カプセル化セキュリティーペイロード

言語:

カプセル化セキュリティーペイロード (ESP) プロトコルは、ESP がカプセル化する対象の機密性を守ります。また、AH が提供するサービスも提供します。ただし、ESP は外側の IP ヘッダーは保護しません。ESP は、保護されたパケットの整合性を保証するオプションの認証サービスを提供します。ESP は暗号化対応技術を使用するため、ESP を提供するシステムは輸出入管理法の対象となります。

ESP ヘッダーとトレーラが IP ペイロードをカプセル化します。暗号化と ESP を一緒に使用すると、次の図に示すように、暗号化は IP ペイロードデータにのみ適用されます。

image:図は、IP ヘッダーと TCP ヘッダーの間の ESP ヘッダーを示しています。TCP ヘッダーは、ESP ヘッダーによって暗号化されます。

TCP パケットでは、ESP ヘッダーが認証され、そのヘッダーが TCP ヘッダーおよびそのデータをカプセル化します。パケットが IP 内 IP パケットの場合、ESP は内部 IP パケットを保護します。ソケット別ポリシーでは、「自己カプセル化」ができるため、ESP は必要に応じて IP オプションをカプセル化できます。

自己カプセル化は、setsockopt() を使用するプログラムを記述することで使用できます。自己カプセル化が設定されている場合は、IP 内 IP パケットを構築するために IP ヘッダーのコピーが作成されます。たとえば、TCP ソケットに自己カプセル化が設定されていない場合、パケットは次の形式で送信されます。

[ IP(a -> b) options + TCP + data ]

TCP ソケットに自己カプセル化が設定されている場合、パケットは次の形式で送信されます。

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

さらに詳しくは、IPsec のトランスポートモードとトンネルモードを参照してください。

AH と ESP を使用する場合のセキュリティー上の考慮事項

次の表では、AH が提供する保護と ESP が提供する保護を比較します。

表 6-1 IPsec で AH と ESP が提供する保護

プロトコル	パケットの範囲	保護	対象となる攻撃
AH	パケットの IP ヘッダーからトランスポートデータの最後までを保護	強力な完全性およびデータ認証を提供します。送信側が送ったものとまったく同じものを受信側が受け取ることを保証する AH がリプレー保護を有効にしていない場合は、リプレー攻撃を受けやすい	リプレー、カットアンドペースト
ESP	パケットの ESP ヘッダーからトランスポートデータの最後までを保護	暗号化オプションで、IP ペイロードを暗号化します。機密性を確保します	盗聴
		認証オプションで、AH と同じペイロード保護を提供します	リプレー、カットアンドペースト
		両方のオプションで、強力な完全性、データ認証、および機密性を提供します	リプレー、カットアンドペースト、盗聴