SSブログ

IPsec [情報セキュリティ]

特徴


  • パケットをインターネット層でカプセル化し、暗号化する
  • 上位層に依存せず、暗号化通信が可能
  • IPv4, IPv6のどちらでも利用できる(IPv6ではIPsecの実装が必須)


二つの暗号化モード


【トランスポートモード】
IPsecに対応したホスト同士がEnd-to-Endで通信を行う場合を前提としています。IPパケットのペイロード(データ部)及びTCPヘッダ(トランスポート層ヘッダ)のみを暗号化し、IPアドレスなどのIPヘッダは暗号化されません。

【トンネルモード】
IPヘッダとデータ部を纏めてカプセル化し、暗号化した上で新たなIPヘッダを付加(カプセル化)します。
主に、VPNゲートウェイ装置によるVPN接続で用いられます。

提供される機能


  1. アクセス制御機能
  2. メッセージ認証機能
  3. 送信元認証機能
  4. 通信データの重複検知機能
  5. 通信データ(ペイロード、ヘッダ情報)の暗号化機能


プロトコルや機能の概要


【SPD】
予めパケットの処理に関するルール(セレクタ)をSPD(Security Policy Database)に登録しておけば、後述のような制御が可能になります。
  • パケットを破棄する
  • IPsecの機能を適用せずに通過させる
  • IPsecの機能を適用して処理する

セレクタではパケットの発信元アドレス、宛先アドレス、宛先ポート、プロトコル種別などによって次のような設定をします。
  • IPsecの適用有無
  • 使用するプロトコル(AH、ESP)
  • 使用する転送モード(トランスポートモード、トンネルモード)
  • 暗号化アルゴリズム
  • メッセージ認証のアルゴリズム

【SA】
IPsecに於ける論理的なコネクション(トンネル)であり、制御用のISAKMP SAと、通信データ送信用のIPsec SAがあります。IPsecゲートウェイ同士が通信を開始する際には、まず最初のフェーズで制御用のISAKMP SAが作られ、後続フェーズでIPsec SAが作られます。

【AH】
主に通信データの認証(メッセージ認証)のために使用されるプロトコルです。通信データを暗号化する機能はありません。メッセージ認証の機能はESPにもあるため、暗号化通信が主目的であればAHの出番はありません。
トランスポートモードの場合、IPヘッダとTCPヘッダの間にAHヘッダが挿入されます。一方、トンネルモードの場合は、元のIPヘッダとVPNゲートウェイにて新たに付加されるIPヘッダの間にAHヘッダが挿入されます。

【ESP】
通信データの認証(メッセージ認証)と、暗号化の両機能を提供するプロトコルです。AHとは異なり、ヘッダ情報に加え、トレーラと呼ばれる情報が付加されます。
トランスポートモードの場合、IPヘッダとTCPヘッダの間にESPヘッダが挿入され、ペイロードの後にはESPトレーラ、ICV(完全性をチェックするための値)が付加されます。トンネルモードの場合は、元のIPヘッダとVPNゲートウェイにて新たに付加されるIPヘッダの間にESPヘッダが挿入されるとともに、ペイロードの後にESPトレーラ、ICVが付加されます。




情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)

  • 作者: 上原 孝之
  • 出版社/メーカー: 翔泳社
  • 発売日: 2013/09/13
  • メディア: 単行本(ソフトカバー)



nice!(0)  コメント(0)  トラックバック(0) 

nice! 0

コメント 0

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

※ブログオーナーが承認したコメントのみ表示されます。

トラックバック 0

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。