IPsecはトンネルではありません

IPsecは難しい。
難しくしているのが、各書が「トンネル」という表現を使っているからだ。
トンネルという概念は捨てましょう。なぜなら、IPsecの通信において、トンネルは
構築されていないからです。そもそも、インターネットの世界でトンネルって何？
トンネルという説明をするから、
「トンネルを作れば、その中はセキュリティが保たれているんですよね。」・・・トンネルの中って何？
「通信用のフェーズ２のトンネルの中にデータを通せばいいんじゃないですか？」・・・
フェーズ２にトンネルはできていません。
といった、違う疑問や矛盾がでてきます。
トンネルは捨ててください。

◆次の解説で理解してください。
１．鍵交換　・・・UDPのIKEパケットを交換。トンネルはできません。
インターネット上で安全に通信をするために、お互いを認証したり、暗号方式を決めます。
フェーズ１とフェーズ２に分かれます。
フェーズは１つでもいいのですが、より高速にするために分けてます。（このレベルで止めておきます。）

２．IPsecの通信・・・ESPのパケット。通常のプロトコルがTCPやUDPではなくESPのパケットです。
当然、トンネルはできません。
鍵交換のフェーズ２で決めた暗号化や認証の方式でIPsecの通信をします。

◆用語
試験対策として、いくつか覚えましょう。
（１）SA（Security Assosiation)
フェーズ１：ISAKMP　SA、つまり制御用のSAを作る。・・・このSAをフェーズ２が利用する。
フェーズ２：IPsec　SA、つまり通信用のSAを作る。・・・このSAをIPsec通信が使用する。

（２）IKE(Internet Key Excange)
IKEは必須ではない。しかし、使う場合が多い。
要は、IPsec通信のための鍵が適切になされればよい。

２つのフェーズでカギ交換をする。

（３）プロトコル
①ESP(Encapsulating Security Payload)：暗号化＋認証・・・こっちを覚えればよい。
②AH(Authentication Header)：認証のみ・・・こっちは使われない。

（４）モード
①トランスポートモード：端末間
②トンネルモード：VPN装置間・・・こっちが主流。なぜか。
ルータに設定すれば、PCすべてに設定する必要がないから。

│Comments(2) │IPsec │Q&A掲示板

コメント一覧

1. Posted by 通りすがり 2007年11月19日 05:02

「難しくいているのが」って変ですね。
「難しくしているのが」の間違いですか？

2. Posted by コロンブス 2008年01月02日 08:56

ご指摘ありがとうございます。
修正しました。
今後もよろしくお願いします。

コメントする