![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2022-09-19T10:15:14+09:00","default:k1rou","k1rou") #author("2022-09-19T10:19:31+09:00","default:k1rou","k1rou") *IPsec とは [#cae9e54d] **名称 [#jafa03cc] -IP security protocol **概要 [#zef5e422] -IP通信を[[暗号化]]して転送するプロトコル。 --インターネット層でカプセル化して暗号化する --[[OSI参照モデル]]のネットワーク層で暗号化する -[[IETF]] で標準化が行われている -[[VPN]]で使われる。 -[[IPv4]]と[[IPv6]]の両方で利用できる --[[IPv6]]はIPsecの実装を必須としている *IPsec が提供する機能 [#p505fca6] -アクセス制御 --IPアドレス、ポート番号、プロトコル種別による制御 -メッセージ認証 --[[メッセージ認証コード]](MAC)を用いた[[改ざん]]検知 -送信元の認証 --[[メッセージ認証コード]](MAC)を用いた送信元の正当性の確認 --[[メッセージ認証コード]](MAC)を用いた送信元の[[正当性]]の確認 -通信データの重複検知 --[[リプレイ攻撃]]の防止 -通信データの暗号化 --[[暗号化]]のモードには、トランスポートモードとトンネルモードがある *IPsec を構成するプロトコル・機能:AHとESP [#decd808e] **ESP [#t94c40ba] -Encapsulating Security Payload -暗号化ペイロード -[[メッセージ認証]]と通信データの[[暗号化]]をするプロトコル -元のパケットにESPヘッダ、ESPトレーラ、ESP認証データ([[ICV]])を追加する --元のパケット全体から生成したメッセージ認証コード:[[ICV]](Integrity Check Value)をESPトレーラの後ろのESP認証データにセットする **AH [#k4c0eef5] -Authentication Header -認証ヘッダ -[[メッセージ認証]]のために使用するプロトコル ※通信データの暗号化はしない --通信データを暗号化する為にESPを使う場合はAHを使う必要ない -元のパケットにAHヘッダを追加する --元のパケット全体から生成したメッセージ認証コード:[[ICV]](Integrity Check Value)をAHヘッダの認証データにセットする *IPsec を構成するプロトコル・機能:その他 [#eb2cf91c] **SPD [#b391105e] -Security Policy Database -パケットの処理の制御に関するルール(セレクタ)を登録するデータベース -設定情報 --IPsec適用の要否 --使用するプロトコル(AH, ESP) --使用する転送モード(トランスポートモード, トンネルモード) --暗号アルゴリズム --メッセージ認証のアルゴリズム **SA [#p91d5f0a] -Security Association -論理的なトンネル -IKEv1 によるSAの作成と鍵交換 ++ISAKMP SA ※制御用 ---Internet Security Association and Key Management Protocol ++IPsec SA ※データ送信用 **IKE [#q0cf577a] -Internet Key Exchange -SAの作成や、暗号化で使う鍵の交換に使用するプロトコル -バージョン --IKEv1 --IKEv2 -バージョン間の互換性はない(異なるバージョン間での通信ができない) ***IKEv1 [#n9849377] -ポート番号:500/UDP -SAと鍵管理の仕様を規定したプロトコル -ISAKMP/Oakley の実装プロトコル -SAの作成と鍵交換 ++ISAKMP SA ※制御用 ---SAの作成:メインモード/アグレッシブモード ++IPsec SA ※データ送信用 ---SAの作成:クイックモード -通信相手の認証方式 --事前共有鍵 --デジタル署名 --公開鍵暗号 --改良型公開鍵暗号 ***IKEv2 [#x56c1bf5] -SAの作成と鍵交換 ++IKE_SA ※制御用 ++CHILD_SA ※データ送信用 -exchange:イニシエータとレスポンダのメッセージ交換の単位 --IKE_SA_INIT --IKE_AUTH --CREATE_CHILD_SA --INFORMSTIONAL -通信相手の認証方式 --事前共有鍵 --RSAデジタル署名 --[[DSS]]デジタル署名 --[[EAP]] **XAUTH [#v805dbb0] -[[ユーザ認証]] -ISAKMP SAの作成時のデバイス認証が行われた後に行う -ユーザIDとパスワード方式、ワンタイムパスワード方式などが選択可能 *IPsec VPN [#ka35ddb3] -IPsec を使ったインターネット[[VPN]] **接続の種類 [#z483d920] -拠点間接続 --各拠点に設置するVPNゲートウェイ装置同士でIPsecによる暗号化通信を行う -拠点対端末接続 --ISPに接続したPC等がVPNゲートウェイ装置が設置された拠点とIPsecによる暗号化通信を行う --PC等にインストールされているVPNクライアントソフトウェアを使って接続する **転送モード(暗号化モード) [#i9c27b5a] ***トンネルモード [#ud0a585f] -VPNゲートウェイ装置を使った拠点間接続、拠点対端末接続で使われるモード -パケットの暗号化 --IPヘッダ(追加) ※元のパケットのカプセル化 --IPヘッダ、TCPヘッダ、データ部 ※暗号化する ***トランスポートモード [#f673a434] -IPsecに対応したホスト同士がEnd to Endで暗号化通信を行うモード -IPパケットのデータ部(TCPヘッダとデータ部)を暗号化する -パケットの暗号化 --IPヘッダ ※暗号化しない --TCPヘッダ、データ部 ※暗号化する *関連用語 [#fbf2ec08] -[[VPN]] -[[暗号化]] -[[IPv6]] -[[SSL/TLS]] -[[L2TP]]
