IPSecの原則

VPNの概要

VPN（仮想プライベートネットワーク）は、2つ以上のローカルエリアネットワークを接続するためにインターネットで確立されるトンネルです。
両端でルーティングデバイスを構成することにより、2つのLANが互いに通信できるように2つのLANのトンネルを作成できます。データ通信のセキュリティを実現するための暗号化およびID検証テクノロジを通じて、専用回線と同じ効果を実現します。

専用ネットワーク

プライベートネットワークは、専用回線サービスとも呼ばれ、安定した帯域幅と高いサービス品質を必要とする企業、政府、その他の顧客向けです。専用回線サービスは、デジタルデータネットワーク（DDN）、フレームリレー（FR）、デジタル加入者線（DSL）、および同期デジタル（SDH）を通じて利用できます。

TCP / IPレイヤーについて

従来のTCP / IPプロトコルスタックには、効果的なセキュリティおよび機密性メカニズムがありません。オープンスタンダードのセキュリティフレームワークとして、IPSecを使用して、ネットワーク上で送信されるIPデータパケットの機密性、完全性、およびアンチリプレイを保証できます。 。

TCP / IPモデルは、ピアモデルと標準モデルに分かれています

1. ピアモデル（5層）
   アプリケーション層
   トランスポート層
   ネットワーク層
   データリンク層
   物理層、
2. TCP / IP標準モデル（4層）
   アプリケーション層
   トランスポート層
   ネットワーク相互接続層
   ネットワークアクセス層
   ...
   実際のアプリケーションでは、TCP / IPピアモデルが最も広く使用されています。TCP / IPレイヤリングには独自の機能がありますが、セキュリティ認証と機密性メカニズムが欠如しています。

IPSecの概要

IPSecは、IETFによって定義されたプロトコルグループです。IP層の両方の当事者は、暗号化、整合性の検証、およびデータソースの認証を通じて、ネットワーク上で送信されるIPデータパケットの機密性、整合性、およびアンチリプレイを保証します。

1. 機密性とは、データの暗号化と保護、および暗号テキストでのデータの送信を指します。
2. 整合性とは、受信したデータを認証して、メッセージが改ざんされていないかどうかを判断することです。
3. アンチリプレイとは、キャプチャしたデータパケットを繰り返し送信することにより、悪意のあるユーザーによる攻撃を防ぐことを意味します。つまり、受信側は古いデータパケットまたは繰り返しのデータパケットを拒否します。

ユーザーがオンラインバンキングを介して送金する場合、機密のアカウントデータはネットワークを介してインターネットに送信され、アカウントパスワードおよびその他の情報は暗号化される必要があります。同時に、データの整合性を確保して、ハッカーによる改ざんを防止し、リプレイを防止し、同じデータを何度も送信しないようにする必要があります複数の転送につながります。

IPSec VPNアプリケーションのシナリオ

本社と支社の両方がプライベートネットワークIPを使用します。プライベートネットワークIPはインターネット経由で相互に通信できません。これには、IPSec VPNを使用して、企業と本社の間にIPSecトンネルを確立し、インターネット上の2つのLANの伝送を実現する必要があります。

IPSecアーキテクチャ

IPSecはトランスポート層とネットワーク層の間にあります。IPSecはトランスポート層とアプリケーション層のデータを保護できます。IPSecは個別のプロトコルではありません。IPSecVPNアーキテクチャは主にAH、ESP、IKEプロトコルスイートで構成されています。これら2つのセキュリティプロトコルは、IPデータパケットの安全な伝送を実装し、IKEプロトコルは、キーアソシエーション、セキュリティアソシエーションSAの確立および保守などのサービスを提供します。

1. AHプロトコル（認証ヘッダー）、整合性チェック、およびリプレイ防止機能は暗号化できません
2. ESPプロトコル（セキュリティペイロードカプセル化）の整合性チェックとアンチメッセージリプレイ機能、および暗号化機能。
3. IKEプロトコル：AHおよびESPで使用される暗号化アルゴリズムを自動的にネゴシエートするために使用されます。

Security Alliance SA

SA（セキュリティアソシエーション）は、IPSec通信
ピア間で使用されるデータカプセル化モード、認証、暗号化アルゴリズム、およびキーのパラメータを定義します。SAは単方向です。2つのピア間の双方向通信には、少なくとも2つのSA、2つのピア間の通信にAHおよびESPセキュリティプロトコルが使用されている場合、ピアは各セキュリティプロトコルのSAのペアをネゴシエートする必要があります。
SAは、セキュリティパラメータインデックスSPI、宛先IPアドレス、およびセキュリティプロトコル（AHまたはESP）を含むトリプレットによって一意に識別されます。

SA設立

SA確立方式は、手動方式とIKE動的ネゴシエーション方式に分けられます。

1. 手動（小規模な静的環境に適用可能）
   セキュリティアライアンスが必要とするすべての情報は、手動で構成する必要があります。短所：手動での確立方法はより複雑です長所：IKEに依存せず、IPSec機能を個別に実装します。
2. IKE動的ネゴシエーション方式（大規模および中規模ネットワークに適用可能で、この方式は簡単に構成できます）
   では、通信ピア間のIKEネゴシエーションパラメーターを構成するだけでよく、IKE自動ネゴシエーションを使用してSAを作成および維持します。

