IPsec(Security Architecture for Internet Protocol)
IPsec(Security Architecture for Internet Protocol:アイピーセック)とは、TCP/IP や OSI参照モデル の ネットワーク層 で使用するIPパケット単位で安全な暗号通信を行うプロトコルです。
IP(Internet Protocol)レベルの通信内容を暗号化するため、上位層であるトランスポート層やアプリケーション層が暗号化に対応していない場合でも、安全に情報をやり取りすることができます。
IPsecは、2つのIPsec対応ルータなどの間にSA(Security Association)という単方向コネクションを確立することで、セキュア(安全)な通信を確立します。
SAは、単方向であるため、双方向通信を行う場合には、送信用と受信用の2つのSAを確立する必要があります。
IPsecの仕組み
スポンサーリンク
IPsecの構成
IPsecはAH、ESP、IKEなどの複数のプロトコルから構成されています。
名称 | 説明 |
AH(Authentication Header) | パケットが「改ざん」されていないかの認証を行う。 |
ESP(Encapsulating Security Payload) | パケットのペイロード部(通信内容)を暗号化する。 |
IKE(Internet Key Exchange) | IPsecで使用する秘密鍵の交換を行う。ルータにIKEを設定すると、2つのルータの間で鍵交換が行われ、鍵が自動的に生成される。 鍵には決められた有効期限があり、その期限を過ぎると新しい鍵が作られて置き換わる仕組み。 |
IPsecの通信モード
IPsecの通信モードには「トランスポートモード」と「トンネルモード」が存在します。
トランスポートモード
トランスポートモードは、パケットのデータ部のみ暗号化する方式で、主に2つのホスト間の通信で使用される通信モードです。
上記図は、トランスポートモードのイメージ図です。
IP通信で必要なIPヘッダは暗号化せず、残りの部分を暗号化します。IPヘッダ部を暗号化していないので、ホスト間での通信で使用することができます。
トンネルモード
トンネルモードは、ヘッダを含めたパケット全体を丸ごと「データ」として暗号化し新たなIPヘッダを付加する方式で、主にセキュリティ・ゲートウェイ(ルータなど)間、およびセキュリティ・ゲートウェイ(ルータなど)とホストの間の通信で使用される通信モードです。
上記図は、トンネルモードのイメージ図です。
IP通信で必要なIPヘッダを含め丸ごとデータとして暗号化、そして 新しいIPヘッダを付与することでセキュリティ・ゲートウェイ(ルータなど)間やセキュリティ・ゲートウェイ(ルータなど)とホスト間での通信を可能としています。