基礎知識
IPsecはIPレベルで暗号化を扱うためのプロトコル(の総体)である。 IPsecのセキュリティプロトコルとして、ペイロードの暗号化・改竄検出のためのESPと、改竄検出のためのAHがある。これらの他に鍵交換のためのIKEがあるがこれは後述する。詳細はマスタリングTCP/IP IPsec編 第1章を参照。
- ペイロード
- 積み荷。(ヘッダなどを除いた)通信の中身のこと。
- ESP
- Encapsulating Security Payload. ペイロードを暗号化・認証するプロトコル。
- AH
- Authentication Header. ヘッダを含めて改竄されていないことを証明するプロトコル
- ポイント
- ESPだけではヘッダの改竄が可能
- AHだけでは盗聴が可能
- ESPとAHは同時に使用することが出来る。
モード
パケットの処理方法として二つのモードがある。挙動をESPの場合で例示すると次のようになる。AHの場合も考えるともう少し複雑である。 一つは、ペイロードを暗号化してからIPヘッダを取り付ける転送モードである。転送モードはエンドポイント同士での暗号化に用いる。 もう一方は、IPパケット自体をペイロードとして暗号化して、新しいIPヘッダを取り付けるトンネルモードである。トンネルモードはルータ間の暗号化などで用いる。
- ポイント
- 転送モード(トランスポートモード)はペイロードが暗号化される。
- トンネルモードはヘッダ丸ごと暗号化される。
SAとSP
IPsecにおける通信はSA(Security Association)という論理的な接続として扱われる。SAには制御用のISAKMP SAと実際の通信内容を送るためのIPsec SAがあるが、IPsec SAはプロトコル別かつ一方通行であり、双方向の通信には少なくとも上りと下り計二つのSAが必要になる。
SAには識別のためSPIという値が割り振られている。これはセキュリティプロトコル別である。よって、通信の一端から見るとプロトコルとSPIの組によってSAが区別できる(送信元IPアドレスが必要、あるいは逆に宛先IPアドレスが必要、という情報もあるが)。
また、あるパケットをIPsecで暗号化して通信するかどうか、暗号化する場合はどのプロトコルやモードを使うかという設定をSP(Security Policy)とよぶ。
- SA
- Security Association. IPsecにおける論理的な接続
- SAD
- Security Association Database
- SPI
- Security Parameter Index. SAを区別する値
- SP
- Security Policy. パケットをIPsecで暗号化するかなどの設定
- SPD
- Security Policy Database