今回は、IPsecプロトコルについて概要を投稿します。

●IPsec (Security Architecture for IP)とは何か

様々な暗号化技術を使用して、下記のセキュリティ対策が行えます。

①通信の内容を暗号化することにより外部からの盗聴を防ぐ。 ※機密性の担保

②通信の内容が改ざんされいないかを確認する。※整合性の担保

上記の技術をネットワーク層(以下:L3)で動作させます。

実装する機器はVPNのゲート装置になる機器。

L3はIPを使用する必要がありますが、トランスポート層(以下:L4)はTCPでもUDPでも構いません

ちなみにIPsecの関連だとSSL(Secure Sockets Layer)も登場するかと思います。

何が違うのかですが、SSLはセッション層(以下:L5)で動作させます。

またL4はTCP, L3はIPを使用する必要があります。

IPsecは主にインターネットVPNを構築する際などに使用されます。

要するにSSLだと、アプリケーション層がTCPで動作するもの(HTTP/FTP/SMTPなど)でしか使用できません。

逆にIPsecだとアプリケーション層がTCP/UDPでもどちらでも使用できます。

※SSLかIPsecを使用するかは要件によって変わるので、

 一概にIPsecを使えばいいじゃないかと言う訳ではありません

IPsec (Security Architecture for IP)ですが、読んでのごとくアーキテクチャになります。

つまり複数の要素でIPsecは構成されています。

分類としては、"IPsec プロトコル(通信方法)"、"暗号化"、"認証"、"鍵交換"になります。

別途、"暗号化"・"認証"・"鍵交換"の概要を投稿致します。

人によるかもしれないですが、IPsecは"IPsec プロトコル"のことを指すのではないかと思います。

※暗号化・認証・鍵交換まで含めると、IPsecフレームワークと言われるようです。

以下は、IPsecプロトコル(通信方法)の説明です。

それらは具体的に以下の3点で構成されます。

///////////////////////////////////////////////////////////////////////////////////////

・AH (Authentication Header)

→パケットが改ざんされていないか確認 ※パケットの暗号化はできない

・ESP (Encapsulating Security Payload)

→パケットが改ざんされていないか確認 

 パケットのペイロード(データ)部分を暗号化

・IKEv1/v2(Internet Key Exchange)

→秘密鍵情報の交換を安全に行う

※IKEv1はISAKMPとOakleyの組み合わせです。詳しい内容は別途

※IKEv2もあり、こちらも別途投稿するが、IKEv1についての投稿を先行して行う

構成の組み合わせとしては、以下の通りなります。

①AH × IKEv1/v2 (※認証 × 鍵交換)

②ESP × IKEv1/v2(※認証 × 暗号化 × 鍵交換)

③AH × ESP × IKEv1/v2 (※認証 × 暗号化 × 鍵交換)

一般的には②で実装することが多いようです。

///////////////////////////////////////////////////////////////////////////////////////

またIPsecでは、上記を実装するためにVPN間でコネクションを確立する必要がありますが、このコネクションの事をSA(Security association)と言います。

SAコネクションを確立後、認証(AH)、暗号化(AH/ESP)などを行えるようになります。

SAのコネクションを確立する段階では鍵交換(IKEv1/v2)を使用します。

※厳密に言うと、更にフェーズ1(ISAKMPの生成)とフェーズ2(IPsec SAの生成)に分けられます。

今回は以上となります。