ネットワーク層でデータのセキュリティを保護するのに使用されるプロトコル

初期の IPv6 の仕様ではIPSecの利用が必須だったが現在は推奨レベルとなっている。 IPv6対応ガイドライン

IPSecはいくつかのプロトコルからなる

AH

Authentication Header

  • 改ざん検出と認証を行う
  • 暗号化はできない
  • ESPと併用可能

ESP

Encapsulated Security Payload こちらが主流

  • 改ざん検出と認証を行う
  • 暗号化できる
  • データの末尾にESPトレーラを加え、それ含め暗号化をする
  • ESPトンネルモードではIPヘッダとデータの間にESPヘッダを加える
  • ESPトランスポートモードではIPヘッダの前に新IPヘッダとESPヘッダを加える

IKE

  • 秘密鍵情報の交換を安全に行う

鍵交換

Diffie-Hellman法を採用して鍵交換を行う。 共通鍵の交換に用いられるアルゴリズム

改ざん防止を強化するために共通鍵を利用したHMACを使っている

SA

Security Association VPNゲートウェイ間で確立されたコネクション

どのような鍵や暗号方式を使うかなどの取り決めを行う

SAは一方通行なので、双方向通信を行うために2つのSAを確立する必要がある

モード

トランスポートモード

  • IPヘッダは暗号化されない
  • データ部のみ暗号化する
  • クライアントとサーバ間で暗号化される

トンネルモード

  • IPヘッダが暗号化される
  • 新たなIPヘッダが加えられる
  • VPNゲートウェイ間で暗号化され、VPNゲートウェイがもとのパケットを取り出して通信先に届ける