test

Solaris のシステム管理 (第 3 巻)

保護機構

IPsec にはデータ保護機構が 2 つあります。

どちらの機構もセキュリティアソシエーションを使用します。

認証ヘッダー

認証ヘッダーは新しい IP ヘッダーです。強力な完全性、部分的シーケンス完全性 (応答保護)、IP データグラムに対するデータ認証を備えています。AH では対応できる範囲で最大限の IP データグラムを保護します。送信者と受信者の間で不定的に変更されるフィールドは AH では保護できません。たとえば、IP TTL フィールドの変更は予測できないので AH では保護できません。AH は IP ヘッダーとトランスポートヘッダーの間に挿入されます。トランスポートヘッダーの種類としては、TCP、UDP、ICMP、あるいはもう 1 つの IP ヘッダーがあります。トンネルの詳細については、tun(7M) のマニュアルページを参照してください。

認証アルゴリズムと AH デバイス

IPsec による実装では、AH は IP の先頭に自動的にプッシュされるモジュールです。/dev/ipsecah エントリでは、将来の認証アルゴリズムが AH の先頭にロードできる他、ndd(1M) で AH を調整します。現在の認証アルゴリズムには、HMAC-MD5 と HMAC-SHA-1 があります。どちらの認証アルゴリズムにも、それぞれのキーサイズ属性とキーフォーマット属性が用意されています。詳細については、authmd5h(7M)autsha1(7M) のマニュアルページを参照してください。

セキュリティについて

応答保護を有効にしておかないと、応答時のすべての問題が AH をおびやかす原因になります。AH では盗聴行為には対応できません。AH で保護されたデータであっても、見ようと思えば見ることができます。

セキュリティペイロードのカプセル化

AH によるサービス同様に、ESP でもカプセル化したデータの機密が守られますが、対象はカプセル化したものだけです。ESP の認証サービスはオプションです。これらのサービスでは、冗長になることなく ESP と AH を同じデータグラムで同時に使用できます。ESP は暗号対応技術を使用するため、アメリカ合衆国輸出管理法が適用されます。

ESP はデータをカプセル化し、データグラム内でその先頭に続くデータだけが保護されます。TCP パケットでは、ESP は TCP ヘッダーとそのデータだけをカプセル化します。パケットが IP データグラムの IP の場合、ESP は内部 IP データグラムを保護します。ソケット別ポリシーでは、自己カプセル化ができるため、必要に応じて ESP では IP オプションをカプセル化できます。認証ヘッダー (AH) と異なり、ESP では複数のデータグラム保護が可能です。1 形式だけのデータグラム保護ではデータグラムを守ることはできません。たとえば、ESP だけで機密は守れますが、機密だけを守っても、応答侵害とカットアンドペースト侵害には無防備です。同じく、ESP で完全性だけを保護しても、盗聴に対する対策が不十分なため、その保護能力は AH より弱くなります。

アルゴリズムと ESP デバイス

IPsec ESP では、IP の先頭に自動的にプッシュされるモジュールとして ESP が実装されます。/dev/ipsecesp エントリでは、将来の認証アルゴリズムが AH の先頭にロードできる他、ndd(1M) で ESP を調整します。AH で使用する認証アルゴリズムに加えて、ESP では暗号化アルゴリズムをその先頭にプッシュできます。暗号化アルゴリズムには、United States Data Encryption Standard (DES) と Triple-DES (3DES) があります。どちらの暗号化アルゴリズムにも、それぞれのキーサイズ属性とキーフォーマット属性があります。合衆国の輸出管理法の適用を受けるので、すべての暗号化アルゴリズムを合衆国外で使用できるわけではありません。

セキュリティについて

認証なしで ESP を使用しても、盗聴侵害の他、カットアンドペースト暗号化侵害に対しては無防備です。AH の場合と同じく、機密保護なしで ESP を使用しても応答には無防備です。合衆国の輸出管理法の適用を受けるので、合衆国外で販売される SunOS の場合、ESP で得られる暗号化は、強度が低くなります。

認証アルゴリズムと暗号化アルゴリズム

IPsec では、次の 2 種類のアルゴリズムを使用します。

認証アルゴリズム

認証アルゴリズムでは、データとキーに基づいて、チェックサム値またはダイジェストが生成されます。ダイジェストとキーのサイズについては、認証アルゴリズムのマニュアルページ (authmd5h(7M)authsha1(7M) のマニュアルページなど) を参照してください。

暗号化アルゴリズム

暗号化アルゴリズムでは、キーでデータを暗号化します。暗号化アルゴリズムでは、ブロックサイズごとにデータを処理します。ブロックサイズとキーサイズについては、暗号化アルゴリズムのマニュアルページ (encrdes(7M)encr3des(7M) のマニュアルページなど) を参照してください。