ラベル拡張による機密性保護と完全性保護
次の表では、ラベル拡張のさまざまな構成で、IPsec の機密性保護や完全性保護がセキュリティーラベルにどのように適用されるかについて説明します。
| | |
ラベル拡張なし
| ラベルはラベル付き IP オプション内で可視となります。
| ラベル付き IP オプション内のメッセージラベルは、ESP ではなく AH で保護されます。「注」を参照してください。
|
ラベル拡張あり
| ラベル付き IP オプションは可視ですが、ワイヤーラベルを表します。これは、内部メッセージラベルとは異なる可能性があります。
| ラベルの完全性は、ラベル固有の SA の存在によって暗黙的に保護されます。 ワイヤー上のラベル付き IP オプションは AH で保護されます。「注」を参照してください。
|
ラベル拡張あり、ラベル付き IP オプション抑制
| メッセージラベルは可視ではありません。
| ラベルの完全性は、ラベル固有の SA の存在によって暗黙的に保護されます。
|
|
注 - メッセージがネットワーク内を移動するときに、ラベルを認識するルーターがラベル付き IP オプションを取り除いたり追加したりする可能性がある場合には、IPsec AH 完全性保護を使用してラベル付き IPオプションを保護することはできません。ラベル付き IP オプションが少しでも変更されるとそのメッセージは無効となり、AH で保護されたパケットが宛先でドロップされることになります。