IPSecモード

IPSecプロトコルには、送信モードとトンネルモードの2つのカプセル化モードがあります。

IPSec送信モード

伝送モードでは、IPパケットヘッダーと高レベルプロトコルの間にAHおよびESPヘッダーが挿入され、AHおよびESPは主に上位層プロトコルデータを保護します。

送信モードのAH：IPヘッダーにAHヘッダーを挿入して、データパケット全体の整合性をチェックします。
伝送モードのESP：IPヘッダーにESPヘッダーを挿入し、データセグメントの後にテールフィールドと認証フィールドを挿入します。高レベルデータとESPトレーラーを暗号化し、IPパケット内のESPヘッダー、高レベルデータとESPトレーラーの整合性チェックを実行します。
送信モードのAH + ESP：IPヘッダーの後にAHおよびESPヘッダーを挿入し、データセグメントの後にテールおよび認証フィールドを挿入します。高レベルのデータとESPを暗号化し、IPデータパケット全体の整合性をチェックします。

IPSecトンネルモード

トンネルモードでは、AHまたはESPヘッダーは元のIPパケットヘッダーの前にカプセル化され、新しいIPヘッダーが生成されてAHまたはESPの前にカプセル化されます。トンネルモードでは、元のIPデータグラムを完全に認証および暗号化でき、IPSecピアのIPアドレスを使用して、クライアントのIPアドレスを隠すことができます

。トンネルモードのAH：元のIPパケット全体の整合性チェックと整合性を提供します。認証、認証機能はESPより優れています。ただし、AHは暗号化を提供しないため、通常はESPと組み合わせて使用​​されます。
トンネルモードのESP：元のIPパケットとESPトレーラー全体を暗号化し、ESPパケットヘッダー、元のIPパケット、およびESPトレーラーで整合性チェックを実行します。
トンネルモードのAH + ESP：元のIPパケットとESPテール全体を暗号化し、新しいIPヘッダーを除くIPパケット全体の整合性をチェックします

IPSec VPN構成手順

IPSec VPNを構成する手順：

1. ネットワーク到達可能性の構成
   最初に、送信側と受信側の間のネットワークが到達可能であることを確認します。
2. インタレストフローを識別するようにACLを構成し
   ます。ACLは、さまざまなデータフローを定義および区別するために使用されます。ACLの一部は、整合性と機密性の要件を満たす必要がないため、トラフィックをフィルタリングするには、IPSecで処理する必要があるインタレストフローを選択します。そして差別化されたデータストリーム。
3. IPSecセキュリティプロポーザルを作成する
   データストリームを正常に送信するには、セキュリティトンネルの両端のピアが同じセキュリティプロトコル、認証アルゴリズム、暗号化アルゴリズム、およびカプセル化モードを使用する必要があります。2つのセキュリティゲートウェイ間にIPSecトンネルを確立する場合は、IPSecカプセル化モードをトンネルモードに設定して、使用される実際の通信を非表示にすることをお勧めします
4. IPSecセキュリティポリシーを構成する場合
   、IPSecプロポーザルで定義されているセキュリティプロトコル、認証アルゴリズム、暗号化アルゴリズム、およびカプセル化モードが適用されます。各IPSecセキュリティポリシーは、一意の名前とシリアル番号で識別されます。IPSecポリシーは、SAを手動で確立する戦略と、IKEネゴシエーションによってSAを確立する戦略の2つのカテゴリに分類できます。
5. IPSecポリシーインターフェースアプリケーション
   の暗号化アルゴリズムは、対称AES（128個のスペースと複数のキー）を使用することが推奨されている
   RSA（2048のスペースと複数のキー）を使用することが推奨される非対称暗号化アルゴリズムが
   ハッシュアルゴリズムを使用SHA2（256およびキー上）に推奨される
   HMAC（ハッシュアルゴリズムに基づくメッセージ検証コード）HMAC-SHAの使用にはアルゴリズムが推奨されます

IPSecの実装

IPSec VPNの強みは、OSIモデルのレイヤー3で動作することです。2つのエンドポイント間に「トンネル」を確立でき、すべてのIPベースのアプリケーションデータをこのトンネル経由で送信できます。

説得力のある、固定IPなしで両側でIPSECを行うことができます。ただし、パブリックネットワークにアドレス指定サーバーを設定するか、直接400を呼び出すことができる限り、カスタマーサービスに割り当ててもらえば無料です。

もう1つはマスターモードと呼ばれる両側にIPがある固定モードで、もう1つは固定ダイヤリングが付いているものをサベージモードと呼び、両方に固定IPがないものをWebエージェントと呼びます。

Webagentは、支社またはモバイルユーザーが本社に接続するために必要なアドレスです。デバイスの出口に固定パブリックIPがない場合は、4006306430に連絡してドメイン名を申請し、ドメイン名を使用してアドレスを指定できます。