JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris 11.1 でのネットワークのセキュリティー保護     Oracle Solaris 11.1 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
このドキュメントの評価
search filter icon
search icon

ドキュメントの情報

はじめに

1.  仮想化環境でのリンク保護の使用

2.  ネットワークのチューニング (タスク)

3.  Web サーバーと Secure Sockets Layer プロトコル

4.  Oracle Solaris の IP フィルタ (概要)

5.  IP フィルタ (タスク)

6.  IP セキュリティーアーキテクチャー (概要)

IPsec とは

IPsec RFC

IPsec の用語

IPsec パケットのフロー

IPsec セキュリティーアソシエーション

IPsec での鍵管理

IPsec の保護メカニズム

認証ヘッダー

カプセル化セキュリティーペイロード

AH と ESP を使用する場合のセキュリティー上の考慮事項

IPsec の認証アルゴリズムと暗号化アルゴリズム

IPsec での認証アルゴリズム

IPsec での暗号化アルゴリズム

IPsec の保護ポリシー

IPsec のトランスポートモードとトンネルモード

仮想プライベートネットワークと IPsec

IPsec と NAT 越え

IPsec と SCTP

IPsec と Oracle Solaris ゾーン

IPsec と論理ドメイン

IPsec ユーティリティーおよび IPsec ファイル

7.  IPsec の構成 (タスク)

8.  IP セキュリティーアーキテクチャー (リファレンス)

9.  インターネット鍵交換 (概要)

10.  IKE の構成 (タスク)

11.  インターネット鍵交換 (リファレンス)

用語集

索引

ドキュメントの品質向上のためのご意見をください
簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
その他
Your rating has been updated
貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか?

IPsec の保護メカニズム

IPsec は、データを保護するために次の 2 つのセキュリティープロトコルを提供しています。

AH は、認証アルゴリズムでデータを保護します。ESP は、暗号化アルゴリズムでデータを保護します。ESP は認証メカニズムと組み合わせて使用可能であり、またそうすべきです。NAT をトラバースしない場合は、ESP と AH を組み合わせることができます。それ以外の場合、ESP で認証アルゴリズムと暗号化メカニズムを使用できます。AES-GCM のような複合モードのアルゴリズムでは、単一のアルゴリズム内で暗号化と認証が提供されます。

認証ヘッダー

認証ヘッダーは、IP データグラムに対するデータ認証、強力な完全性、再送保護を供給します。AH では大部分の IP データグラムを保護します。次の図に示されているように、AH は IP ヘッダーとトランスポートヘッダーの間に挿入されます。

image:図は、IP ヘッダーと TCP ヘッダーの間の AH ヘッダーを示しています。

トランスポートヘッダーは、TCP、UDP、SCTP、または ICMP のいずれかです。トンネルを使用している場合は、トランスポートヘッダーがこれ以外の IP ヘッダーである場合もあります。

カプセル化セキュリティーペイロード

カプセル化セキュリティーペイロード (ESP)モジュールは、ESP がカプセル化した対象の機密性を守ります。また、AH が提供するサービスも提供します。ただし、保護される対象は、データグラムのうち ESP がカプセル化した部分だけです。ESP は、保護されたパケットの完全性を保証するオプションの認証サービスを提供します。ESP は暗号化対応技術を使用するため、ESP を提供するシステムは輸出入管理法の対象となります。

ESP はデータをカプセル化します。したがって、次の図に示されているように、ESP が保護するのはデータグラム内の EPS の開始点以降のデータのみです。

image:図は、IP ヘッダーと TCP ヘッダーの間の ESP ヘッダーを示しています。TCP ヘッダーは、ESP ヘッダーによって暗号化されます。

TCP パケットでは、ESP は TCP ヘッダーとそのデータだけをカプセル化します。パケットが IP 内 IP データグラムの場合、ESP は内部 IP データグラムを保護します。ソケット別ポリシーでは、「自己カプセル化」ができるため、必要に応じて ESP では IP オプションをカプセル化できます。

自己カプセル化が設定されている場合は、IP 内 IP データグラムを構築するために IP ヘッダーのコピーが作成されます。たとえば、TCP ソケットに自己カプセル化が設定されていない場合、データグラムは次の形式で送信されます。

[ IP(a -> b) options + TCP + data ]

TCP ソケットに自己カプセル化が設定されている場合、データグラムは次の形式で送信されます。

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

さらに詳しくは、「IPsec のトランスポートモードとトンネルモード」を参照してください。

AH と ESP を使用する場合のセキュリティー上の考慮事項

次の表では、AH と ESP が提供する保護を比較しています。

表 6-2 IPsec で AH と ESP が提供する保護

プロトコル
パケットの範囲
保護
対象となる攻撃
AH
IP ヘッダーからトランスポートヘッダーまでのパケットを保護
強力な完全性およびデータ認証を提供します。

  • 送信側が送ったものとまったく同じものを受信側が受け取ることを保証する

  • AH がリプレー保護を有効にしていない場合は、リプレー攻撃を受けやすい
リプレー、カットアンドペースト
ESP
データグラムの ESP 開始後のパケットを保護
暗号化オプションで、IP ペイロードを暗号化します。機密性を確保します
盗聴
認証オプションで、AH と同じペイロード保護を提供します
リプレー、カットアンドペースト
両方のオプションで、強力な完全性、データ認証、および機密性を提供します
リプレー、カットアンドペースト、盗聴

IPsec の認証アルゴリズムと暗号化アルゴリズム

IPsec セキュリティープロトコルは、認証と暗号化という 2 種類のアルゴリズムを提供しています。AH モジュールは、認証アルゴリズムを使用します。ESP モジュールは、暗号化アルゴリズムと認証アルゴリズムを使用します。ipsecalgs コマンドを使用すると、システムのアルゴリズムとプロパティーの一覧を取得できます。詳細は、ipsecalgs(1M) のマニュアルページを参照してください。getipsecalgbyname(3NSL) のマニュアルページで説明されている機能を使用して、アルゴリズムのプロパティーを検索することもできます。

IPsec は、暗号化フレームワークを使用してアルゴリズムにアクセスします。暗号化フレームワークは、その他のサービスに加えて、アルゴリズムの集中リポジトリを提供します。このフレームワークによって、IPsec は、高性能な暗号ハードウェアアクセラレータを利用できます。

詳細については、次を参照してください。

IPsec での認証アルゴリズム

認証アルゴリズムは、データとキーを基に整合性チェックサムの値、つまり、「ダイジェスト」を生成します。AH モジュールは、認証アルゴリズムを使用します。ESP モジュールも、認証アルゴリズムを使用します。

IPsec での暗号化アルゴリズム

暗号化アルゴリズムは、キーでデータを暗号化します。 IPsec の ESP モジュールは、暗号化アルゴリズムを使用します。暗号化アルゴリズムでは、「ブロックサイズ」ごとにデータを処理します。

Copyright © 1999, 2013, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