登録するデータベース
-設定情報
--IPsec適用の要否
--使用するプロトコル(AH, ESP)
--使用する転送モード(トランスポートモード, トンネルモード)
--暗号アルゴリズム
--メッセージ認証のアルゴリズム
**SA [#p91d5f0a]
-Security Association
-論理的なトンネル
-IKEv1 によるSAの作成と鍵交換
++ISAKMP SA ※制御用
---Internet Security Association and Key Management Protocol
++IPsec SA ※データ送信用
**IKE [#q0cf577a]
-Internet Key Exchange
-SAの作成や、暗号化で使う鍵の交換に使用するプロトコル
-バージョン
--IKEv1
--IKEv2
-バージョン間の互換性はない(異なるバージョン間での通信ができない)
***IKEv1 [#n9849377]
-ポート番号:500/UDP
-SAと鍵管理の仕様を規定したプロトコル
-ISAKMP/Oakley の実装プロトコル
-SAの作成と鍵交換
++ISAKMP SA ※制御用
---SAの作成:メインモード/アグレッシブモード
++IPsec SA ※データ送信用
---SAの作成:クイックモード
-通信相手の認証方式
--事前共有鍵
--デジタル署名
--公開鍵暗号
--改良型公開鍵暗号
***IKEv2 [#x56c1bf5]
-SAの作成と鍵交換
++IKE_SA ※制御用
++CHILD_SA ※データ送信用
-exchange:イニシエータとレスポンダのメッセージ交換の単位
--IKE_SA_INIT
--IKE_AUTH
--CREATE_CHILD_SA
--INFORMSTIONAL
-通信相手の認証方式
--事前共有鍵
--RSAデジタル署名
--[[DSS]]デジタル署名
--[[EAP]]
**XAUTH [#v805dbb0]
-[[ユーザ認証]]
-ISAKMP SAの作成時のデバイス認証が行われた後に行う
-ユーザIDとパスワード方式、ワンタイムパスワード方式などが選択可能
*IPsec VPN [#ka35ddb3]
-IPsec を使ったインターネット[[VPN]]
**接続の種類 [#z483d920]
-拠点間接続
--各拠点に設置するVPNゲートウェイ装置同士でIPsecによる暗号化通信を行う
-拠点対端末接続
--ISPに接続したPC等がVPNゲートウェイ装置が設置された拠点とIPsecによる暗号化通信を行う
--PC等にインストールされているVPNクライアントソフトウェアを使って接続する
**転送モード(暗号化モード) [#i9c27b5a]
***トンネルモード [#ud0a585f]
-VPNゲートウェイ装置を使った拠点間接続、拠点対端末接続で使われるモード
-パケットの暗号化
--IPヘッダ(追加) ※元のパケットのカプセル化
--IPヘッダ、TCPヘッダ、データ部 ※暗号化する
***トランスポートモード [#f673a434]
-IPsecに対応したホスト同士がEnd to Endで暗号化通信を行うモード
-IPパケットのデータ部(TCPヘッダとデータ部)を暗号化する
-パケットの暗号化
--IPヘッダ ※暗号化しない
--TCPヘッダ、データ部 ※暗号化する
*関連用語 [#fbf2ec08]
-[[VPN]]
-[[暗号化]]
-[[IPv6]]
-[[SSL/TLS]]
-[[L2TP]]
編集
添付
差分
バックアップ