主にVPNなどで使用されるIPSecは、拠点間をセキュリティ面で安全に通信するために使用されるプロトコルスイート(グループ)です。
本書はIPSecでできること、プロトコル(AH.ESP,IKE)、運用モード(トンネルモードとトランスポートモード)についてを説明します。
IPSecとは
IPSecはインターネット上でデータを安全に送るための仕組みです。
主な用途は次の通りです。
- 家と会社をインターネットでつなぐ
- フリーWi-Fiでも安全に通信する
IPSecでできること
- 暗号化
- 認証
- 改ざん防止
■TLSと何が違う?
暗号化、認証、改ざん防止ができるのはTLSと同じですが、次の違いがあります。
・IPSecは通信そのものをまるごと守る。
・TLSは特定のアプリの通信だけを守る。
IPSecを構成するプロトコル3つ
IPSecはネットワーク層で動作します。
IPSec自体はプロトコルではなく、これから説明する3つのプロトコルで構成されています。
| プロトコル名 | 役割 | 説明 |
|---|---|---|
| AH(Authentication Header) | メッセージ認証 | 暗号化をしない場合に使用される |
| ESP(Encapsulating Security Payload) | 暗号化 メッセージ認証 | 暗号化をする場合に使用される |
| IKE(Internet Key Exchange) | 鍵交換 | 鍵交換が手動の場合は使用されない |
現在、主流なのはESP + IKEですが、暗号化通信が禁止されている国などではESPは使用されずにAHを利用します。
IPSecの運用モード
IPSecには2つのモードがあります。
トンネルモード
トンネルモードは、IPSecゲートウェイ(IPSec対応ルータなどの機器)同士で暗号化をし、IPパケット全体を暗号化します。
IPパケット全体を暗号化するので、IPアドレス情報も暗号化して新IPヘッダとESPヘッダを付加します。
トランスポートモード
トランスポートモードは一般的にクライアントPCのソフトを使って、TCP/UDPヘッダとペイロード(データ)を暗号化します。
トンネルモードと違い、IPアドレスは暗号化しないので、ESPヘッダのみを付加します。
まとめ
- IPSecは暗号化・認証・改ざん防止を提供し、通信データの盗聴や不正を防ぐ
- TLSとの違いは、IPSecが通信全体(ネットワーク層)を保護するのに対し、TLSは特定アプリの通信のみを保護する点
- IPSecはAH(メッセージ認証)・ESP(メッセージ認証+暗号化)・IKE(鍵交換)の3つのプロトコルで構成され、現在はESP+IKEの組み合わせが主流
- 運用モードは2種類あり、IPパケット全体を暗号化する「トンネルモード」と、データ部分のみを暗号化する「トランスポートモード」がある
コメント