IPsec
引用元:
「平成27年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2」
「平成28年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問2」
「平成29年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問1」
「平成30年度 秋期 ネットワークスペシャリスト試験(NW)午後Ⅱ 問1」
※それぞれ一部改変しております。
IPsecとは
IPsec(Security Architecture for Internet Protocol)
・ネットワーク層(L3)で使われるプロトコル
・インターネットVPNで暗号化するために利用
・ ユニキャストのIPパケットをカプセル化して転送
・ 暗号化とトンネリング(カプセル化)を行う
■メリット(用途)
・通信の暗号化(内容を見られないようにする)
・改ざん検知 (内容を変えられたら気付けるようにする)
・認証(相手が正しいやつかを確認する)
■デメリット
・IPsecのみだとマルチキャストやブロードキャスト通信ができない
セキュリティプロトコル
・AH(Authentication Header) 認証機能、暗号化機能はない、プロトコル番号51
・ESP(Encapsulating Security Payload) 認証機能と暗号化機能の両方を担う、プロトコル番号49
IPsecのカプセル化方式
①トンネルモード
IPパケット全体をカプセル化し、新たにIPヘッダを追加
要は二重でカプセル化したやつ
②トランスポートモード
IPヘッダの後ろに、ESPヘッダ(暗号化、認証)またはAHヘッダ(認証)を挿入
要はもとのIPヘッダを使いまわすやつ
IPsec通信の準備
●IPsecを行うために必要な準備=SA(Security Association)
①暗号化を何で行うのか(DES,3DES,AESなど)
②認証は何で行うのか(MD5,SHA-1など)
③上記2つを決めるやり取りを共通鍵で暗号化
・暗号化、認証アルゴリズム、共通鍵などのセキュリティ設定情報に提案・合意する際に利用されるコネクション、トンネルをSAという
●SAの確立方法
①手動設定
・設定変更するまで同じ鍵を使い続ける
・セキュリティ面で脆弱
・更新を忘れる可能性もある
②自動設定
・ IKE(Internet Key Exchange protocol) 自動的に共通鍵つくる鍵交換プロトコル を利用
・自動的・定期的に鍵情報を更新するため、セキュリティ面で堅牢
●SAの種類
①ISAKMP SA
・IPsec SAで利用する共通鍵の配送や更新を行うためのトンネル
・トンネルの通信は暗号化されていない
・IKEフェーズ1で決めた共通鍵の暗号化方針でやりとり
②IPsec SA
・パケットを暗号化して転送するためのトンネル
・トンネルの通信は暗号化されていない
・IKEフェーズ2で決めた共通鍵の暗号化方針でやり取り
●SA確立までの順番
(1)IKEフェーズ1
(2)ISAKMP SA
(3)IKEフェーズ2
(4)IPsec SA

GRE over IPsec
GRE(Generic Routing Encapsulation)
・ネットワーク層(L3)のプロトコルをカプセル化するプロトコル
・ カプセル化する際にトンネリング用のIPヘッダ(20バイト)とGREヘッダ(4バイト)を付加
■デメリット
・暗号化、認証をできないため、セキュリティ面が脆弱

GRE over IPsec
・GREでルーティングプロトコルをカプセル化し、GREパケットをさらにIPsecでカプセル化し暗号化した技術
・IPsecでできなかったマルチキャストやブロードキャスト通信 をGREで、GREでできなかった暗号化、認証をIPsecで可能にしたハイブリッド技術
GREの欠点 → 暗号化、認証をできない
IPsecの欠点 → マルチキャストやブロードキャスト通信ができない
※下図はトランスポートモードを採用したGRE over IPsecのパケット形式

NATトラバーサル
●前提
IPsec通信 → IPアドレスやポート番号を暗号化または認証
NAT(NAPT) → IPアドレスやポート番号を変換する
IPsec通信を行う機器間にNAT(NAPT)をしてしまうと問題がある
→AHの場合、IPヘッダが認証対象なので、IPアドレスがNAT(NAPT)で書き換えられると
認証データが計算値と一致しなくなるため、認証エラーが発生する
→ESPの場合、TCPまたはUDPヘッダが暗号化の対象であり、ポート番号が暗号化されるため、NAT機器を通過することができない
→ESPヘッダにはポート番号がないため、NAT変換をすることができない

IPsec NATトラバーサル
・ESPパケット(暗号化)をUDPでカプセル化
・NATによるIPアドレスとポート番号の変換を可能にする
・IPsec通信のNAT越えが可能となる
・IKEで自動的に行われる
・NAT(NAPT)で送信元ポート番号が変換されるので、IPsec機器(FWなど)では送信元ポートを500や4500以外のISAKMPメッセージも受信できるようにフィルタリング設定を変更する必要性がある
