1-1 IPsec
IPsecとは、IETFにおいてIPレベルの暗号化機能として標準化されており、暗号化通信を実現する複数のプロトコルを総称するもの。IPsecで特に重要なのは以下の3つのプロトコル。 ◆IKE ◆AH ◆ESP IPsecの通信を行うためには、VPNゲートウェイであらかじめIPsecで暗号化する対象パケットの条件や、暗号化方式などを設定しておく。また、IPSecで通信する対向のVPNゲートウェイを『ピア』と呼ぶ。 IPSecによる暗号化通信は、まず鍵交換を含めたSAと呼ばれる論理的なコネクション(トンネル)の合意をとることから始まる。 ◆SAの種類 SAには、次の2つの種類がある。 ●IPSec
SA ●ISAKAMP
SA 【IPSec
SA】 実際の通信パケットを暗号化して、転送するためのSA。 【ISAKAMP
SA】 通信用トンネルを作るための制御データ等をやりとりする制御用SA。IPSec
SAの暗号化を行うための暗号鍵の配送、および更新などを自動的に行う。 ◆SAの数 ISAKAMP
SAは、双方向のSA。従ってVPNゲートウェイ間で1つあれば良い。 IPSecSAは片方向(送信用・受信用)のトンネルであるため、IPSecでVPNゲートウェイとの間にデータを相互にやり取りするには2本のSAが必要になる。 1-2 SAとSPI SAが確立後、SAにはSAと関連付けされたSPIと呼ばれる32ビットのID番号が割り当てられる。 SPIは暗号化通信で各パケット中に挿入され、パケット内の通信内容がどの暗号化アルゴリズムで暗号化され、どの暗号鍵を使うのかといったことを示すキーとなる。 SPIを各パケットに挿入するのは、ホストが同時に複数の相手と暗号化通信を行うことがあるため。 このとき、個別の相手と個別にネゴシエーションを行うため、それぞれの通信で使用する暗号化アルゴリズムや暗号鍵などのSAが異なる。 そのため、暗号化アルゴリズムと暗号鍵を、パケットを受信するたびにSAデータベースを使用して照合する必要がある。 1-3 トンネルモードとトランスポートモード IPSecではトンネルモードとトランスポートモードの2種類がある。それぞれの特徴は以下のとおり。 【トンネルモード】 トンネルモードでは、IPパケットのうち、IPヘッダを含めデータ部分も全て暗号化して転送する。 全てのパケットを暗号化してしまうと、送信先IPアドレスがわからなくなるため、トンネルモード用の新たなIPヘッダを付与し、カプセル化する。 【トランスポートモード】 トランスポートモードでは、IPパケットのうち、データ部分(トランスポート層以上の部分)のみ暗号化し、IPヘッダを暗号化せずに転送する。 このモードは主にホスト端末間でのIPSecにより、セキュリティを確保するために利用される。