JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 でのネットワークのセキュリティー保護     Oracle Solaris 11.1 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

1.  仮想化環境でのリンク保護の使用

2.  ネットワークのチューニング (タスク)

3.  Web サーバーと Secure Sockets Layer プロトコル

4.  Oracle Solaris の IP フィルタ (概要)

5.  IP フィルタ (タスク)

6.  IP セキュリティーアーキテクチャー (概要)

IPsec とは

IPsec RFC

IPsec の用語

IPsec パケットのフロー

IPsec セキュリティーアソシエーション

IPsec での鍵管理

IPsec の保護メカニズム

認証ヘッダー

カプセル化セキュリティーペイロード

AH と ESP を使用する場合のセキュリティー上の考慮事項

IPsec の認証アルゴリズムと暗号化アルゴリズム

IPsec での認証アルゴリズム

IPsec での暗号化アルゴリズム

IPsec の保護ポリシー

IPsec のトランスポートモードとトンネルモード

仮想プライベートネットワークと IPsec

IPsec と NAT 越え

IPsec と SCTP

IPsec と Oracle Solaris ゾーン

IPsec と論理ドメイン

IPsec ユーティリティーおよび IPsec ファイル

7.  IPsec の構成 (タスク)

8.  IP セキュリティーアーキテクチャー (リファレンス)

9.  インターネット鍵交換 (概要)

10.  IKE の構成 (タスク)

11.  インターネット鍵交換 (リファレンス)

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

IPsec のトランスポートモードとトンネルモード

IPsec 規格では、IPsec の動作モードとして「トランスポートモード」と「トンネルモード」という 2 つの異なるモードが定義されています。これらのモードは、パケットのエンコードには影響を与えません。各モードで、パケットは AH または ESP、あるいはその両方によって保護されます。内側のパケットが IP パケットである場合に、モードによってポリシーの適用方法が次のように異なります。

トランスポートモードでは、外側のヘッダー、次のヘッダー、および次のヘッダーでサポートされるすべてのポートを使用して、IPsec ポリシーを決定できます。実際、IPsec は 2 つの IP アドレスの間で異なるトランスポートモードポリシーを適用でき、ポート単位まで細かく設定できます。たとえば、次のヘッダーが TCP であれば、ポートをサポートするので、外側の IP アドレスの TCP ポートに対して IPsec ポリシーを設定できます。同様に、次のヘッダーが IP ヘッダーであれば、外側のヘッダーと内側の IP ヘッダーを使用して IPsec ポリシーを決定できます。

トンネルモードは IP 内 IP データグラムに対してのみ機能します。トンネルモードのトンネリングは、自宅のコンピュータから中央コンピュータに接続する場合に役立ちます。トンネルモードでは、IPsec ポリシーは内側の IP データグラムの内容に適用されます。内側の IP アドレスごとに異なる IPsec ポリシーを適用できます。つまり、内側の IP ヘッダー、その次のヘッダー、および次のヘッダーでサポートされるポートを使用して、ポリシーを適用することができます。トランスポートモードとは異なり、トンネルモードでは、外側の IP ヘッダーによって内側の IP データグラムのポリシーが決まることはありません。

したがって、トンネルモードでは、ルーターの背後にある LAN のサブネットや、そのようなサブネットのポートに対して、IPsec ポリシーを指定することができます。これらのサブネット上の特定の IP アドレス (つまり、ホスト) に対しても、IPsec ポリシーを指定することができます。これらのホストのポートに対しても、固有の IPsec ポリシーを適用できます。ただし、トンネルを経由して動的ルーティングプロトコルが実行されている場合は、サブネットやアドレスは選択しないでください。ピアネットワークでのネットワークトポロジのビューが変化する可能性があるためです。そのような変化があると、静的な IPsec ポリシーが無効になります。静的ルートの構成を含むトンネリング手順の例については、「IPsec による VPN の保護」を参照してください。

Oracle Solaris では、IP トンネルネットワークインタフェースにのみトンネルモードを適用できます。トンネルインタフェースの詳細は、『Oracle Solaris 11.1 ネットワークの構成と管理』の第 6 章「IP トンネルの構成」を参照してください。ipsecconf コマンドには、IP トンネルネットワークインタフェースを選択するための tunnel キーワードが用意されています。規則内に tunnel キーワードが含まれている場合は、その規則に指定されているすべてのセレクタが内側のパケットに適用されます。

トランスポートモードでは、ESP または AH、あるいはその両方を使用してデータグラムを保護できます。

次の図は、IP ヘッダーと保護されていない TCP パケットを示します。

図 6-3 TCP 情報を伝送する保護されていない IP パケット

image:図は、IP ヘッダーのあとに TCP ヘッダーが続くことを示しています。TCP ヘッダーは、保護されていません。

トランスポートモードで、ESP は次の図のようにデータを保護します。網かけされた領域は、パケットの暗号化された部分を示します。

図 6-4 TCP 情報を伝送する保護された IP パケット

image:図は、IP ヘッダーと TCP ヘッダーの間の ESP ヘッダーを示しています。TCP ヘッダーは、ESP ヘッダーによって暗号化されます。

トランスポートモードで、AH は次の図のようにデータを保護します。

図 6-5 認証ヘッダーで保護されたパケット

image:図は、IP ヘッダーと TCP ヘッダーの間の AH ヘッダーを示しています。

AH 保護では、トランスポートモードの場合でも、IP ヘッダーの大部分が保護されます。

トンネルモードでは、データグラム全体が IPsec ヘッダーの保護下にあります。図 6-3 のデータグラムは、トンネルモードでは外側の IPsec ヘッダー (この例では ESP) によって保護され、次の図のようになります。

図 6-6 トンネルモードで保護された IPsec パケット

image:図は、ESP ヘッダーが、IP ヘッダーのあと、IP ヘッダーと TCP ヘッダーの前にあることを示しています。最後の 2 つのヘッダーは、暗号化によって保護されています。

ipsecconf コマンドには、トンネルをトンネルモードまたはトランスポートモードで設定するためのキーワードが用意されています。

Copyright © 1999, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