IPsecについて
IPsec(Security Architecture for the Internet Protocol)とは
直訳 : IPのためのセキュリティ設計
セキュアなIP通信の為にコネクションを設定する技術。
以下の4つの技術で成り立っている。
技術 | |
---|---|
セキュリティプロトコル | IP認証ヘッダ AH [IP Authentication Header] |
IP暗号化ペイロード ESP [IP Encapsulating Security Payload] | |
鍵管理 | インターネット鍵交換 IKE [Internet Key Exchange] |
セキュリティアソシエーション SA [Security Association] | |
認証・暗号化アルゴリズム |
SAによって確立された仮想的な通信路の中をAH/ESPによってセキュア化されたデータグラムが流れるイメージ。 IPsecでは2種類のセキュリティプロトコルが利用でき、 AHは改ざん防止(メッセージ認証)、ESPは機密性保護(暗号化)とできることが異なる。
トランスポートモードとトンネルモード
IPSecにはトランスポートモードとトンネルモードという2つのモードがある。
トランスポートモード
トランスポートモードでは端末間でIPsecによる通信を行う。 端末間で通信路を作り、その中にセキュア化したパケットを流す。
トンネルモード
トンネルモードではセキュリティゲートウェイという中継機器間でIPsecによる通信を行う。 セキュリティゲートウェイとしてIPsecに対応した機器を使用する必要があり、通常はルータやファイアウォール等が使用される。 GW間で通信路を作り、その中にセキュア化したパケットを流す。
トンネルモードはVPN(Virtual Private Network)を構築する為の技術として広く利用されている。 一方トランスポートモードは機器ごとに設定をしなければならないという煩雑さから現在はあまり使われていない。