IPsecについて

概要

VPNで導入されるIPsecについて情報をまとめます。

要点

• VPN
インターネット上に仮想的なネットワークを構築する技術をVPNといいます。VPNを使う事でファイル転送の際に意図しない相手との通信やデータ破壊の脅威を防ぐことができます。接続先との通信では個別に暗号化を行う必要がなくなるので、効率的に通信ができます。
• IPsec
IPsecで使用する暗号化プロトコルはESPとAHの2種類ありますが、EAPが主流です。 IPsecの通信モードには、端末間でIPsecを行うトランスポートモードと、VPN間で通信を行うトンネルモードがありますが、トンネルモードが主流です。
VPNルータを経由する場合、そこまで到達したパケットを暗号化して、ESPヘッダとIPヘッダを付与します。宛先のVPNルータに到達すると元のパケットを複合して、EAPヘッダの削除、改ざんの検知を行ってからIPヘッダを削除して宛先のサーバに元のパケットを信します。

• IKE
IKEは鍵交換のプロトコルで、鍵交換を安全に実施するための仕組みです。
IKEの実行モードには、IPsec接続先のIPアドレスを使用するメインモードと、IPアドレスを使用しないアグレッシブモードがあります。動的IPアドレスを使用する場合はアグレッシブモードを使う必要があります。
IKEを使った認証は制御用のセッションを作るフェーズ1と、通信用のセッションを作るフェーズ2を行って、そのあとにIPsecの暗号化通信を行います。
• NATトラバーサル
IPsecで通信する機器同士の間にNAPTがあると、ESPやAHがポート番号を持たないのでうまく動作しないことがあります。
その問題を解決する方法として、UDPヘッダを新たに付与してNATを経由させるNATトラバーサルという技術があります。
• VPNパススルー
もう一つ別の解決方法としてNATルータがIPsecの通信を識別して適切な機器にパケットを転送するVPNパススルーという方式もあります。