JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris の管理: IP サービス     Oracle Solaris 10 1/13 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I システム管理の概要: IP サービス

1.  Oracle Solaris TCP/IP プロトコル群 (概要)

パート II TCP/IP の管理

2.  TCP/IP ネットワークの計画 (手順)

3.  IPv6 の紹介 (概要)

4.  IPv6 ネットワークの計画 (手順)

5.  TCP/IP ネットワークサービスと IPv4 アドレス指定の構成 (作業)

6.  ネットワークインタフェースの管理 (作業)

7.  IPv6 ネットワークの構成 (手順)

8.  TCP/IP ネットワークの管理 (手順)

9.  ネットワークの問題の障害追跡 (手順)

10.  TCP/IP と IPv4 の詳細 (リファレンス)

11.  IPv6 の詳細 (リファレンス)

パート III DHCP

12.  DHCP について (概要)

13.  DHCP サービスの使用計画 (手順)

14.  DHCP サービスの構成 (手順)

15.  DHCP の管理 (タスク)

16.  DHCP クライアントの構成と管理

17.  DHCP のトラブルシューティング (リファレンス)

18.  DHCP コマンドと DHCP ファイル (リファレンス)

パート IV IP セキュリティー

19.  IP セキュリティーアーキテクチャー (概要)

IPsec の新機能

IPsec とは

IPsec RFC

IPsec の用語

IPsec パケットのフロー

IPsec セキュリティーアソシエーション

IPsec での鍵管理

IPsec の保護メカニズム

認証ヘッダー

カプセル化セキュリティーペイロード

AH と ESP を使用する場合のセキュリティー上の考慮事項

IPsec の認証アルゴリズムと暗号化アルゴリズム

IPsec での認証アルゴリズム

IPsec での暗号化アルゴリズム

IPsec の保護ポリシー

IPsec のトランスポートモードとトンネルモード

仮想プライベートネットワークと IPsec

IPsec と NAT 越え

IPsec と SCTP

IPsec と Oracle Solaris ゾーン

IPsec と論理ドメイン

IPsec ユーティリティーおよび IPsec ファイル

Oracle Solaris 10 リリースでの IPsec の変更点

20.  IPsec の構成 (タスク)

21.  IP セキュリティーアーキテクチャー (リファレンス)

22.  インターネット鍵交換 (概要)

23.  IKE の構成 (タスク)

24.  インターネット鍵交換 (リファレンス)

25.  Oracle Solaris の IP フィルタ (概要)

26.  IP フィルタ (タスク)

パート V IPMP

27.  IPMP の紹介 (概要)

28.  IPMP の管理 (タスク)

パート VI IP サービス品質 (IPQoS)

29.  IPQoS の紹介 (概要)

30.  IPQoS 対応ネットワークの計画 (タスク)

31.  IPQoS 構成ファイルの作成 (手順)

32.  IPQoS の起動と保守(手順)

33.  フローアカウンティングの使用と統計情報の収集 (タスク)

34.  IPQoS の詳細 (リファレンス)

用語集

索引

IPsec の保護メカニズム

IPsec は、データを保護するために次の 2 つのセキュリティープロトコルを提供しています。

AH は、認証アルゴリズムでデータを保護します。ESP は、暗号化アルゴリズムでデータを保護します。ESP は認証メカニズムと組み合わせて使用可能であり、またそうすべきです。NAT をトラバースしない場合は、ESP と AH を組み合わせることができます。それ以外の場合、ESP で認証アルゴリズムと暗号化メカニズムを使用できます。

認証ヘッダー

認証ヘッダーは、IP データグラムに対するデータ認証、強力な完全性、再送保護を供給します。AH では大部分の IP データグラムを保護します。次の図に示されているように、AH は IP ヘッダーとトランスポートヘッダーの間に挿入されます。

image:図は、IP ヘッダーと TCP ヘッダーの間の AH ヘッダーを示しています。

トランスポートヘッダーは、TCP、UDP、SCTP、または ICMP のいずれかです。トンネルを使用している場合は、トランスポートヘッダーがこれ以外の IP ヘッダーである場合もあります。

カプセル化セキュリティーペイロード

カプセル化セキュリティーペイロード (ESP)モジュールは、ESP がカプセル化した対象の機密性を守ります。また、AH が提供するサービスも提供します。ただし、保護される対象は、データグラムのうち ESP がカプセル化した部分だけです。ESP は、保護されたパケットの完全性を保証するオプションの認証サービスを提供します。ESP は暗号化対応技術を使用するため、ESP を提供するシステムは輸出入管理法の対象となります。

