IPsec

導入

新型コロナウイルスの感染拡大に伴い、自宅などで業務を行うリモートワークが急増しました。言うまでもなく、実施には組織内ネットワークへ安全に接続できることが必須です。コストを含め導入のしやすさでは、VPNの導入が現実的です。このVPNには多くの種類がありますが、その中から今回は拠点間通信において企業での導入が多いIPSec-VPNに絞って解説しています。別方式SSL-VPNとの違いもまとめました。


VPN とは、パブリックネットワークを使用して2つ以上のリモートサイトを接続するプライベートネットワークです。Vpn は、ネットワーク間の専用接続を使用するのではなく、パブリックネットワークからルーティングされた仮想接続 (トンネリング) を使用します。IPsec VPN はプロトコルであり、VPN 接続の確立に使用される標準のセットから成ります。











とは

「Security Architecture for Internet Protocol」の略。IPsecは、暗号技術を使ってIPパケットの完全性や機密性を実現する仕組みです。IPパケットの保護によって、HTTPやFTPといったアプリケーションプロトコルを使って転送されるデータが保護されます。また既存のアプリケーションプログラムを変更しなくても、その通信でIPsecを利用することができます。

IPsecを使うホストは、相手のホストと事前にIPsecで使う暗号の種類や暗号鍵を取り決めます。この取り決めはSA(Security Association)と呼ばれます。SAの交換と、交換する相手ホストの認証にIKE(Internet Key Exchange)が使われます。

IPsecの標準化活動を行っているIETFのIPsecワーキンググループでは、新たな暗号アルゴリズムの対応、NAT(Network Address Translation)を越えたIPsec及びIKEの利用、IKEの改良などについて議論されています。


IPsecはIP Security Architectureの略で、 インターネットで安全な通信を実現するために提案されている方式のひとつです。 インターネットで安全な通信を実現するためには、さまざな方式があります。 たとえば、S/MIMEやPGPはメールの通信を保護し、 SSLはWWWの通信を保護します。これに対してIPsecは、 特定のアプリケーションではなく、 多様なアプリケーションを保護するという特徴を持っています。


IPsec(Security Architecture for Internet Protocol、アイピーセック)は、 暗号技術を用いることで、IP パケット単位で改竄検知や秘匿機能を提供するプロトコルである。これによって、暗号化をサポートしていないトランスポート層アプリケーションを用いても、通信路の途中で、通信内容を覗き見られたり改竄されることを防止できる。

IPsecは、IPv6では必須とされた時期[1]があり、専用の拡張ヘッダが定義されている。一方、IPv4では、利用可能だが必須ではなく、IP ヘッダオプションを利用する。


IPsecは、暗号化システムの技術によりネットワーク層にて、データのセキュリティを保護するのに使用
 されるプロトコルです。 IPsecは、AH、ESP、IKEなどのプロトコルから構成されています。このIPsecを
 使用したVPN接続により、インターネットなどの公共インフラでも安全に通信することが可能になります。


IPsec(Security Architecture for Internet Protocol)とは、暗号化によってパケットの秘匿や改ざん検知を実現するプロトコルです。主にインターネットを介して拠点間を接続する、インターネットVPNを実現するためのプロトコルとして広く利用されています。

IPsecを使って通信する際に利用する論理的な通信路(コネクション)はSA(Security Association)と呼ばれます。このSAを確立する際、暗号化のための鍵を交換するためのプロトコルがIKE(Internet Key Exchange protocol)です。

またIPsecには、認証と改ざん防止のみを行うAH(Authentication Header)と、データの暗号化を行うESP(Encapsulated Security Payload)の2つのプロトコルがあるほか、データ部分のみを暗号化するトランスポートモードと、ヘッダとデータの両方を暗号化するトンネルモードがあります。IPsecを用いたインターネットVPNによって拠点間を接続する場合には、トランスポートモードを利用します。


インタネットワーキングの標準団体であるIETF(Internet Engineering Task)において,IP(Internet Protocol)レベルの暗号化機能として標準化されているのが,「IPsec(IP Security)」と言う方式です。
IPsecは,認証や暗号のプロトコル,鍵交換のプロトコル,ヘッダー構造など,複数のプロトコルを総称するものです。
IPsecを利用したVPNネットワークは,すでにアメリカではキャリアの一つとして一般的に利用されています。


VPN は、リモートコンピューターがインターネットなどのパブリック WAN を介して安全に通信するための手段を提供します。

VPN 接続では、2つの Lan (サイト間 VPN) またはリモートのダイヤルアップユーザーと LAN をリンクすることができます。これら2つのポイント間でフローされるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過しながら VPN 通信を保護するために、2つの参加者は IP セキュリティー (IPsec) トンネルを作成します。

トンネルという用語 は、 トンネル モードを示すではありません(「 トンネル モードでのパケット 処理 」を参照してください)。その代わりに IPsec 接続を参照しています。

