IPsec-ネットワーク基礎-【ネスペ】

ネスペ(NW)

お疲れ様です。ががです。

ここでは、ネスペ(ネットワークスペシャリスト)の基礎分野解説を行います。
今回のテーマは、「IPsec」です。

IPsecは、インターネットなどの信頼できないネットワーク上で、安全な通信を実現するための技術です。

この記事では、IPsecを構成するプロトコルや、IKEの役割、トンネルモードとトランスポートモードの違いを整理します。


IPsecの概要

**IPsec(Internet Protocol Security)**は、IPパケットを暗号化・認証するためのプロトコル群です。

OSI参照モデルの**ネットワーク層(レイヤ3)**で動作するため、TCPやUDP、HTTPなどの上位プロトコルを意識せずに通信を保護できます。

IPsecでは、主に次の機能を提供します。

  • 暗号化:通信内容の盗聴を防ぐ
  • 完全性確認:通信内容が改ざんされていないことを確認する
  • 送信元認証:正しい通信相手から送られたことを確認する
  • リプレイ攻撃対策:過去の通信データが再送される攻撃を防ぐ

IPsecは、企業の拠点間VPNや、端末から企業ネットワークへ接続するリモートアクセスVPNなどで利用されています。


IPsecのプロトコル概要

IPsecでは、主に次のプロトコルが使用されます。

プロトコル主な役割
IKE通信相手の認証、暗号方式の合意、鍵交換
ESPデータの暗号化、完全性確認、送信元認証
AH完全性確認、送信元認証

ESP

**ESP(Encapsulating Security Payload)**は、IPパケットのデータを暗号化・認証するためのプロトコルです。

盗聴防止と改ざん検知の両方に対応できるため、現在のIPsec VPNでは一般的にESPが使用されます。

AH

**AH(Authentication Header)**は、通信データの完全性確認と送信元認証を行うプロトコルです。

ただし、AHには暗号化機能がないため、通信内容の盗聴は防止できません。また、IPヘッダーの一部も認証対象にするため、IPアドレスを書き換えるNATとの相性がよくありません。

そのため、現在のVPNではAHよりもESPが広く利用されています。


IKE

**IKE(Internet Key Exchange)**は、IPsec通信を開始する前に、通信相手の認証や暗号鍵の交換を行うプロトコルです。

IKEを使って、次のような項目を決定します。

  • 使用する暗号化アルゴリズム
  • 使用する認証方式
  • 暗号鍵の生成に必要な情報
  • IPsecで保護する通信範囲
  • SAの有効期間

SAとは

**SA(Security Association)**は、暗号方式や暗号鍵などのセキュリティ設定をまとめたものです。

SAは基本的に単方向であるため、双方向通信では送信用と受信用のSAが必要です。

IKEv1

IKEv1では、IPsec通信の確立処理を2つのフェーズに分けます。

フェーズ1

通信相手を認証し、IKEの通信を保護するためのISAKMP SAを確立します。

フェーズ2

フェーズ1で確立した安全な通信経路を利用して、ユーザーデータをESPなどで保護するためのIPsec SAを確立します。

フェーズ1:IKE自身の通信を保護する フェーズ2:実際のユーザーデータを保護する

IKEv2

IKEv2では、主にIKE SAChild SAを使用します。

IKE SA

IKEメッセージを保護するためのSAです。通信相手の認証、暗号方式の合意、鍵交換などに使用されます。

Child SA

実際のユーザーデータをESPなどで保護するためのSAです。使用する暗号方式、暗号鍵、保護対象の通信などを管理します。

IKE SA :IKEメッセージを保護する Child SA:実際のユーザーデータを保護する


モードの違い

IPsecには、主に次の2つの通信モードがあります。

  • トンネルモード
  • トランスポートモード

トンネルモード

トンネルモードでは、元のIPパケット全体を暗号化し、その外側に新しいIPヘッダーを付与します。

新IPヘッダー | ESPヘッダー | 元IPヘッダー + TCP/UDPヘッダー + データ + ESPトレーラー | 認証データ └────────── 暗号化範囲 ────────┘

新しいIPヘッダーとESPヘッダーは暗号化されません。

元のIPアドレスを含めて保護できるため、企業の本社と支店を接続する拠点間VPNなどで使用されます。

トランスポートモード

トランスポートモードでは、元のIPヘッダーを残し、IPヘッダーより後ろのデータ部分を暗号化します。

元IPヘッダー | ESPヘッダー | TCP/UDPヘッダー + データ + ESPトレーラー | 認証データ └──────── 暗号化範囲 ────────┘

元のIPヘッダーとESPヘッダーは暗号化されません。

新しいIPヘッダーを追加しないため、主に端末同士の通信を直接保護する場合に使用されます。

モードの比較

項目トンネルモードトランスポートモード
暗号化対象元のIPパケット全体元のIPヘッダーより後ろ
新しいIPヘッダー付与する付与しない
主な用途拠点間VPN端末間通信
元のIPアドレス保護される保護されない

まとめ

IPsecは、ネットワーク層でIP通信を暗号化・認証するためのプロトコル群です。

重要なポイントは次のとおりです。

  • IKEは、通信相手の認証や暗号鍵の交換を行う
  • ESPは、ユーザーデータの暗号化と認証を行う
  • AHは認証を行うが、暗号化は行わない
  • IKE SAは、IKEメッセージを保護する
  • Child SAは、実際のユーザーデータを保護する
  • トンネルモードは、元のIPパケット全体を暗号化する
  • トランスポートモードは、元のIPヘッダーより後ろを暗号化する
  • ESPヘッダー自体は暗号化されない

確認テスト

Q1. IPsecはOSI参照モデルのどの層で動作しますか?

ネットワーク層(レイヤ3)

Q2. 暗号鍵の交換や通信相手の認証を行うプロトコルは何ですか?

IKE

Q3. ESPが提供する主な機能を答えてください。

暗号化、完全性確認、送信元認証

Q4. AHが通信内容の盗聴を防止できない理由は何ですか?

暗号化機能がないため

Q5. IKEv2のIKE SAは何を保護するために使用されますか?

IKEメッセージ

Q6. IKEv2のChild SAは何を保護するために使用されますか?

実際のユーザーデータ

Q7. 元のIPパケット全体を暗号化するモードはどちらですか?

トンネルモード

Q8. トランスポートモードでは元のIPヘッダーは暗号化されますか?

暗号化されない

Q9. ESPヘッダー自体は暗号化されますか?

暗号化されない

Q10. 拠点間VPNで一般的に使用されるモードはどちらですか?

トンネルモード

Q11. IKEv1で確立されるSAは何ですか?

ISAKMP SA と IPsec SA

Q12. IKEv2で確立されるSAは何ですか?

IKE SA と Child SA

Q13. IKEv2で最初に確立されるSAで使われるメッセージは何ですか?

IKE_SA_INIT

コメント

タイトルとURLをコピーしました