ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: IP サービス Oracle Solaris 11 Information Library (日本語) |
13. DHCP コマンドと DHCP ファイル (リファレンス)
AH と ESP を使用する場合のセキュリティー上の考慮事項
16. IP セキュリティーアーキテクチャー (リファレンス)
20. Oracle Solaris の IP フィルタ (概要)
IPsec の セキュリティーアソシエーション (SA) は、通信するホストが認識するセキュリティープロパティーを示します。1 つの SA は、1 方向のデータを保護します。つまり、1 つのホストかグループ (マルチキャスト) アドレスのどちらかです。大部分の通信がピアツーピアかクライアントサーバーなので、両方向のトラフィックの安全性を確保するために 2 つの SA が必要です。
次の 3 つの要素は、IPsec SA を一意に識別します。
セキュリティープロトコル (AH または ESP)
宛先 IP アドレス
任意の 32 ビット値の SPI は、AH パケットまたは ESP パケットで転送されます。AH および ESP によって保護される範囲については、ipsecah(7P) と ipsecesp(7P) のマニュアルページを参照してください。完全性チェックサム値を使用して、パケットを認証します。認証が失敗すると、パケットがドロップされます。
SA は、セキュリティーアソシエーションデータベース (SADB) に格納されます。ソケットベースの管理インタフェース PF_KEY により、特権を持つアプリケーションでそのデータベースを管理できます。たとえば、IKE アプリケーションと ipseckeys コマンドは PF_KEY ソケットインタフェースを使用します。
IPsec SADB のより完全な説明については、「IPsec のセキュリティーアソシエーションデータベース」を参照してください。
SADB の管理方法の詳細については、pf_key(7P) のマニュアルページを参照してください。
セキュリティーアソシエーション (SA) は、認証および暗号化で使用するキー作成素材を必要とします。このキーイング素材の管理を鍵管理と呼びます。IKE (インターネット鍵交換) プロトコルにより、鍵管理が自動的に行われます。また、ipseckey コマンドを指定して、鍵管理を手動で行うこともできます。
IPv4 と IPv6 パケットの SA は、どちらの鍵管理方法も使用できます。手動で鍵管理を行う決定的な理由がないかぎり、IKE をお勧めします。
Oracle Solaris のサービス管理機能 (SMF) 機能は、次の IPsec 用鍵管理サービスを提供します。
svc:/network/ipsec/ike:default サービス – 自動鍵管理のための SMF サービスです。ike サービスは in.iked デーモンを実行して自動鍵管理を提供します。IKE については、第 17 章インターネット鍵交換 (概要)を参照してください。in.iked デーモンの詳細については、in.iked(1M) のマニュアルページを参照してください。ike サービスについては、「IKE サービス」を参照してください。
svc:/network/ipsec/manual-key:default サービス – 手動での鍵管理のための SMF サービスです。manual-key サービスは ipseckey コマンドを各種オプションで実行して、鍵を手動で管理します。ipseckey コマンドについては、「IPsec の SA を生成するためのユーティリティー」を参照してください。ipseckey コマンドオプションの詳細な説明については、ipseckey(1M) のマニュアルページを参照してください。