IPsec と IKE の管理

認証ヘッダー

認証ヘッダーは、IP データグラムに対するデータ認証、強力な完全性、再送保護を備えています。AH では大部分の IP データグラムを保護します。送信者と受信者の間で不定的に変更されるフィールドは AH では保護できません。たとえば、IP TTL フィールドの変更は予測できないので AH では保護できません。AH は IP ヘッダーとトランスポートヘッダーの間に挿入されます。トランスポートヘッダーの種類としては、TCP、UDP、ICMP、あるいは、トンネルが使用されている場合、もう 1 つ別の IP ヘッダーがあります。トンネルの詳細については、tun(7M) のマニュアルページを参照してください。

認証アルゴリズムと AH モジュール

IPsec による実装では、AH は IP の先頭に自動的にプッシュされるモジュールです。/dev/ipsecah エントリでは、ndd コマンドで AH を調整します。将来の認証アルゴリズムが AH の先頭にロードできます。現在の認証アルゴリズムには、HMAC-MD5 と HMAC-SHA-1 があります。どちらの認証アルゴリズムにも、それぞれのキーサイズ属性とキーフォーマット属性が用意されています。詳細については、authmd5h(7M)authsha1(7M) のマニュアルページを参照してください。IP 設定パラメータの調整方法については、ndd(1M) のマニュアルページを参照してください。

AH におけるセキュリティについて

再送保護を有効にしておかないと、再送時攻撃が AH をおびやかす原因になります。AH では盗聴行為には対応できません。AH で保護されたデータであっても、見ようとすれば見ることができます。