logo

TechCodeview

IPセキュリティ(IPSec)

前提条件: インターネットプロトコルの種類

IP Sec (インターネット プロトコル セキュリティ) は、データ認証、完全性、機密性を提供する、IP ネットワーク上の 2 つの通信ポイント間のプロトコルのインターネット技術特別委員会 (IETF) 標準スイートです。また、暗号化、復号化、および認証されたパケットも定義します。安全な鍵交換と鍵管理に必要なプロトコルが定義されています。



IPセキュリティの用途

IPsec を使用して次のことを行うことができます。

  • アプリケーション層のデータを暗号化します。
  • パブリック インターネット経由でルーティング データを送信するルーターにセキュリティを提供するため。
  • データが既知の送信者からのものであることを認証するなど、暗号化を行わずに認証を提供します。
  • 仮想プライベート ネットワーク (VPN) 接続と同様に、2 つのエンドポイント間で送信されるすべてのデータが暗号化される IPsec トンネリングを使用して回線を設定することにより、ネットワーク データを保護します。

IPセキュリティのコンポーネント

これには次のコンポーネントがあります。

  1. セキュリティ ペイロードのカプセル化 (ESP)
  2. 認証ヘッダー (AH)
  3. インターネット鍵交換 (IKE)

1. セキュリティ ペイロードのカプセル化 (ESP): データの整合性、暗号化、認証、およびリプレイ防止を提供します。また、ペイロードの認証も提供します。



2. 認証ヘッダー (AH): また、データの整合性、認証、およびリプレイ防止も提供しますが、暗号化は提供しません。アンチリプレイ保護は、パケットの不正な送信を防ぎます。データの機密性は保護されません。

IPヘッダー

IPヘッダー

3. インターネット鍵交換 (IKE): これは、暗号化キーを動的に交換し、2 つのデバイス間でセキュリティ アソシエーション (SA) を経由する方法を見つけるように設計されたネットワーク セキュリティ プロトコルです。セキュリティ アソシエーション (SA) は、2 つのネットワーク エンティティ間で共有セキュリティ属性を確立し、安全な通信をサポートします。 Key Management Protocol (ISAKMP) と Internet Security Association は、認証とキー交換のフレームワークを提供します。 ISAKMP は、セキュリティ アソシエーション (SA) のセットアップ方法と、2 つのホスト間の直接接続で IPsec がどのように使用されているかを示します。インターネット キー交換 (IKE) は、メッセージ コンテンツの保護を提供するだけでなく、SHA や MD5 などの標準アルゴリズムを実装するためのオープン フレームも提供します。このアルゴリズムの IP sec ユーザーは、パケットごとに一意の識別子を生成します。この識別子により、デバイスはパケットが正しいかどうかを判断できるようになります。許可されていないパケットは破棄され、受信者に渡されません。



インターネットプロトコルのパケット

インターネットプロトコルのパケット

IPセキュリティアーキテクチャ

IPSec (IP セキュリティ) アーキテクチャは、2 つのプロトコルを使用してトラフィックまたはデータ フローを保護します。これらのプロトコルは、ESP (カプセル化セキュリティ ペイロード) と AH (認証ヘッダー) です。 IPSec アーキテクチャには、プロトコル、アルゴリズム、DOI、およびキー管理が含まれます。これらすべてのコンポーネントは、次の 3 つの主要なサービスを提供するために非常に重要です。

