IPsec のトランスポートモードとトンネルモード

言語:

IPsec 規格では、IPsec の動作モードとしてトランスポートモードとトンネルモードという 2 つの異なるモードが定義されています。トランスポートモードとトンネルモードの主な違いは、ポリシーが適用される場所です。トンネルモードでは、元のパケットは別の IP ヘッダー内にカプセル化されます。ほかのヘッダー内のアドレスは異なる場合があります。

各モードで、パケットは AH または ESP、あるいはその両方によって保護できます。次のように、モードはポリシーアプリケーションによって異なります。

トランスポートモードでは、外側のヘッダー内の IP アドレスを使用して、パケットに適用される IPsec ポリシーを決定します。
トンネルモードでは、2 つの IP ヘッダーが送信されます。内側の IP パケットによって、その内容を保護する IPsec ポリシーが決まります。

トンネルモードは、エンドシステムとセキュリティーゲートウェイのような中間システムとのあらゆる組み合わせに適用できます。

トランスポートモードでは、IP ヘッダー、次のヘッダー、および次のヘッダーでサポートされるすべてのポートを使用して、IPsec ポリシーを決定できます。実際、IPsec は 2 つの IP アドレスの間で異なるトランスポートモードポリシーを適用でき、ポート単位まで細かく設定できます。たとえば、次のヘッダーが TCP であれば、ポートをサポートするので、外側の IP アドレスの TCP ポートに対して IPsec ポリシーを設定できます。

トンネルモードは、IP 内 IP パケットに対してのみ機能します。トンネルモードでは、IPsec ポリシーは内側の IP パケットの内容に適用されます。内側の IP アドレスごとに異なる IPsec ポリシーを適用できます。つまり、内側の IP ヘッダー、その次のヘッダー、および次のヘッダーでサポートされるポートを使用して、ポリシーを適用できます。トランスポートモードとは異なり、トンネルモードでは、外側の IP ヘッダーによって内側の IP パケットのポリシーが決まることはありません。

したがって、トンネルモードでは、ルーターの背後にある LAN のサブネットや、そのようなサブネットのポートに対して、IPsec ポリシーを指定することができます。これらのサブネット上の特定の IP アドレス (つまり、ホスト) に対しても、IPsec ポリシーを指定することができます。これらのホストのポートに対しても、固有の IPsec ポリシーを適用できます。ただし、トンネルを経由して動的ルーティングプロトコルが実行されている場合は、サブネットやアドレスは選択しないでください。ピアネットワークでのネットワークトポロジのビューが変化する可能性があるためです。そのような変化があると、静的な IPsec ポリシーが無効になります。静的ルートの構成を含むトンネリング手順の例については、IPsec による VPN の保護を参照してください。

Oracle Solaris では、トンネルモードは IP トンネルネットワークインタフェースでのみ適用できます。トンネルインタフェースの詳細については、Oracle Solaris 11.2 での TCP/IP ネットワーク、IPMP、および IP トンネルの管理 の第 4 章IP トンネルの管理についてを参照してください。IPsec ポリシーには、IP トンネルネットワークインタフェースを選択するための tunnel キーワードが用意されています。規則内に tunnel キーワードが含まれている場合は、その規則に指定されているすべてのセレクタが内側のパケットに適用されます。

次の図は、IP ヘッダーと保護されていない TCP パケットを示します。

図 6-3 TCP 情報を伝送する保護されていない IP パケット

image:図は、IP ヘッダーのあとに TCP ヘッダーが続くことを示しています。TCP ヘッダーは、保護されていません。

トランスポートモードで、ESP は次の図のようにデータを保護します。網かけされた領域は、パケットの暗号化された部分を示します。

図 6-4 TCP 情報を伝送する保護された IP パケット

image:図は、IP ヘッダーと TCP ヘッダーの間の ESP ヘッダーを示しています。TCP ヘッダーは、ESP ヘッダーによって暗号化されます。

トンネルモードでは、パケット全体が ESP ヘッダー内にあります。Figure 6–3 のパケットは、トンネルモードでは外側の IPsec ヘッダー (この例では ESP) によって保護され、次の図のようになります。

図 6-5 トンネルモードで保護された IPsec パケット

image:図は、ESP ヘッダーが、IP ヘッダーのあと、IP ヘッダーと TCP ヘッダーの前にあることを示しています。最後の 2 つのヘッダーは、暗号化によって保護されています。

IPsec ポリシーには、トンネルモードおよびトランスポートモード用にキーワードが用意されています。詳細については、次をレビューしてください。

ソケットごとのポリシーの詳細については、ipsec(7P)のマニュアルページを参照してください。
ソケットごとのポリシーの例は、IPsec を使用してほかのサーバーとの Web サーバー通信を保護する方法を参照してください。
トンネルの詳細については、ipsecconf(1M) のマニュアルページを参照してください。
トンネル構成の例は、IPsec のトンネルモードで 2 つの LAN 間の接続を保護する方法を参照してください。