IPsec は、IP パケットレイヤーでの通信を暗号で保護するための、関連するプロトコルのセットです。また、IPsec には、セキュリティアソシエーション (Sa) とキー配信の手動および自動ネゴシエーションのためのメソッドが用意されています。そのすべての属性は、解釈のドメイン (DOI) に集められています。IPsec DOI は、VPN トンネルのネゴシエーションを成功するために必要なすべてのセキュリティ パラメーターの定義を含むドキュメントです。基本的に、SA および IKE ネゴシエーションに必要なすべての属性が含まれます。詳細については、RFC 2407 および RFC 2408 を参照してください。


IP Security Architecture、もしくはSecurity Architecture for IPの略。インターネットなどのTCP/IPネットワークで暗号通信を行うための通信プロトコルの一種。IETF(Internet Engineer Task Force)が中心となって標準化を行ったネットワークセキュリティ技術で、仮想プライベートネットワーク(VPN)の通信プロトコルなどとして幅広く採用されている。

IPsecは、パケット内のデータの改ざんを防止するためのパケット認証を行うAH(Authentication Header)と、認証と暗号化まで行うESP(Encapsulating Security Payload)と、暗号アルゴリズムの情報や共通鍵を交換するためのIKE(Internet Key Exchange:鍵交換)の3つのプロトコルに加え、「トランスポートモード」と「トンネルモード」という2つの動作モードが用意されている。トランスポートモードは、IPヘッダ部分はそのままで、送受信するデータ本体(ペイロード)部分のみを暗号化する。

一方、トンネルモードは、元のIPヘッダを暗号化して新しいIPヘッダを付け加えることにより、パケット全体を暗号化するものである。このように暗号化や認証方法が複数用意されていることから、通信の用途や必要なセキュリティポリシーによって、自分の環境に合わせた設定ができるのが、IPsecの大きな特長である。

現在のインターネットで使用されているIPv4では、IPsecは拡張仕様として利用可能になっているが、将来利用可能になる予定のIPv6では、IPsecが標準で対応する予定となっている。


IPsecはIKE(Internet Key Exchange)というプロトコルを使用し、VPN装置間の認証と暗号鍵を取り決め、暗号化されたVPNトンネルを構築し、カプセル化したデータを送信します。
これにより、通信路の途中で通信内容を覗き見られたり、改ざんされることを防止します。

VR-S1000は、「PPTP」と「IPsec」の2種類のプロトコルに対応しています。
PPTPは送信と受信を一つのVPNトンネルで行いますが、IPsecは別々のVPNトンネルを作って送信用と受信用のトンネルを使い分けます。
また、PPTPは128bitの暗号鍵を使用するのに対し、IPsecは256bitの暗号鍵を使用し、暗号化方式も複数から選択可能です。

上記のようにIPsecはPPTPと比べより高度なセキュリティーを確保できるため、企業情報など秘匿性の高いデータを取り扱うVPNにはIPsecの利用をおすすめします。




H2候補

  • VPNについて
  • IPSec-VPNとは?
  • VPNの種類と用語
  • IPSec-VPNの仕組み
  • IPSec-VPNで使われるプロトコル
  • (1)認証ヘッダー Authentication Header(AH
  • (2)セキュリティペイロードのカプセル化 Encapsulation Security Payload(ESP
  • (3)鍵交換プロトコル Internet Key Exchange(IKE
  • IPSec-VPNとSSL-VPNとの違い
  • 【実例】VPN Gateについて
  • 2. IPsecの仕組み
  •  ◆ IPsecの動作するレイヤー
  •  ◆ IPsecを構成する2つのプロトコルと鍵交換のプロトコル
  •  ◆ IPsecを理解するための全体イメージ
  • セキュリティーアソシエーション
  • IPsec キー管理
  • IPsec セキュリティープロトコル
  • IPsec トンネルネゴシエーション

まとめ

※ このページは現在準備中です。記述内容は、以下の参考リンクより抜粋したものです。

参考

  • https://www.nic.ad.jp/ja/basics/terms/ipsec.html#:~:text=IPsec%E3%81%AF%E3%80%81%E6%9A%97%E5%8F%B7%E6%8A%80%E8%A1%93%E3%82%92,%E3%83%87%E3%83%BC%E3%82%BF%E3%81%8C%E4%BF%9D%E8%AD%B7%E3%81%95%E3%82%8C%E3%81%BE%E3%81%99%E3%80%82
  • https://www.kagoya.jp/howto/network/ipsec-vpn/
  • http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/abst.html
  • https://ja.wikipedia.org/wiki/IPsec
  • https://www.infraexpert.com/study/ipsec5.html
  • https://www.ntt.com/bizon/glossary/e-i/ipsec.html
  • https://www.furukawa.co.jp/network/vpn/about_vpn/ipsec/ipsec_top.html
  • https://www.juniper.net/documentation/jp/ja/software/junos/vpn-ipsec/topics/topic-map/security-ipsec-vpn-overview.html
  • https://www.otsuka-shokai.co.jp/words/ipsec.html
  • https://www.buffalo.jp/support/faq/detail/15272.html

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です