IPsec [情報セキュリティ]
特徴
二つの暗号化モード
【トランスポートモード】
IPsecに対応したホスト同士がEnd-to-Endで通信を行う場合を前提としています。IPパケットのペイロード(データ部)及びTCPヘッダ(トランスポート層ヘッダ)のみを暗号化し、IPアドレスなどのIPヘッダは暗号化されません。
【トンネルモード】
IPヘッダとデータ部を纏めてカプセル化し、暗号化した上で新たなIPヘッダを付加(カプセル化)します。
主に、VPNゲートウェイ装置によるVPN接続で用いられます。
提供される機能
プロトコルや機能の概要
【SPD】
予めパケットの処理に関するルール(セレクタ)をSPD(Security Policy Database)に登録しておけば、後述のような制御が可能になります。
セレクタではパケットの発信元アドレス、宛先アドレス、宛先ポート、プロトコル種別などによって次のような設定をします。
【SA】
IPsecに於ける論理的なコネクション(トンネル)であり、制御用のISAKMP SAと、通信データ送信用のIPsec SAがあります。IPsecゲートウェイ同士が通信を開始する際には、まず最初のフェーズで制御用のISAKMP SAが作られ、後続フェーズでIPsec SAが作られます。
【AH】
主に通信データの認証(メッセージ認証)のために使用されるプロトコルです。通信データを暗号化する機能はありません。メッセージ認証の機能はESPにもあるため、暗号化通信が主目的であればAHの出番はありません。
トランスポートモードの場合、IPヘッダとTCPヘッダの間にAHヘッダが挿入されます。一方、トンネルモードの場合は、元のIPヘッダとVPNゲートウェイにて新たに付加されるIPヘッダの間にAHヘッダが挿入されます。
【ESP】
通信データの認証(メッセージ認証)と、暗号化の両機能を提供するプロトコルです。AHとは異なり、ヘッダ情報に加え、トレーラと呼ばれる情報が付加されます。
トランスポートモードの場合、IPヘッダとTCPヘッダの間にESPヘッダが挿入され、ペイロードの後にはESPトレーラ、ICV(完全性をチェックするための値)が付加されます。トンネルモードの場合は、元のIPヘッダとVPNゲートウェイにて新たに付加されるIPヘッダの間にESPヘッダが挿入されるとともに、ペイロードの後にESPトレーラ、ICVが付加されます。
- パケットをインターネット層でカプセル化し、暗号化する
- 上位層に依存せず、暗号化通信が可能
- IPv4, IPv6のどちらでも利用できる(IPv6ではIPsecの実装が必須)
二つの暗号化モード
【トランスポートモード】
IPsecに対応したホスト同士がEnd-to-Endで通信を行う場合を前提としています。IPパケットのペイロード(データ部)及びTCPヘッダ(トランスポート層ヘッダ)のみを暗号化し、IPアドレスなどのIPヘッダは暗号化されません。
【トンネルモード】
IPヘッダとデータ部を纏めてカプセル化し、暗号化した上で新たなIPヘッダを付加(カプセル化)します。
主に、VPNゲートウェイ装置によるVPN接続で用いられます。
提供される機能
- アクセス制御機能
- メッセージ認証機能
- 送信元認証機能
- 通信データの重複検知機能
- 通信データ(ペイロード、ヘッダ情報)の暗号化機能
プロトコルや機能の概要
【SPD】
予めパケットの処理に関するルール(セレクタ)をSPD(Security Policy Database)に登録しておけば、後述のような制御が可能になります。
- パケットを破棄する
- IPsecの機能を適用せずに通過させる
- IPsecの機能を適用して処理する
セレクタではパケットの発信元アドレス、宛先アドレス、宛先ポート、プロトコル種別などによって次のような設定をします。
- IPsecの適用有無
- 使用するプロトコル(AH、ESP)
- 使用する転送モード(トランスポートモード、トンネルモード)
- 暗号化アルゴリズム
- メッセージ認証のアルゴリズム
【SA】
IPsecに於ける論理的なコネクション(トンネル)であり、制御用のISAKMP SAと、通信データ送信用のIPsec SAがあります。IPsecゲートウェイ同士が通信を開始する際には、まず最初のフェーズで制御用のISAKMP SAが作られ、後続フェーズでIPsec SAが作られます。
【AH】
主に通信データの認証(メッセージ認証)のために使用されるプロトコルです。通信データを暗号化する機能はありません。メッセージ認証の機能はESPにもあるため、暗号化通信が主目的であればAHの出番はありません。
トランスポートモードの場合、IPヘッダとTCPヘッダの間にAHヘッダが挿入されます。一方、トンネルモードの場合は、元のIPヘッダとVPNゲートウェイにて新たに付加されるIPヘッダの間にAHヘッダが挿入されます。
【ESP】
通信データの認証(メッセージ認証)と、暗号化の両機能を提供するプロトコルです。AHとは異なり、ヘッダ情報に加え、トレーラと呼ばれる情報が付加されます。
トランスポートモードの場合、IPヘッダとTCPヘッダの間にESPヘッダが挿入され、ペイロードの後にはESPトレーラ、ICV(完全性をチェックするための値)が付加されます。トンネルモードの場合は、元のIPヘッダとVPNゲートウェイにて新たに付加されるIPヘッダの間にESPヘッダが挿入されるとともに、ペイロードの後にESPトレーラ、ICVが付加されます。
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)
2014-02-28 00:00
nice!(0)
コメント(0)
トラックバック(0)
コメント 0