TOPNetwork > VPNを支えるIPsecを理解する(下)

Network

VPNを支えるIPsecを理解する(下)

2022/01/28

Josh Fruhlinger CSO

 IPsec(Internet Protocol Security)とは、その名のとおり、インターネットの通信で安全性を確保するために使用するプロトコルスイートの1つである。

前回から続く)

IPsecの2つのモード

Credit: Getty Images
Credit: Getty Images

 IPsecには、トランスポートモードとトンネルモードという2種類の動作モードがあり、パケットのヘッダーの扱い方が異なる。トランスポートモードの場合は、元のIPパケットのペイロードのみを暗号化(AHの場合はハッシュ化)する。パケットのヘッダー部は、基本的に元の内容のままとなる。一方、トンネルモードの場合は、ヘッダー部も含めて元のパケット全体を暗号化(またはハッシュ化)して、新しいパケットのペイロードとし、それに新たなヘッダーを付加して、完全に新しいパケットを作成する。

 トンネルモードはどのような用途が考えられるか。パケットの送信元や宛先がプライベートネットワーク上のホストの場合、パケットのヘッダーには、そのネットワークに関連する経路情報が含まれており、ハッカーがその情報を分析して悪用する可能性がある。トンネルモードなら、こうしたヘッダー情報も含めて保護できる。

 そのため、プライベートネットワーク同士をつなぐゲートウエイ間の接続では、一般にトンネルモードを使う。この場合、送信元のプライベートネットワークのゲートウエイからデータを送出する時点で、パケット全体を暗号化し、通信先のゲートウエイを宛先とする新たなパケットを作成する。これを相手方のゲートウエイで復号する。この方法なら、ゲートウエイ間でパブリックなインターネットを経由する場合でも、プライベートネットワークのトポロジーに関連するヘッダー情報が漏れる心配はない。

 一方、トランスポートモードは、ワークステーションとゲートウエイの間の接続や、ホスト間の直接接続で一般に使う。例えば、ユーザーのコンピューターで生じた問題をサービス担当者がWindowsのリモートデスクトップで診断する場合の接続なら、トランスポートモードの使用が考えられる。

↑ページ先頭へ