NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

IPsec の概要について

IPsec の概要

IPsec は IP パケット(ネットワーク層)に対して暗号化を行うためのセキュリティ・プロトコルです。
IPsec には以下のような特徴があります。

  • アドレス、ヘッダ、データの改竄防止、暗号化。
  • 暗号化の枠組みと鍵管理方式を分離し、通信の方式のみ定義(IEF 標準:RFC2401-RFC2412)
  • IPsec に対応しているネットワーク機器によって、対応している暗号化や認証の仕様、実装に違いがある。
  • IPv4、IPv6 両方に適用可能。

IPsec の機能

IPsec が提供する機能には以下の2種類があります。

認証

データの出自の証明と、データが途中で改竄されていないことを証明する機能。AH(Authentication Header)と呼ばれるヘッダ情報を、IP ヘッダの後ろに付加します。

暗号化

データを第三者が読めない形に変換する機能。付随して認証機能も利用できますが、AH によって実現する認証機能よりもスペックは落とされています。ESP(Encapsulating Security Protocol)と呼ばれるヘッダ情報を、IP ヘッダの後ろに付加します。

転送モード

オリジナル IP パケットをカプセル化する「モード」にも、トランスポートモードと、トンネルモードの2種類があります。
トランスポートモードでは、パケットのデータ部だけを暗号化し、トンネルモードでは、IP ヘッダまでを暗号化します。

トランスポートモード

f:id:FriendsNow:20210223135643p:plain

トンネルモード

f:id:FriendsNow:20210223135653p:plain

IKE の概要

暗号化通信を行うには「鍵」と呼ばれる情報が必要です。
信頼性の低いインターネットを通じて、離れた拠点同士で暗号化通信を行う場合、鍵情報を安全に相手に送る必要があります。
こうした課題を解決するために、IPsec では IKE(Internet Key Exchange)というプロセスを使用して、以下の作業を行います。

  • 通信相手の確認
  • 鍵情報の交換に必要な通信路の確保

この IKE によって準備した鍵情報を使って、暗号化通信を開始します。
鍵交換用と、暗号化通信用に用いられる暗号化された通信路のことを SA(Security Association)と呼びます。

IKE の 2 つのフェーズ

IKE には2つのフェーズがあります。

IKE フェーズ1(ISAKMP SA の確立)

2つの ISAKMP ピアが安全で認証済みの通信をするためのチャネルを確立します。
フェイズ1交換を確立するためのモードには、「Main Mode」と「Aggressive Mode」があります。
ISAKMP SA は1つで双方向通信に用いられます。

IKE フェーズ2(IPsec SA の確立)

実際の暗号化通信に用いられる AH や ESP などのプロトコルのキーを作るために行われる。
フェーズ1で作成した安全な通信路を用いて行います。フェーズ2では「Quick Mode」が使用されます。
IPsec SA は、片方向のため、1つの IPsec には2つの IPsec SA が作られます。

IPsec 処理フロー

f:id:FriendsNow:20210124190236p:plain:w600

参考書籍

その他参考

以上