データの暗号化と認証 - IPSec

ホストは、仮想プライベート・ネットワーク (VPN) に参加するために、そのホスト自体と通信相手の他のホストとの間の個々の IP パケットを暗号化し、認証する必要があります。 IPSec は、この目的を達成するための複数のメカニズムの 1 つであり、また最も融通性の高いものの 1 つでもあります。

IPSec は、IETF の IPSec ワーキング・グループにより定義されています。これは、任意の 2 つの IP エンティティー間における、認証、保全性、およびデータ・プライバシーを提供します。暗号鍵とセキュリティー・アソシエーションの管理は、手動で行うことも、Internet Key Exchange (IKE) と呼ばれる IETF 定義の鍵管理プロトコルを使用して動的に行うこともできます。

IPSec は、多種多様な構成をサポートできる柔軟性の高いビルディング・ブロックを提供します。IPSec セキュリティー・アソシエーションは 2 つの IP エンティティーの間に存在できるので、パスのセグメントまたはパスの全体を保護することができます。IPSec を使用したデータ暗号化および認証には、IPSec が IP 層で実装されるという利点があります。その結果、アプリケーションが使用するもっと高いレベルのプロトコルに特別な変更を加えなくても、IP ネットワーク上を流れるどのネットワーク・トラフィックでも、IPSec サービスを使用することができます。しかし、システムがこれらの代替セキュリティー・プロトコルのいずれかを使用して特定のアプリケーションを保護する場合は、IP フィルター操作を利用して複数のセキュリティー・プロトコルのオーバーヘッドを回避することができます。例えば、SSL を使用するために、Web サーバーの予約済み保護ポート (ポート 443) に基づき、Web トラフィックを IPSec の対象範囲から除外しても構いません。

IPSec により、VPN の作成が可能になります。VPN を利用すると、企業ではセキュリティー・アソシエーションを使用したセキュア・トンネルを介して、そのネットワークをインターネットなどの公衆ネットワークへと拡張することができます。 IPSec VPN は、公衆インターネットを介した企業内および企業間通信における安全なデータ転送を可能にし、企業の内部ネットワーク内の機密データを保護します。

IPSec は IP フィルター操作を使用して、どのトラフィックを IPSec で保護すべきかを判断します。特殊なタイプのフィルター・アクションで、トラフィック (IPSec 保護が指定されているトラフィックのみ) を許可するように指定します。IP フィルターは、IPSec 保護を必要とするトラフィックを指定することにより、IP セキュリティー・ポリシーをスタックに示します。フィルターは、アウトバウンド IPSec セキュリティー・アソシエーションを見付けるため、およびインバウンド・トラフィックが正しいセキュリティー・アソシエーションを使用して受信されたかどうかを検査するためにも使用されます。

IETF は、一連の IPSec RFC により、IPSec プロトコル・スイートおよび鍵管理体系を標準化しています。これらの RFC についての詳細は、関連プロトコル仕様を参照してください。

IPSec には、次の 3 つの主要コンポーネントがあります。

• IP 認証ヘッダー (AH)
• IP カプセル化セキュリティー・ペイロード (ESP)
• Internet Key Exchange (IKE)