IPsecとは？

IPsecはSecurity Architecture for Internet Protocolの略称。暗号技術を利用してIPパケット単位で改ざん検知や秘匿機能を提供するプロトコル。よって、通信経路上でIPパケットは暗号化されているため、第三者に通信内容を覗き見られたり改ざんされることを防止できる。また、IPsecは、AH・ESP・IKEなどのプロトコルから構成されている。

プロトコル概要

IPsecは、2つのピア間にSA(Security Association)という単方向コネクションを確立して、ピア間にセキュアな通信を確立する。

• AH(Authentication Headere

  • パケットが改ざんされていないかどうか認証を行う。(MAC)
  • パケットの暗号化はできない
  • プロトコル番号は51

• ESP(Encapsulated Security Payload)

  • パケットが改ざんされていないかどうか認証を行う。(MAC)
  • パケットのペイロード部を暗号化( DES or 3DES or AES)する。
  • プロトコル番号は50

• IKE(Key Exchange protocol)

  • 秘密鍵情報の交換を安全に行う。IKEは [ ISAKMP/Oakley ] のこと。
  • プロトコル番号は500(UDP)

• トランスポートモード

  • パケットの元のIPヘッダは変更されない
  • パケットL4以上のデータ部のみ暗号化する
  • 認証の範囲はAHとESPにより異なる
  • パケットの元のIPヘッダに基づいてパケットが転送される

• トンネルモード

  • パケットの元のIPヘッダは暗号化される
  • パケットL4以上のデータ部も暗号化する
  • 認証の範囲はAHとESPにより異なる
  • もとのパケットに新たなIPヘッダが付与される
  • 新たに加えられたIPヘッダに基づいて転送される

IPsecの暗号化は共通鍵暗号化方式(DES,3DES,AES)が使用される。

トンネルの種類

• ISAKMP（アイサキャンプ） SA
  • 制御用のトンネル
• IPsec SA
  • 実際のデータを通すトンネル
  • 実際の通信には、2本以上のトンネルが張られる

トンネルにはトンネルを識別する番号(SPI（エスピーアイ）)と呼ばれる番号をパケットに含めて、どのトンネルを使用するかわかるようになっている。

• メインモード

  • IPが固定の場合に採用

• アグレッシブモード

  • IPが動的の場合に採用

IPv6ではどうなってるの？

NATトラバーサルが必要な理由は？