注目キーワード
  1. AWS
  2. Python

IPsec の概要

  • 2021年8月22日
  • 2021年8月22日
  • Tips
  • 16view

IPsec の特徴

IPsec は IP パケット(ネットワーク層)に対して暗号化を行うためのセキュリティ・プロトコルです。
IPsec には次のような特徴があります。

  • アドレス、ヘッダ、データの改竄防止、暗号化
  • 暗号化の枠組みと鍵管理方式を分離し、通信の方式のみ定義(IEF 標準:RFC2401-RFC2412)
  • IPsec に対応しているネットワーク機器によって、対応している暗号化や認証の仕様、実装に違いがある。
  • IPv4、IPv6 両方に適用可能

IPsec の機能

IPsec が提供する機能には次の2種類があります。

  • 認証
    • データの出自の証明と、データが途中で改竄されていないことを証明する機能
      AH(Authentication Header)と呼ばれるヘッダ情報を、IP ヘッダの後ろに付加します。
  • 暗号化
    • データを第三者が読めない形に変換する機能
      付随して認証機能も利用できますが、AH によって実現する認証機能よりもスペックは落とされています。ESP(Encapsulating Security Protocol)と呼ばれるヘッダ情報を、IP ヘッダの後ろに付加します。

転送モード

オリジナル IP パケットをカプセル化する「モード」にも、トランスポートモードと、トンネルモードの2種類があります。
トランスポートモードでは、パケットのデータ部だけを暗号化し、トンネルモードでは、IP ヘッダまでを暗号化します。

IKE の概要

暗号化通信を行うには「鍵」と呼ばれる情報が必要です。
信頼性の低いインターネットを通じて、離れた拠点同士で暗号化通信を行う場合、鍵情報を安全に相手に送る必要があります。
こうした課題を解決するために、IPsec では IKE(Internet Key Exchange)というプロセスを使用して、以下の作業を行います。

  • 通信相手の確認
  • 鍵情報の交換に必要な通信路の確保

この IKE によって準備した鍵情報を使って、暗号化通信を開始します。
鍵交換用と、暗号化通信用に用いられる暗号化された通信路のことを SA(Security Association)と呼びます。

IKE の 2 つのフェーズ

KE には2つのフェーズがあります。

  • IKE フェーズ1(ISAKMP SA の確立)
    • 2つの ISAKMP ピアが安全で認証済みの通信をするためのチャネルを確立します。
      フェイズ 1 交換を確立するためのモードには、「Main Mode」と「Aggressive Mode」があります。
      ISAKMP SA は 1 つで双方向通信に用いられます。
  • IKE フェーズ2(IPsec SA の確立)
    • 実際の暗号化通信に用いられる AH や ESP などのプロトコルのキーを作るために行われる。
      フェーズ 1 で作成した安全な通信路を用いて行います。フェーズ2では「Quick Mode」が使用されます。
      IPsec SA は、片方向のため、1 つの IPsec には 2つの IPsec SA が作られます。

IPsec 処理フロー

あわせて読みたい

Cisco ルータの IPsec VPN 設定例を紹介します。IPsec の概要については、以下の記事をご参照ください。[sitecard subtitle=関連記事 url=https://mytech-blog.com/ipsec/ […]

以上