AH
AH
AH (Authentication Header) は、IPsec(Internet Protocol Security)プロトコルの一部で、データの送信元が認証されたことを保証するために使用されるセキュリティプロトコルです。
AHは、IPパケットに認証ヘッダーを追加することにより、データの送信元が正当であることを証明します。これにより、パケットが途中で改ざんされていないかどうかを確認できます。
AHは、以下の情報を含む認証ヘッダーを作成します。
- Next Header
認証ヘッダーの後に続くプロトコルの種類を示します。 - Payload Length
認証ヘッダーと次のプロトコルの合計長を示します。 - Security Parameters Index (SPI)
セキュリティアソシエーション(SA)を特定するための識別子です。 - Sequence Number
パケットのシーケンス番号です。 - Authentication Data
送信元認証情報です。
AHは、IPsecで使用される2つのプロトコルのうちの1つであり、もう1つはESP(Encapsulating Security Payload)です。AHは、送信元認証のために使用され、ESPは送信元認証と暗号化の両方に使用されます。
しかし、AHは、IPパケット内のIPアドレスを変更できないため、NAT(Network Address Translation)が使用されているネットワークで問題が発生することがあります。このため、ESPがAHよりも一般的に使用されています。
また、AHは、IPパケットのヘッダー情報にのみ適用されるため、ペイロードには適用されません。これは、ペイロードが暗号化されずに送信されることを意味します。一方、ESPは、IPパケットのヘッダーとペイロードの両方に適用されます。
AHは、暗号化を行わないため、送信元認証にのみ使用されます。このため、セキュリティを向上させるために、AHとESPを組み合わせて使用することが一般的です。この場合、AHは送信元認証を行い、ESPはペイロードの暗号化を行います。
AHは、IPsecの一部であるため、IPsecの利点を享受できます。これには、ネットワークレベルでのセキュリティ、トラフィックの暗号化、認証、およびアクセス制御が含まれます。AHは、IPsecを使用してVPN(Virtual Private Network)をセキュアにするために使用されることがあります。
ただし、AHにはいくつかの欠点があります。これには、NATが使用されているネットワークで問題が発生すること、ペイロードが暗号化されないこと、およびセキュリティポリシーが変更されるときにSAを再設定する必要があることが含まれます。