ネスペ勉強_IPsec
IPsecとは?
IPsecはSecurity Architecture for Internet Protocolの略称。暗号技術を利用してIPパケット単位で改ざん検知や秘匿機能を提供するプロトコル。よって、通信経路上でIPパケットは暗号化されているため、第三者に通信内容を覗き見られたり改ざんされることを防止できる。また、IPsecは、AH・ESP・IKEなどのプロトコルから構成されている。
プロトコル概要
IPsecは、2つのピア間にSA(Security Association)という単方向コネクションを確立して、ピア間にセキュアな通信を確立する。
AH(Authentication Headere
ESP(Encapsulated Security Payload)
IKE(Key Exchange protocol)
トランスポートモード
- パケットの元のIPヘッダは変更されない
- パケットL4以上のデータ部のみ暗号化する
- 認証の範囲はAHとESPにより異なる
- パケットの元のIPヘッダに基づいてパケットが転送される
トンネルモード
- パケットの元のIPヘッダは暗号化される
- パケットL4以上のデータ部も暗号化する
- 認証の範囲はAHとESPにより異なる
- もとのパケットに新たなIPヘッダが付与される
- 新たに加えられたIPヘッダに基づいて転送される
IPsecの暗号化は共通鍵暗号化方式(DES,3DES,AES)が使用される。
トンネルの種類
- ISAKMP(アイサキャンプ) SA
- 制御用のトンネル
- IPsec SA
- 実際のデータを通すトンネル
- 実際の通信には、2本以上のトンネルが張られる
トンネルにはトンネルを識別する番号(SPI(エスピーアイ))と呼ばれる番号をパケットに含めて、どのトンネルを使用するかわかるようになっている。
メインモード
- IPが固定の場合に採用
アグレッシブモード
- IPが動的の場合に採用