IPsec
IPsecは、ネットワーク層のIPパケットをカプセル化し、認証、暗号化を行い、仮想的な専用線を作ってトンネリングを行う仮想化技術です。
IPsecの通信モード
トランスポートモード
- テレワークなどのリモートアクセスに用いるモードです。
- VPNソフトウェアを使って、VPN用のNICを作り、VPN装置にIPsecトンネルを作ります。
トンネルモード
- 拠点間の接続に用いるモードです。
- VPN装置同士でIPsecトンネルを作ります。
IPsecのパケット構造
IPSecにはESPとAHの2つのプロトコルがあります。
ESPは認証と暗号化の機能を持ち、AHは認証の機能を持ちます。
AHは暗号化が制限されているような国で使用するプロトコルなので、紹介は割愛します。
トランスポートモードのパケット構造
- トランスポートモードでは、IPヘッダのカプセル化および暗号化をしません。
- カプセル化はL2TPなどで行います。
- L2TP over IPsecでは、カプセル化をL2TPを行い、さらに暗号化をIPsecで行います。その順番のため、ESPヘッダの方が前に来ます。→パケット構造はL2TP over IPsecを参照。
トンネルモードのパケット構造
- トンネルモードでは、IPヘッダを含めて、カプセル化および暗号化します。
- 新IPヘッダを付与します。
暗号化と認証の範囲
両モードとも、以下の通りです。
暗号化の範囲:ESPヘッダを含まず~ESPトレーラまで(ヘッダを暗号化してしまうと通信できないから)
認証の範囲:ESPヘッダを含む~ESPトレーラまで(ヘッダは重要な認証情報だから)