keyboard samurai ZERO COOL

 

  1. ホーム
  2. IT技術及びツール紹介
  3. ネットワーク(IP-VPN 3)

ネットワーク(IP-VPN)

ネットワークを安全に利用する技術を紹介

ネットワーク上で利用されているセキュリティ技術を理解しプライベートやパブリックなあらゆる環境やシチュエーションで活用し、ライフスタイルとして取り入れよう。

   |  |  |  |  |  | 

ネットワークレベルのセキュリティ

SSLやS/MIMEのようなセキュリティプロトコルを利用すれば、特定のアプリケーションでTCP/IP通信のセキュリティを確保することができるが、これらを利用するには、対応するアプリケーション毎に個別の設定をしなければならない。

限定されたアプリケーションプロトコルによる通信だけを保護するのであればあまり問題にならないが、企業における本社・営業所間の通信や、拠点間での通信で、多様なアプリケーションプロトコルを利用する場合では、セキュリティの設定をアプリケーション毎に繰り返し設定しなければならず、非常に面倒なことになる。

特に拠点間での通信で、互いに複数のコンピュータが網の目を作るように通信をおこなうような場合では、その設定を維持管理するだけでも大きな負担となるだろう。

こういった部分を解消するためには、アプリケーション自身がそれぞれ別々にセキュリティ機能を持つのではなく、通信プロトコルそのものがセキュリティ機能を提供するようになればよい。

こういったことを実現するために考えられたものが、IPセキュリティプロトコル(IPsec)なのである。

IPsecを利用すれば、前述のようなアプリケーションごとのセキュリティ設定をする必要がなくなる。

つまり、セキュリティ機能の一本化をおこなうことができるのだ。

SSLはTCPの一部として実装されるが、その実体はアプリケーションプログラムが含んでいる。

SSHは完全にアプリケーション層の単一のプログラムでTCPから見ればひとつのアプリケーションに過ぎない。

S/MIMEやPGPはメールクライアントの機能の一部として実装され、利用するかどうかはユーザーの選択に任されている。

これらの実装に対し、IPsecはIPプロトコルそのものに機能を追加するような形で実装される。つまり、上位のプロトコルに依存せず、より汎用的に利用することが可能なのだ。


IPsecの特徴

IPsecは以下のような、通信を行なう上でのセキュリティの確保を達成するべく設計されている。

機密性の確保

通信内容を第三者に盗聴されないようにすることを指す。実際には暗号化によって実現される。

完全性の確保

通信内容が送信元が作成した通りであり、途中で改ざんされていないかどうかということを指す。

送信元の認証

通信内容の送信元が、なりすましなどによって偽られていないかどうかということを指す。

否認の防止

通信内容の送信元が、送信そのものを否認することを防止することを指す。


セキュリティポリシーに関して

IPsecでは、実際にIPsecによる処理を適用するかどうかを、個々の通信パケットの内容に応じて選択できるようになっている。

具体的には以下のうちのいずれかとなる。

そのパケットを破棄する。

IPsecを適用せずに通常の処理をおこなう。

IPsecを適用する。

これらは、通信パケット内の始点IPアドレス、終点IPアドレス、プロトコル、宛先ポートによって判断される。

このような、通信パケットを選択する項目を総称して「セレクタ」と呼んでいる。

「セレクタ」の考え方は、ルーターにおけるフィルタリングの考え方に近く、セレクタそのものは複数定義することができる。

特に、セレクタと、実際に適用する処理の内容までを含んだものを「セキュリティポリシー」と呼ぶ。

これはIPsecを利用する上で重要な概念なので、憶えておこう。

セキュリティポリシー内には、IPsecを適用する場合の実際に利用するIPsecプロトコル(AH、ESP、IPComp)の具体的な内容やモード(トランスポート、トンネル)も指定する。


セキュリティアソシエーション(SA)に関して

IPsecでは、暗号化された通信のことをSA(Security Association)と呼びます。

セキュリティアソシエーション(Security Association:SA)とは、IPsecによってセキュリティを確保するときの単方向のコネクションを指します。

コネクションなので、あくまで状態を表す概念であることに注意してほしい。

TCPにおけるコネクションと同様だと捉えてもらえばよい。

1つのVPNトンネルにつき、かぎ交換用のISAKMP SAが1個と、VPNトラフィック用のIPsec SAが2個の合計3個のSAを使用します。

IPsec SAが2個必要になるのは、このSAが一方通行であるため、往路と復路で別々のSAを必要とするためです。

また、SAはセキュリティプロトコル(AH、ESP)ごとに確立されるので、AH、ESPの両方を利用して双方向の通信を行なうときには、4つのSAが確立されることになる。

一般的に、IPsecが用いるかぎ交換用のSAはISAKMP SAと呼びますが、IKEを用いるのであればIKE SAでも間違いではありません。

 なお、IKEとISAKMPは別物で、IKEとはかぎ交換プロトコル、そのIKEを使ったかぎ交換を含めてSAの確立・維持管理に必要な手順全体を取り決めたプロトコルがISAKMPという位置付けになります。

ですから、ISAKMPがIKE以外のかぎ交換プロトコルを使用することも可能になっています。

SAそのものは、IPsec通信の当事者同士がお互いに折衝してどのようなIPsec通信をおこなうかを決めてから確立されます。

具体的には、送信者側から保持しているセキュリティポリシーの内容を元に提案をおこない、受信者側がそれを受け入れれば、SAが確立されるようになります。


WAFとは何か?

WAF(Webアプリケーション・ファイアウォール)とは、Webサイトに設置されたアプリケーションサーバやデータベースへの攻撃に対抗する製品のことだ。

Webアプリケーションやデータベースに仕掛ける攻撃は一見すると正当なパケットで、通常のファイアウォールやIDS/IPSではパケットの中身に危険なコードが含まれていても中身までは解析できない。

しかし、WAFを導入することでこのパケットの中身までを解析し、危険なコードをブロックすることができる。

例えば、Webアプリケーションと連携する入力フォームから送信されたデータに、普通は入力されるはずのない危険な文字形式があることをアプリケーションの処理に移る前に判断できれば、その攻撃を水際で防御することができるということだ。


    スポンサーリンク