ネットワーク層でデータのセキュリティを保護するのに使用されるプロトコル
初期の IPv6 の仕様ではIPSecの利用が必須だったが現在は推奨レベルとなっている。 IPv6対応ガイドライン
IPSecはいくつかのプロトコルからなる
AH
Authentication Header
- 改ざん検出と認証を行う
- 暗号化はできない
- ESPと併用可能
ESP
Encapsulated Security Payload こちらが主流
- 改ざん検出と認証を行う
- 暗号化できる
- データの末尾にESPトレーラを加え、それ含め暗号化をする
- ESPトンネルモードではIPヘッダとデータの間にESPヘッダを加える
- ESPトランスポートモードではIPヘッダの前に新IPヘッダとESPヘッダを加える
IKE
- 秘密鍵情報の交換を安全に行う
鍵交換
Diffie-Hellman法を採用して鍵交換を行う。 共通鍵の交換に用いられるアルゴリズム
改ざん防止を強化するために共通鍵を利用したHMACを使っている
SA
Security Association VPNゲートウェイ間で確立されたコネクション
どのような鍵や暗号方式を使うかなどの取り決めを行う
SAは一方通行なので、双方向通信を行うために2つのSAを確立する必要がある
モード
トランスポートモード
- IPヘッダは暗号化されない
- データ部のみ暗号化する
- クライアントとサーバ間で暗号化される
トンネルモード
- IPヘッダが暗号化される
- 新たなIPヘッダが加えられる
- VPNゲートウェイ間で暗号化され、VPNゲートウェイがもとのパケットを取り出して通信先に届ける