Login
Immutable PageDiscussionInfoAttachments

Revision 1 as of 2011-01-12 01:31:02

Clear message
ytoku/DocIPsec

MMA

基礎知識

IPsecはIPレベルで暗号化を扱うためのプロトコル(の総体)である。 IPsecのセキュリティプロトコルとして、ペイロードの暗号化・改竄検出のためのESPと、改竄検出のためのAHがある。これらの他に鍵交換のためのIKEがあるがこれは後述する。詳細はマスタリングTCP/IP IPsec編 第1章を参照。

ペイロード
積み荷。(ヘッダなどを除いた)通信の中身のこと。
ESP
Encapsulating Security Payload. ペイロードを暗号化・認証するプロトコル。
AH
Authentication Header. ヘッダを含めて改竄されていないことを証明するプロトコル



モード

パケットの処理方法として二つのモードがある。挙動をESPの場合で例示すると次のようになる。AHの場合も考えるともう少し複雑である。 一つは、ペイロードを暗号化してからIPヘッダを取り付ける転送モードである。転送モードはエンドポイント同士での暗号化に用いる。 もう一方は、IPパケット自体をペイロードとして暗号化して、新しいIPヘッダを取り付けるトンネルモードである。トンネルモードはルータ間の暗号化などで用いる。



SAとSP

IPsecにおける通信はSA(Security Association)という論理的な接続として扱われる。SAには制御用のISAKMP SAと実際の通信内容を送るためのIPsec SAがあるが、IPsec SAはプロトコル別かつ一方通行であり、双方向の通信には少なくとも上りと下り計二つのSAが必要になる。

SAには識別のためSPIという値が割り振られている。これはセキュリティプロトコル別である。よって、通信の一端から見るとプロトコルとSPIの組によってSAが区別できる(送信元IPアドレスが必要、あるいは逆に宛先IPアドレスが必要、という情報もあるが)。

また、あるパケットをIPsecで暗号化して通信するかどうか、暗号化する場合はどのプロトコルやモードを使うかという設定をSP(Security Policy)とよぶ。

SA
Security Association. IPsecにおける論理的な接続
SAD
Security Association Database
SPI
Security Parameter Index. SAを区別する値
SP
Security Policy. パケットをIPsecで暗号化するかなどの設定
SPD
Security Policy Database

References