II-19-2. IPsecの設定方法

動作モードの設定やSecurity Association (SA)の設定など、IPsecの具体的な設定について解説する。さらに、IPsecにより通信路が実際に暗号化されている状態を確認する方法についても説明する。

【学習の要点】

* IPsecには二つのモードがあり、ひとつはTransportモード、もう一つはTunnelモードである。Transportモードはデータ部だけを暗号化する。TunnelモードはIPヘッダも含めて暗号化する。

* SA(Security Association)とはホスト同士が共有するアルゴリズムと鍵の情報である。

* 鍵管理プロトコルとしてIKEがある。

図II-19-2. IPsecによる暗号化の確認方法

 

【解説】

1) IPsecのモード

* IPsecには二つのモードがあり、ひとつはTransportモード、もう一つはTunnelモードである。

* Transportモードはデータ部だけを暗号化し、IPヘッダは暗号化されない。つまり通信内容だけを保護するモードがTransportモードである。

* TunnelモードはIPヘッダも含めて暗号化する。このモードがVPNの基盤となっている。通常のVPNの場合、IPsec機能を持ったルーターを設置してVPNを構築する場合が多く、その場合Tunnelモードの間はルーター間の暗号化処理、復号化処理によりパケット全体が保護されることになる。

2) SAとは

* SA(Security Association)とは通信するピア間で合意されたアルゴリズムと鍵の情報である。

* SAの要素は、鍵、暗号化、認証手段、そしてアルゴリズムで利用される追加パラメータである。

* SAは単方向性であるために、セキュリティサービスごとに異なるSAが必要になる。例えば暗号化と認証という二つのサービスを利用する場合、暗号で一つのSA、 復号で一つのSAという具合に一つのサービスで二つのSAを利用するため、二つのサービスを運用する場合は4つのSAが必要になる。

3) 鍵管理について

* IPsecは暗号鍵の仕様を前提としているために、鍵管理の仕組みが別途必要になる。この鍵管理プロトコルとしてIKE(Internet Key Exchange)がある。

* IKEはネットワーク上で鍵を安全かつ自動的に交換するプロトコルである。

- IKEはUDPポート番号500上で通信され、いくつかのフェーズに分けて認証と暗号化を行い、鍵を安全に交換する。

- IKEにはv1とv2があり、IKEv1はRFC2490で規定されており、IKEv2はRFC4306で規定されている。

* IKEによる認証にはホスト間でSAを確立し、相互認証をおこなわなければならない。相互認証には二つフェーズがある。

- フェーズ1はIKEで使用するSAの確立である。

- フェーズ2はIPSecで使用するSAの確立である。

4) IPsecによる通信の確認方法

* ping6コマンドを利用してIPsecによる通信の暗号化を実際に体験するには次の手順を行う。

- 暗号鍵、認証鍵や暗号化アルゴリズムの方法を記述したsecurity policy (SP)を記述し、送信側受信側で、setkeyコマンドでそのSPを設定する。

- 受信側でtcpdumpで監視

- 送信側でping6コマンドを発行

- もしもIPsecが動作していれば、ダンプされるパケットにはicmヘッダがなく、単にESPという暗号化ヘッダの文言だけが表示される。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。