つぶやきIPsec
「属性」:IPsecとは?
- IP Security Architecture、もしくはSecurity Architecture for IPの略です。
- IETF(Internet Engineer Task Force)が中心となって標準化を行ったネットワークセキュリティ技術で、仮想プライベートネットワーク(VPN)の通信プロトコルなどとして幅広く採用されています。(https://www.otsuka-shokai.co.jp/words/ipsec.html)
「機能」:IPsecは何をするのか?
- インターネットなどのTCP/IPネットワークで暗号通信を行います。
- 暗号化や認証方法が複数用意されていることから、通信の用途や必要なセキュリティポリシーによって、自分の環境に合わせた設定が行えます。
「要素」:IPsecを支える概念・技術とは?
SA (Security Association)
- IPsecピア間で確立される単方向のコネクションです。
- 双方向通信の場合は2つのSAが確立されます。
SPI (Security Parameters Index)
- 32ビットで構成されます。
- IPsec通信の各パケットに挿入され、そのパケットに適用されたSAの識別キーとなります。
SP (Security Policy)
- IPsecルータが選択する、パケット処理のポリシーです。
- セレクタと呼ばれるキーを使ってポリシーを選びます。セレクタにはIPアドレス、プロトコル、ポート番号などが使われます。
ポリシーは下に示す3種類です。
PROTECT: IPsecを適用して送信
- BYPASS: IPsecを適用せずに送信
- DISCARD: パケットを廃棄する
IKE (Internet Key Exchange)
- 共通鍵のもとになる値を交換するプロトコルです
- DH鍵交換方式を改良しました
- UDPのポート500番を使用します
ESP (Encapsulating Security Protocol)
- IPsecにおいて暗号化・メッセージ認証を担うプロトコルです
- 運用モードによって暗号化範囲は異なります
AH (Authentication Header)
- データのメッセージ認証を行います
- 暗号化通信が禁止されている国では、ESPの代わりにこのAHが使われます