ESP はデータをカプセル化します。したがって、次の図に示されているように、ESP が保護するのはデータグラム内の EPS の開始点以降のデータのみです。

image:図は、IP ヘッダーと TCP ヘッダーの間の ESP ヘッダーを示しています。TCP ヘッダーは、ESP ヘッダーによって暗号化されます。

TCP パケットでは、ESP は TCP ヘッダーとそのデータだけをカプセル化します。パケットが IP 内 IP データグラムの場合、ESP は内部 IP データグラムを保護します。ソケット別ポリシーでは、「自己カプセル化」ができるため、必要に応じて ESP では IP オプションをカプセル化できます。

自己カプセル化が設定されている場合は、IP 内 IP データグラムを構築するために IP ヘッダーのコピーが作成されます。たとえば、TCP ソケットに自己カプセル化が設定されていない場合、データグラムは次の形式で送信されます。

[ IP(a -> b) options + TCP + data ]

TCP ソケットに自己カプセル化が設定されている場合、データグラムは次の形式で送信されます。

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

さらに詳しくは、「IPsec のトランスポートモードとトンネルモード」を参照してください。

AH と ESP を使用する場合のセキュリティー上の考慮事項

次の表では、AH と ESP が提供する保護を比較しています。

表 19-2 IPsec で AH と ESP が提供する保護

プロトコル
パケットの範囲
保護
対象となる攻撃
AH
IP ヘッダーからトランスポートヘッダーまでのパケットを保護
強力な完全性およびデータ認証を提供します。

  • 送信側が送ったものとまったく同じものを受信側が受け取ることを保証する

  • AH がリプレー保護を有効にしていない場合は、リプレー攻撃を受けやすい
リプレー、カットアンドペースト
ESP
データグラムの ESP 開始後のパケットを保護
暗号化オプションで、IP ペイロードを暗号化します。機密性を確保します
盗聴
認証オプションで、AH と同じペイロード保護を提供します
リプレー、カットアンドペースト
両方のオプションで、強力な完全性、データ認証、および機密性を提供します
リプレー、カットアンドペースト、盗聴

IPsec の認証アルゴリズムと暗号化アルゴリズム

IPsec セキュリティープロトコルは、認証と暗号化という 2 種類のアルゴリズムを提供しています。AH モジュールは、認証アルゴリズムを使用します。ESP モジュールは、暗号化アルゴリズムと認証アルゴリズムを使用します。ipsecalgs コマンドを使用すると、システムのアルゴリズムとプロパティーの一覧を取得できます。詳細は、ipsecalgs(1M) のマニュアルページを参照してください。getipsecalgbyname(3NSL) のマニュアルページで説明されている機能を使用して、アルゴリズムのプロパティーを検索することもできます。

IPsec は、暗号化フレームワークを使用してアルゴリズムにアクセスします。暗号化フレームワークは、その他のサービスに加えて、アルゴリズムの集中リポジトリを提供します。このフレームワークによって、IPsec は、高性能な暗号ハードウェアアクセラレータを利用できます。

詳細については、次を参照してください。

IPsec での認証アルゴリズム

認証アルゴリズムは、データとキーを基に整合性チェックサムの値、つまり、「ダイジェスト」を生成します。AH モジュールは、認証アルゴリズムを使用します。ESP モジュールも、認証アルゴリズムを使用します。

IPsec での暗号化アルゴリズム

暗号化アルゴリズムは、キーでデータを暗号化します。 IPsec の ESP モジュールは、暗号化アルゴリズムを使用します。暗号化アルゴリズムでは、「ブロックサイズ」ごとにデータを処理します。

デフォルトで使用される暗号化アルゴリズムは、Oracle Solaris のリリースによって異なります。

Solaris 10 7/07 リリース以降では、Solaris Encryption Kit の内容は Solaris インストールメディアによってインストールされます。このリリースでは、SHA2 認証アルゴリズム sha256、sha384、および sha512 が追加されています。SHA2 の実装は RFC 4868 仕様に適合しています。このリリースでは、Diffie-Hellman グループ 2048 ビット (グループ 14)、3072 ビット (グループ 15)、および 4096 ビット (グループ 16) も追加されています。ただし、CoolThreads テクノロジを備えた Oracle Sun システムでは、2048 ビットグループだけが高速化されます。

注意

注意 - Solaris 10 7/07 リリース以降では、システムに Solaris Encryption Kit を追加しないでください。このキットはシステムにおける暗号化のパッチレベルを低下させます。このキットはシステム上の暗号化と互換性がありません。

Copyright © 1999, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