はじめに
「IPv6にはIPsecが標準搭載されるのでエンド-エンドでのセキュリティが簡単に利用できます」---IPv6に関連して,呪文のように繰り返されるこのセリフをみなさんはどのように捉えているでしょうか。まさにv6の利点と得心する人,懐疑的な人,あるいは食傷気味な人,それぞれではないかと思います。
本連載は,IPsec技術そのものを分かりやすく解説することで,IPsecに対するイメージを正確につかんでいただき,IPsecで何ができるのか,IPv6とはどのような関係なのかを適切に把握することを目指します。
インターネットで受け得る攻撃とセキュリティ技術
まずはインターネットで受け得る攻撃の種類をSteven Kentによる分類に基づき一般化し,通信にどのようなセキュリティが必要なのかを考えてみましょう。
| 受動的な攻撃 | |
| 盗聴 | 伝送されたメッセージの内容を取得する |
| トラフィック解析 | 暗号化などによりメッセージの内容を取得できない場合,メッセージの長さややりとりの頻度などを解析する |
| 能動的な攻撃 | |
| なりすまし | 他者になりすまして攻撃を行う。単純には他者のIPソース・アドレスでパケットを送信したりする |
| リプレイ攻撃 | 盗聴したメッセージ(パケットなど)を保存しておき,後で単純に同じメッセージをコピーして送信する |
| メッセージの改ざん | メッセージの内容を不正に変更する |
| DoS攻撃 | 正常な処理を行うことが不可能なほど大量のパケットを送信するなどして相手のサービスを妨害する |
このような攻撃から身を守り安全に通信を実現するためには,次のようなセキュリティ機能が必要です。
| 必要なセキュリティ機能 | |
| 秘密性 | 受動的な盗聴などから,通信を保護する機能 |
| 認証(本人性確認) | そのメッセージが本当に表示された送信元からのものであることを保証する機能 |
| 認証(完全性保証) | メッセージが改ざんされていないことを保証する機能 |
| 否認不能性 | 送信者がメッセージを送信したことや,受信者がメッセージを受信したことを証明する機能 |
| アクセス制御 | 通信を通過させたり遮断したりして制御する機能 |
| 可用性 | システムが常に使用できること |
これらのセキュリティ機能は,例えば電子メールにおけるPGPやS/MIME,Webセキュリティを実現するSSLやTLSなどといった形で,多くのアプリケーションでも個別に実現されています。
これらのアプリケーションでのセキュリティ技術とIPsecが決定的に異なる点は,IPsecはセキュリティ機能をIPパケット単位で実現することです。すなわちIPパケットを秘密にし,本物であることや改ざんされていないことを保証し,アクセス制御を行います。IPsecによって,アプリケーションごとにセキュリティ機能を用意する必要がなくなります。
IPsecを実現する要素と動作イメージ
このようなIPsecを実現する要素は,大きく二つの部分に分かれています。一つはセキュリティ機能そのものを提供するパケットのカプセル化機構であり,もう一つはパケットを暗号化するのに用いる秘密対称鍵やIPsecのコネクションを自動的に生成,管理する機構です。
これら要素はそれぞれ複雑ですので解説は次回以降行うこととして,今回はまずIPsecの概要を理解していただくために具体的にIPsec装置がどのように動作するかの一例を紹介します。
|
IPsecの動作イメージ |
|
図1のネットワークで,PC1がPC2とIPsecトンネルを介して通信する場合を考えましょう。IPsec通信は,次のように実現されます。
- ステップ1
- PC1はPC2向けのパケットを,IPsec装置Aに転送する。
- ステップ2
- IPsec装置Aは装置Aに設定されたルールにしたがってこのパケットをどのように処理するか決める。ここでは「PC1からPC2向けのパケットはIPsec化してIPsec装置Bに転送」するルールが設定されているとする。このルールに従い,IPsec装置AはIPsec装置BにパケットをIPsec化して送信しようとする。すなわち,IPsec装置Bとの間にIPsecトンネルがすでに確立しているかどうかを調べ,もしIPsecトンネルがなければそれを生成し,あればそのトンネルを使用する。
- ステップ3
- IPsec装置Aは,生成したIPsecトンネル,もしくはすでにあったIPsecトンネルでPC1からPC2向けのパケットをIPsec化して,インターネットを通してIPsec装置Bに送信する。
- ステップ4
- IPsec化されたパケットは通常のIPヘッダを持っているため,インターネット上の途中ルーターは普通のIPパケットとしてこれをルーティングし,IPsec装置Bまで転送していく。
- ステップ5
- IPsec装置BはこのIPsecパケットを受信,復号化し,元のパケットを取り出してPC2に転送する。
以上がIPsec動作イメージの一例です。各拠点内では通常のIPパケットを送受しているだけなのですが,IPsec装置によって生成された拠点間を結ぶIPsecトンネルで安全な暗号化通信が透過的に実現されているイメージをつかんで下さい。
