暗号化

セキュリティ

IPsecとは

IPsec(Security Architecture for Internet Protocol)

IPsec(Security Architecture for Internet Protocol:アイピーセック)とは、TCP/IP や OSI参照モデル の ネットワーク層 で使用するIPパケット単位で安全な暗号通信を行うプロトコルです。

IP(Internet Protocol)のレベル通信内容を暗号化するため、上位層であるトランスポート層アプリケーション層が暗号化に対応していない場合でも、安全に情報をやり取りすることができます。

 

ipsecのSA

IPsecは、2つのIPsec対応ルータなどの間にSA(Security Association)という単方向コネクションを確立することで、セキュア(安全)な通信を確立します。

SAは、単方向であるため、双方向通信を行う場合には、送信用と受信用の2つのSAを確立する必要があります。

IPsecの仕組み

スポンサーリンク

IPsecの構成

IPsecはAH、ESP、IKEなどの複数のプロトコルから構成されています。

名称 説明
AH(Authentication Header) パケットが「改ざん」されていないかの認証を行う。
ESP(Encapsulating Security Payload) パケットのペイロード部(通信内容)を暗号化する。
IKE(Internet Key Exchange) IPsecで使用する秘密鍵の交換を行う。ルータにIKEを設定すると、2つのルータの間で鍵交換が行われ、鍵が自動的に生成される。 鍵には決められた有効期限があり、その期限を過ぎると新しい鍵が作られて置き換わる仕組み。

IPsecの通信モード

IPsecの通信モードには「トランスポートモード」と「トンネルモード」が存在します。

トランスポートモード

トランスポートモードは、パケットのデータ部のみ暗号化する方式で、主に2つのホスト間の通信で使用される通信モードです。

トランスポートモード

上記図は、トランスポートモードのイメージ図です。

IP通信で必要なIPヘッダは暗号化せず、残りの部分を暗号化します。IPヘッダ部を暗号化していないので、ホスト間での通信で使用することができます。

トンネルモード

トンネルモードは、ヘッダを含めたパケット全体を丸ごと「データ」として暗号化し新たなIPヘッダを付加する方式で、主にセキュリティ・ゲートウェイ(ルータなど)間、およびセキュリティ・ゲートウェイ(ルータなど)とホストの間の通信で使用される通信モードです。

トンネルモード

上記図は、トンネルモードのイメージ図です。

IP通信で必要なIPヘッダを含め丸ごとデータとして暗号化、そして 新しいIPヘッダを付与することでセキュリティ・ゲートウェイ(ルータなど)間やセキュリティ・ゲートウェイ(ルータなど)とホスト間での通信を可能としています。

\ 参考になりましたか? /

© 2020 ITを分かりやすく解説