Login
Immutable PageDiscussionInfoAttachments
Diff for "ytoku/DocIPsec"

MMA
Differences between revisions 1 and 2
Revision 1 as of 2011-01-12 01:31:02
Size: 3113
Editor: ytoku
Comment:
Revision 2 as of 2011-01-12 01:49:34
Size: 3632
Editor: ytoku
Comment:
Deletions are marked like this. Additions are marked like this.
Line 4: Line 4:
 ペイロード:: 積み荷。(ヘッダなどを除いた)通信の中身のこと。  ペイロード:: 積み荷。IPヘッダなどを除いた通信の中身のこと。ただしIP層の話をしているのでTCPヘッダなどはペイロードに含まれる。
Line 15: Line 15:
パケットの処理方法として二つのモードがある。挙動をESPの場合で例示すると次のようになる。AHの場合も考えるともう少し複雑である。
一つは、ペイロードを暗号化してからIPヘッダを取り付ける転送モードである。転送モードはエンドポイント同士での暗号化に用いる。
もう一方は、IPパケット自体をペイロードとして暗号化して、新しいIPヘッダを取り付けるトンネルモードである。トンネルモードはルータ間の暗号化などで用いる。
パケットの処理方法として二つのモードがある。挙動をESPの場合で例示すると次のようになる。
一つは、ペイロードだけを暗号化する転送モードである。転送モードはエンドポイント同士での暗号化に用いる。
もう一方は、IPパケット自体を暗号化して、新しいIPヘッダを取り付けるトンネルモードである。トンネルモードはルータ間の暗号化などで用いる。

AHの場合はというと、転送モードでは元のパケット全体が認証の範囲となり、トンネルモードでは元のパケットの外側に新しいIPヘッダを取り付けた上で新しいヘッダを含めた全てが認証の範囲となる。
Line 20: Line 22:
  * 転送モード(トランスポートモード)はペイロードが暗号化される。
  * トンネルモードはヘッダ丸ごと暗号化される。
  * トンネルモードはIPヘッダが二重になる。
  * ESP
 
* 転送モード(トランスポートモード)はペイロードが暗号化される。
   * トンネルモードは元のIPヘッダ丸ごと暗号化される。
  * AH
   * どちらのモードもパケット全体が認証される。
   * つまりトンネルモードは新しいIPヘッダさえも認証の範囲内になる。

基礎知識

IPsecはIPレベルで暗号化を扱うためのプロトコル(の総体)である。 IPsecのセキュリティプロトコルとして、ペイロードの暗号化・改竄検出のためのESPと、改竄検出のためのAHがある。これらの他に鍵交換のためのIKEがあるがこれは後述する。詳細はマスタリングTCP/IP IPsec編 第1章を参照。

ペイロード
積み荷。IPヘッダなどを除いた通信の中身のこと。ただしIP層の話をしているのでTCPヘッダなどはペイロードに含まれる。
ESP
Encapsulating Security Payload. ペイロードを暗号化・認証するプロトコル。
AH
Authentication Header. ヘッダを含めて改竄されていないことを証明するプロトコル


  • ポイント
    • ESPだけではヘッダの改竄が可能
    • AHだけでは盗聴が可能
    • ESPとAHは同時に使用することが出来る。


モード

パケットの処理方法として二つのモードがある。挙動をESPの場合で例示すると次のようになる。 一つは、ペイロードだけを暗号化する転送モードである。転送モードはエンドポイント同士での暗号化に用いる。 もう一方は、IPパケット自体を暗号化して、新しいIPヘッダを取り付けるトンネルモードである。トンネルモードはルータ間の暗号化などで用いる。

AHの場合はというと、転送モードでは元のパケット全体が認証の範囲となり、トンネルモードでは元のパケットの外側に新しいIPヘッダを取り付けた上で新しいヘッダを含めた全てが認証の範囲となる。


  • ポイント
    • トンネルモードはIPヘッダが二重になる。
    • ESP
      • 転送モード(トランスポートモード)はペイロードが暗号化される。
      • トンネルモードは元のIPヘッダ丸ごと暗号化される。
    • AH
      • どちらのモードもパケット全体が認証される。
      • つまりトンネルモードは新しいIPヘッダさえも認証の範囲内になる。


SAとSP

IPsecにおける通信はSA(Security Association)という論理的な接続として扱われる。SAには制御用のISAKMP SAと実際の通信内容を送るためのIPsec SAがあるが、IPsec SAはプロトコル別かつ一方通行であり、双方向の通信には少なくとも上りと下り計二つのSAが必要になる。

SAには識別のためSPIという値が割り振られている。これはセキュリティプロトコル別である。よって、通信の一端から見るとプロトコルとSPIの組によってSAが区別できる(送信元IPアドレスが必要、あるいは逆に宛先IPアドレスが必要、という情報もあるが)。

また、あるパケットをIPsecで暗号化して通信するかどうか、暗号化する場合はどのプロトコルやモードを使うかという設定をSP(Security Policy)とよぶ。

SA
Security Association. IPsecにおける論理的な接続
SAD
Security Association Database
SPI
Security Parameter Index. SAを区別する値
SP
Security Policy. パケットをIPsecで暗号化するかなどの設定
SPD
Security Policy Database

References

ytoku/DocIPsec (last edited 2011-01-30 00:01:39 by ytoku)