目次

• 目次
• とある日
• IPsec
  • コンポーネント
• トランスポートモード
• トンネルモード
• 用語
  • セキュリティアソシエーション（SA）
  • IKE
  • AH
    • HMAC
  • ESP
• 〆
• 参考記事

とある日

IPsec

IPsecは（インターネットプロトコルセキュリティ）は、IP層でのインターネット通信にセキュリティを提供するプロトコルのスイートです。

RFC 6071 - IP Security (IPsec) and Internet Key Exchange (IKE) Document Roadmap 日本語訳

主な利用用途は、VPNでセキュアな通信を実装する。

コンポーネント

• SA（セキュリティアソシエーション）：彼らのコミュニケーションに提供するIPsecの保護を指定する一方向（インバウンドまたはアウトバウンド）2つの通信ピア間の合意。これは、特定のセキュリティ保護、暗号化アルゴリズム、および適用する秘密鍵だけでなく、保護されるべき特定のタイプのトラフィックが含まれています。
• SPI（セキュリティパラメータインデックス）、一緒に宛先アドレスおよびセキュリティプロトコル（AHまたはESP）と、一意に単一のSAを識別する値。
• SAD（セキュリティアソシエーションデータベース）：各ピアのSAリポジトリ。 RFCは、どのようにこのデータベース機能（SAルックアップ、等）、それはSAの処理を容易にするために含まなければならない情報のタイプを記述する。それは、データベースのフォーマットやレイアウトを規定していません。 SAは、トランスポートモードまたはトンネルモード（下記参照）のいずれかで確立することができます。
• SPD（セキュリティポリシーデータベース）：異なるタイプおよびトラフィックのクラスに与えられるべきセキュリティ保護を表して注文したデータベース。トラフィックの3つの一般的なクラスは、IPsec保護を必要とし、廃棄されるトラフィック、IPsec保護なしで許可されたトラフィック、およびトラフィックです。

トランスポートモード

トランスポートモードESP SAは、上位層データではなく、IPヘッダーを保護します。トンネルモードESP SAは、上位レイヤデータと内部ヘッダではなく、外部ヘッダを保護します。

トンネルモード

トンネルモードESP SAは、上位レイヤデータと内部ヘッダではなく、外部ヘッダを保護します。

用語

セキュリティアソシエーション（SA）

VPNゲートウェイ間でコネクションを確立する必要があります。このコネクションのことをIPsecではSA（セキュリティアソシエーション）と呼びます。

SAは概念的にはコネクションですが、実質的にはIPsecのパラメータのセットのことです。

IPsec - SA ( Security Association )

IKE

IKEは、相互認証を実行し、セキュリティアソシエーション（SA）を確立および維持するために使用されるIPsecのコンポーネントです。

IKEは、IPsecのための好適な鍵管理プロトコルです。これは、ピア認証に使用されます。 SAを、交渉、変更、および削除します。

RFC 7296 - Internet Key Exchange Protocol Version 2 (IKEv2) 日本語訳

AH

IP認証ヘッダ（AH）は、（以下、単に「整合性」と呼ばれる）IPデータグラムのためのコネクションレス完全性とデータ発信元認証を提供し、リプレイに対する保護を提供するために使用されます。

RFC 4302 - IP Authentication Header 日本語訳

AH プロトコルは認証のためのメカニズムのみを提供します。AH は、データ保全性、データ発信元認証、およびオプションの再生保護サービスを提供します。データ保全性は、HMAC-MD5 や HMAC-SHA などのアルゴリズムによって生成されるメッセージ・ダイジェストを使用して確保されます。データ発信元認証は、メッセージ・ダイジェストを作成するための共有秘密鍵 (shared secret key) を使用して確立されます。再生保護は、AH ヘッダーをもつシーケンス番号フィールドを使用して確立されます。AH は、TTL (Time To Live) フィールドのように転送中に変化することが正当と見なされる幾つかのヘッダー・フィールドを除き、IP ヘッダーとそれぞれのペイロードを認証します。

HMAC

HMACとは、Hash Based Message Authentication Codeの略で、公開鍵、秘密鍵、ハッシュを組み合わせることで、ハッカーが情報を解凍できないようにするメッセージ認証の暗号化技術の1つです。

HMACとは 認証の仕組みと実装 | Okta

ESP

ESPは、機密性、データ発信元認証、コネクションレスインテグリティ、リプレイ防止サービス（部分的なシーケンスインテグリティの形式）、および（限定）トラフィックフローの機密性を提供するために使用することができます。

RFC 4303 - IP Encapsulating Security Payload (ESP) 日本語訳

ESP プロトコルは、データ機密性 (暗号化) と認証 (データ保全性、データ発信元認証、およびリプレイ保護) を提供します。ESP は、機密性のみ、認証のみ、または機密性と認証の両方を設定して、使用することができます。 ESP は、認証機能の提供時に AH と同じアルゴリズムを使用しますが、対象範囲が異なります。AH スタイルの認証では、外部の IP ヘッダーも含めて IP パケット全体が認証されますが、ESP 認証メカニズムでは、IP パケットの IP データグラム部分のみが認証されます。

〆

RFC流し見するだけでも大変。

参考記事

IPsecとは

IPsecの仕組みとSA、AH、ESP、IKEの関係を理解してみよう！ | ITの学び

IP Encapsulating Security Payload (ESP)