今回は、IPsecプロトコルについて概要を投稿します。
●IPsec (Security Architecture for IP)とは何か
様々な暗号化技術を使用して、下記のセキュリティ対策が行えます。
①通信の内容を暗号化することにより外部からの盗聴を防ぐ。 ※機密性の担保
②通信の内容が改ざんされいないかを確認する。※整合性の担保
上記の技術をネットワーク層(以下:L3)で動作させます。
実装する機器はVPNのゲート装置になる機器。
L3はIPを使用する必要がありますが、トランスポート層(以下:L4)はTCPでもUDPでも構いません
ちなみにIPsecの関連だとSSL(Secure Sockets Layer)も登場するかと思います。
何が違うのかですが、SSLはセッション層(以下:L5)で動作させます。
またL4はTCP, L3はIPを使用する必要があります。
IPsecは主にインターネットVPNを構築する際などに使用されます。
要するにSSLだと、アプリケーション層がTCPで動作するもの(HTTP/FTP/SMTPなど)でしか使用できません。
逆にIPsecだとアプリケーション層がTCP/UDPでもどちらでも使用できます。
※SSLかIPsecを使用するかは要件によって変わるので、
一概にIPsecを使えばいいじゃないかと言う訳ではありません
IPsec (Security Architecture for IP)ですが、読んでのごとくアーキテクチャになります。
つまり複数の要素でIPsecは構成されています。
分類としては、"IPsec プロトコル(通信方法)"、"暗号化"、"認証"、"鍵交換"になります。
別途、"暗号化"・"認証"・"鍵交換"の概要を投稿致します。
人によるかもしれないですが、IPsecは"IPsec プロトコル"のことを指すのではないかと思います。
※暗号化・認証・鍵交換まで含めると、IPsecフレームワークと言われるようです。
以下は、IPsecプロトコル(通信方法)の説明です。
それらは具体的に以下の3点で構成されます。
///////////////////////////////////////////////////////////////////////////////////////
・AH (Authentication Header)
→パケットが改ざんされていないか確認 ※パケットの暗号化はできない
・ESP (Encapsulating Security Payload)
→パケットが改ざんされていないか確認
パケットのペイロード(データ)部分を暗号化
・IKEv1/v2(Internet Key Exchange)
→秘密鍵情報の交換を安全に行う
※IKEv1はISAKMPとOakleyの組み合わせです。詳しい内容は別途
※IKEv2もあり、こちらも別途投稿するが、IKEv1についての投稿を先行して行う
構成の組み合わせとしては、以下の通りなります。
①AH × IKEv1/v2 (※認証 × 鍵交換)
②ESP × IKEv1/v2(※認証 × 暗号化 × 鍵交換)
③AH × ESP × IKEv1/v2 (※認証 × 暗号化 × 鍵交換)
一般的には②で実装することが多いようです。
///////////////////////////////////////////////////////////////////////////////////////
またIPsecでは、上記を実装するためにVPN間でコネクションを確立する必要がありますが、このコネクションの事をSA(Security association)と言います。
SAコネクションを確立後、認証(AH)、暗号化(AH/ESP)などを行えるようになります。
SAのコネクションを確立する段階では鍵交換(IKEv1/v2)を使用します。
※厳密に言うと、更にフェーズ1(ISAKMPの生成)とフェーズ2(IPsec SAの生成)に分けられます。
今回は以上となります。