  • 機密保持
  • 信憑性
  • 誠実さ
IPセキュリティアーキテクチャ

IPセキュリティアーキテクチャ

IPセキュリティへの取り組み

  • ホストは、パケットを IPsec を使用して送信する必要があるかどうかを確認します。このパケット トラフィックは、それ自体のセキュリティ ポリシーをトリガーします。これは、パケットを送信するシステムが適切な暗号化を適用するときに行われます。受信パケットは、ホストによって適切に暗号化されているかどうかもチェックされます。
  • 次に、IKE フェーズ 1 が開始され、2 つのホスト (IPsec を使用) が相互に認証して安全なチャネルを開始します。 2つのモードがあります。メイン モードではセキュリティが強化され、アグレッシブ モードではホストが IPsec 回線をより迅速に確立できるようになります。
  • 最後のステップで作成されたチャネルは、IP 回線全体でデータを暗号化する方法を安全​​にネゴシエートするために使用されます。
  • 現在、IKE フェーズ 2 はセキュア チャネル上で実行され、2 つのホストがセッションで使用する暗号アルゴリズムの種類をネゴシエートし、それらのアルゴリズムで使用する秘密鍵マテリアルについて合意します。
  • 次に、データは新しく作成された IPsec 暗号化トンネルを介して交換されます。これらのパケットは、IPsec SA を使用してホストによって暗号化および復号化されます。
  • ホスト間の通信が完了するか、セッションがタイムアウトになると、両方のホストがキーを破棄して IPsec トンネルが終了します。

IPSecの特徴

  1. 認証: IPSec は、デジタル署名または共有秘密を使用して IP パケットの認証を提供します。これは、パケットが改ざんされたり偽造されたりしないようにするのに役立ちます。
  2. 機密保持: IPSec は、IP パケットを暗号化することで機密性を提供し、ネットワーク トラフィックの盗聴を防ぎます。
  3. 誠実さ: IPSec は、送信中に IP パケットが変更または破損していないことを保証することで整合性を提供します。
  4. キー管理: IPSec は、暗号キーが安全に管理されるように、キー交換やキー失効などのキー管理サービスを提供します。
  5. トンネリング: IPSec はトンネリングをサポートしており、GRE (Generic Routing Encapsulation) や L2TP (Layer 2 Tunneling Protocol) などの別のプロトコル内で IP パケットをカプセル化できます。
  6. 柔軟性: IPSec は、ポイントツーポイント、サイト間、リモート アクセス接続など、幅広いネットワーク トポロジにセキュリティを提供するように構成できます。
  7. 相互運用性: IPSec はオープン標準プロトコルであるため、幅広いベンダーによってサポートされており、異種環境でも使用できます。

IPSec の利点

  1. 強力なセキュリティ: IPSec は、機密データを保護し、ネットワークのプライバシーと整合性を確保するのに役立つ強力な暗号化セキュリティ サービスを提供します。
  2. 幅広い互換性: IPSec は、ベンダーによって広くサポートされているオープン標準プロトコルであり、異種環境でも使用できます。
  3. 柔軟性: IPSec は、ポイントツーポイント、サイト間、リモート アクセス接続など、幅広いネットワーク トポロジにセキュリティを提供するように構成できます。
  4. スケーラビリティ: IPSec は大規模ネットワークの保護に使用でき、必要に応じてスケールアップまたはスケールダウンできます。
  5. ネットワークパフォーマンスの向上: IPSec は、ネットワークの輻輳を軽減し、ネットワーク効率を向上させることで、ネットワーク パフォーマンスの向上に役立ちます。

IPSecの欠点

  1. 構成の複雑さ: IPSec の構成は複雑な場合があり、専門的な知識とスキルが必要です。
  2. 互換性の問題: IPSec には一部のネットワーク デバイスやアプリケーションとの互換性の問題があり、相互運用性の問題が発生する可能性があります。
  3. パフォーマンスへの影響: IPSec は、IP パケットの暗号化と復号化のオーバーヘッドにより、ネットワーク パフォーマンスに影響を与える可能性があります。
  4. キー管理: IPSec では、暗号化と認証に使用される暗号キーのセキュリティを確保するために、効果的なキー管理が必要です。
  5. 限定的な保護: IPSec は IP トラフィックの保護のみを提供し、ICMP、DNS、ルーティング プロトコルなどの他のプロトコルは依然として攻撃に対して脆弱である可能性があります。