VPNを支えるIPsecを理解する（下）

　IPsec（Internet Protocol Security）とは、その名のとおり、インターネットの通信で安全性を確保するために使用するプロトコルスイートの1つである。

（前回から続く）

IPsecの2つのモード

Credit: Getty Images

　IPsecには、トランスポートモードとトンネルモードという2種類の動作モードがあり、パケットのヘッダーの扱い方が異なる。トランスポートモードの場合は、元のIPパケットのペイロードのみを暗号化（AHの場合はハッシュ化）する。パケットのヘッダー部は、基本的に元の内容のままとなる。一方、トンネルモードの場合は、ヘッダー部も含めて元のパケット全体を暗号化（またはハッシュ化）して、新しいパケットのペイロードとし、それに新たなヘッダーを付加して、完全に新しいパケットを作成する。

　トンネルモードはどのような用途が考えられるか。パケットの送信元や宛先がプライベートネットワーク上のホストの場合、パケットのヘッダーには、そのネットワークに関連する経路情報が含まれており、ハッカーがその情報を分析して悪用する可能性がある。トンネルモードなら、こうしたヘッダー情報も含めて保護できる。

　そのため、プライベートネットワーク同士をつなぐゲートウエイ間の接続では、一般にトンネルモードを使う。この場合、送信元のプライベートネットワークのゲートウエイからデータを送出する時点で、パケット全体を暗号化し、通信先のゲートウエイを宛先とする新たなパケットを作成する。これを相手方のゲートウエイで復号する。この方法なら、ゲートウエイ間でパブリックなインターネットを経由する場合でも、プライベートネットワークのトポロジーに関連するヘッダー情報が漏れる心配はない。

　一方、トランスポートモードは、ワークステーションとゲートウエイの間の接続や、ホスト間の直接接続で一般に使う。例えば、ユーザーのコンピューターで生じた問題をサービス担当者がWindowsのリモートデスクトップで診断する場合の接続なら、トランスポートモードの使用が考えられる。

｜Computerworldについて｜Computerworldへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報の取り扱い｜