IPSecの主な機能
IPsec は、IPトラフィックの保護に使用されます。IPsecでは主に4つの機能が提供されます。
- 認証 :意図した相手がパケットを送信したのかを認証します。送信者と受信者がお互いを認証します。
- データの完全性 :パケット内のデータが変更されていないかかハッシュ値を計算し、確認します。アルゴリズムとしては、HMAC-MD5 や HMAC-SHA1 などがあります。
- データの機密性 :データを暗号化することで、誰もが IPSec 転送パス上でデータを読み取ることができないようにします。暗号化アルゴリズムには、3DES (Triple-DES) やAES (Advanced Encryption Standard)などがあります。
- アンチリプレイ :シーケンス番号を使用することによりすでにこのパケットを受け取っていたのか否か確認し、リプレイ攻撃を防止します。
ESP(Encapsulating Security Payload)プロトコル
ESP(IPプロトコル番号50番)を使用することで、IPSec で提供される主な4つの機能(認証、データの完全性、データの機密性、アンチリプレイ)を提供します。 (AH(Authentication Header)はデータの機密性(暗号化)を提供しないため、本番環境では使用することは、ほとんどありません)。
また、NAT環境で、IPSec通信ができるよう、NAT Traversal も使用できます。
ESPで暗号化された通信キャプチャを以下に示します。
- Security Parameter Index (SPI) :受信側はこのパケットがどのフローに属しているかを認識しています。この中には、暗号化アルゴリズム、暗号鍵、暗号鍵の有効時間が含まれます。
- シーケンス番号:同じSPIを使用して送信されるパケットごとに1ずつ増加します。リプレイ攻撃から保護します。
ESPで使用する暗号鍵をルータ間で安全に交換するためには、Internet Key Exchange (IKE)が使用されます。
暗号化モード
IPSecドには 2つの暗号化モードがあります。
トンネルモード
このモードは元のIPパケットのペイロードは暗号化され、新しいIPヘッダが追加されます。 新しいIPヘッダの追加により、元のIPパケットよりオーバーヘッドが増えることに注意が必要です。
トランスポートモード
このモードでは、元のIPヘッダを残したまま、TCP/UDPとデータヘッダのみを暗号化します。元IPヘッダは暗号化されません。トランスポートモードの良いところは、トンネルモードと比べてパケットに追加されるオーバーヘッドが少なく済むことです。
コメント