IPSec

2023年3月6日 最終更新日時 : 2023年4月16日 puchi-engineer

IPSec

 IPSec(Internet Protocol Security)は、IPネットワーク上での通信のセキュリティを確保するためのプロトコルです。IPSecは、主にVPN(Virtual Private Network)などのセキュアなネットワーク接続で使用されます。

IPSecは、主に以下の機能を提供します。

  1. 暗号化
     IPSecは、通信内容を暗号化することで、不正アクセスから保護します。暗号化方式としては、DES、3DES、AESなどがあります。
  2. 認証
     IPSecは、通信相手が正当な相手であることを確認することで、なりすまし攻撃などから保護します。認証方式としては、共通鍵方式のPSK(Pre-Shared Key)や公開鍵証明書方式のPKI(Public Key Infrastructure)などがあります。
  3. アクセス制御
     IPSecは、アクセス制御を行うことで、不正なアクセスから保護します。アクセス制御には、暗号化したトラフィックを特定のネットワークだけに通すことができるトンネリング機能があります。

AHとESPI

PSecには、以下の2つのプロトコルがあります。

  1. AH(Authentication Header)
     通信内容の認証を行うプロトコルです。IPパケットのヘッダーに認証情報を追加することで、データの改ざんやなりすまし攻撃から保護します。
  2. ESP(Encapsulating Security Payload)
     通信内容の暗号化と認証を行うプロトコルです。IPパケットに暗号化したデータを追加することで、データの盗聴や改ざんから保護します。

 IPSecは、オープンスタンダードであり、多くのネットワーク機器やソフトウェアがIPSecに対応しています。また、IPSecは、公衆インターネットを介しての安全な通信を実現するため、ビジネスや個人のプライバシー保護にも利用されています。

IPSec SA

 IPSec(Internet Protocol Security)は、ネットワークレベルでセキュリティを提供するためのプロトコルスイートであり、仮想プライベートネットワーク(VPN)やインターネット上の通信の暗号化によく使用されます。

 IPSecでは、暗号化、認証、およびキー管理を提供する2つのセキュリティプロトコルが使用されます。これらは、SA(Security Association)と呼ばれるセキュリティ関連の情報を共有することで、セキュリティを実現します。SAは、双方向の通信セッション間で共有されます。

 IPSec SAは、トンネルモードまたはトランスポートモードのいずれかで構成されます。トンネルモードは、IPSecで保護された通信のヘッダーを新しいIPヘッダーでラップし、暗号化されたデータを新しいIPパケットに含めます。トランスポートモードは、IPSecで保護されたデータをオリジナルのIPヘッダーで送信し、IPSecヘッダーを付加します。

IPSec SAの設定には、以下の要素が必要です。

  • 暗号化方式
    IPSecでは、AES、DES、3DES、およびBlowfishなどの暗号化方式がサポートされています。
  • 認証方式
    IPSecでは、MD5、SHA-1、SHA-256などのハッシュ関数がサポートされています。
  • キー交換方式
    IPSecでは、IKE(Internet Key Exchange)プロトコルが使用されます。

 IPSec SAの設定には、セキュリティポリシー、トンネルエンドポイントのIPアドレス、暗号化方式、認証方式、およびキーの有効期限などのパラメータが含まれます。また、IKEプロトコルは、SAの設定およびキーの交換に使用されます。

 IPSec SAは、セキュリティポリシーに基づいて自動的に再交渉される場合があります。これは、暗号化方式や認証方式などのパラメータが変更された場合に自動的に発生します。また、SAの有効期限が切れた場合は、自動的に削除されます。

IPSecパススルー

 IPSecパススルーは、IPSecプロトコルを使用したVPN通信を可能にするための機能です。IPSecパススルーを有効にすると、IPSecトラフィックがNAT(Network Address Translation)デバイスを通過することができます。これにより、ローカルネットワークに接続されたデバイスが、外部のVPNサーバーに接続して安全な通信を確立することができます。

 IPSecパススルーは、NATを使用している場合に重要な機能です。NATは、ローカルネットワーク内のデバイスに、インターネット上のグローバルIPアドレスを持つ1つのデバイスを介してアクセスすることを可能にする技術です。しかし、NATはIPSecトラフィックを適切に処理できないため、IPSec通信をブロックしてしまうことがあります。IPSecパススルーは、この問題を解決するために開発された機能です。

 IPSecパススルーが有効になっている場合、ローカルネットワーク内のデバイスがIPSecトラフィックを送信すると、NATデバイスはIPSecトラフィックをIPSec VPNのエンドポイントに送信するための必要な変換を行います。これにより、ローカルネットワーク内のデバイスが、インターネット上のVPNサーバーに接続して、安全な通信を確立することができます。

 IPSecパススルーの設定方法は、NATデバイスによって異なります。一般的には、NATデバイスの設定画面でIPSecパススルーを有効にすることができます。ただし、すべてのNATデバイスがIPSecパススルーをサポートしているわけではありません。そのため、NATデバイスの仕様を確認し、IPSecパススルーをサポートしているかどうかを確認する必要があります。

 IPSecパススルーは、IPSecプロトコルを使用したVPN通信を可能にするための重要な機能です。NATデバイスを使用している場合、IPSecパススルーを有効にすることで、ローカルネットワーク内のデバイスがVPNサーバーに接続して、安全な通信を確立することができます。

カテゴリー
ネットワーク用語
前の記事
IP-SAN
2023年3月6日
次の記事
IPv4/IPv6トランスレーション
2023年3月7日